工具采用基于标志位的输出控制机制,便于AI编程Agent将其作为子进程调用时,能高效解析输出而无需额外token开销。
工具概述
密钥扫描已成为工程组织的标准实践,而Gitleaks是该领域应用最广泛的工具之一。该项目作者近日发布了一款名为Betterleaks的新工具,专门用于扫描Git代码库、目录和标准输入流中的凭证泄露,包括API密钥、令牌和密码。
项目负责人Zach Rice约八年前编写了Gitleaks初始代码,现任Aikido Security公司密钥扫描部门主管。
实际代码库扫描耗时与Gitleaks对比(来源:Betterleaks GitHub页面)
开发背景
Rice在项目说明中解释,由于不再完全掌控Gitleaks代码库和名称所有权,促使他启动新项目。Betterleaks设计为Gitleaks的即插即用替代方案,现有命令行参数和配置文件无需修改即可直接沿用。
技术革新
Betterleaks最显著的技术改进在于候选密钥过滤机制。与多数扫描工具类似,Gitleaks依赖香农熵(Shannon entropy)识别疑似密钥的字符串。Betterleaks则创新性地采用基于字节对编码(BPE)的Token Efficiency技术:
该技术通过测量BPE分词器对字符串的压缩效率进行判断自然语言可压缩为较长token,表现出高Token Efficiency值密钥和随机字符串压缩效率低下,产生大量短token和低Token Efficiency值在CredData数据集测试中,Token Efficiency的召回率达98.6%,显著优于熵检测法的70.4%验证逻辑采用通用表达式语言(CEL)编写,规则制定者可编程控制密钥确认标准。工具默认支持双重和三重编码密钥检测,并通过并行化Git扫描降低耗时。采用纯Go语言构建(无CGO依赖),摆脱对Hyperscan的依赖,实现跨环境无原生库部署。支持扫描归档文件(含嵌套归档),输出格式涵盖JSON、CSV、JUnit、SARIF及自定义模板。
未来规划
项目路线图包含多项v1版本未实现的功能:
LLM辅助分类:将匿名化候选密钥传递给本地/远程语言模型获取上下文自动撤销支持:对接提供凭证撤销API的服务商权限映射功能:可视化展示已检出密钥的实际访问权限AI集成设计
工具采用基于标志位的输出控制机制,便于AI编程Agent将其作为子进程调用时,能高效解析输出而无需额外token开销。Rice指出,类似Claude Code或Cursor等工具的AI Agent倾向调用具备可控输出的命令行工具,Betterleaks正是为此场景设计。
该工具已在GitHub开源发布。
