Il mondo della sicurezza del codice open source si arricchisce di un nuovo strumento destinato a diventare un punto di riferimento per la scansione di credenziali e segreti nei repository software. Si chiama BetterLeaks ed è stato sviluppato da Zach Rice, autore del celebre GitLeaks, con il supporto della società di sicurezza Aikido Security. Il progetto nasce con l’obiettivo di superare i limiti del suo predecessore offrendo maggiore velocità, accuratezza e nuove funzionalità pensate per gli ambienti di sviluppo moderni. BetterLeaks mantiene compatibilità con i comandi CLI e i file di configurazione di GitLeaks, permettendo agli sviluppatori di utilizzarlo come sostituto diretto senza modificare i workflow esistenti. Allo stesso tempo introduce nuove tecniche di rilevamento dei segreti e un’architettura più efficiente che migliora significativamente la capacità di individuare credenziali esposte nei repository. Il progetto viene distribuito con licenza MIT, restando completamente open source e guidato dalla community, anche se Aikido Security ne sostiene lo sviluppo come sponsor principale.
Cosa leggere
Dalla nascita di GitLeaks al nuovo progetto BetterLeaks
La storia di BetterLeaks è strettamente legata alla carriera di Zach Rice, ricercatore di sicurezza che ha dedicato gran parte del proprio lavoro alla ricerca di credenziali esposte nei repository pubblici. Circa otto anni fa Rice iniziò a sviluppare GitLeaks dopo aver individuato per caso una credenziale attiva pubblicata su GitHub. Il tool si diffuse rapidamente tra sviluppatori, hacker etici e team di sicurezza, diventando uno degli strumenti più utilizzati per individuare API key, password e token di accesso esposti nel codice sorgente. Con il tempo GitLeaks raggiunse numeri notevoli: oltre 26 milioni di download su GitHub, più di 1,2 milioni di installazioni tramite Homebrew e circa 35 milioni di pull delle immagini Docker.
Nonostante il successo, Rice perse progressivamente il controllo diretto del repository e del nome del progetto. Questa situazione lo spinse a intraprendere una nuova iniziativa insieme ad Aikido Security, dove ha assunto il ruolo di Head of Secrets Scanning. Da questa collaborazione è nato BetterLeaks, progettato come una nuova generazione di scanner per segreti. Il nome del progetto elimina il prefisso “git” per sottolineare che lo strumento non si limita ai repository Git ma può essere utilizzato anche su file locali, pipeline CI/CD e flussi di dati provenienti da altre fonti.
Compatibilità totale con GitLeaks
Uno dei principi chiave alla base di BetterLeaks è la compatibilità retroattiva con GitLeaks. Il tool funziona come un vero e proprio drop-in replacement, consentendo agli utenti di migrare senza modificare script, configurazioni o pipeline di sicurezza. Le opzioni CLI e i file di configurazione già utilizzati nei progetti basati su GitLeaks funzionano immediatamente anche con BetterLeaks. Questo approccio riduce drasticamente la complessità della migrazione e permette alle organizzazioni di adottare il nuovo scanner senza interrompere i processi DevSecOps esistenti. Allo stesso tempo BetterLeaks introduce miglioramenti significativi nelle prestazioni, grazie a un’architettura ottimizzata che sfrutta scansioni parallele dei repository e una implementazione completamente scritta in Go puro, senza dipendenze CGO o librerie esterne come Hyperscan.
Una nuova tecnica di rilevamento basata su Byte Pair Encoding
Uno degli aspetti più innovativi di BetterLeaks riguarda il sistema di filtraggio dei segreti. Tradizionalmente gli scanner di credenziali utilizzano metodi basati sull’entropia, che analizzano la casualità di una stringa per determinare se possa rappresentare una chiave o una password. BetterLeaks introduce invece un approccio basato su Byte Pair Encoding (BPE), una tecnica utilizzata anche nei modelli linguistici per analizzare la compressione e la struttura dei dati. Zach Rice descrive questo metodo nel suo lavoro intitolato Rare Not Random, evidenziando come l’efficienza di compressione di una stringa possa fornire un segnale più affidabile rispetto alla semplice entropia. I test condotti sul dataset CredData mostrano risultati significativi: il metodo BPE raggiunge un recall del 98,6%, mentre gli approcci basati sull’entropia si fermano intorno al 70,4%. Questo significa che BetterLeaks riesce a individuare un numero molto maggiore di segreti reali riducendo allo stesso tempo i falsi negativi.
Regole di validazione con Common Expression Language
BetterLeaks introduce anche un nuovo sistema di definizione delle regole basato su Common Expression Language (CEL). Questo linguaggio consente agli sviluppatori di creare logiche di validazione complesse senza dover modificare il codice dello scanner. Le regole possono essere personalizzate per verificare contesti specifici, migliorando la precisione dell’analisi. Gli utenti possono ad esempio definire condizioni che identificano pattern di chiavi API o token di accesso specifici di determinati provider cloud. Questo approccio rende il tool più flessibile rispetto ai sistemi tradizionali basati su allowlist o blacklist statiche.
Rilevamento automatico di segreti codificati
Un’altra funzionalità rilevante è il supporto nativo per il rilevamento di segreti codificati o offuscati. Molti sviluppatori cercano infatti di nascondere credenziali all’interno del codice utilizzando encoding multipli come Base64 o altre tecniche di trasformazione. BetterLeaks rileva automaticamente segreti doppi o tripli codificati, analizzando il contenuto dei file senza richiedere configurazioni aggiuntive. Questa capacità aumenta la probabilità di individuare credenziali che potrebbero sfuggire agli scanner tradizionali. Il tool supporta inoltre la scansione di repository Git, file locali e input tramite stdin, rendendolo utilizzabile anche in pipeline di automazione o strumenti di analisi del codice.
Un progetto sostenuto dalla community
BetterLeaks nasce come progetto comunitario con una governance distribuita. Oltre a Zach Rice, il progetto è gestito da diversi maintainer provenienti da grandi organizzazioni tecnologiche. Tra questi figurano Richard Gomez della Royal Bank of Canada, Braxton Plaxco di Red Hat e Ahrav Dutta di Amazon. Gomez è noto nella comunità della sicurezza open source anche per aver ricevuto il titolo di Most Valuable Researcher 2024 dal Microsoft Security Response Center. La presenza di maintainer provenienti da grandi aziende garantisce continuità e stabilità allo sviluppo del progetto, riducendo il rischio che lo strumento venga abbandonato o rallentato nel tempo.
BetterLeaks nell’ecosistema open source di Aikido
BetterLeaks fa parte di una serie di progetti open source sostenuti da Aikido Security, che include strumenti come Safe Chain, Zen, Intel e Opengrep. L’azienda sta costruendo una piattaforma completa di Application Security (AppSec) che integra funzionalità di scansione delle dipendenze, analisi del codice e monitoraggio delle vulnerabilità. La piattaforma Aikido include strumenti per SAST, scansione di segreti, analisi delle dipendenze software, gestione SBOM e sicurezza cloud, oltre a funzionalità di pentesting continuo e monitoraggio delle infrastrutture. BetterLeaks rappresenta il componente dedicato alla protezione delle credenziali e delle chiavi di accesso, uno degli aspetti più critici nella sicurezza delle applicazioni moderne.
L’integrazione con gli agenti AI
Un elemento interessante del progetto riguarda la sua progettazione pensando anche all’utilizzo da parte di agenti AI e strumenti di sviluppo automatizzati. Secondo gli sviluppatori, gli agenti software stanno trasformando il modo in cui gli sviluppatori interagiscono con il codice. BetterLeaks può essere utilizzato dagli agenti AI come una normale utility CLI, simile a strumenti come grep, consentendo di analizzare automaticamente il codice generato o modificato durante lo sviluppo. Questo approccio permette agli agenti di eseguire scansioni mirate e ottenere risultati precisi senza consumare grandi quantità di token nei modelli linguistici.
Le novità previste per BetterLeaks v2
Il team di sviluppo ha già delineato una roadmap per BetterLeaks v2, che introdurrà nuove funzionalità avanzate. Tra queste figurano la scansione di nuove fonti di dati oltre ai repository Git e ai file locali. Una delle innovazioni previste riguarda l’integrazione con modelli linguistici di grandi dimensioni (LLM), che potranno essere utilizzati per classificare segreti generici e fornire informazioni aggiuntive sul contesto in cui vengono rilevati. Gli sviluppatori stanno inoltre lavorando a un sistema di revoca automatica delle credenziali compromesse, sfruttando le API messe a disposizione da alcuni provider cloud per disattivare rapidamente chiavi di accesso esposte. Un’altra funzione in fase di sviluppo riguarda la mappatura dei permessi associati ai segreti individuati, permettendo ai team di sicurezza di capire immediatamente quali azioni potrebbero essere eseguite utilizzando una determinata credenziale.
Un nuovo punto di riferimento per la sicurezza del codice
Con BetterLeaks, Zach Rice punta a ridefinire il modo in cui sviluppatori e team di sicurezza individuano credenziali esposte nel codice sorgente. L’evoluzione degli strumenti DevSecOps e l’aumento delle minacce legate alla gestione delle chiavi API rendono sempre più importante disporre di strumenti efficienti per individuare e rimuovere segreti accidentalmente pubblicati. La combinazione di tecniche avanzate di rilevamento, integrazione con workflow moderni e governance open source potrebbe rendere BetterLeaks uno dei principali strumenti di riferimento nel campo della sicurezza del codice nei prossimi anni.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
