Dans l'écosystème des outils de sécurité du développement, un nouveau projet ouvert a vu le jour, qui vise à relever la barre dans la détection des secrets filtrés : Mieux vaut. Il s'agit d'un scanner capable d'analyser les dossiers, fichiers et dépôts Git à la recherche d'identifications, jetons, clés privées et autres secrets qui, par accident, finissent dans l'historique du code. L'idée est simple et urgente: trouver et atténuer les secrets avant que les attaquants les testent..
Betterleaks est né comme une évolution directe d'un outil déjà connu dans la communauté: Des gitleaks. Derrière le projet se trouve Zach Rice, qui a dirigé le développement de Gitleaks et dirige maintenant cette nouvelle initiative avec le soutien d'Aikido, une entreprise belge axée sur la garantie du cycle de développement. Vous pouvez consulter le code et la documentation dans le dépôt officiel de Betterleaks dans GitHub: https: / / github.com / betterleaks / betterleaks, et lire l'explication de l'équipe sur le blog d'Aikido: https: / / www.aikido.dev / blog / betterleaks-gitleaks-successeur.
Les scanners secrets sont déjà une pièce de base dans la boîte à outils de toute organisation qui publie du code ou fonctionne avec des dépôts partagés. Des plateformes telles que GitHub offrent des mécanismes de numérisation secrets, et des entreprises spécialisées publient des rapports constants de fuites d'identités non remarquées. Un secret dans une commission publique peut devenir une clé directe pour attaquer l'infrastructure, les services cloud ou les comptes tiers C'est pourquoi la détection précoce modifie significativement le risque (voir la documentation de GitHub sur la numérisation secrète : https: / / docs.github.com / fr / code-security / secret-scanning).
Ce qui fait Betterleaks différents des autres options? Le projet intègre un certain nombre de décisions techniques visant à améliorer la précision, la performance et la convivialité. L'un des nouveaux développements est la validation des règles par CEL (Common Expression Language), qui permet de définir des conditions plus expressives et plus sûres pour confirmer qu'une coïncidence est vraiment un secret. CEL, piloté par Google, facilite la création d'expressions logiques sur les résultats; plus d'informations dans la spécification CEL: https: / / github.com / google / cel-spec.
Dans le domaine de la détection, Betterleaks introduit une approche basée sur la tokenisation par Byte Pair Encoding (BPE) plutôt que de ne compter que sur des mesures d'entropie. Selon les repères publiés par le projet lui-même, cette méthode permet d'obtenir une sensibilité significativement plus élevée dans les ensembles de référence utilisés pour évaluer les détecteurs de pouvoirs. BPE est une technique de segmentation de texte largement utilisée dans les modèles de langage moderne et les tokenizers; si vous voulez la comprendre en profondeur, la documentation de Hugging Face tokenizers est un bon point de départ: https: / / embrassingface.co / docs / prises / python / derniers / composants / prises _ modèles # octet-pair-encoding.
Une autre décision importante de l'équipe a été d'écrire Betterleaks complètement sur Go pure, éliminant les dépendances qui dans les projets précédents compliqué la distribution et l'installation, comme CGO ou Hyperscan. Ceci vise à faciliter son exécution dans différents environnements, des machines locales aux conteneurs légers. Pour ceux qui veulent approfondir, Hyperscan est une librairie d'expressions régulières de haute performance développée par Intel: https: / / github.com / info / hyperscan.
Dans la pratique, Betterleaks améliore également les aspects qui génèrent du bruit au jour le jour : il gère automatiquement des contenus qui ont été encodés plusieurs fois (par exemple, des chaînes encodées à l'URL), élargit son ensemble de règles pour soutenir davantage de fournisseurs de services et de parallèles Analyse du dépôt Git pour accélérer l'analyse à grande échelle. Ce sont des caractéristiques qui, combinées, cherchent à réduire les faux positifs et accélérer la détection quand il y a de grands volumes de code.
Le projet n'est pas seulement technique : sa feuille de route comprend des fonctions qui reflètent l'évolution de la sécurité du développement. Les idées à l'étude comprennent le soutien à des sources de données autres que les dépôts Git et les fichiers locaux, l'analyse assistée par des modèles linguistiques pour mieux classifier les résultats, des filtres de détection plus raffinés, la mémoire automatique des secrets par l'intermédiaire des API fournisseurs et la cartographie des autorisations associées aux références. Tout cela vise à intégrer Betterleaks dans l'assainissement automatisé, pas seulement les flux d'alerte.
Quant au gouvernement du projet, Betterleaks est publié sous licence MIT et travaille en collaboration avec différentes organisations, qui cherchent à combiner transparence et responsabilité en matière de maintenance. La provenance de l'équipe - avec les contributions de personnes qui ont travaillé dans le secteur bancaire, dans les grands projets open source et dans le cloud - aide les priorités de développement à examiner l'environnement des affaires et la communauté des développeurs.
Du point de vue de ceux qui développent des logiciels, intégrer ce type d'outils peut changer la dynamique de la gestion secrète. Au-delà d'une analyse ponctuelle, la recommandation pratique est d'intégrer le scanner dans le canalage CI/CD, de le combiner avec des politiques qui détectent des secrets dans les préengagements et d'établir des procédures de rotation et de révocation claires lorsqu'une fuite est détectée. Les entreprises spécialisées dans la détection des secrets publient des guides et des mesures utiles pour contextualiser ces risques, par exemple le blog GitGuardian: https: / / www.gitabaran.com / blog /.
Enfin, il faut souligner que les outils sont utiles mais pas une solution magique. La prévention et la réponse exigent des processus techniques complémentaires, une éducation et des contrôles: éviter les engagements avec des secrets à travers des crochets, utiliser des gestionnaires de secrets et de références pour les environnements d'exécution, et avoir des plans de rotation des clés en cas d'exposition. Betterleaks apporte des améliorations techniques et pratiques qui peuvent réduire les risques opérationnels, mais sa valeur réelle est obtenue lorsqu'elle est intégrée dans des politiques de sécurité durables.
Si vous voulez explorer Betterleaks pour vous-même, examiner des repères ou contribuer, le point de départ est le dépôt de projet: https: / / github.com / betterleaks / betterleaks, et pour le contexte de votre relation avec Gitleaks et les raisons du changement de direction, l'entrée dans le blog d'Aikido offre une lecture complète: https: / / www.aikido.dev / blog / betterleaks-gitleaks-successeur.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...