No ecossistema de ferramentas para a segurança do desenvolvimento surgiu um novo projeto aberto que pretende elevar o listão na detecção de segredos filtrados: Betterleaks. Trata-se de um scanner capaz de analisar pastas, arquivos e repositórios Git em busca de credenciais, tokens, chaves privadas e outros segredos que, por acidente, acabam dentro do histórico de código. A ideia é simples e urgente: encontrar e mitigar segredos antes de os experimentarem os atacantes.
Betterleaks nasce como evolução direta de uma ferramenta já conhecida na comunidade: Gitleaks. Por trás do projeto está Zach Rice, que liderou o desenvolvimento de Gitleaks e agora impulsiona esta nova iniciativa com apoio de Aikido, uma empresa belga focada em garantir o ciclo de desenvolvimento. Você pode revisar o código e a documentação no repositório oficial do Betterleaks no GitHub: https://github.com/betterleaks/betterleaks, e ler a explicação da equipe no blog de Aikido: https://www.aikido.dev/blog/betterleaks-gitleaks-successor.
Os scanners de segredos são já uma peça básica na caixa de ferramentas de qualquer organização que publique código ou trabalhe com repositórios compartilhados. Plataformas como o GitHub oferecem mecanismos de “secret scanning”, e empresas especializadas publicam relatos constantes sobre vazamentos inadvertidas de credenciais. Um segredo em um commit público pode se tornar uma chave direta para atacar infraestruturas, serviços cloud ou contas de terceiros, por isso detectá-los cedo muda o risco significativamente (ver documentação do GitHub sobre secret scanning: https://docs.github.com/en/code-security/secret-scanning).
Que diferença a Betterleaks de outras opções? O projeto incorpora várias decisões técnicas orientadas para melhorar precisão, desempenho e usabilidade. Uma das novidades é a validação de regras por CEL (Common Expression Language), o que permite definir condições mais expressivas e seguras para confirmar que uma coincidência é realmente um segredo. CEL, impulsionado pelo Google, facilita a criação de expressões com lógica sobre os achados; mais informações na especificação do CEL: https://github.com/google/cel-spec.
No terreno da detecção, Betterleaks introduz uma abordagem baseada em tokenização por Byte Pair Encoding (BPE) em vez de se apoiar apenas em medidas de entropia. Segundo os benchmarks publicados pelo próprio projeto, esse método consegue uma sensibilidade notavelmente superior em conjuntos de referência usados para avaliar detectores de credenciais. BPE é uma técnica de segmentação de texto amplamente utilizada em modelos de linguagem e tokenizadores modernos; se você quiser entender a fundo, a documentação dos tokenizadores de Hugging Face é um bom ponto de partida: https://huggingface.co/docs/tokenizers/python/latest/components/tokenizer_models#byte-pair-encoding.
Outra decisão importante da equipe foi escrever Betterleaks completamente em Go puro, eliminando dependências que em projetos anteriores complicavam a distribuição e a instalação, como CGO ou Hyperscan. Isso busca facilitar sua execução em ambientes diversos, desde máquinas locais até contentores leves. Para quem quiser aprofundar, Hyperscan é uma livraria de coincidência de expressões regulares de alto desempenho desenvolvida pela Intel: https://github.com/intel/hyperscan.
Na prática, Betterleaks também melhora aspectos que no dia a dia geram ruído: maneja automaticamente conteúdos que foram codificados várias vezes (por exemplo, cadeias URL-encoded repetidas), amplia seu conjunto de regras para suportar mais fornecedores de serviços e paraleliza a digitalização de repositórios Git para acelerar análises em larga escala. Essas são características que, combinadas, buscam reduzir falsos positivos e acelerar a detecção quando há grandes volumes de código.
O projeto não fica apenas no técnico: seu roteiro inclui funções que refletem para onde vai a segurança do desenvolvimento. Entre as ideias em estudo aparecem suporte para fontes de dados distintas a repositórios Git e arquivos locais, análise assistida por modelos de linguagem para classificar com maior precisão os achados, filtros de detecção mais refinados, revogação automática de segredos mediante APIs de fornecedores e mapeamento de permissões associados a credenciais. Tudo isso aponta para integrar Betterleaks dentro de fluxos automatizados de remediação, não apenas de alerta.
Quanto ao governo do projeto, a Betterleaks é publicada sob a licença MIT e soma colaboradores de diferentes organizações, o que busca combinar transparência e resposabilidade na manutenção. A procedência da equipe — com contribuições de pessoas que trabalharam em banca, em grandes projetos de código aberto e em nuvem — ajuda a que as prioridades do desenvolvimento mirem tanto ao ambiente empresarial como à comunidade de desenvolvedores.
Da perspectiva de quem desenvolve software, incorporar essa classe de ferramentas pode mudar a dinâmica da gestão de segredos. Para além de executar uma digitalização pontual, a recomendação prática é integrar o scanner na canalização da CI/CD, combinando-o com políticas que detectem segredos nos pré-commits e estabelecer procedimentos claros de rotação e revogação quando se detectar uma fuga. Empresas especializadas em detecção de segredos publicam guias e métricas úteis para contextualizar esses riscos, por exemplo o blog de GitGuardian: https://www.gitguardian.com/blog/.
Finalmente, convém salientar que as ferramentas são úteis, mas não são uma solução mágica. A prevenção e a resposta requerem processos, educação e controles técnicos complementares: evitar commits com segredos por hooks, usar gestores de segredos e credenciais para ambientes de execução, e contar com planos para rotar chaves em caso de exposição. Betterleaks fornece melhorias técnicas e práticas que podem reduzir o risco operacional, mas o seu valor real é obtido quando se integra em políticas de segurança sustentáveis.
Se você quer explorar Betterleaks por você mesmo, revisar benchmarks ou contribuir, o ponto de partida é o repositório do projeto: https://github.com/betterleaks/betterleaks, e para contexto sobre sua relação com Gitleaks e motivos da mudança de direção, a entrada no blog de Aikido oferece uma leitura completa: https://www.aikido.dev/blog/betterleaks-gitleaks-successor.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...