开源密钥扫描工具Betterleaks的安全实践指南

工具采用基于标志位的输出控制机制，便于AI编程Agent将其作为子进程调用时，能高效解析输出而无需额外token开销。

工具概述

密钥扫描已成为工程组织的标准实践，而Gitleaks是该领域应用最广泛的工具之一。该项目作者近日发布了一款名为Betterleaks的新工具，专门用于扫描Git代码库、目录和标准输入流中的凭证泄露，包括API密钥、令牌和密码。

项目负责人Zach Rice约八年前编写了Gitleaks初始代码，现任Aikido Security公司密钥扫描部门主管。

实际代码库扫描耗时与Gitleaks对比（来源：Betterleaks GitHub页面）

开发背景

Rice在项目说明中解释，由于不再完全掌控Gitleaks代码库和名称所有权，促使他启动新项目。Betterleaks设计为Gitleaks的即插即用替代方案，现有命令行参数和配置文件无需修改即可直接沿用。

技术革新

Betterleaks最显著的技术改进在于候选密钥过滤机制。与多数扫描工具类似，Gitleaks依赖香农熵（Shannon entropy）识别疑似密钥的字符串。Betterleaks则创新性地采用基于字节对编码（BPE）的Token Efficiency技术：

验证逻辑采用通用表达式语言（CEL）编写，规则制定者可编程控制密钥确认标准。工具默认支持双重和三重编码密钥检测，并通过并行化Git扫描降低耗时。采用纯Go语言构建（无CGO依赖），摆脱对Hyperscan的依赖，实现跨环境无原生库部署。支持扫描归档文件（含嵌套归档），输出格式涵盖JSON、CSV、JUnit、SARIF及自定义模板。

未来规划

项目路线图包含多项v1版本未实现的功能：

AI集成设计

工具采用基于标志位的输出控制机制，便于AI编程Agent将其作为子进程调用时，能高效解析输出而无需额外token开销。Rice指出，类似Claude Code或Cursor等工具的AI Agent倾向调用具备可控输出的命令行工具，Betterleaks正是为此场景设计。

该工具已在GitHub开源发布。