Uma nova utilidade de código aberto chamada Betterleaks acaba de ser disponibilizada com o objetivo de ajudar os programadores a detetar palavras-passe, chaves de acesso e credenciais expostas nos seus projetos. Conforme detalhado no blogue oficial da Aikido, este projeto assume-se como o sucessor direto e avançado do popular Gitleaks, procurando oferecer uma análise mais profunda para proteger os repositórios antes que a informação sensível caia nas mãos erradas.
Uma evolução necessária na segurança
O criador original do Gitleaks, Zach Rice, decidiu avançar para esta nova etapa após perder o controlo total sobre o seu projeto anterior, que começou a desenvolver há oito anos. O antecessor alcançou números impressionantes de utilização, registando dezenas de milhões de transferências em plataformas como o GitHub e nos repositórios da Docker.
Agora, assumindo o cargo de responsável pela pesquisa de segredos na empresa belga Aikido, o programador focou-se em criar uma solução de raiz. Segundo o próprio, a decisão de remover o prefixo focado no sistema de controlo de versões e adicionar a palavra "better" reflete a ambição de entregar algo genuinamente superior. Este tipo de ferramenta torna-se essencial nos dias que correm, uma vez que indivíduos mal-intencionados varrem frequentemente os ficheiros de configuração públicos em busca de falhas que lhes garantam acesso indevido a infraestruturas.
Novas capacidades e planos definidos
O Betterleaks foi construído inteiramente na linguagem Go e destaca-se por abandonar a dependência de métodos mais antigos de análise. A plataforma adota a validação de regras através de expressões comuns e utiliza um sistema de tokenização otimizado em vez da tradicional verificação por entropia. Esta alteração arquitetónica permite-lhe alcançar uma taxa de sucesso na identificação de segredos muito mais elevada, atingindo os 98.6% nos testes realizados. Além disso, o utilitário consegue lidar automaticamente com informações que tenham múltiplas camadas de codificação e realiza análises em paralelo para apresentar resultados de forma mais célere.
O futuro do projeto também já se encontra delineado para as próximas versões. As atualizações planeadas vão incluir suporte para fontes de dados além dos repositórios locais, análise assistida por modelos de linguagem avançados para categorizar melhor os resultados e a capacidade de revogar chaves automaticamente através das interfaces dos fornecedores originais. Distribuído sob a licença aberta MIT, o desenvolvimento conta com a colaboração ativa de especialistas de várias empresas tecnológicas de renome, mantendo uma estrutura desenhada para ser facilmente operada por humanos e simultaneamente otimizada para sistemas de inteligência artificial que inspecionam código gerado automaticamente.
Nenhum comentário
Seja o primeiro!