Betterleaks リリース:Gitleaks の後継として高速/高精度なシークレット検出を実現

Betterleaks Launches as Open-Source Tool for Scanning Files, Directories, and Git Repositories

2026/03/16 gbhackers — 広く利用されているシークレット・スキャンツール Gitleaks の開発者である Zach Rice が、その後継ツールである Betterleaks を正式に公開した。Aikido Security の支援を受けて開発されたオープンソース・プロジェクトは、コードベース内に残されたハードコード・シークレットを高速/高精度で検出するための、高度にカスタマイズ可能なツールとして設計されている。それにより、既存ツールの代替となることを目指している。

Zach Rice は Gitleaks リポジトリの管理権限を失った後に、Aikido Security に Secrets Scanning 部門責任者として参加し、新ツールの開発に着手した。このツールは、従来の Gitleaks の設計を全面的に改良し、あらゆる面での進化を目的としている。

Betterleaks はドロップイン・リプレイスメントとして設計されており、既存のコマンドライン・インターフェイス・オプションやコンフィグ設定は、導入した直後からそのまま使用できる。その一方で、内部エンジンは全面的に再設計されており、パフォーマンスと検出精度を大幅に向上させている。

このプロジェクトは MIT ライセンスで公開されており、Red Hat/Amazon/Royal Bank of Canada などの組織から、経験豊富な共同メンテナーが参加している。これにより、長期的な安定性とコミュニティ主導のガバナンスが確保される。

Betterleaks の主な機能
  • ルール定義検証:Common Expression Language (CEL) を使用し、高度にカスタマイズ可能で精度の高いフィルタリング・ロジックを作成できる。 
  • 効果的なトークン・スキャン:従来のエントロピー方式を BPE トークン化に置き換え、検出率 (リコール率) を 70.4% から 98.6% に向上させている。 
  • Pure Go 実装:このツールは純粋な Go 言語で開発されており、CGO や Hyperscan に依存しないため、あらゆる環境に対して迅速に導入できる。 
  • デフォルト・エンコード検出:二重または三重にエンコードされたシークレットを自動的に識別し、通常のスキャンでは見逃される情報漏洩を検出できる。 
  • 並列 Git スキャン:大規模なリポジトリ履歴を高速で処理することで、競合ソリューションとの比較において、高い処理性能を実現している。 
  • コミュニティ主導のルール拡張:最新のサービス・プロバイダや認証トークンに対応するルールが継続的に追加され、スキャナーは常に最新状態を維持できる。
Version 2 に向けたロードマップ

開発チームは Version 2 に向けて複数の新機能を計画している。 

  • カスタム・データソース・スキャン:任意のデータソースを簡単にスキャンするための機能を提供する。 
  • シークレット自動無効化:プロバイダ API を利用して、漏洩したシークレットを自動的に無効化する。 
  • 権限マッピング:侵害されたシークレットによりアクセスが可能になる、リソースや権限を具体的に特定する。 
AI エージェント時代を想定した設計

さらに、Aikido Security チームは LLM 支援機能の統合も計画している。この機能は匿名化されたデータを利用して一般的なシークレットを分類し、周辺コンテキストに基づいて認証方式の候補を提案するという。

Betterleaks は AI エージェント時代を前提として設計されている。開発者が Claude Code/Cursor などのツールを利用するケースが増加する中、AI エージェントには生成したコードを安全にスキャンするための効率的なコマンドライン・ツールが求められている。

Betterleaks は厳格な出力制御と高速実行を両立しており、トークン制限を圧迫することなくスキャンを実行できる。また、自動化されたセキュリティ・ワークフローやバグバウンティ・プログラムに対して、AI アシスタントの統合を可能にするツールとして設計されている。

開発の過程でコードの中に書き込まれたパスワードなどの機密情報が、削除されることなく本番環境に残留することで、数多くの情報漏洩インシデントが発生しています。人間によるミスが、この問題の根本的な原因ですが、それらの機密情報をスキャンする従来のツールには、二重/三重エンコードに対する解析や、曖昧なエントロピー検知による精度の低さという問題があります。こうした技術的な隙間を突いた漏洩は、特定の脆弱性番号 (CVE) で管理されるものではなく、開発ワークフローに潜む課題といえます。 Betterleaks は、 BPE トークン化などの新しいアプローチで、こうした問題を解決しようとしています。よろしければ、カテゴリー  SecTools も、ご参照ください。