![\"Betterleaks,](\"https:\/\/mastertrend.info\/wp-content\/uploads\/2025\/11\/GreyNoise-lanza-un-escaner-gratuito-para-comprobar-si-formas-parte.jpg\" "\\"\\"")
<\/p>\nDie Erkennung von Geheimnissen in Repositories hat sich in den letzten Jahren erheblich ver\u00e4ndert. Fr\u00fcher gen\u00fcgte es, im Code nach verd\u00e4chtigen Zeichenketten oder Schl\u00fcsseln mit hoher Entropie zu suchen. Heute sieht die Situation anders aus: gr\u00f6\u00dfere Repositories, schnellere CI\/CD-Pipelines und vor allem eine zunehmende Menge an Code, der von automatisierten Tools oder KI-Modellen generiert wird.<\/p>\n
Dies hat eine praktische Konsequenz: Es geht nicht mehr nur darum, Geheimnisse aufzudecken, sondern auch darum, wirklich Gef\u00e4hrliches von scheinbar Gef\u00e4hrlichem zu unterscheiden. Viele Teams stellen fest, dass die eigentlichen Kosten dieser Scanner nicht in der Durchf\u00fchrung der Analyse liegen, sondern in der \u00dcberpr\u00fcfung hunderter Fehlalarme.<\/p>\n
<\/p>\n
Betterleaks erscheint genau in diesem Kontext. Es versucht nicht, das Scannen geheimer Inhalte v\u00f6llig neu zu erfinden, sondern stellt eine weit verbreitete Annahme in Frage: dass das Erkennen von Mustern ausreicht.<\/p>\n
In vielen modernen Repositories ist das nicht der Fall.<\/p>\n
Das von Zach Rice entwickelte und von Aikido unterst\u00fctzte Projekt verfolgt einen etwas anderen Ansatz. Anstatt sich ausschlie\u00dflich auf die Erkennung von \u00dcbereinstimmungen zu konzentrieren, pr\u00fcft es zun\u00e4chst, ob der Befund plausibel ist, bevor er als Warnmeldung weitergeleitet wird.<\/p>\n
Dies mag wie ein unbedeutendes Detail erscheinen, ver\u00e4ndert aber die Dynamik in gro\u00dfen Teams erheblich. Wenn ein Scansystem zu viele irrelevante Warnmeldungen generiert, ist die nat\u00fcrliche Reaktion des Teams, diese zu ignorieren. Und im Bereich der IT-Sicherheit kann eine ignorierte Warnmeldung schlimmer sein als gar keine.<\/p>\n
Um dieses Problem anzugehen, f\u00fchrt Betterleaks zwei interessante technische Elemente ein: die Validierung mittels CEL (Common Expression Language) und eine Metrik namens \u201eToken Efficiency\u201c, die auf der BPE-Tokenisierung basiert.<\/p>\n
Die Idee dahinter ist, dass nicht alles, was geheim erscheint, es auch tats\u00e4chlich ist. Manche Zeichenketten mit hoher Entropie sind lediglich Hashwerte, Kennungen oder automatisch generierte Fragmente. Das System hat zum Ziel, dieses Rauschen zu reduzieren.<\/p>\n
Die Projektdokumentation erw\u00e4hnt einen Vergleich, in dem die BPE-Tokenisierung eine Trefferquote von 98,6 % erreicht, verglichen mit den 70,4 %, die mit Entropie im CredData-Datensatz erzielt wurden. Wie bei jedem Benchmark sind diese Zahlen nur Richtwerte. Sie dienen als guter Referenzpunkt, ersetzen aber keine Tests in realen Repositories.<\/p>\n
![\"Vergleich](\"https:\/\/mastertrend.info\/wp-content\/uploads\/2026\/03\/Betterleaks-un-nuevo-escaner-de-secretos-de-codigo-abierto-para.jpg\" "\\"\\"")
Eine \u00dcberpr\u00fcfung der Projektmerkmale offenbart eine klare Richtung: die Implementierung in realen Umgebungen zu erleichtern, ohne dabei zu viel technische Komplexit\u00e4t hinzuzuf\u00fcgen.<\/p>\n
Zu den wichtigsten Elementen geh\u00f6ren:<\/p>\n
Auch wenn diese Liste auf den ersten Blick nur eine Zusammenstellung technischer Verbesserungen zu sein scheint, ist interessant, wie sie sich auf den Alltag auswirken.<\/p>\n
Eine vollst\u00e4ndige Go-Implementierung ohne native Abh\u00e4ngigkeiten vereinfacht beispielsweise die Integration in CI\/CD-Pipelines erheblich. In vielen Teams entscheiden solche Details dar\u00fcber, ob ein Tool letztendlich genutzt wird oder im Repository in Vergessenheit ger\u00e4t.<\/p>\n
Die BPE-Tokenisierung verfolgt ebenfalls einen anderen Ansatz. Anstatt lediglich die Zuf\u00e4lligkeit einer Kette zu messen, analysiert sie Tokenmuster, die die tats\u00e4chliche Struktur moderner Anmeldeinformationen genauer widerspiegeln.<\/p>\n
Wenn Betterleaks ein potenzielles Geheimnis entdeckt, ist der Prozess damit noch nicht beendet.<\/p>\n
Zun\u00e4chst wird der Kontext anhand von in CEL definierten Regeln ausgewertet. Dies erm\u00f6glicht das Hinzuf\u00fcgen weiterer Bedingungen: beispielsweise die \u00dcberpr\u00fcfung, ob das Format dem erwarteten Anbieter entspricht, oder das Verwerfen von Mustern, die h\u00e4ufig in Beispielen oder fiktiven Daten vorkommen.<\/p>\n
Dieser Schritt mag trivial erscheinen, hat aber erhebliche praktische Auswirkungen. Fehlalarme verschwenden nicht nur Zeit, sondern mindern auch das Vertrauen des Teams in das Warnsystem.<\/p>\n
Ein weiterer interessanter Aspekt ist die automatische Verarbeitung mehrfach kodierter Geheimnisse. In manchen Repositories werden Zugangsdaten mithilfe von Base64 oder anderen Kodierungsverfahren transformiert, was ihre Erkennung erschwert.<\/p>\n
Dennoch sollte man etwas bedenken, das oft \u00fcbersehen wird: Kein Scanner kann die menschliche \u00dcberpr\u00fcfung vollst\u00e4ndig ersetzen. Das Aufdecken eines Geheimnisses ist nur der Anfang; die Entscheidung, wie damit umzugehen ist (widerrufen, rotieren, ignorieren oder untersuchen), h\u00e4ngt vom jeweiligen Kontext ab.<\/p>\n
Betterleaks wird unter der MIT-Lizenz ver\u00f6ffentlicht und enth\u00e4lt externe Beitr\u00e4ge von Organisationen wie der Royal Bank of Canada, Red Hat und Amazon.<\/p>\n
Das Projekt versucht au\u00dferdem, sich einer Realit\u00e4t anzupassen, die in modernen Repositories immer deutlicher sichtbar wird: der Mischung aus von Entwicklern geschriebenem Code und Code, der von automatisierten Tools generiert wird.<\/p>\n
In diesem Kontext soll das Tool sowohl in manuell bedienten Arbeitsabl\u00e4ufen als auch in automatisierten Systemen, die ganze Repositories \u00fcberpr\u00fcfen, gut funktionieren. Dies entspricht dem zunehmenden Einsatz von Automatisierung und Werkzeuge<\/a> die Code analysieren oder automatische \u00dcberpr\u00fcfungen generieren.<\/p>\n