Pemindai rahasia Betterleaks vs. Gitleaks

Pemindai rahasia Betterleaks: arsitektur dan kunci

Deteksi rahasia dalam repositori telah berubah secara signifikan dalam beberapa tahun terakhir. Sebelumnya, cukup dengan mencari string atau kunci mencurigakan dengan entropi tinggi dalam kode. Saat ini, situasinya berbeda: repositori yang lebih besar, pipeline CI/CD yang lebih cepat, dan, yang terpenting, peningkatan jumlah kode yang dihasilkan oleh alat otomatis atau model AI.

Hal ini memiliki konsekuensi praktis: masalahnya bukan lagi hanya menemukan rahasia, tetapi memisahkan apa yang benar-benar berbahaya dari apa yang hanya tampak berbahaya. Banyak tim menemukan bahwa biaya sebenarnya dari pemindai ini bukan terletak pada menjalankan analisis, tetapi pada meninjau ratusan hasil positif palsu.

Arsitektur deteksi: apa saja yang berubah dengan Betterleaks?

Betterleaks muncul tepat dalam konteks ini. Ia tidak berupaya untuk sepenuhnya menciptakan kembali pemindaian rahasia, tetapi ia menantang asumsi yang umum: bahwa mendeteksi pola saja sudah cukup.

Di banyak repositori modern, hal itu tidak demikian.

Proyek ini, yang dikembangkan oleh Zach Rice dan dikelola dengan dukungan dari Aikido, mengusulkan sesuatu yang sedikit berbeda. Alih-alih hanya berfokus pada mendeteksi kecocokan, proyek ini mencoba memvalidasi apakah temuan tersebut masuk akal sebelum meningkatkannya menjadi peringatan.

Ini mungkin tampak seperti detail kecil, tetapi secara signifikan mengubah dinamika dalam tim besar. Ketika sistem pemindaian menghasilkan terlalu banyak peringatan yang tidak relevan, reaksi alami tim adalah mengabaikannya. Dan dalam keamanan, peringatan yang diabaikan bisa lebih buruk daripada tidak ada peringatan sama sekali.

Untuk mengatasi masalah ini, Betterleaks memperkenalkan dua hal teknis yang menarik: validasi menggunakan CEL (Common Expression Language) dan metrik yang disebut “Efisiensi Token”, berdasarkan tokenisasi BPE.

Ide dasarnya adalah bahwa tidak semua yang tampak seperti rahasia sebenarnya adalah rahasia. Beberapa string dengan entropi tinggi hanyalah hash, pengidentifikasi, atau fragmen yang dihasilkan secara otomatis. Tujuan sistem ini adalah untuk mengurangi gangguan tersebut.

Dokumentasi proyek menyebutkan perbandingan di mana tokenisasi BPE mencapai tingkat recall 98,6% dibandingkan dengan 70,4% yang diperoleh menggunakan entropi dalam dataset CredData. Seperti halnya benchmark lainnya, angka-angka ini bersifat indikatif. Angka-angka ini berfungsi dengan baik sebagai titik referensi, tetapi tidak menggantikan pengujian di repositori nyata.

Komponen yang membuat perbedaan

Meninjau karakteristik proyek ini mengungkapkan arah yang jelas: untuk memfasilitasi penerapan di lingkungan dunia nyata tanpa menambahkan terlalu banyak kompleksitas teknis.

Di antara elemen-elemen yang paling menonjol adalah:

• Validasi berbasis aturan menggunakan CEL (Common Expression Language)
• Pemindaian Efisiensi Token berdasarkan tokenisasi BPE, bukan entropi, mencapai recall 98,6% dibandingkan 70,4% dengan entropi pada dataset CredData.
• Implementasi Go murni (tanpa ketergantungan CGO atau Hyperscan)
• Penanganan otomatis rahasia yang dikodekan ganda/tiga kali lipat
• Aturan yang diperluas untuk lebih banyak penyedia layanan.
• Pemindaian Git paralel untuk analisis repositori yang lebih cepat.

Meskipun daftar ini mungkin tampak hanya sebagai serangkaian peningkatan teknis, yang menarik adalah bagaimana hal tersebut memengaruhi penggunaan sehari-hari.

Sebagai contoh, implementasi Go lengkap tanpa dependensi native sangat menyederhanakan integrasi ke dalam pipeline CI/CD. Di banyak tim, detail kecil seperti itu menentukan apakah suatu alat akhirnya digunakan atau dilupakan di dalam repositori.

Tokenisasi BPE juga memperkenalkan pendekatan yang berbeda. Alih-alih hanya mengukur keacakan suatu rantai, ia menganalisis pola token yang lebih mencerminkan bagaimana kredensial modern sebenarnya terstruktur.

Apa yang terjadi ketika pemindai menemukan sesuatu?

Ketika Betterleaks mendeteksi potensi rahasia, prosesnya tidak berakhir di situ.

Pertama, konteks dievaluasi menggunakan aturan yang didefinisikan dalam CEL. Hal ini memungkinkan penambahan kondisi lebih lanjut: misalnya, memeriksa apakah formatnya sesuai dengan penyedia yang diharapkan atau mengabaikan pola yang sering muncul dalam contoh atau data fiktif.

Langkah ini mungkin tampak sepele, tetapi memiliki dampak praktis yang signifikan. Hasil positif palsu tidak hanya membuang waktu tetapi juga mengurangi kepercayaan tim terhadap sistem peringatan.

Aspek menarik lainnya adalah penanganan otomatis terhadap rahasia yang dienkode berkali-kali. Di beberapa repositori, kredensial muncul dalam bentuk yang telah diubah menggunakan base64 atau skema pengkodean lainnya, yang mempersulit pendeteksiannya.

Meskipun demikian, ada baiknya mengingat sesuatu yang terkadang terabaikan: tidak ada pemindai yang dapat sepenuhnya menggantikan peninjauan manusia. Mendeteksi rahasia hanyalah permulaan; memutuskan apa yang harus dilakukan dengannya (mencabut, memutar, mengabaikan, atau menyelidiki) tetap merupakan keputusan kontekstual.

Tata kelola dan pendekatan berpusat pada manusia/AI

Betterleaks diterbitkan di bawah lisensi MIT dan menampilkan kontribusi eksternal dari organisasi seperti Royal Bank of Canada, Red Hat, dan Amazon.

Proyek ini juga berupaya beradaptasi dengan realitas yang semakin terlihat di repositori modern: perpaduan antara kode yang ditulis oleh pengembang dan kode yang dihasilkan oleh alat otomatis.

Dalam konteks ini, alat ini bertujuan untuk berfungsi dengan baik baik dalam alur kerja yang dioperasikan manusia maupun sistem otomatis yang meninjau seluruh repositori. Hal ini sejalan dengan meningkatnya penggunaan otomatisasi dan alat yang menganalisis kode atau menghasilkan ulasan otomatis.

Peta jalan ini juga mencakup ide-ide menarik: integrasi dengan sumber data di luar GitBantuan model bahasa untuk mengklasifikasikan temuan dan mekanisme pencabutan otomatis melalui API penyedia.

Hal ini membuka perdebatan yang menarik. Otomatisasi pencabutan kredensial dapat mengurangi waktu yang dibutuhkan untuk menanggapi suatu insiden, tetapi juga berarti bergantung pada keakuratan sistem klasifikasi.

Jika pencabutan otomatis gagal atau dipicu secara tidak sengaja, dampak operasionalnya bisa sangat besar.

Implikasi dan keterbatasan praktis

Dari sudut pandang operasional, Betterleaks menarik bagi tim yang ingin mengurangi false positive dan menyederhanakan deployment.

Namun, penting juga untuk mengingat beberapa batasan:

• Metrik recall bergantung pada dataset yang digunakan dan dapat sangat bervariasi antar repositori.
• Mengotomatiskan tindakan seperti pencabutan kunci memerlukan kontrol tambahan dan log audit.
• Pemindai rahasia hanyalah salah satu lapisan pertahanan dalam strategi yang lebih luas.

Dalam banyak kasus, keputusan untuk mengadopsi alat semacam itu tidak terlalu bergantung pada keakuratan teorinya, melainkan pada sesuatu yang lebih sederhana: apakah alat tersebut terintegrasi dengan baik ke dalam alur kerja tim.

Pemindai yang sangat akurat tetapi menghasilkan terlalu banyak gesekan biasanya ditinggalkan. Pemindai yang cukup akurat dan mudah diintegrasikan biasanya dipertahankan.

Dalam hal ini, Betterleaks berupaya mencapai keseimbangan. Mereka tidak menjanjikan untuk menghilangkan semua false positive atau mengganti proses keamanan yang ada, tetapi bertujuan untuk mengurangi gangguan dan memfasilitasi integrasi ke dalam alur kerja modern.

Proyek ini tersedia di GitHub. dan disajikan sebagai evolusi dari pendekatan yang digunakan oleh Gitleaks, dengan tujuan untuk beradaptasi dengan repositori di mana otomatisasi, agen analisis, dan kode yang dihasilkan oleh model bahasa merupakan bagian rutin dari alur pengembangan.