![\"Betterleaks,](\"https:\/\/mastertrend.info\/wp-content\/uploads\/2025\/11\/GreyNoise-lanza-un-escaner-gratuito-para-comprobar-si-formas-parte.jpg\" "\\"\\"")
<\/p>\nHet opsporen van geheimen in repositories is de afgelopen jaren aanzienlijk veranderd. Voorheen was het voldoende om te zoeken naar verdachte tekenreeksen of sleutels met een hoge entropie in de code. Tegenwoordig is de situatie anders: grotere repositories, snellere CI\/CD-pipelines en, bovenal, een toenemende hoeveelheid code die wordt gegenereerd door geautomatiseerde tools of AI-modellen.<\/p>\n
Dit heeft een praktisch gevolg: het probleem is niet langer alleen het vinden van geheimen, maar het onderscheiden van wat werkelijk gevaarlijk is van wat slechts gevaarlijk lijkt. Veel teams ontdekken dat de werkelijke kosten van deze scanners niet zozeer in de analyse zelf zitten, maar in het beoordelen van honderden valse positieven.<\/p>\n
<\/p>\n
Betterleaks verschijnt precies in deze context. Het probeert niet om het scannen van geheimen volledig opnieuw uit te vinden, maar het daagt wel een wijdverbreide aanname uit: dat het detecteren van patronen voldoende is.<\/p>\n
In veel moderne archieven is dat niet het geval.<\/p>\n
Het project, ontwikkeld door Zach Rice en onderhouden met steun van Aikido, stelt iets anders voor. In plaats van zich uitsluitend te richten op het detecteren van overeenkomsten, probeert het te valideren of de bevinding logisch is voordat deze als waarschuwing wordt doorgegeven.<\/p>\n
Dit lijkt misschien een klein detail, maar het verandert de dynamiek in grote teams aanzienlijk. Wanneer een scansysteem te veel irrelevante waarschuwingen genereert, is de natuurlijke reactie van het team om ze te negeren. En in de beveiliging kan een genegeerde waarschuwing erger zijn dan helemaal geen waarschuwing.<\/p>\n
Om dit probleem aan te pakken, introduceert Betterleaks twee interessante technische onderdelen: validatie met behulp van CEL (Common Expression Language) en een meeteenheid genaamd \"Token Efficiency\", gebaseerd op BPE-tokenisatie.<\/p>\n
Het idee is dat niet alles wat geheim lijkt te zijn, dat ook daadwerkelijk is. Sommige strings met een hoge entropie zijn simpelweg hashes, identificatoren of automatisch gegenereerde fragmenten. Het doel van het systeem is om die ruis te verminderen.<\/p>\n
In de projectdocumentatie wordt een vergelijking genoemd waarbij BPE-tokenisatie een recall-percentage van 98,6% behaalt, vergeleken met de 70,4% die met entropie in de CredData-dataset wordt verkregen. Zoals bij elke benchmark zijn deze cijfers indicatief. Ze dienen goed als referentiepunt, maar vervangen geen testen in echte repositories.<\/p>\n
![\"Vergelijking](\"https:\/\/mastertrend.info\/wp-content\/uploads\/2026\/03\/Betterleaks-un-nuevo-escaner-de-secretos-de-codigo-abierto-para.jpg\" "\\"\\"")
Bij het bekijken van de projectkenmerken komt een duidelijke richting naar voren: de implementatie in praktijksituaties vergemakkelijken zonder al te veel technische complexiteit toe te voegen.<\/p>\n
Tot de meest prominente elementen behoren:<\/p>\n
Hoewel deze lijst op het eerste gezicht slechts een opsomming van technische verbeteringen lijkt, is het interessant om te zien hoe ze het dagelijks gebruik be\u00efnvloeden.<\/p>\n
Een volledige Go-implementatie zonder native afhankelijkheden vereenvoudigt bijvoorbeeld de integratie in CI\/CD-pipelines aanzienlijk. In veel teams bepalen dit soort kleine details of een tool uiteindelijk wel of niet gebruikt wordt in een repository.<\/p>\n
BPE-tokenisatie introduceert ook een andere aanpak. In plaats van simpelweg de willekeurigheid van een keten te meten, analyseert het tokenpatronen die beter weergeven hoe moderne referenties daadwerkelijk zijn opgebouwd.<\/p>\n
Als Betterleaks een potentieel geheim detecteert, is het proces daarmee nog niet afgerond.<\/p>\n
Eerst wordt de context ge\u00ebvalueerd aan de hand van regels die zijn gedefinieerd in CEL. Dit maakt het mogelijk om extra voorwaarden toe te voegen: bijvoorbeeld controleren of het formaat overeenkomt met de verwachte provider of patronen negeren die vaak voorkomen in voorbeelden of fictieve gegevens.<\/p>\n
Deze stap lijkt misschien onbelangrijk, maar heeft een aanzienlijke praktische impact. Valse meldingen kosten niet alleen tijd, maar verminderen ook het vertrouwen van het team in het waarschuwingssysteem.<\/p>\n
Een ander interessant aspect is de automatische verwerking van geheimen die meerdere malen gecodeerd zijn. In sommige repositories lijken inloggegevens getransformeerd te zijn met behulp van base64 of andere coderingsschema's, wat de detectie ervan bemoeilijkt.<\/p>\n
Toch is het goed om iets te onthouden dat soms over het hoofd wordt gezien: geen enkele scanner kan menselijke controle volledig vervangen. Het detecteren van een geheim is slechts het begin; de beslissing wat ermee te doen (intrekken, rouleren, negeren of onderzoeken) blijft een contextuele afweging.<\/p>\n
Betterleaks wordt gepubliceerd onder de MIT-licentie en bevat bijdragen van externe organisaties zoals Royal Bank of Canada, Red Hat en Amazon.<\/p>\n
Het project probeert zich ook aan te passen aan een realiteit die steeds vaker voorkomt in moderne repositories: de mix van code geschreven door ontwikkelaars en code gegenereerd door geautomatiseerde tools.<\/p>\n
In deze context is het de bedoeling dat de tool goed functioneert in zowel door mensen uitgevoerde workflows als geautomatiseerde systemen die complete repositories doorzoeken. Dit sluit aan bij het toenemende gebruik van automatisering en tools<\/a> die code analyseren of automatische reviews genereren.<\/p>\n