![\"Betterleaks,](\"https:\/\/mastertrend.info\/wp-content\/uploads\/2025\/11\/GreyNoise-lanza-un-escaner-gratuito-para-comprobar-si-formas-parte.jpg\" "\\"\\"")
<\/p>\nA detec\u00e7\u00e3o de segredos em reposit\u00f3rios mudou consideravelmente nos \u00faltimos anos. Antes, bastava procurar por strings ou chaves suspeitas com alta entropia no c\u00f3digo. Hoje, a situa\u00e7\u00e3o \u00e9 diferente: reposit\u00f3rios maiores, pipelines de CI\/CD mais r\u00e1pidos e, sobretudo, uma quantidade crescente de c\u00f3digo gerado por ferramentas automatizadas ou modelos de IA.<\/p>\n
Isso tem uma consequ\u00eancia pr\u00e1tica: o problema n\u00e3o \u00e9 mais apenas encontrar segredos, mas separar o que \u00e9 realmente perigoso do que apenas aparenta ser. Muitas equipes est\u00e3o descobrindo que o verdadeiro custo desses scanners n\u00e3o est\u00e1 na execu\u00e7\u00e3o da an\u00e1lise, mas na revis\u00e3o de centenas de falsos positivos.<\/p>\n
<\/p>\n
Betterleaks surge precisamente nesse contexto. N\u00e3o tenta reinventar completamente a varredura de segredos, mas questiona uma suposi\u00e7\u00e3o generalizada: a de que detectar padr\u00f5es \u00e9 suficiente.<\/p>\n
Em muitos reposit\u00f3rios modernos, n\u00e3o \u00e9.<\/p>\n
O projeto, desenvolvido por Zach Rice e mantido com o apoio do Aikido, prop\u00f5e algo ligeiramente diferente. Em vez de se concentrar apenas na detec\u00e7\u00e3o de correspond\u00eancias, ele tenta validar se a descoberta faz sentido antes de transform\u00e1-la em um alerta.<\/p>\n
Isso pode parecer um detalhe insignificante, mas altera significativamente a din\u00e2mica em grandes equipes. Quando um sistema de varredura gera muitos alertas irrelevantes, a rea\u00e7\u00e3o natural da equipe \u00e9 ignor\u00e1-los. E em seguran\u00e7a, um alerta ignorado pode ser pior do que nenhum alerta.<\/p>\n
Para solucionar esse problema, o Betterleaks introduz duas ferramentas t\u00e9cnicas interessantes: a valida\u00e7\u00e3o usando CEL (Common Expression Language) e uma m\u00e9trica chamada \"Efici\u00eancia de Token\", baseada na tokeniza\u00e7\u00e3o BPE.<\/p>\n
A ideia \u00e9 que nem tudo que parece ser um segredo realmente o \u00e9. Algumas sequ\u00eancias de alta entropia s\u00e3o simplesmente hashes, identificadores ou fragmentos gerados automaticamente. O objetivo do sistema \u00e9 reduzir esse ru\u00eddo.<\/p>\n
A documenta\u00e7\u00e3o do projeto menciona uma compara\u00e7\u00e3o em que a tokeniza\u00e7\u00e3o BPE atinge uma taxa de recall de 98,6%, em compara\u00e7\u00e3o com os 70,4% obtidos usando entropia no conjunto de dados CredData. Como em qualquer benchmark, esses n\u00fameros s\u00e3o indicativos. Eles servem como um bom ponto de refer\u00eancia, mas n\u00e3o substituem os testes em reposit\u00f3rios reais.<\/p>\n
![\"Compara\u00e7\u00e3o](\"https:\/\/mastertrend.info\/wp-content\/uploads\/2026\/03\/Betterleaks-un-nuevo-escaner-de-secretos-de-codigo-abierto-para.jpg\" "\\"\\"")
A an\u00e1lise das caracter\u00edsticas do projeto revela uma dire\u00e7\u00e3o clara: facilitar a implanta\u00e7\u00e3o em ambientes reais sem adicionar muita complexidade t\u00e9cnica.<\/p>\n
Entre os elementos mais proeminentes est\u00e3o:<\/p>\n
Embora esta lista possa parecer apenas um conjunto de melhorias t\u00e9cnicas, o interessante \u00e9 como elas afetam o uso di\u00e1rio.<\/p>\n
Por exemplo, uma implementa\u00e7\u00e3o completa em Go, sem depend\u00eancias nativas, simplifica bastante a integra\u00e7\u00e3o em pipelines de CI\/CD. Em muitas equipes, pequenos detalhes como esse determinam se uma ferramenta acaba sendo usada ou esquecida em um reposit\u00f3rio.<\/p>\n
A tokeniza\u00e7\u00e3o BPE tamb\u00e9m introduz uma abordagem diferente. Em vez de simplesmente medir a aleatoriedade de uma cadeia, ela analisa padr\u00f5es de tokens que refletem mais fielmente a forma como as credenciais modernas s\u00e3o estruturadas.<\/p>\n
Quando a Betterleaks detecta um poss\u00edvel segredo, o processo n\u00e3o termina a\u00ed.<\/p>\n
Primeiramente, o contexto \u00e9 avaliado usando regras definidas em CEL. Isso permite a adi\u00e7\u00e3o de outras condi\u00e7\u00f5es: por exemplo, verificar se o formato corresponde ao provedor esperado ou descartar padr\u00f5es que aparecem frequentemente em exemplos ou dados fict\u00edcios.<\/p>\n
Esta etapa pode parecer trivial, mas tem um impacto pr\u00e1tico significativo. Os falsos positivos n\u00e3o s\u00f3 desperdi\u00e7am tempo, como tamb\u00e9m reduzem a confian\u00e7a da equipe no sistema de alertas.<\/p>\n
Outro aspecto interessante \u00e9 o tratamento autom\u00e1tico de segredos codificados v\u00e1rias vezes. Em alguns reposit\u00f3rios, as credenciais aparecem transformadas usando base64 ou outros esquemas de codifica\u00e7\u00e3o, o que complica sua detec\u00e7\u00e3o.<\/p>\n
Mesmo assim, vale a pena lembrar algo que \u00e0s vezes \u00e9 esquecido: nenhum scanner pode substituir completamente a revis\u00e3o humana. Detectar um segredo \u00e9 apenas o come\u00e7o; decidir o que fazer com ele (revogar, rotacionar, ignorar ou investigar) continua sendo uma decis\u00e3o contextual.<\/p>\n
O Betterleaks \u00e9 publicado sob a licen\u00e7a MIT e conta com contribui\u00e7\u00f5es externas de organiza\u00e7\u00f5es como o Royal Bank of Canada, a Red Hat e a Amazon.<\/p>\n
O projeto tamb\u00e9m busca se adaptar a uma realidade cada vez mais vis\u00edvel nos reposit\u00f3rios modernos: a mistura de c\u00f3digo escrito por desenvolvedores e c\u00f3digo gerado por ferramentas automatizadas.<\/p>\n
Nesse contexto, a ferramenta visa funcionar bem tanto em fluxos de trabalho operados por humanos quanto em sistemas automatizados que revisam reposit\u00f3rios inteiros. Isso est\u00e1 alinhado com o uso crescente de automa\u00e7\u00e3o e ferramentas<\/a> que analisam o c\u00f3digo ou geram revis\u00f5es autom\u00e1ticas.<\/p>\n