GitリポジトリにうっかりAPIキーや秘密鍵をコミットしてしまった経験はないだろうか。そうしたシークレット漏洩を検出するツールとして長らく定番だったGitleaksの後継プロジェクト「Betterleaks」が公開された。名前の通り「Gitを外してBetterをつけた、なぜならそれが実態だから」というのが開発者のスタンスだ。
技術面での最大の特徴は、従来のエントロピーベースの検出から**BPEトークナイゼーションを用いた「Token Efficiency Scanning」への転換だ。CredDataデータセットでの再現率がエントロピー方式の70.4%に対し98.6%**と大幅に向上している。また検出ルールにCEL(Common Expression Language)を採用することで、柔軟なバリデーションが可能になった。実装はPure Goで、CGOやHyperscanへの依存を排除しており、二重・三重エンコードされたシークレットの自動ハンドリングや並列Gitスキャンも備える。開発者のZach Riceは元々Gitleaksを8年かけて育て、2,600万ダウンロードを達成した人物だが、プロジェクトの主導権を失ったことが今回の新規立ち上げの背景にある。
ロードマップにはGitリポジトリ以外のデータソース対応、LLMを活用したシークレット分類、プロバイダーAPIを通じた自動シークレット無効化といった野心的な機能が並ぶ。AIエージェントが生成したコードのスキャンにも対応する設計思想は、現代の開発ワークフローをしっかり見据えている。MITライセンスで公開され、カナダ王立銀行・Red Hat・Amazonからのコントリビューターが参加していることも信頼性を高める。Gitleaksからの移行を検討しているチームには今すぐ試す価値がある。