Gitleaks vs TruffleHog: Scanning de Secrets Comparado
Ambos encontram secrets vazados no código e no histórico do git. O Gitleaks é um scanner rápido de regex/entropia com configuração simples; o TruffleHog também verifica as credenciais detectadas contra serviços ativos, o que reduz drasticamente os falsos positivos.
Gitleaks e TruffleHog ambos capturam chaves de API, tokens e senhas commitados em repositórios. O Gitleaks é leve e orientado por regras; o TruffleHog adiciona verificação de credenciais, de fato testando se um secret encontrado está ativo. Aqui está a comparação honesta.
| Gitleaks | TruffleHog | |
|---|---|---|
| Detecção | Regras de regex + entropia | Detectors + verificação ativa |
| Verificação | Não (baseada em padrões) | Sim (checa se o secret está ativo) |
| Scanning de histórico | Sim (histórico completo do git) | Sim (git, filesystem, mais fontes) |
| Falsos positivos | Mais (não verificados) | Menos para achados verificados |
| Configuração | Regras TOML, fácil | Muitos detectors embutidos |
| Velocidade | Muito rápido | Rápido; a verificação adiciona chamadas |
Detecção vs verificação
O Gitleaks faz correspondência de padrões e strings de alta entropia, então é rápido e fácil de rodar em todo lugar, mas correspondências não verificadas significam mais ruído para triar. O TruffleHog traz centenas de detectors e pode verificar uma credencial candidata chamando a API relevante, então um achado verificado é quase certamente um vazamento real e ativo, reduzindo drasticamente os falsos positivos nos alertas que mais importam.
Escopo e fontes
Ambos escaneiam o histórico completo do git, o que importa porque um secret removido em um commit posterior ainda vive no histórico. O TruffleHog também escaneia além do git (filesystems e outras fontes dependendo da versão). O Gitleaks mantém um conjunto de regras enxuto e facilmente customizável via TOML, o que algumas equipes preferem pela simplicidade.
No CI
Rode qualquer um deles em pull requests e, periodicamente, sobre o histórico completo. O Gitleaks é um ótimo gate rápido de pré-merge; o modo verificado do TruffleHog é excelente para alertar sobre vazamentos genuinamente ativos. Algumas equipes rodam o Gitleaks a cada PR e o TruffleHog em um agendamento.
O veredito
Escolha o Gitleaks para um scanner de secrets rápido, simples e customizável em cada PR; escolha o TruffleHog quando quiser detecção verificada que confirma se uma credencial vazada está de fato ativa. Rodar ambos dá velocidade mais alertas de alta confiança.