Skip to content
Latchkey

Gitleaks vs TruffleHog: Scanning de Secrets Comparado

Ambos encontram secrets vazados no código e no histórico do git. O Gitleaks é um scanner rápido de regex/entropia com configuração simples; o TruffleHog também verifica as credenciais detectadas contra serviços ativos, o que reduz drasticamente os falsos positivos.

Gitleaks e TruffleHog ambos capturam chaves de API, tokens e senhas commitados em repositórios. O Gitleaks é leve e orientado por regras; o TruffleHog adiciona verificação de credenciais, de fato testando se um secret encontrado está ativo. Aqui está a comparação honesta.

GitleaksTruffleHog
DetecçãoRegras de regex + entropiaDetectors + verificação ativa
VerificaçãoNão (baseada em padrões)Sim (checa se o secret está ativo)
Scanning de históricoSim (histórico completo do git)Sim (git, filesystem, mais fontes)
Falsos positivosMais (não verificados)Menos para achados verificados
ConfiguraçãoRegras TOML, fácilMuitos detectors embutidos
VelocidadeMuito rápidoRápido; a verificação adiciona chamadas

Detecção vs verificação

O Gitleaks faz correspondência de padrões e strings de alta entropia, então é rápido e fácil de rodar em todo lugar, mas correspondências não verificadas significam mais ruído para triar. O TruffleHog traz centenas de detectors e pode verificar uma credencial candidata chamando a API relevante, então um achado verificado é quase certamente um vazamento real e ativo, reduzindo drasticamente os falsos positivos nos alertas que mais importam.

Escopo e fontes

Ambos escaneiam o histórico completo do git, o que importa porque um secret removido em um commit posterior ainda vive no histórico. O TruffleHog também escaneia além do git (filesystems e outras fontes dependendo da versão). O Gitleaks mantém um conjunto de regras enxuto e facilmente customizável via TOML, o que algumas equipes preferem pela simplicidade.

No CI

Rode qualquer um deles em pull requests e, periodicamente, sobre o histórico completo. O Gitleaks é um ótimo gate rápido de pré-merge; o modo verificado do TruffleHog é excelente para alertar sobre vazamentos genuinamente ativos. Algumas equipes rodam o Gitleaks a cada PR e o TruffleHog em um agendamento.

O veredito

Escolha o Gitleaks para um scanner de secrets rápido, simples e customizável em cada PR; escolha o TruffleHog quando quiser detecção verificada que confirma se uma credencial vazada está de fato ativa. Rodar ambos dá velocidade mais alertas de alta confiança.

Guias relacionados