Tag: DevSecOps

Wprowadzenie do problemu / definicja

Skanowanie sekretów to jeden z kluczowych elementów nowoczesnego bezpieczeństwa aplikacji. Narzędzia tego typu analizują repozytoria kodu, pliki i katalogi w poszukiwaniu wrażliwych danych, takich jak klucze API, tokeny dostępowe, hasła, prywatne klucze kryptograficzne czy poświadczenia do usług chmurowych. Nawet pojedynczy ujawniony sekret może otworzyć drogę do przejęcia kont, eskalacji uprawnień, naruszenia danych lub kompromitacji środowiska produkcyjnego.

Na tym tle pojawia się Betterleaks — nowe narzędzie open source stworzone z myślą o zastąpieniu Gitleaks. Projekt ma poprawić skuteczność wykrywania, ograniczyć liczbę fałszywych alarmów i uprościć wdrożenie w środowiskach DevSecOps.

W skrócie

Betterleaks to otwartoźródłowy skaner sekretów rozwijany jako nowocześniejsza kontynuacja Gitleaks. Za projektem stoi Zach Rice, czyli twórca pierwotnego narzędzia, a nowa inicjatywa ma zaoferować bardziej elastyczną logikę reguł, wyższą wydajność i lepszą detekcję trudniejszych przypadków wycieku poświadczeń.

• wykorzystuje walidację reguł opartą na CEL,
• stosuje tokenizację BPE zamiast klasycznej analizy entropii,
• jest napisany natywnie w Go bez zależności od CGO i Hyperscan,
• obsługuje wielokrotnie kodowane sekrety,
• ma działać szybciej i dokładniej w dużych repozytoriach.

Kontekst / historia

Problem wycieku sekretów z kodu źródłowego od lat pozostaje jednym z najczęstszych błędów popełnianych w procesie tworzenia i utrzymania aplikacji. Wrażliwe dane trafiają do repozytoriów przez pomyłkę, pośpiech, niewłaściwe praktyki w CI/CD albo używanie plików konfiguracyjnych i środowiskowych jako tymczasowego magazynu poświadczeń. Atakujący od dawna automatyzują wyszukiwanie takich danych w publicznych i źle zabezpieczonych zasobach.

Przez długi czas Gitleaks należało do najpopularniejszych narzędzi wykorzystywanych do wykrywania tego typu problemów. Betterleaks powstał jako niezależny projekt rozwijany na licencji MIT, z ambicją przejęcia tej roli i rozwinięcia koncepcji secret scanningu w kierunku większej precyzji oraz nowocześniejszej architektury.

Analiza techniczna

Najważniejszą zmianą w Betterleaks jest podejście do reguł wykrywania. Zamiast opierać się wyłącznie na tradycyjnych metodach dopasowań i heurystykach, narzędzie wykorzystuje CEL, czyli Common Expression Language. Dzięki temu możliwe jest bardziej precyzyjne definiowanie logiki walidacji i skuteczniejsze odróżnianie realnych sekretów od ciągów znaków, które jedynie je przypominają.

Drugą istotną innowacją jest zastosowanie Token Efficiency Scanning bazującego na tokenizacji BPE. To odejście od klasycznego modelu opartego na entropii, który przez lata był standardem w wielu skanerach. Analiza entropii dobrze wykrywa losowe ciągi znaków, ale często generuje zarówno false positive, jak i false negative. Tokenizacja ma poprawiać wykrywalność niestandardowych tokenów i lepiej radzić sobie z nowoczesnymi formatami sekretów.

Ważnym atutem operacyjnym jest również implementacja w czystym Go. Brak zależności od CGO i Hyperscan upraszcza budowanie binariów, dystrybucję i uruchamianie narzędzia w różnych środowiskach, w tym w kontenerach, pipeline’ach CI/CD i systemach wieloplatformowych. Dla zespołów platformowych oznacza to mniejszą złożoność utrzymania.

Betterleaks ma także automatycznie wykrywać sekrety zakodowane wielokrotnie, na przykład po podwójnym lub potrójnym kodowaniu. To szczególnie ważne w sytuacjach, gdy poświadczenia są ukryte w zserializowanych strukturach, osadzone w danych konfiguracyjnych albo przekształcone do postaci trudniejszej do wykrycia przez prostsze mechanizmy. Rozszerzony zestaw reguł dla wielu dostawców usług i równoległa analiza repozytoriów Git mają dodatkowo poprawić szybkość skanowania większych baz kodu.

Istotne są również zapowiedzi dalszego rozwoju projektu. W planach znajdują się kolejne źródła danych poza repozytoriami Git i plikami, analiza wspomagana przez modele językowe, dodatkowe filtry detekcji, automatyczne unieważnianie sekretów przez API dostawców oraz mapowanie uprawnień. Jeśli te funkcje zostaną wdrożone w dojrzałej formie, Betterleaks może stać się nie tylko skanerem, ale elementem szerszej automatyzacji reakcji na incydenty związane z wyciekiem poświadczeń.

Konsekwencje / ryzyko

Pojawienie się Betterleaks nie oznacza incydentu, ale odpowiada na bardzo realny problem bezpieczeństwa. Wycieki sekretów należą do najbardziej kosztownych i najczęściej ignorowanych zagrożeń w cyklu życia oprogramowania. Dotyczą zarówno repozytoriów publicznych, jak i prywatnych, gdzie poświadczenia mogą pozostawać niewykryte przez długi czas.

Skutki ujawnienia sekretów są poważne. Mogą obejmować przejęcie zasobów chmurowych, nieautoryzowany dostęp do systemów produkcyjnych, kradzież danych, wykorzystanie infrastruktury do dalszych ataków, a także problemy zgodności regulacyjnej. Dodatkowym wyzwaniem jest jakość detekcji. Jeśli skaner generuje zbyt wiele błędnych alarmów, zespoły zaczynają ignorować wyniki. Jeśli z kolei wykrywalność jest zbyt niska, rośnie ryzyko przeoczenia rzeczywistego zagrożenia.

W tym kontekście Betterleaks może zainteresować organizacje, które utrzymują rozbudowane środowiska developerskie, liczne repozytoria, monorepo i intensywne pipeline’y CI/CD. Ma to szczególne znaczenie tam, gdzie kod powstaje szybko, także z udziałem narzędzi AI, a czas od napisania do wdrożenia jest bardzo krótki.

Rekomendacje

Organizacje powinny traktować skanowanie sekretów jako obowiązkową kontrolę bezpieczeństwa realizowaną na wielu etapach jednocześnie. Samo jednorazowe przeskanowanie repozytorium nie wystarcza, ponieważ nowe sekrety mogą pojawiać się wraz z kolejnymi commitami, zmianami konfiguracji i automatyzacją procesów dostarczania oprogramowania.

• uruchamiać skanowanie przed każdym commitem oraz przy każdym merge request lub pull request,
• analizować nie tylko aktualny stan repozytorium, ale także pełną historię Git,
• regularnie rotować klucze, tokeny i poświadczenia, nawet po niewielkich incydentach,
• utrzymywać centralny proces unieważniania i odtwarzania sekretów,
• ograniczać uprawnienia zgodnie z zasadą najmniejszych uprawnień,
• zastępować stałe sekrety krótkotrwałymi tokenami i federacją tożsamości tam, gdzie to możliwe,
• szkolić zespoły developerskie z bezpiecznego zarządzania poświadczeniami,
• korzystać z menedżerów sekretów zamiast przechowywania danych w kodzie, plikach środowiskowych i skryptach wdrożeniowych.

Warto też regularnie przeglądać reguły detekcji pod kątem używanych dostawców chmurowych, narzędzi CI/CD, platform SaaS oraz wewnętrznych systemów. Nawet najlepszy silnik nie zapewni skuteczności, jeśli zestaw reguł nie nadąża za zmianami w środowisku.

Podsumowanie

Betterleaks to nowy projekt open source, który ma ambicję stać się następcą Gitleaks i jednocześnie podnieść standard wykrywania sekretów w zespołach DevSecOps. Kluczowe elementy wyróżniające narzędzie to walidacja reguł oparta na CEL, skanowanie z użyciem tokenizacji BPE, uproszczona implementacja w Go oraz lepsza obsługa złożonych przypadków ukrywania poświadczeń.

Dla zespołów bezpieczeństwa i inżynierów platformowych to wyraźny sygnał, że obszar secret scanningu nadal szybko się rozwija. Niezależnie od wyboru konkretnego narzędzia najważniejsze pozostaje jednak podejście procesowe: ciągłe wykrywanie, szybka rotacja poświadczeń, minimalizacja uprawnień i automatyzacja reakcji. To właśnie sekrety wciąż należą do najłatwiejszych do przeoczenia, a zarazem najgroźniejszych wektorów kompromitacji.

Źródła

1. https://www.bleepingcomputer.com/news/security/betterleaks-a-new-open-source-secrets-scanner-to-replace-gitleaks/
2. https://github.com/Betterleaks/betterleaks
3. https://www.aikido.dev/blog/introducing-betterleaks-the-open-source-tool-thats-better-than-gitleaks

Wprowadzenie do problemu / definicja

Rosnąca popularność agentów AI wspierających tworzenie oprogramowania zmienia sposób pracy zespołów developerskich, ale jednocześnie ujawnia nową klasę ryzyka operacyjnego. Narzędzia tego typu potrafią szybko generować działający kod, jednak tempo wytwarzania nie oznacza automatycznie zgodności z dobrymi praktykami secure by design. Coraz więcej obserwacji wskazuje, że agenci kodujący często odtwarzają dobrze znane, klasyczne błędy bezpieczeństwa, szczególnie w obszarach uwierzytelniania, autoryzacji i logiki biznesowej.

W skrócie

Badanie przeprowadzone na trzech agentach AI wykazało wysoki odsetek podatności w kodzie generowanym podczas normalnego procesu wytwarzania aplikacji. W ramach 38 skanów obejmujących 30 pull requestów wykryto 143 problemy bezpieczeństwa, a 26 z 30 PR-ów zawierało co najmniej jedną lukę.

Najczęściej powtarzały się błędy kontroli dostępu, nieprawidłowe wdrożenia OAuth, brak ochrony WebSocketów, słabe zarządzanie sekretami JWT oraz brak skutecznego rate limitingu. Wniosek jest jednoznaczny: kod wygenerowany przez AI wymaga pełnoprawnej weryfikacji bezpieczeństwa, tak samo jak kod pisany ręcznie.

Kontekst / historia

Badanie objęło trzy popularne klasy agentów AI wykorzystywanych do programowania: rozwiązania od Anthropic, OpenAI oraz Google. Każdy z nich otrzymał zadanie stworzenia od podstaw dwóch realistycznych aplikacji, bez sztucznie uproszczonych scenariuszy testowych i bez dodatkowych wskazówek bezpieczeństwa w promptach.

Pierwsza aplikacja była webową platformą do zarządzania informacjami o alergiach dzieci i kontaktach rodzinnych. Druga stanowiła przeglądarkową grę wyścigową z backendowym API, rankingiem wyników oraz funkcjami multiplayer. Taki dobór przypadków użycia odzwierciedlał typowe środowiska produkcyjne, w których pojawiają się zarówno mechanizmy kont użytkowników, jak i złożona logika aplikacyjna.

Proces tworzenia przebiegał iteracyjnie, z wykorzystaniem pull requestów, które były skanowane na bieżąco. Dodatkowo wykonywano skan bazowy przed rozpoczęciem developmentu oraz końcowy przegląd całego kodu po scaleniu wszystkich zmian. Dzięki temu możliwe było prześledzenie nie tylko końcowego stanu aplikacji, ale również momentu, w którym podatności były wprowadzane i utrwalane.

Analiza techniczna

Najbardziej powtarzalną klasą problemów okazało się broken access control. W praktyce oznaczało to obecność endpointów umożliwiających wykonywanie wrażliwych lub destrukcyjnych operacji bez odpowiedniego uwierzytelnienia albo autoryzacji. Tego rodzaju błędy należą do najgroźniejszych, ponieważ umożliwiają bezpośrednie nadużycia funkcji aplikacji przez nieuprawnionych użytkowników.

Drugim silnym wzorcem były błędy logiki biznesowej. W aplikacji growej agenci akceptowali od klienta takie dane jak wynik, saldo czy stan odblokowanych elementów bez wystarczającej walidacji po stronie serwera. To klasyczny przykład nadmiernego zaufania do danych wejściowych z frontendu, który prowadzi do manipulacji stanem gry, oszustw oraz eskalacji uprawnień w modelu biznesowym aplikacji.

W obszarze OAuth odnotowano powtarzalne braki związane z parametrem state oraz z niebezpiecznym łączeniem kont. Takie problemy mogą skutkować atakami typu CSRF w procesie logowania federacyjnego lub przejęciem powiązań między tożsamościami użytkownika. Istotne jest to, że błędy nie wynikały z pojedynczej implementacji, lecz pojawiały się w pracach wszystkich badanych agentów.

Kolejny problem dotyczył WebSocketów. Agenci poprawnie implementowali middleware uwierzytelniające dla REST API, ale nie podłączali analogicznej ochrony do procesu upgrade połączenia WebSocket. W efekcie część komunikacji czasu rzeczywistego pozostawała poza egzekwowaniem polityki dostępu. To szczególnie niebezpieczne w aplikacjach multiplayer, czatach, panelach operacyjnych i systemach telemetrycznych.

Badanie wykazało także systematyczne problemy z rate limitingiem. Middleware ograniczające liczbę żądań bywało obecne w kodzie, ale nie było faktycznie aktywowane w aplikacji. Taki błąd jest podstępny, ponieważ przy pobieżnym przeglądzie kodu można odnieść wrażenie, że zabezpieczenie istnieje, mimo że nie działa w ścieżce wykonywania programu.

W wielu przypadkach wykryto również słabe zarządzanie sekretami JWT, w tym twardo zakodowane wartości zapasowe. Jeśli napastnik jest w stanie przewidzieć lub poznać taki sekret, może generować poprawne tokeny i obchodzić mechanizmy uwierzytelniania. W praktyce jest to błąd krytyczny, ponieważ podważa zaufanie do całego modelu sesji.

Szczególnie istotny jest wniosek dotyczący narzędzi detekcji. Znaczna część błędów miała charakter kontekstowy i logiczny, a nie składniowy. Oznacza to, że klasyczne mechanizmy SAST oparte głównie na sygnaturach, regexach i znanych antywzorcach mogą nie wykrywać najważniejszych podatności generowanych przez agentów AI.

Konsekwencje / ryzyko

Z perspektywy bezpieczeństwa organizacji najważniejsze ryzyko polega na fałszywym poczuciu pewności. Kod wygenerowany przez AI często działa funkcjonalnie, przechodzi podstawowe testy i bywa akceptowany szybciej z uwagi na wysokie tempo dostarczania zmian. To jednak nie oznacza, że spełnia wymagania bezpieczeństwa produkcyjnego.

W praktyce opisane podatności mogą prowadzić do nieautoryzowanego dostępu do danych, przejęcia kont, obchodzenia mechanizmów MFA, manipulacji stanem aplikacji, nadużyć API, ataków brute force oraz eskalacji wpływu pojedynczego błędu na cały system. Szczególnie niebezpieczne są luki obecne od wczesnych pull requestów, które następnie pozostają nierozwiązane do końca projektu.

Dla zespołów DevSecOps oznacza to także wzrost presji na proces przeglądu zmian. Jeśli agent AI generuje większą liczbę commitów i PR-ów, organizacja może szybciej akumulować dług bezpieczeństwa niż w klasycznym cyklu developmentu. Im większa automatyzacja kodowania, tym większa musi być automatyzacja i dojrzałość kontroli bezpieczeństwa.

Rekomendacje

Organizacje korzystające z agentów AI do programowania powinny traktować każdy wygenerowany fragment kodu jako nieufny do momentu przejścia pełnej walidacji bezpieczeństwa. Skanowanie wyłącznie końcowego buildu jest niewystarczające; analiza powinna obejmować każdy pull request, aby wychwytywać ryzyko na etapie wprowadzania zmian.

Konieczne jest również włączenie wymagań bezpieczeństwa już do etapu planowania funkcji. Jeżeli agent otrzymuje jedynie specyfikację biznesową, najczęściej zoptymalizuje rozwiązanie pod kątem działania, a nie ochrony. Dlatego prompt engineering i wymagania produktowe powinny zawierać jawne oczekiwania dotyczące autoryzacji, walidacji serwerowej, obsługi sesji, ochrony przed nadużyciami oraz bezpiecznego zarządzania sekretami.

• obowiązkowe przeglądy PR-ów z perspektywy bezpieczeństwa,
• analizę kontekstową kodu uwzględniającą przepływ danych i granice zaufania,
• testy kontroli dostępu dla każdego endpointu i kanału komunikacji, w tym WebSocket,
• walidację po stronie serwera dla wszystkich decyzji biznesowych,
• centralne zarządzanie sekretami bez fallbacków w kodzie,
• obowiązkowy rate limiting i ochronę przed brute force dla interfejsów logowania oraz API,
• testy regresji bezpieczeństwa dla OAuth, JWT, sesji i mechanizmów odświeżania tokenów.

Dobrym podejściem jest również stworzenie listy kontrolnej najczęściej powtarzających się błędów agentów AI. Powinny się na niej znaleźć: nieautoryzowane endpointy, brak state w OAuth, brak egzekwowania autoryzacji dla WebSocketów, zaufanie do danych klienta, niewłączony rate limiting, nieodwoływalne refresh tokeny oraz słabe sekrety JWT.

Podsumowanie

Agenci AI do programowania przyspieszają development, ale nie eliminują podstawowych problemów bezpieczeństwa aplikacji. Wręcz przeciwnie, obserwacje pokazują, że potrafią systematycznie odtwarzać znane od lat wzorce podatności, szczególnie tam, gdzie wymagane jest rozumienie kontekstu biznesowego i granic zaufania.

Dla organizacji oznacza to konieczność dostosowania procesów AppSec i DevSecOps do realiów kodu generowanego maszynowo. Skuteczność agentów AI należy oceniać nie tylko przez pryzmat szybkości dostarczania funkcji, ale również przez poziom ryzyka, jaki wnoszą do pipeline’u wytwarzania oprogramowania.

Źródła

1. Help Net Security – AI coding agents keep repeating decade-old security mistakes – https://www.helpnetsecurity.com/2026/03/13/claude-code-openai-codex-google-gemini-ai-coding-agent-security/

Wprowadzenie do problemu / definicja

Programy bug bounty, określane również jako Vulnerability Reward Program, to mechanizmy wynagradzania badaczy bezpieczeństwa za odpowiedzialne zgłaszanie podatności. W praktyce stanowią one ważny element dojrzałej strategii cyberbezpieczeństwa, ponieważ pomagają wykrywać i usuwać luki zanim zostaną wykorzystane przez cyberprzestępców. Najnowsze dane pokazują, że znaczenie takich inicjatyw nadal rośnie, a wysokość nagród staje się istotnym narzędziem budowania odporności organizacji.

W skrócie

• Google poinformował o wypłacie ponad 17,1 mln USD dla 747 badaczy bezpieczeństwa za zgłoszenia podatności.
• To najwyższa roczna kwota w historii programu i wyraźny wzrost względem wcześniejszych lat.
• Łączna wartość wypłat od uruchomienia programu w 2010 roku przekroczyła 81,6 mln USD.
• Największe nagrody dotyczyły m.in. Androida, urządzeń Google, Chrome, usług chmurowych, AI oraz komponentów open source.

Kontekst / historia

Google prowadzi swój program nagradzania za zgłaszanie luk bezpieczeństwa od 2010 roku. Początkowo obejmował on głównie klasyczne aplikacje webowe, jednak z czasem został rozszerzony na kolejne obszary ekosystemu firmy, w tym przeglądarkę Chrome, platformy chmurowe, urządzenia mobilne oraz rozwiązania powiązane ze sztuczną inteligencją.

Skala programu rosła stopniowo z roku na rok. Wcześniejsze edycje również przynosiły wielomilionowe wypłaty, ale obecny wynik pokazuje przyspieszenie zarówno pod względem liczby zgłoszeń, jak i wartości najbardziej krytycznych raportów. To sygnał, że bug bounty przestał być dodatkiem do bezpieczeństwa i stał się jego stałym, strategicznym elementem.

Analiza techniczna

Rekordowa suma wypłat nie musi oznaczać jedynie większej liczby błędów. Równie dobrze może świadczyć o rosnącej wartości pojedynczych zgłoszeń, szerszym zakresie objętych systemów oraz większej wadze raportowanych podatności. Z technicznego punktu widzenia oznacza to, że badacze identyfikowali luki w szczególnie istotnych komponentach infrastruktury i produktów.

Wśród obszarów z wysokimi wypłatami znalazły się Android i urządzenia Google, przeglądarka Chrome oraz usługi chmurowe. Istotnym sygnałem jest także rozwój ścieżek zgłaszania podatności związanych z AI oraz mechanizmów nagród dla narzędzi wspierających bezpieczeństwo zależności open source. Taki kierunek pokazuje, że firmy coraz mocniej koncentrują się nie tylko na klasycznych błędach aplikacyjnych, ale też na bezpieczeństwie łańcucha dostaw i nowych klasach zagrożeń.

Wysokie pojedyncze nagrody sugerują, że premiowane były raporty o dużym wpływie bezpieczeństwa, potencjalnie obejmujące zdalne wykonanie kodu, obejście mechanizmów ochronnych, naruszenie granic sandboxa lub inne podatności prowadzące do istotnego przełamania założeń bezpieczeństwa. To również potwierdza, że najbardziej wartościowe zgłoszenia dotyczą dziś złożonych, trudnych do wykrycia problemów w krytycznych usługach.

Konsekwencje / ryzyko

Rekordowe wypłaty są z jednej strony oznaką dojrzałości organizacyjnej i otwartości na współpracę z niezależnymi badaczami. Z drugiej pokazują, jak rozległa i złożona jest współczesna powierzchnia ataku nawet w przypadku globalnych dostawców technologii posiadających zaawansowane zespoły bezpieczeństwa.

Dla rynku oznacza to, że podatności o wysokiej wartości biznesowej nadal występują w kluczowych produktach i usługach. Rośnie również konkurencja o uwagę researcherów, co może skłaniać kolejne firmy do zwiększania budżetów na bug bounty i rozszerzania zakresu programów. Szczególnie istotne stają się obszary chmurowe, mobilne, przeglądarkowe, AI oraz komponenty open source.

Z perspektywy organizacji, które nie posiadają formalnych kanałów responsible disclosure, ryzyko jest wyraźne. Brak przejrzystego procesu zgłaszania może opóźniać wykrywanie luk, utrudniać współpracę z badaczami i zwiększać prawdopodobieństwo, że podatność zostanie wykorzystana zanim producent wdroży poprawkę.

Rekomendacje

Rosnące znaczenie programów bug bounty powinno skłonić organizacje do przeglądu własnych procesów zarządzania podatnościami i współpracy z badaczami bezpieczeństwa.

• Wdrożyć formalny proces responsible disclosure z jasną polityką zgłaszania podatności.
• Rozważyć uruchomienie programu bug bounty lub prywatnych zgłoszeń dla wybranych researcherów.
• Priorytetyzować testy bezpieczeństwa w obszarach o największej ekspozycji, takich jak chmura, aplikacje mobilne, przeglądarki i integracje AI.
• Zwiększyć nacisk na bezpieczeństwo łańcucha dostaw, w tym analizę zależności i komponentów open source.
• Przygotować kryteria klasyfikacji zgłoszeń, SLA obsługi oraz procedury szybkiego wdrażania poprawek.
• Łączyć dane z programów bounty z procesami AppSec, DevSecOps i threat modeling.
• Monitorować, które klasy błędów otrzymują najwyższe nagrody, ponieważ zwykle wskazują one na obszary o największym realnym ryzyku.

Podsumowanie

Wypłata 17,1 mln USD za zgłoszenia podatności potwierdza, że programy bug bounty stały się jednym z filarów nowoczesnego bezpieczeństwa produktów. Rekordowy wynik Google pokazuje rosnącą rolę zewnętrznych badaczy w identyfikacji luk w środowiskach obejmujących chmurę, urządzenia mobilne, przeglądarki, AI i open source. Dla branży to wyraźny sygnał, że inwestycje w responsible disclosure i szybką obsługę podatności są dziś elementem podstawowej strategii cyberbezpieczeństwa.

Źródła

1. BleepingComputer – Google paid $17.1 million for vulnerability reports in 2025 – https://www.bleepingcomputer.com/news/google/google-paid-171-million-for-vulnerability-reports-in-2025/
2. Google Online Security Blog – Vulnerability Reward Program: 2024 in Review – https://security.googleblog.com/2025/03/vulnerability-reward-program-2024-in.html
3. Google Online Security Blog – Vulnerability Reward Program: 2023 Year in Review – https://security.googleblog.com/2024/03/vulnerability-reward-program-2023-year.html
4. Google Online Security Blog – Rewarding web application security research – https://security.googleblog.com/2010/11/rewarding-web-application-security.html