Компания Fortify Software обнаружила новый тип атаки - внедрение во время разработки (Cross-Build Injection), при которой уязвимость в продукте появляется во время сборки программного обеспечения с открытым кодом.
Впрочем, аналогичные проблемы могут возникнуть и в коммерческих продуктах, когда для их создания используются системы распределенной сборки, такие как Ant, Maven или Ivy. Они позволяют хакеру с помощью изменения DNS или внедрения в один из серверов сборки указать в качестве одной из необходимых библиотек свой вредоносный код. Когда программа сборки будет компилировать такое приложение она, в соответствии с указанными зависимостями, подсоединит и вредоносную библиотеку. В результате, приложение будет содержать вредоносный компонент изначально. Возможно, этой же атаке подвержены и другие системы распределенной разработки приложений. Специалисты Fortify Software обнаружили эту проблему, когда работали над проектом Java Open Review (JOR), в котором изучали безопасности технологии Java.