Diese Art von Sicherheitslücken wurde bei der Zusammenarbeit von Fortify Software, Anbieter von Lösungen zur Identifikation und Beseitigung von sicherheitskritischen Software-Schwachstellen, mit dem Projekt "Java Open Review" erkannt. Um Unternehmen und Software-Entwickler mit detaillierten Informationen zu dieser neuen Schwachstellenklasse zu versorgen sowie zum Schutz von Software-Anwendern hat Fortify das zehnseitige Whitepaper "Attacking the Build through Cross-Build-Injection" erstellt. Gleichzeitig wurde ein Update der Fortify Secure Coding Rulepacks für die Software-Security-Applikationen des Unternehmens erstellt, um Entwickler und Sicherheitsverantwortliche in die Lage zu versetzen, diese neuen Schwachstellen zu erkennen und zu beseitigen. Weiterhin unterstützt das aktualisierte Rulepack nun die Schwachstellenbeschreibung nach dem Standard Common Weakness Enumeration (CWE) sowie die Analyse von LDAP-Injection-Schwachstellen.

"Diese neue Schwachstellenkategorie zeigt, dass Hacker ihr Augenmerk immer häufiger in Richtung Softwareentwicklung lenken, um sich Zugang zu den IT-Systemen von Unternehmen zu verschaffen", gibt sich Brian Chess, Chief Scientist bei Fortify Software, überzeugt. Statt Sicherheitslücken in bereits eingesetzten Applikationen auszunutzen, würden Angreifer versuchen, potenzielle Angriffsziele während des Entwicklungsprozesses der Software einzufügen, also noch bevor die Anwendung zum Einsatz kommt. Automatisierte Systeme zur Wiederverwendung und Kompilierung von Quellcode wurden entwickelt, um den Software-Entwicklungsprozess zu vereinfachen und zu beschleunigen. Gleichzeitig wurde damit aber auch die Basis für systemweite Schwachstellen geschaffen. Angreifer, die einen Server mit Systemkomponenten oder den DNS-Server, den die Build-Machine zur Lokalisierung des Servers nutzt, könnten über diese Schwachstellen die komplette Kontrolle über die Build-Machine und möglicherweise andere Rechner im entfernten Netzwerk erlangen, so Fortify.