As deel van sy 'Secure by Design'-veldtog, het die FBI en CISA, die Amerikaanse kuberveiligheidsagentskap, riglyne gepubliseer vir ontwikkelaars om SQL-inspuiting kwesbaarhede aan te spreek.
Hierdie program, wat deur CISA en die FBI begin is, is om sagteware-ontwikkelaars in te lig en te waarsku oor die potensiaal van SQL-inspuitingsaanvalle en om versagtingstegnieke te verskaf.
Die "Secure by Design Alert" is vrygestel in reaksie op Moveit Transfer-foute wat duisende gebruikers geraak het. Die erns en gereelde voorkoms van hierdie sekuriteitsprobleme is uitgelig in 'n gids genaamd "Eliminating SQL Injection Vulnerabilities in Software".
Vir meer as 20 jaar is SQL-inspuiting-kwesbaarhede deeglik gedokumenteer, en daar is beproefde maniere om dit te vermy. Sagteware-ontwikkelaars het ten spyte daarvan voortgegaan om produkte met hierdie kwesbaarhede vry te stel, wat 'n groot aantal gebruikers in gevaar stel. SQL-inspuitings is so vroeg as 2007 deur die MITER Corporation as beduidende kwesbaarhede gekategoriseer, maar dit is steeds 'n gereelde sekuriteitsprobleem.
Die CISA- en FBI-handboek beskryf SQL-kwesbaarhede in detail en stel teenmaatreëls voor, soos die gebruik van "voorbereide stellings," wat MySQL in 2004 vrygestel het. Hierdie stellings bied 'n veiliger metode as insetsanitisering, wat dikwels minder doeltreffend en moeiliker is om wyd te ontplooi. Hulle help om SQL-kode van gebruikersdata te skei.
Die riglyne beveel verder aan dat die leierskap van sagtewaremaatskappye eienaarskap neem van kliëntsekuriteit, moontlik deur formele kode-oorsig, deursigtige verslagdoening van bekende sekuriteitskwesbaarhede, CVE-skepping en sekuriteitsgerigte organisatoriese herorganisasies.
Die 'Secure by Design'-veldtog bevorder die integrasie van sekuriteitsmaatreëls in elke stadium van die sagteware-ontwikkelingslewensiklus, met steun van CISA en globale vennote. Benewens die aanspreek van SQL-inspuiting, verskaf dit 'n gids oor die voorkoming van uitvissing en beklemtoon die risiko's verbonde aan die gebruik van verstekwagwoorde, alles met die doel om 'n veiliger aanlyn omgewing te bevorder.