У рамках сваёй кампаніі «Бяспека па дызайне» ФБР і CISA, агенцтва кібербяспекі ЗША, апублікавалі рэкамендацыі для распрацоўшчыкаў па ліквідацыі ўразлівасцяў SQL-ін'екцый.
Гэтая праграма, якая была запушчана CISA і ФБР, павінна інфармаваць і папярэджваць распрацоўшчыкаў праграмнага забеспячэння аб патэнцыяле атак SQL-ін'екцый і забяспечваць метады іх зніжэння.
Абвестка "Secure by Design Alert" была выпушчана ў адказ на недахопы Moveit Transfer, якія закранулі тысячы карыстальнікаў. Сур'ёзнасць і частая ўзнікненне гэтых праблем бяспекі былі асветлены ў кіраўніцтве пад назвай «Ліквідацыя ўразлівасцяў SQL-ін'екцый у праграмным забеспячэнні".
Больш за 20 гадоў уразлівасці SQL-ін'екцый былі старанна задакументаваны, і існуюць правераныя спосабы іх пазбегнуць. Нягледзячы на гэта, распрацоўшчыкі праграмнага забеспячэння працягваюць выпускаць прадукты з гэтымі ўразлівасцямі, ствараючы небяспеку для вялікай колькасці карыстальнікаў. SQL-ін'екцыі былі аднесены да катэгорыі істотных уразлівасцяў карпарацыяй MITRE яшчэ ў 2007 годзе, але яны па-ранейшаму з'яўляюцца частай праблемай бяспекі.
Дапаможнік CISA і FBI падрабязна апісвае ўразлівасці SQL і прапануе контрмеры, напрыклад, выкарыстанне «падрыхтаваных заяваў», якія MySQL выпусціла ў 2004 годзе. Гэтыя заявы забяспечваюць больш бяспечны метад, чым ачыстка ўводу, якая часта менш эфектыўная і складаней для шырокага разгортвання. Яны дапамагаюць аддзяляць код SQL ад дадзеных карыстальніка.
Кіраўніцтва таксама рэкамендуе кіраўніцтву кампаній, якія займаюцца праграмным забеспячэннем, узяць на сябе адказнасць за бяспеку кліентаў, магчыма, шляхам фармальнай праверкі кода, празрыстых справаздач аб вядомых уразлівасцях бяспекі, стварэння CVE і арганізацыйных рэарганізацый, арыентаваных на бяспеку.
Кампанія «Secure by Design» спрыяе інтэграцыі мер бяспекі на кожным этапе жыццёвага цыкла распрацоўкі праграмнага забеспячэння пры падтрымцы CISA і глабальных партнёраў. У дадатак да разгляду SQL-ін'екцый, ён дае кіраўніцтва па прадухіленні фішынгу і падкрэслівае рызыкі, звязаныя з выкарыстаннем пароляў па змаўчанні, усё з мэтай прасоўвання больш бяспечнага інтэрнэт-асяроддзя.