V rámci své kampaně „Secure by Design“ zveřejnily FBI a CISA, americká agentura pro kybernetickou bezpečnost, pokyny pro vývojáře, jak řešit zranitelnosti vkládání SQL.
Tento program, který spustily CISA a FBI, má informovat a varovat vývojáře softwaru o potenciálu útoků SQL injection a poskytovat zmírňující techniky.
Upozornění „Secure by Design Alert“ bylo vydáno v reakci na chyby Moveit Transfer, které postihly tisíce uživatelů. Závažnost a častý výskyt těchto bezpečnostních problémů byly zdůrazněny v příručce nazvané „Eliminating SQL Injection Vulnerabilities in Software".
Již více než 20 let jsou zranitelnosti SQL injection důkladně dokumentovány a existují testované způsoby, jak se jim vyhnout. Softwaroví vývojáři navzdory tomu nadále uvolňují produkty s těmito zranitelnostmi, což ohrožuje velký počet uživatelů. Injekce SQL byly společností MITER Corporation kategorizovány jako významné zranitelnosti již v roce 2007, ale stále jsou častým bezpečnostním problémem.
Příručka CISA a FBI podrobně popisuje zranitelnosti SQL a navrhuje protiopatření, jako je použití „připravených příkazů“, které MySQL vydala v roce 2004. Tyto příkazy poskytují bezpečnější metodu než sanitace vstupu, která je často méně účinná a je obtížnější ji široce nasadit. Pomáhají při oddělení kódu SQL od uživatelských dat.
Směrnice dále doporučují, aby vedení softwarových společností převzalo vlastnictví zákaznické bezpečnosti, možná prostřednictvím formálních kontrol kódu, transparentního hlášení známých bezpečnostních slabin, vytváření CVE a organizačních reorganizací zaměřených na bezpečnost.
Kampaň „Secure by Design“ podporuje integraci bezpečnostních opatření v každé fázi životního cyklu vývoje softwaru s podporou CISA a globálních partnerů. Kromě řešení SQL injection poskytuje průvodce prevencí phishingu a zdůrazňuje rizika spojená s používáním výchozích hesel, to vše s cílem podpořit bezpečnější online prostředí.