Som en del af sin 'Secure by Design'-kampagne har FBI og CISA, det amerikanske cybersikkerhedsagentur, udgivet retningslinjer for udviklere til at løse SQL-indsprøjtningssårbarheder.
Dette program, som blev startet af CISA og FBI, skal informere og advare softwareudviklere om potentialet ved SQL-injektionsangreb og give afbødningsteknikker.
"Secure by Design Alert" blev udgivet som svar på Moveit Transfer-fejl, der påvirkede tusindvis af brugere. Alvoren og den hyppige forekomst af disse sikkerhedsproblemer er blevet fremhævet i en vejledning kaldet "Eliminering af SQL Injection Vulnerabilities in Software".
I mere end 20 år har SQL-injektionssårbarheder været grundigt dokumenteret, og der er testede måder at undgå dem på. Softwareudviklere er fortsat med at frigive produkter med disse sårbarheder på trods af dette, hvilket bringer et stort antal brugere i fare. SQL-injektioner blev kategoriseret som væsentlige sårbarheder af MITER Corporation allerede i 2007, men de er stadig et hyppigt sikkerhedsproblem.
CISA og FBI-håndbogen beskriver SQL-sårbarheder i detaljer og foreslår modforanstaltninger, såsom at bruge "forberedte erklæringer", som MySQL udgav i 2004. Disse erklæringer giver en mere sikker metode end input-sanering, som ofte er mindre effektiv og sværere at implementere bredt. De hjælper med at adskille SQL-kode fra brugerdata.
Retningslinjerne anbefaler endvidere, at ledelsen af softwarevirksomheder tager ejerskab over kundesikkerhed, eventuelt gennem formelle kodegennemgange, gennemsigtig rapportering af kendte sikkerhedssårbarheder, CVE-oprettelse og sikkerhedsfokuserede organisatoriske omorganiseringer.
'Secure by Design'-kampagnen fremmer integrationen af sikkerhedsforanstaltninger på alle stadier af softwareudviklingens livscyklus med opbakning fra CISA og globale partnere. Ud over at adressere SQL-injektion, giver den en guide til forebyggelse af phishing og understreger de risici, der er forbundet med at bruge standardadgangskoder, alt sammen med det formål at fremme et mere sikkert onlinemiljø.