Στο πλαίσιο της εκστρατείας "Secure by Design", το FBI και η CISA, η αμερικανική υπηρεσία κυβερνοασφάλειας, δημοσίευσαν κατευθυντήριες γραμμές για τους προγραμματιστές για την αντιμετώπιση των ευπαθειών SQL injection.
Αυτό το πρόγραμμα, το οποίο ξεκίνησε από την CISA και το FBI, έχει ως στόχο να ενημερώσει και να προειδοποιήσει τους προγραμματιστές λογισμικού σχετικά με τις δυνατότητες επιθέσεων SQL injection και να παρέχει τεχνικές μετριασμού.
Η προειδοποίηση "Secure by Design Alert" κυκλοφόρησε ως απάντηση στα ελαττώματα του Moveit Transfer που επηρέασαν χιλιάδες χρήστες. Η σοβαρότητα και η συχνή εμφάνιση αυτών των προβλημάτων ασφαλείας έχουν επισημανθεί σε έναν οδηγό με τίτλο["Eliminating SQL Injection Vulnerabilities in Software](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)".
Για περισσότερα από 20 χρόνια, οι ευπάθειες της SQL injection έχουν τεκμηριωθεί διεξοδικά και υπάρχουν δοκιμασμένοι τρόποι για την αποφυγή τους. Παρά ταύτα, οι προγραμματιστές λογισμικού συνέχισαν να κυκλοφορούν προϊόντα με αυτές τις ευπάθειες, θέτοντας σε κίνδυνο μεγάλο αριθμό χρηστών. Οι ενέσεις SQL χαρακτηρίστηκαν ως σημαντικές ευπάθειες από την MITRE Corporation ήδη από το 2007, αλλά εξακολουθούν να αποτελούν συχνό πρόβλημα ασφάλειας.
Το εγχειρίδιο της CISA και του FBI περιγράφει λεπτομερώς τα τρωτά σημεία της SQL και προτείνει αντίμετρα, όπως η χρήση "προετοιμασμένων εντολών", τις οποίες η MySQL κυκλοφόρησε το 2004. Αυτές οι δηλώσεις παρέχουν μια ασφαλέστερη μέθοδο από την εξυγίανση εισόδου, η οποία είναι συχνά λιγότερο αποτελεσματική και πιο δύσκολο να αναπτυχθεί ευρέως. Βοηθούν στο διαχωρισμό του κώδικα SQL από τα δεδομένα του χρήστη.
Οι κατευθυντήριες γραμμές συνιστούν επίσης να αναλάβει η ηγεσία των εταιρειών λογισμικού την ευθύνη για την ασφάλεια των πελατών, ενδεχομένως μέσω επίσημων αναθεωρήσεων κώδικα, διαφανούς αναφοράς γνωστών ευπαθειών ασφαλείας, δημιουργίας CVE και οργανωτικών αναδιοργανώσεων με επίκεντρο την ασφάλεια.
Η εκστρατεία "Secure by Design" προωθεί την ενσωμάτωση μέτρων ασφαλείας σε κάθε στάδιο του κύκλου ζωής της ανάπτυξης λογισμικού, με την υποστήριξη του CISA και των παγκόσμιων εταίρων. Εκτός από την αντιμετώπιση του SQL injection, παρέχει έναν οδηγό για την πρόληψη του phishing και τονίζει τους κινδύνους που συνδέονται με τη χρήση προεπιλεγμένων κωδικών πρόσβασης, όλα με στόχο την προώθηση ενός πιο ασφαλούς διαδικτυακού περιβάλλοντος.