'Secure by Design' kanpainaren barruan, FBIk eta CISAk, AEBetako zibersegurtasun agentziak, garatzaileentzako jarraibideak argitaratu dituzte SQL injekzio ahuleziak konpontzeko.
CISAk eta FBIk hasitako programa hau software-garatzaileei SQL injekzio-erasoen potentzialaz informatu eta ohartarazteko eta arintzeko teknikak eskaintzeko da.
"Secure by Design Alert" kaleratu zen milaka erabiltzaileri eragin zien Moveit Transfer akatsei erantzunez. Segurtasun-arazo hauen larritasuna eta maiz gertatzen diren "[SQL injekzio ahultasunak ezabatzea softwarean] izeneko gidan nabarmendu dira (https://www.cisa.gov/sites/default/files/2024-03/SbD%20Alert% 20-%20Eliminating%20SQL%20Injection%20Vulnerabilities%20in%20Software_508c.pdf)".
20 urte baino gehiagoz, SQL injekzio ahuleziak ondo dokumentatu dira, eta horiek saihesteko modu probatuak daude. Software garatzaileek ahultasun hauek dituzten produktuak kaleratzen jarraitu dute, hala ere, erabiltzaile ugari arriskuan jarriz. SQL injekzioak ahultasun esanguratsu gisa sailkatu zituen MITRE Korporazioak 2007tik aurrera, baina oraindik ere maiz segurtasun arazo bat dira.
CISA eta FBI eskuliburuak SQL ahulguneak xehetasunez deskribatzen ditu eta kontraneurriak proposatzen ditu, MySQL-k 2004an kaleratu zituen "prestatutako adierazpenak" erabiltzea adibidez. Adierazpen hauek sarrerako saneamendua baino metodo seguruagoa eskaintzen dute, askotan eraginkorragoa eta zabaltzeko zailagoa dena. SQL kodea erabiltzailearen datuetatik bereizten laguntzen dute.
Jarraibideek, gainera, software-enpresen lidergoak bezeroen segurtasunaren jabe izatea gomendatzen du, ziurrenik kodeen berrikuspen formalen bidez, ezagunak diren segurtasun ahulguneen txosten gardenen bidez, CVE sortzea eta segurtasunean ardaztutako antolakuntza berrantolaketen bidez.
'Secure by Design' kanpainak segurtasun-neurriak integratzea sustatzen du softwarearen garapenaren bizitza-zikloko fase guztietan, CISA eta mundu mailako bazkideen laguntzarekin. SQL injekzioari aurre egiteaz gain, phishing-aren prebentzioari buruzko gida bat eskaintzen du eta pasahitz lehenetsiak erabiltzearekin lotutako arriskuak azpimarratzen ditu, hori guztia sareko ingurune seguruagoa sustatzeko helburuarekin.