FBI ja Yhdysvaltain kyberturvallisuusvirasto CISA ovat osana "Secure by Design" -kampanjaansa julkaisseet ohjeet kehittäjille SQL-injektion haavoittuvuuksien korjaamiseksi.
Tämän CISAn ja FBI:n käynnistämän ohjelman tarkoituksena on tiedottaa ja varoittaa ohjelmistokehittäjiä SQL-injektiohyökkäysten mahdollisuuksista ja tarjota lieventäviä tekniikoita.
"Secure by Design Alert" julkaistiin vastauksena Moveit Transfer -virheisiin, jotka vaikuttivat tuhansiin käyttäjiin. Näiden tietoturvaongelmien vakavuus ja toistuva esiintyminen on korostettu oppaassa "Eliminating SQL Injection Vulnerabilities in Software".
Yli 20 vuoden ajan SQL-injektion haavoittuvuudet on dokumentoitu perusteellisesti, ja niiden välttämiseksi on testattuja tapoja. Ohjelmistokehittäjät ovat jatkaneet näiden haavoittuvuuksien sisältävien tuotteiden julkaisemista tästä huolimatta, mikä on vaarantanut suuren määrän käyttäjiä. MITER Corporation luokitteli SQL-injektiot merkittäviksi haavoittuvuuksiksi jo vuonna 2007, mutta ne ovat edelleen yleinen tietoturvaongelma.
CISA- ja FBI-käsikirja kuvaa SQL-haavoittuvuuksia yksityiskohtaisesti ja ehdottaa vastatoimia, kuten "valmistettujen lausuntojen" käyttöä, jotka MySQL julkaisi vuonna 2004. Nämä lausunnot tarjoavat turvallisemman menetelmän kuin syötteiden puhdistaminen, joka on usein vähemmän tehokas ja vaikeampi ottaa käyttöön laajasti. Ne auttavat erottamaan SQL-koodin käyttäjätiedoista.
Ohjeissa suositellaan lisäksi, että ohjelmistoyritysten johto ottaisi asiakkaiden tietoturvan omakseen, mahdollisesti muodollisten kooditarkastelujen, tunnettujen tietoturva-aukkojen läpinäkyvän raportoinnin, CVE:n luomisen ja tietoturvapainotteisten organisaation uudelleenjärjestelyjen kautta.
Secure by Design -kampanja edistää tietoturvatoimenpiteiden integrointia ohjelmistokehityksen elinkaaren jokaiseen vaiheeseen CISA:n ja globaalien kumppaneiden tuella. Sen lisäksi, että se käsittelee SQL-injektiota, se tarjoaa oppaan tietojenkalastelun ehkäisyyn ja korostaa oletussalasanojen käyttöön liittyviä riskejä. Kaiken tavoitteena on edistää turvallisempaa verkkoympäristöä.