Como parte da súa campaña 'Secure by Design', o FBI e CISA, a axencia de ciberseguridade estadounidense, publicaron pautas para que os desenvolvedores aborden as vulnerabilidades de inxección SQL.
Este programa, que foi iniciado por CISA e o FBI, ten como obxectivo informar e advertir aos desenvolvedores de software sobre o potencial dos ataques de inxección SQL e proporcionar técnicas de mitigación.
A "Alerta Secure by Design" lanzouse en resposta aos fallos de Moveit Transfer que afectaron a miles de usuarios. A gravidade e a aparición frecuente destes problemas de seguridade destacáronse nunha guía chamada "Eliminación de vulnerabilidades de inxección de SQL no software".
Durante máis de 20 anos, as vulnerabilidades de inxección de SQL documentáronse a fondo e existen formas probadas de evitalas. Os desenvolvedores de software seguiron lanzando produtos con estas vulnerabilidades a pesar diso, poñendo en perigo un gran número de usuarios. As inxeccións SQL foron categorizadas como vulnerabilidades importantes pola Corporación MITRE xa en 2007, pero seguen sendo un problema de seguridade frecuente.
O manual de CISA e FBI describe as vulnerabilidades de SQL en detalle e suxire contramedidas, como o uso de "instruccións preparadas", que MySQL publicou en 2004. Estas declaracións proporcionan un método máis seguro que a desinfección de entradas, que adoita ser menos eficiente e máis difícil de implementar amplamente. Axudan a separar o código SQL dos datos do usuario.
As directrices recomendan ademais que o liderado das empresas de software asuma a propiedade da seguridade dos clientes, posiblemente mediante revisións formais de código, informes transparentes de vulnerabilidades de seguridade coñecidas, creación de CVE e reorganizacións organizativas centradas na seguridade.
A campaña 'Secure by Design' promove a integración de medidas de seguridade en cada etapa do ciclo de vida do desenvolvemento de software, co apoio de CISA e socios globais. Ademais de abordar a inxección de SQL, ofrece unha guía sobre prevención de phishing e fai fincapé nos riscos asociados ao uso de contrasinais predeterminados, todo co obxectivo de promover un entorno en liña máis seguro.