Sebagai bagian dari kampanye 'Aman dengan Desain', FBI dan CISA, badan keamanan siber AS, telah menerbitkan pedoman bagi pengembang untuk mengatasi kerentanan injeksi SQL.
Program yang dimulai oleh CISA dan FBI ini bertujuan untuk menginformasikan dan memperingatkan pengembang perangkat lunak tentang potensi serangan injeksi SQL dan memberikan teknik mitigasi.
"Secure by Design Alert" dirilis sebagai respons terhadap kelemahan Moveit Transfer yang memengaruhi ribuan pengguna. Tingkat keparahan dan frekuensi terjadinya masalah keamanan ini telah disorot dalam panduan berjudul "Menghilangkan Kerentanan Injeksi SQL dalam Perangkat Lunak".
Selama lebih dari 20 tahun, kerentanan injeksi SQL telah didokumentasikan secara menyeluruh, dan terdapat cara teruji untuk menghindarinya. Meskipun demikian, pengembang perangkat lunak terus merilis produk dengan kerentanan ini, sehingga membahayakan banyak pengguna. Suntikan SQL dikategorikan sebagai kerentanan yang signifikan oleh MITER Corporation sejak tahun 2007, namun masih sering menjadi masalah keamanan.
Buku pegangan CISA dan FBI menjelaskan kerentanan SQL secara rinci dan menyarankan tindakan penanggulangan, seperti menggunakan "pernyataan yang telah disiapkan", yang dirilis MySQL pada tahun 2004. Pernyataan ini memberikan metode yang lebih aman dibandingkan sanitasi input, yang seringkali kurang efisien dan lebih sulit untuk diterapkan secara luas. Mereka membantu memisahkan kode SQL dari data pengguna.
Pedoman tersebut lebih lanjut merekomendasikan agar pimpinan perusahaan perangkat lunak mengambil kepemilikan atas keamanan pelanggan, mungkin melalui tinjauan kode formal, pelaporan transparan mengenai kerentanan keamanan yang diketahui, pembuatan CVE, dan reorganisasi organisasi yang berfokus pada keamanan.
Kampanye 'Secure by Design' mempromosikan integrasi langkah-langkah keamanan di setiap tahap siklus pengembangan perangkat lunak, dengan dukungan dari CISA dan mitra global. Selain menangani injeksi SQL, panduan ini juga memberikan panduan tentang pencegahan phishing dan menekankan risiko yang terkait dengan penggunaan kata sandi default, semua dengan tujuan untuk mendorong lingkungan online yang lebih aman.