Nell'ambito della campagna "Secure by Design", l'FBI e il CISA, l'agenzia statunitense per la sicurezza informatica, hanno pubblicato le linee guida per gli sviluppatori che devono affrontare le vulnerabilità dell'iniezione SQL.
Questo programma, avviato dal CISA e dall'FBI, ha lo scopo di informare e mettere in guardia gli sviluppatori di software sul potenziale degli attacchi SQL injection e di fornire tecniche di mitigazione.
L'avviso "Secure by Design Alert" è stato pubblicato in risposta alle falle di Moveit Transfer che hanno colpito migliaia di utenti. La gravità e la frequenza di questi problemi di sicurezza sono state evidenziate in una guida intitolata["Eliminare le vulnerabilità di iniezione SQL nel software](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)".
Da oltre 20 anni, le vulnerabilità dell'iniezione SQL sono state accuratamente documentate ed esistono metodi testati per evitarle. Nonostante ciò, gli sviluppatori di software hanno continuato a rilasciare prodotti con queste vulnerabilità, mettendo in pericolo un gran numero di utenti. Le iniezioni SQL sono state classificate come vulnerabilità significative dalla MITRE Corporation già nel 2007, ma sono ancora un problema di sicurezza frequente.
Il manuale del CISA e dell'FBI descrive dettagliatamente le vulnerabilità di SQL e suggerisce contromisure, come l'uso di "istruzioni preparate", che MySQL ha rilasciato nel 2004. Queste dichiarazioni forniscono un metodo più sicuro della sanitizzazione dell'input, che spesso è meno efficiente e più difficile da implementare su larga scala. Esse aiutano a separare il codice SQL dai dati dell'utente.
Le linee guida raccomandano inoltre che la leadership delle aziende di software si faccia carico della sicurezza dei clienti, possibilmente attraverso revisioni formali del codice, segnalazione trasparente delle vulnerabilità di sicurezza note, creazione di CVE e riorganizzazioni organizzative incentrate sulla sicurezza.
La campagna "Secure by Design" promuove l'integrazione di misure di sicurezza in ogni fase del ciclo di vita dello sviluppo del software, con il sostegno del CISA e dei partner globali. Oltre ad affrontare il tema dell'iniezione SQL, fornisce una guida alla prevenzione del phishing e sottolinea i rischi associati all'utilizzo di password predefinite, il tutto con l'obiettivo di promuovere un ambiente online più sicuro.