Nell'ambito della campagna "Secure by Design", l'FBI e la CISA, l'agenzia statunitense per la sicurezza informatica, hanno pubblicato linee guida per gli sviluppatori per affrontare le vulnerabilità di SQL injection.
Questo programma, avviato da CISA e FBI, ha lo scopo di informare e avvisare gli sviluppatori di software sul potenziale degli attacchi SQL injection e fornire tecniche di mitigazione.
Il "Secure by Design Alert" è stato rilasciato in risposta ai difetti di Moveit Transfer che hanno colpito migliaia di utenti. La gravità e il verificarsi frequente di questi problemi di sicurezza sono stati evidenziati in una guida intitolata "Eliminare le vulnerabilità di SQL Injection nel software".
Da oltre 20 anni le vulnerabilità SQL injection sono state accuratamente documentate ed esistono metodi testati per evitarle. Nonostante ciò, gli sviluppatori di software hanno continuato a rilasciare prodotti con queste vulnerabilità, mettendo in pericolo un gran numero di utenti. Le SQL injection sono state classificate come vulnerabilità significative dalla MITRE Corporation già nel 2007, ma rappresentano ancora un problema di sicurezza frequente.
Il manuale CISA e FBI descrive in dettaglio le vulnerabilità SQL e suggerisce contromisure, come l'utilizzo di "dichiarazioni preparate", rilasciate da MySQL nel 2004. Queste dichiarazioni forniscono un metodo più sicuro rispetto alla sanificazione degli input, che spesso è meno efficiente e più difficile da implementare su larga scala. Aiutano a separare il codice SQL dai dati dell'utente.
Le linee guida raccomandano inoltre che la leadership delle società di software si assuma la responsabilità della sicurezza dei clienti, possibilmente attraverso revisioni formali del codice, segnalazioni trasparenti di vulnerabilità di sicurezza note, creazione di CVE e riorganizzazioni organizzative incentrate sulla sicurezza.
La campagna "Secure by Design" promuove l'integrazione delle misure di sicurezza in ogni fase del ciclo di vita dello sviluppo del software, con il sostegno di CISA e di partner globali. Oltre ad affrontare il problema dell'SQL injection, fornisce una guida sulla prevenzione del phishing e sottolinea i rischi associati all'utilizzo di password predefinite, il tutto con l'obiettivo di promuovere un ambiente online più sicuro.
Code Labs Academy Bootcamp sulla sicurezza informatica: impara la sicurezza informatica online con finanziamenti