"Дизайн боюнча коопсуз" кампаниясынын бир бөлүгү катары, FBI жана CISA, АКШнын киберкоопсуздук агенттиги, иштеп чыгуучулар үчүн SQL инъекциясынын алсыздыктарын жоюу үчүн көрсөтмөлөрдү жарыялады.
CISA жана FBI тарабынан башталган бул программа программалык камсыздоону иштеп чыгуучуларга SQL инъекциялык чабуулдарынын потенциалы жөнүндө маалымат берүү жана эскертүү жана азайтуу ыкмаларын камсыз кылуу болуп саналат.
"Secure by Design Alert" миңдеген колдонуучуларга таасир эткен Moveit Transfer кемчиликтерине жооп катары чыгарылган. Бул коопсуздук көйгөйлөрүнүн катаалдыгы жана тез-тез келип чыгышы "[Программадагы SQL инжекциясынын аялууларын жоюу]" (https://www.cisa.gov/sites/default/files/2024-03/SbD%20Alert%) деп аталган колдонмодо баса белгиленген. 20-%20Жок кылуу%20SQL%20Injection%20Аялуулар%20in%20Software_508c.pdf)".
20 жылдан ашык убакыттан бери SQL инжекциясынын алсыздыктары кылдат документтештирилген жана аларды болтурбоо үчүн сыналган жолдор бар. Программалык камсыздоону иштеп чыгуучулар көп сандагы колдонуучуларга коркунуч туудурган бул кемчиликтерге карабастан өнүмдөрдү чыгарууну улантышты. SQL инъекциялары 2007-жылы эле MITER корпорациясы тарабынан олуттуу алсыздыктар катары категорияланган, бирок алар дагы эле көп коопсуздук көйгөйү болуп саналат.
CISA жана FBI колдонмосу SQL-тин аялуу жактарын деталдуу сүрөттөйт жана MySQL 2004-жылы чыгарган "даярдалган билдирүүлөрдү" колдонуу сыяктуу каршы чараларды сунуштайт. Бул билдирүүлөр киргизүүнү санитардык тазалоого караганда кыйла коопсуз ыкманы камсыз кылат, ал көбүнчө эффективдүү эмес жана кеңири жайылтуу кыйыныраак. Алар SQL кодун колдонуучу маалыматтарынан бөлүүгө жардам берет.
Көрсөтмөлөр андан ары программалык камсыздоо компанияларынын жетекчилигине кардарлардын коопсуздугуна ээлик кылууну сунуштайт, балким формалдуу кодду карап чыгуу, белгилүү коопсуздук кемчиликтери жөнүндө ачык отчет берүү, CVE түзүү жана коопсуздукка багытталган уюштуруучулук кайра уюштуруулар аркылуу.
"Дизайн боюнча коопсуз" кампаниясы CISA жана глобалдык өнөктөштөрдүн колдоосу менен программалык камсыздоону иштеп чыгуунун ар бир этабында коопсуздук чараларын интеграциялоого өбөлгө түзөт. SQL инъекциясын чечүүдөн тышкары, ал фишингдин алдын алуу боюнча колдонмону камсыз кылат жана демейки сырсөздөрдү колдонуу менен байланышкан тобокелдиктерге басым жасайт, мунун баары коопсуз онлайн чөйрөнү илгерилетүү максатында.