Kaip „Secure by Design“ kampanijos dalis, FTB ir JAV kibernetinio saugumo agentūra CISA paskelbė kūrėjams skirtas gaires, kaip pašalinti SQL injekcijos pažeidžiamumą.
Ši programa, kurią pradėjo CISA ir FTB, skirta informuoti ir įspėti programinės įrangos kūrėjus apie SQL injekcijos atakų potencialą ir teikti švelninimo būdus.
„Secure by Design Alert“ buvo išleistas reaguojant į „Moveit Transfer“ trūkumus, kurie paveikė tūkstančius vartotojų. Šių saugos problemų sunkumas ir dažnas pasireiškimas buvo pabrėžtas vadove, pavadintame „SQL injekcijos pažeidžiamumo pašalinimas programinėje įrangoje".
Daugiau nei 20 metų SQL injekcijos pažeidžiamumas buvo kruopščiai dokumentuojamas ir yra išbandytų būdų, kaip jų išvengti. Nepaisydami to, programinės įrangos kūrėjai ir toliau leido produktus su šiais pažeidžiamumu, sukeldami pavojų daugeliui vartotojų. Jau 2007 m. MITER korporacija SQL injekcijas priskyrė reikšmingų pažeidžiamumų kategorijai, tačiau jos vis dar yra dažna saugumo problema.
CISA ir FTB vadove išsamiai aprašomi SQL pažeidžiamumas ir siūlomos atsakomosios priemonės, pvz., naudojant „paruoštus teiginius“, kuriuos MySQL išleido 2004 m. Šie teiginiai yra saugesnis metodas nei įvesties valymas, kuris dažnai yra ne toks efektyvus ir sunkiau platinamas. Jie padeda atskirti SQL kodą nuo vartotojo duomenų.
Be to, gairėse rekomenduojama, kad programinės įrangos įmonių vadovybė prisiimtų atsakomybę už klientų saugumą, galbūt per oficialias kodo peržiūras, skaidriai pranešant apie žinomus saugos pažeidžiamumus, kuriant CVE ir į saugumą orientuotus organizacinius pertvarkymus.
„Secure by Design“ kampanija skatina saugumo priemonių integravimą kiekviename programinės įrangos kūrimo ciklo etape, remiant CISA ir pasaulinius partnerius. Jame ne tik kalbama apie SQL injekciją, bet ir pateikiamas sukčiavimo apsimetimo prevencijos vadovas ir pabrėžiama rizika, susijusi su numatytųjų slaptažodžių naudojimu, siekiant skatinti saugesnę internetinę aplinką.