Kā daļu no kampaņas “Secure by Design” FIB un ASV kiberdrošības aģentūra CISA ir publicējuši vadlīnijas izstrādātājiem, lai novērstu SQL injekcijas ievainojamības.
Šīs programmas, ko uzsāka CISA un FIB, mērķis ir informēt un brīdināt programmatūras izstrādātājus par SQL injekcijas uzbrukumu potenciālu un nodrošināt to mazināšanas metodes.
"Secure by Design Alert" tika izlaists, reaģējot uz Moveit Transfer trūkumiem, kas skāra tūkstošiem lietotāju. Šo drošības problēmu nopietnība un biežas sastopamības ir izceltas rokasgrāmatā “SQL injekcijas ievainojamību novēršana programmatūrā".
Vairāk nekā 20 gadus SQL injekcijas ievainojamības ir rūpīgi dokumentētas, un ir pārbaudīti veidi, kā no tām izvairīties. Neskatoties uz to, programmatūras izstrādātāji ir turpinājuši izlaist produktus ar šīm ievainojamībām, apdraudot lielu skaitu lietotāju. Korporācija MITER jau 2007. gadā SQL injekcijas klasificēja kā nozīmīgas ievainojamības, taču tās joprojām ir bieži sastopama drošības problēma.
CISA un FIB rokasgrāmatā ir sīki aprakstītas SQL ievainojamības un ieteikti pretpasākumi, piemēram, “sagatavotu paziņojumu” izmantošana, ko MySQL izlaida 2004. gadā. Šie paziņojumi nodrošina drošāku metodi nekā ievades sanitārizācija, kas bieži ir mazāk efektīva un grūtāk plaši izplatīta. Tie palīdz atdalīt SQL kodu no lietotāja datiem.
Vadlīnijas arī iesaka programmatūras uzņēmumu vadībai uzņemties atbildību par klientu drošību, iespējams, veicot oficiālu kodu pārskatīšanu, pārredzamu ziņošanu par zināmajām drošības ievainojamībām, CVE izveidi un uz drošību vērstu organizatorisku reorganizāciju.
Kampaņa “Secure by Design” ar CISA un globālo partneru atbalstu veicina drošības pasākumu integrāciju katrā programmatūras izstrādes dzīves cikla posmā. Papildus jautājumam par SQL ievadīšanu, tajā ir sniegti norādījumi par pikšķerēšanas novēršanu un uzsvērti riski, kas saistīti ar noklusējuma paroļu izmantošanu, un tas viss tiek darīts ar mērķi veicināt drošāku tiešsaistes vidi.