W ramach kampanii "Secure by Design", FBI i CISA, amerykańska agencja ds. cyberbezpieczeństwa, opublikowały wytyczne dla deweloperów w celu wyeliminowania luk w zabezpieczeniach SQL injection.
Program ten, zapoczątkowany przez CISA i FBI, ma na celu informowanie i ostrzeganie twórców oprogramowania o potencjale ataków SQL injection oraz dostarczanie technik ich łagodzenia.
"Secure by Design Alert" został wydany w odpowiedzi na błędy w Moveit Transfer, które dotknęły tysiące użytkowników. Poważne i częste występowanie tych problemów z bezpieczeństwem zostało podkreślone w przewodniku zatytułowanym["Eliminowanie luk SQL Injection w oprogramowaniu](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)".
Od ponad 20 lat luki w zabezpieczeniach SQL injection są dokładnie udokumentowane i istnieją sprawdzone sposoby ich uniknięcia. Pomimo tego, twórcy oprogramowania nadal wydają produkty z tymi lukami, narażając na niebezpieczeństwo dużą liczbę użytkowników. Wstrzyknięcia SQL zostały sklasyfikowane jako istotne luki w zabezpieczeniach przez MITRE Corporation już w 2007 roku, ale nadal stanowią częsty problem w zakresie bezpieczeństwa.
Podręcznik CISA i FBI szczegółowo opisuje luki w zabezpieczeniach SQL i sugeruje środki zaradcze, takie jak używanie "przygotowanych instrukcji", które MySQL wydał w 2004 roku. Instrukcje te zapewniają bezpieczniejszą metodę niż sanityzacja danych wejściowych, która często jest mniej wydajna i trudniejsza do szerokiego wdrożenia. Pomagają one oddzielić kod SQL od danych użytkownika.
Wytyczne zalecają ponadto, aby kierownictwo firm programistycznych przejęło odpowiedzialność za bezpieczeństwo klientów, w miarę możliwości poprzez formalne przeglądy kodu, przejrzyste zgłaszanie znanych luk w zabezpieczeniach, tworzenie CVE i reorganizacje organizacyjne ukierunkowane na bezpieczeństwo.
Kampania "Secure by Design" promuje integrację środków bezpieczeństwa na każdym etapie cyklu życia oprogramowania, przy wsparciu CISA i globalnych partnerów. Oprócz poruszania kwestii wstrzykiwania kodu SQL, kampania zawiera przewodnik na temat zapobiegania phishingowi i podkreśla ryzyko związane z używaniem domyślnych haseł, a wszystko to w celu promowania bezpieczniejszego środowiska online.