Como parte de sua campanha “Secure by Design”, o FBI e a CISA, a agência de segurança cibernética dos EUA, publicaram diretrizes para os desenvolvedores abordarem as vulnerabilidades de injeção de SQL.
Este programa, iniciado pela CISA e pelo FBI, tem como objetivo informar e alertar os desenvolvedores de software sobre o potencial de ataques de injeção de SQL e fornecer técnicas de mitigação.
O “Alerta Secure by Design” foi lançado em resposta às falhas do Moveit Transfer que afetaram milhares de usuários. A gravidade e a ocorrência frequente desses problemas de segurança foram destacadas em um guia chamado "Eliminando vulnerabilidades de injeção de SQL em software".
Por mais de 20 anos, as vulnerabilidades de injeção de SQL foram minuciosamente documentadas e existem maneiras testadas de evitá-las. Apesar disso, os desenvolvedores de software continuaram a lançar produtos com essas vulnerabilidades, colocando em risco um grande número de usuários. As injeções de SQL foram categorizadas como vulnerabilidades significativas pela MITRE Corporation já em 2007, mas ainda são um problema de segurança frequente.
O manual da CISA e do FBI descreve detalhadamente as vulnerabilidades do SQL e sugere contramedidas, como o uso de "declarações preparadas", que o MySQL lançou em 2004. Essas declarações fornecem um método mais seguro do que a sanitização de entrada, que é frequentemente menos eficiente e mais difícil de implantar amplamente. Eles auxiliam na separação do código SQL dos dados do usuário.
As diretrizes recomendam ainda que a liderança das empresas de software assuma a responsabilidade pela segurança do cliente, possivelmente através de revisões formais de código, relatórios transparentes de vulnerabilidades de segurança conhecidas, criação de CVE e reorganizações organizacionais focadas na segurança.
A campanha 'Secure by Design' promove a integração de medidas de segurança em todas as fases do ciclo de vida de desenvolvimento de software, com o apoio da CISA e de parceiros globais. Além de abordar a injeção de SQL, fornece um guia sobre prevenção de phishing e enfatiza os riscos associados ao uso de senhas padrão, tudo com o objetivo de promover um ambiente online mais seguro.
Code Labs Academy Bootcamp de segurança cibernética: Aprenda segurança cibernética on-line com financiamento