Como parte da sua campanha "Secure by Design", o FBI e a CISA, a agência de cibersegurança dos EUA, publicaram directrizes para os programadores resolverem as vulnerabilidades de injeção de SQL.
Este programa, que foi iniciado pela CISA e pelo FBI, tem como objetivo informar e avisar os criadores de software sobre o potencial dos ataques de injeção de SQL e fornecer técnicas de atenuação.
O "Secure by Design Alert" foi lançado em resposta às falhas de transferência da Moveit que afectaram milhares de utilizadores. A gravidade e a ocorrência frequente destes problemas de segurança foram destacadas num guia intitulado["Eliminating SQL Injection Vulnerabilities in Software](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)".
Durante mais de 20 anos, as vulnerabilidades de injeção de SQL foram exaustivamente documentadas e existem formas testadas de as evitar. Apesar disso, os criadores de software continuaram a lançar produtos com estas vulnerabilidades, pondo em perigo um grande número de utilizadores. As injecções SQL foram classificadas como vulnerabilidades significativas pela MITRE Corporation já em 2007, mas continuam a ser um problema de segurança frequente.
O manual da CISA e do FBI descreve as vulnerabilidades da SQL em pormenor e sugere contramedidas, como a utilização de "declarações preparadas", que a MySQL lançou em 2004. Estas instruções proporcionam um método mais seguro do que a higienização de entradas, que é frequentemente menos eficiente e mais difícil de implementar amplamente. Ajudam a separar o código SQL dos dados do utilizador.
As directrizes recomendam ainda que a liderança das empresas de software se aproprie da segurança do cliente, possivelmente através de revisões formais do código, da comunicação transparente de vulnerabilidades de segurança conhecidas, da criação de CVE e de reorganizações organizacionais centradas na segurança.
A campanha "Secure by Design" promove a integração de medidas de segurança em todas as fases do ciclo de vida do desenvolvimento de software, com o apoio da CISA e de parceiros globais. Para além de abordar a injeção de SQL, fornece um guia sobre prevenção de phishing e salienta os riscos associados à utilização de palavras-passe predefinidas, tudo com o objetivo de promover um ambiente em linha mais seguro.