Ca parte a campaniei sale „Secure by Design”, FBI și CISA, agenția de securitate cibernetică din SUA, au publicat ghiduri pentru dezvoltatori pentru a aborda vulnerabilitățile de injectare SQL.
Acest program, care a fost lansat de CISA și FBI, este de a informa și avertiza dezvoltatorii de software cu privire la potențialul atacurilor cu injecție SQL și de a oferi tehnici de atenuare.
„Secure by Design Alert” a fost lansată ca răspuns la defectele Moveit Transfer care au afectat mii de utilizatori. Severitatea și apariția frecventă a acestor probleme de securitate au fost evidențiate într-un ghid numit „Eliminarea vulnerabilităților de injectare SQL în software".
De mai bine de 20 de ani, vulnerabilitățile de injectare SQL au fost documentate temeinic și există modalități testate de a le evita. Dezvoltatorii de software au continuat să lanseze produse cu aceste vulnerabilități, în ciuda acestui fapt, punând în pericol un număr mare de utilizatori. Injecțiile SQL au fost clasificate drept vulnerabilități semnificative de către MITRE Corporation încă din 2007, dar sunt încă o problemă de securitate frecventă.
Manualul CISA și FBI descrie vulnerabilitățile SQL în detaliu și sugerează contramăsuri, cum ar fi utilizarea „instrucțiunilor pregătite”, pe care MySQL le-a lansat în 2004. Aceste declarații oferă o metodă mai sigură decât igienizarea intrărilor, care este adesea mai puțin eficientă și mai dificil de implementat pe scară largă. Ele ajută la separarea codului SQL de datele utilizatorului.
Orientările recomandă în continuare ca conducerea companiilor de software să preia controlul asupra securității clienților, eventual prin revizuiri formale de cod, raportare transparentă a vulnerabilităților de securitate cunoscute, crearea CVE și reorganizări organizaționale centrate pe securitate.
Campania „Secure by Design” promovează integrarea măsurilor de securitate în fiecare etapă a ciclului de viață al dezvoltării software, cu sprijinul CISA și al partenerilor globali. Pe lângă abordarea injectării SQL, oferă un ghid privind prevenirea phishingului și subliniază riscurile asociate cu utilizarea parolelor implicite, toate cu scopul de a promova un mediu online mai sigur.