В рамках своей кампании «Безопасность благодаря дизайну» ФБР и CISA, американское агентство по кибербезопасности, опубликовали рекомендации для разработчиков по устранению уязвимостей, связанных с внедрением SQL-кода.
Эта программа, запущенная CISA и ФБР, призвана информировать и предупреждать разработчиков программного обеспечения о потенциальных атаках путем внедрения SQL-кода и предоставлять методы их смягчения.
Оповещение «Secure by Design Alert» было выпущено в ответ на недостатки Moveit Transfer, от которых пострадали тысячи пользователей. Серьезность и частое возникновение этих проблем безопасности были подчеркнуты в руководстве под названием «Устранение уязвимостей SQL-инъекций в программном обеспечении".
На протяжении более 20 лет уязвимости SQL-инъекций тщательно документировались, и существуют проверенные способы их избежать. Несмотря на это, разработчики программного обеспечения продолжают выпускать продукты с этими уязвимостями, подвергая опасности большое количество пользователей. SQL-инъекции были классифицированы корпорацией MITRE как серьезные уязвимости еще в 2007 году, но они по-прежнему являются частой проблемой безопасности.
В справочнике CISA и ФБР подробно описаны уязвимости SQL и предлагаются контрмеры, такие как использование «подготовленных операторов», которые MySQL выпустила в 2004 году. Эти операторы обеспечивают более безопасный метод, чем очистка входных данных, которая часто менее эффективна и ее сложнее широко применять. Они помогают отделить код SQL от пользовательских данных.
В руководящих принципах также рекомендуется, чтобы руководство компаний-разработчиков программного обеспечения взяло на себя ответственность за безопасность клиентов, возможно, посредством формальных проверок кода, прозрачного сообщения об известных уязвимостях безопасности, создания CVE и организационных реорганизаций, ориентированных на безопасность.
Кампания «Secure by Design» способствует интеграции мер безопасности на каждом этапе жизненного цикла разработки программного обеспечения при поддержке CISA и глобальных партнеров. Помимо решения проблем внедрения SQL-кода, в нем содержится руководство по предотвращению фишинга и подчеркиваются риски, связанные с использованием паролей по умолчанию, и все это с целью создания более безопасной онлайн-среды.