FBI a CISA, americká agentúra pre kybernetickú bezpečnosť, v rámci svojej kampane „Secure by Design“ zverejnili pokyny pre vývojárov na riešenie zraniteľných miest vkladania SQL.
Tento program, ktorý spustili CISA a FBI, má informovať a varovať vývojárov softvéru o potenciáli útokov SQL injection a poskytnúť techniky na zmiernenie.
„Secure by Design Alert“ bolo vydané ako odpoveď na chyby Moveit Transfer, ktoré postihli tisíce používateľov. Závažnosť a častý výskyt týchto bezpečnostných problémov boli zdôraznené v príručke s názvom „Eliminating SQL Injection Vulnerabilities in Software".
Už viac ako 20 rokov sú zraniteľné miesta SQL injection dôkladne zdokumentované a existujú testované spôsoby, ako sa im vyhnúť. Vývojári softvéru napriek tomu naďalej uvoľňujú produkty s týmito zraniteľnosťami, čím ohrozujú veľký počet používateľov. Injekcie SQL boli spoločnosťou MITER Corporation kategorizované ako významné zraniteľnosti už v roku 2007, ale stále sú častým bezpečnostným problémom.
Príručka CISA a FBI podrobne popisuje zraniteľné miesta SQL a navrhuje protiopatrenia, ako je použitie „pripravených príkazov“, ktoré MySQL vydala v roku 2004. Tieto príkazy poskytujú bezpečnejšiu metódu ako dezinfekcia vstupov, ktorá je často menej efektívna a je náročnejšie na rozsiahle nasadenie. Pomáhajú pri oddeľovaní kódu SQL od používateľských údajov.
Smernice ďalej odporúčajú, aby vedenie softvérových spoločností prevzalo vlastníctvo zákazníckej bezpečnosti, možno prostredníctvom formálneho preskúmania kódu, transparentného hlásenia známych bezpečnostných zraniteľností, vytvárania CVE a organizačných reorganizácií zameraných na bezpečnosť.
Kampaň „Secure by Design“ podporuje integráciu bezpečnostných opatrení v každej fáze životného cyklu vývoja softvéru s podporou CISA a globálnych partnerov. Okrem riešenia SQL injection poskytuje návod na prevenciu phishingu a zdôrazňuje riziká spojené s používaním predvolených hesiel, to všetko s cieľom podporiť bezpečnejšie online prostredie.