Som en del av kampanjen "Secure by Design" har FBI och CISA, den amerikanska cybersäkerhetsmyndigheten, publicerat riktlinjer för hur utvecklare ska hantera SQL-injektionssårbarheter.
Detta program, som startades av CISA och FBI, syftar till att informera och varna programutvecklare om risken för SQL-injektionsattacker och tillhandahålla tekniker för att mildra effekterna.
"Secure by Design Alert" släpptes som svar på Moveit Transfer-fel som påverkade tusentals användare. Hur allvarliga och frekventa dessa säkerhetsproblem är har uppmärksammats i en guide som heter["Eliminating SQL Injection Vulnerabilities in Software](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)".
I mer än 20 år har SQL injection-sårbarheter dokumenterats grundligt och det finns beprövade sätt att undvika dem. Trots detta har programutvecklare fortsatt att släppa produkter med dessa sårbarheter, vilket har utsatt ett stort antal användare för fara. SQL-injektioner kategoriserades som betydande sårbarheter av MITRE Corporation redan 2007, men de är fortfarande ett vanligt säkerhetsproblem.
CISA- och FBI-handboken beskriver SQL-sårbarheter i detalj och föreslår motåtgärder, som att använda "förberedda uttalanden", som MySQL lanserade 2004. Dessa uttalanden är en säkrare metod än input sanitization, som ofta är mindre effektiv och svårare att använda på bred front. De hjälper till att separera SQL-kod från användardata.
Riktlinjerna rekommenderar vidare att ledningen för programvaruföretag tar ansvar för kundernas säkerhet, eventuellt genom formella kodgranskningar, transparent rapportering av kända säkerhetsproblem, skapande av CVE och säkerhetsfokuserade organisatoriska omorganisationer.
Kampanjen "Secure by Design" främjar integreringen av säkerhetsåtgärder i varje steg av livscykeln för mjukvaruutveckling, med stöd från CISA och globala partners. Förutom att ta upp SQL-injektion innehåller den en guide om förebyggande av nätfiske och betonar riskerna med att använda standardlösenord, allt i syfte att främja en säkrare onlinemiljö.