Som en del av sin "Secure by Design"-kampanj har FBI och CISA, den amerikanska cybersäkerhetsbyrån, publicerat riktlinjer för utvecklare för att ta itu med SQL-injektionssårbarheter.
Detta program, som startades av CISA och FBI, ska informera och varna mjukvaruutvecklare om potentialen för SQL-injektionsattacker och tillhandahålla begränsningstekniker.
"Secure by Design Alert" släpptes som svar på Moveit Transfer-brister som påverkade tusentals användare. Allvaret och ofta förekommande av dessa säkerhetsproblem har belysts i en guide som heter "Eliminering av SQL Injection Vulnerabilities in Software".
I mer än 20 år har sårbarheter för SQL-injektion dokumenterats noggrant och det finns testade sätt att undvika dem. Mjukvaruutvecklare har trots detta fortsatt att släppa produkter med dessa sårbarheter, vilket äventyrar ett stort antal användare. SQL-injektioner kategoriserades som betydande sårbarheter av MITER Corporation så tidigt som 2007, men de är fortfarande ett vanligt säkerhetsproblem.
CISA och FBI-handboken beskriver SQL-sårbarheter i detalj och föreslår motåtgärder, som att använda "prepared statements", som MySQL släppte 2004. Dessa uttalanden ger en säkrare metod än indatasanering, som ofta är mindre effektiv och svårare att distribuera brett. De hjälper till att separera SQL-kod från användardata.
Riktlinjerna rekommenderar vidare att ledarskapet för mjukvaruföretag tar ägarskap över kundsäkerhet, eventuellt genom formella kodgranskningar, transparent rapportering av kända säkerhetsbrister, skapande av CVE och säkerhetsfokuserade organisationsförändringar.
Kampanjen "Secure by Design" främjar integrationen av säkerhetsåtgärder i varje skede av mjukvaruutvecklingens livscykel, med stöd från CISA och globala partners. Förutom att ta itu med SQL-injektion ger den en guide om förebyggande av nätfiske och betonar riskerna med att använda standardlösenord, allt med målet att främja en säkrare onlinemiljö.
Code Labs Academy Cybersecurity Bootcamp: Lär dig cybersäkerhet online med finansiering