FBI ve ABD siber güvenlik kurumu CISA, 'Tasarım Yoluyla Güvenli' kampanyasının bir parçası olarak, geliştiricilerin SQL enjeksiyon güvenlik açıklarını ele almaları için yönergeler yayınladı.
CISA ve FBI tarafından başlatılan bu programın amacı, yazılım geliştiricilerini SQL enjeksiyon saldırılarının potansiyeli konusunda bilgilendirmek, uyarmak ve hafifletme teknikleri sağlamaktır.
Binlerce kullanıcıyı etkileyen Moveit Transfer kusurlarına yanıt olarak "Tasarım Yoluyla Güvenli Uyarısı" yayınlandı. Bu güvenlik sorunlarının ciddiyeti ve sık sık ortaya çıkması, "Yazılımdaki SQL Enjeksiyon Güvenlik Açıklarının Ortadan Kaldırılması".
20 yılı aşkın bir süredir SQL enjeksiyon güvenlik açıkları kapsamlı bir şekilde belgelenmiştir ve bunları önlemenin test edilmiş yolları vardır. Yazılım geliştiricileri buna rağmen bu güvenlik açıklarına sahip ürünler yayınlamaya devam ederek çok sayıda kullanıcıyı tehlikeye attı. SQL enjeksiyonları, MITRE Corporation tarafından 2007 gibi erken bir tarihte önemli güvenlik açıkları olarak sınıflandırılmıştı, ancak bunlar hâlâ sık karşılaşılan bir güvenlik sorunudur.
CISA ve FBI el kitabı, SQL güvenlik açıklarını ayrıntılı olarak açıklıyor ve MySQL'in 2004'te yayınladığı "hazır ifadeleri" kullanmak gibi karşı önlemler öneriyor. Bu ifadeler, genellikle daha az verimli ve yaygın olarak dağıtılması daha zor olan giriş temizleme işleminden daha güvenli bir yöntem sağlar. SQL kodunu kullanıcı verilerinden ayırmaya yardımcı olurlar.
Kılavuzlar ayrıca, yazılım şirketlerinin liderlerinin, muhtemelen resmi kod incelemeleri, bilinen güvenlik açıklarının şeffaf raporlaması, CVE oluşturma ve güvenlik odaklı kurumsal yeniden yapılanmalar yoluyla müşteri güvenliğinin sahipliğini almasını önermektedir.
'Tasarım Yoluyla Güvenli' kampanyası, CISA ve küresel ortakların desteğiyle, yazılım geliştirme yaşam döngüsünün her aşamasında güvenlik önlemlerinin entegrasyonunu desteklemektedir. SQL enjeksiyonunu ele almanın yanı sıra, kimlik avını önlemeye yönelik bir kılavuz sağlar ve varsayılan şifrelerin kullanılmasıyla ilişkili riskleri vurgular; tümünün amacı daha güvenli bir çevrimiçi ortam geliştirmektir.