У рамках своєї кампанії «Безпека за дизайном» ФБР і CISA, агентство з кібербезпеки США, опублікували рекомендації для розробників щодо усунення вразливостей SQL-ін’єкції.
Ця програма, започаткована CISA та ФБР, має інформувати та попереджати розробників програмного забезпечення про потенціал атак SQL-ін’єкцій та надавати методи пом’якшення.
Повідомлення «Secure by Design Alert» було випущено у відповідь на недоліки Moveit Transfer, які вплинули на тисячі користувачів. Серйозність і часте виникнення цих проблем безпеки було висвітлено в посібнику під назвою «Усунення вразливостей SQL-ін’єкцій у програмному забезпеченні».
Понад 20 років уразливості SQL-ін’єкції були ретельно задокументовані, і існують перевірені способи їх уникнення. Незважаючи на це, розробники програмного забезпечення продовжували випускати продукти з цими вразливими місцями, створюючи небезпеку для великої кількості користувачів. SQL-ін’єкції були віднесені до категорії значних уразливостей корпорацією MITER ще в 2007 році, але вони все ще є частою проблемою безпеки.
У довіднику CISA та FBI детально описуються вразливості SQL і пропонуються контрзаходи, як-от використання «підготовлених інструкцій», які MySQL опублікував у 2004 році. Ці інструкції забезпечують більш безпечний метод, ніж очищення вхідних даних, яке часто є менш ефективним і його складніше широко розгорнути. Вони допомагають відокремити код SQL від даних користувача.
Керівництво також рекомендує, щоб керівництво компаній, що займаються програмним забезпеченням, взяло на себе відповідальність за безпеку клієнтів, можливо, шляхом офіційного перегляду коду, прозорого звітування про відомі вразливості безпеки, створення CVE та орієнтованої на безпеку організаційної реорганізації.
Кампанія «Secure by Design» сприяє інтеграції заходів безпеки на кожному етапі життєвого циклу розробки програмного забезпечення за підтримки CISA та глобальних партнерів. На додаток до розгляду SQL-ін’єкцій, він містить посібник із запобігання фішингу та наголошує на ризиках, пов’язаних із використанням паролів за замовчуванням, усе з метою сприяння більш безпечному онлайн-середовищу.