Die US-amerikanische Cybersicherheitsbehörde CISA hat gemeinsam mit dem Federal Bureau of Investigations (FBI) Empfehlungen für Softwarehersteller herausgegeben, bei denen es um „Secure by Design“ geht und speziell das Thema SQL-Injection behandelt.
Der Secure by Design Alert: Eliminating SQL Injection Vulnerabilities in Software steht seit dem 25. März 2024 bereit und enthält eine Einführung und Grundlagen zum Thema mit vielen Links zu weiteren Quellen. Einer dieser Quellen sind die Security by Design Resources. Dort findet man auch das jeweils aktuelle PDF Dokument mit Empfehlungen.
Leider sind die – durchaus sehr hilfreichen – Empfehlungen sehr allgemein. Es gibt leider keinen konkreten Beispiele und wie man diese vermeidet. Im Dokument selbst sind wieder viele weitere Referenzen – wil man diese vollständig durcharbeiten, ist man längere Zeit beschäftigt.