【公益译文】设计安全警报：消灭软件中的SQL注入漏洞

SQL注入漏洞是商业软件中的持久型漏洞，攻击者利用该漏洞破坏系统。

CISA和FBI发布《设计安全警报》，敦促技术厂商检查代码，消除SQL注入漏洞。

设计安全（Secure by Design）是指从产品设计到发布的全过程中，防止恶意攻击者利用漏洞。

SQL注入漏洞源于开发人员忽视安全最佳实践，导致数据库查询和用户数据混合。

开发人员应使用参数化查询和准备好的语句，避免SQL注入漏洞的产生。

厂商应在开发环境中实施参数化查询，确保用户输入被视为数据而非可执行代码。

厂商应对产品漏洞保持透明，跟踪和披露与软件相关的漏洞类别。

领导者应优先考虑产品安全性，制定激励结构，将安全作为商业目标。

厂商应全面实施《设计保证安全》警报中的原则和实践，保护客户安全。