Der Python Package Index (PyPI) hat kürzlich erklärt, dass er die Zwei-Faktor-Authentifizierung (2FA) für jedes Konto, das ein Projekt auf seiner Plattform verwaltet, zur Pflicht machen wird. Es wird erwartet, dass die Nutzer die 2FA bis Ende 2023 aktivieren. Dies ist Teil der laufenden Bemühungen von PyPI, die Sicherheit des gesamten Repositorys zu verbessern.
PyPI dient als wichtiges Software-Repository für Pakete, die in der Programmiersprache Python entwickelt wurden. Mit mehr als 200.000 Paketen, die auf der Plattform verfügbar sind, können Entwickler leicht bestehende Lösungen finden, um die Anforderungen ihrer Projekte zu erfüllen, was wertvolle Zeit und Ressourcen spart.
Laut dem PyPI-Team ist die Entscheidung, 2FA für alle Konten vorzuschreiben, eine Fortsetzung ihres langfristigen Engagements zur Verbesserung der Sicherheit der Plattform. Frühere Schritte in diese Richtung waren die Sperrung von kompromittierten Anmeldeinformationen und die Unterstützung von API-Tokens. Die Einführung von 2FA als obligatorische Sicherheitsmaßnahme soll den Schutz von Herausgebern und Nutzern weiter erhöhen.
Einer der Hauptvorteile der Einführung von 2FA ist die erhebliche Verringerung des Risikos von Angriffen in der Lieferkette. Solche Vorfälle treten auf, wenn ein Bedrohungsakteur die Kontrolle über das Konto eines Softwarepflegers übernimmt und eine Hintertür oder Malware in ein Paket einschleust, das als Abhängigkeit in mehreren Softwareprojekten verwendet wird. Je nach Popularität des kompromittierten Pakets können diese Angriffe potenziell Millionen von Benutzern betreffen. Während die Entwickler für die Überprüfung der Komponenten ihrer Projekte verantwortlich sind, zielt die neue Sicherheitsmaßnahme von PyPI darauf ab, das Auftreten solcher Probleme zu verringern.
In den letzten Monaten hat das Python-Projekt-Repository eine Zunahme von Malware-Uploads, berüchtigten Paket-Impersonationsversuchen und der Wiedereinreichung von schädlichem Code über gekaperte Konten erlebt. Aufgrund der Schwere dieser Probleme sah sich PyPI letzte Woche gezwungen, die Registrierung neuer Benutzer und Projekte vorübergehend zu unterbrechen, während eine geeignete Verteidigungslösung entwickelt und angewendet wurde.
Mit der Einführung der obligatorischen 2FA will die PyPI Angriffe auf Kontenübernahmen bekämpfen und die Anzahl neuer Konten einschränken, die gesperrte Nutzer für das erneute Hochladen schädlicher Pakete erstellen können. In den kommenden Monaten sollten die betroffenen Nutzer die zusätzliche Sicherheitsebene vorbereiten und aktivieren, indem sie entweder einen Hardware-Schlüssel oder eine Authentifizierungs-App verwenden.
Dieser Trend zur Verstärkung der Sicherheitsmaßnahmen auf verschiedenen Plattformen spiegelt den allgemeinen Trend zu No-Code- und Low-Code-Lösungen wider, wie AppMaster.io, die einen sichereren und effizienteren Ansatz für die Softwareentwicklung bieten sollen. Die Verbesserung der Sicherheitspraktiken, insbesondere bei der Verwaltung von Softwarepaketen, kommt den Nutzern zugute und trägt zur Wahrung der Integrität von Open-Source-Projekten bei.
