El Python Package Index (PyPI) ha declarado recientemente que hará obligatoria la autenticación de dos factores (2FA) para todas las cuentas que gestionen un proyecto en su plataforma. Se espera que los usuarios habiliten 2FA para finales de 2023, como parte de los esfuerzos continuos de PyPI para reforzar la seguridad en todo el repositorio.
PyPI es un repositorio de software crucial para los paquetes desarrollados en el lenguaje de programación Python. Con más de 200.000 paquetes disponibles en la plataforma, los desarrolladores pueden encontrar fácilmente soluciones existentes para satisfacer las necesidades de sus proyectos, ahorrando tiempo y recursos valiosos.
Según el equipo de PyPI, la decisión de exigir 2FA para todas las cuentas es una continuación de su compromiso a largo plazo para mejorar la seguridad de la plataforma. Los pasos previos en esta dirección incluyen el bloqueo de credenciales comprometidas y el soporte de tokens API. Se espera que la implementación de 2FA como medida de seguridad obligatoria proteja aún más a editores y usuarios.
Una de las principales ventajas de la implantación de la 2FA es la reducción significativa del riesgo de ataques a la cadena de suministro. Estos incidentes se producen cuando un agente de amenazas toma el control de la cuenta de un mantenedor de software e introduce una puerta trasera o malware en un paquete utilizado como dependencia en múltiples proyectos de software. Estos ataques pueden afectar potencialmente a millones de usuarios, dependiendo de la popularidad del paquete comprometido. Aunque los desarrolladores son responsables de examinar los componentes de sus proyectos, la nueva medida de seguridad de PyPI pretende paliar la aparición de este tipo de problemas.
En los últimos meses, el repositorio de proyectos Python ha experimentado un aumento de cargas de malware, intentos notorios de suplantación de paquetes y el reenvío de código dañino utilizando cuentas secuestradas. La gravedad de estos problemas obligó a PyPI a pausar temporalmente el registro de nuevos usuarios y proyectos la semana pasada mientras se desarrollaba y aplicaba una solución de defensa adecuada.
Con la introducción de la 2FA obligatoria, PyPI pretende hacer frente a los ataques de apropiación de cuentas y restringir el número de cuentas nuevas que los usuarios suspendidos pueden crear para volver a cargar paquetes maliciosos. En los próximos meses, los usuarios afectados deberán preparar y activar la capa de seguridad adicional, utilizando una llave hardware o una app de autenticación.
Esta tendencia a reforzar las medidas de seguridad en diversas plataformas se hace eco del cambio más amplio hacia soluciones sin código y de bajo código, como AppMaster.io, diseñadas para ofrecer un enfoque más seguro y eficiente del desarrollo de software. La mejora de las prácticas de seguridad, especialmente en torno a la gestión de paquetes de software, beneficia a los usuarios y contribuye a mantener la integridad de los proyectos de código abierto.