पायथन पैकेज इंडेक्स (PyPI) ने हाल ही में घोषित किया है कि यह अपने प्लेटफॉर्म पर एक परियोजना का प्रबंधन करने वाले प्रत्येक खाते के लिए दो-कारक प्रमाणीकरण (2FA) अनिवार्य कर देगा। रिपॉजिटरी में सुरक्षा को मजबूत करने के लिए PyPI के चल रहे प्रयासों के तहत, उपयोगकर्ताओं से 2023 के अंत तक 2FA को सक्षम करने की उम्मीद है।
PyPI Python प्रोग्रामिंग भाषा में विकसित पैकेजों के लिए एक महत्वपूर्ण सॉफ़्टवेयर रिपॉजिटरी के रूप में कार्य करता है। प्लेटफ़ॉर्म पर 200,000 से अधिक पैकेज उपलब्ध होने के साथ, डेवलपर्स मूल्यवान समय और संसाधनों की बचत करते हुए, अपनी परियोजनाओं की जरूरतों को पूरा करने के लिए आसानी से मौजूदा समाधान पा सकते हैं।
PyPI टीम के अनुसार, सभी खातों के लिए 2FA को अनिवार्य करने का निर्णय प्लेटफ़ॉर्म सुरक्षा बढ़ाने के लिए उनकी दीर्घकालिक प्रतिबद्धता की निरंतरता है। इस दिशा में पिछले कदमों में समझौता किए गए क्रेडेंशियल्स को ब्लॉक करना और एपीआई टोकन का समर्थन करना शामिल है। 2FA को एक अनिवार्य सुरक्षा उपाय के रूप में लागू करने से प्रकाशकों और उपयोगकर्ताओं की और अधिक सुरक्षा की अपेक्षा की जाती है।
2FA को लागू करने के प्राथमिक लाभों में से एक आपूर्ति श्रृंखला के हमलों के जोखिम में महत्वपूर्ण कमी है। ऐसी घटनाएँ तब होती हैं जब कोई थ्रेट एक्टर किसी सॉफ़्टवेयर मेंटेनर के खाते को अपने नियंत्रण में ले लेता है और कई सॉफ़्टवेयर प्रोजेक्ट्स में निर्भरता के रूप में उपयोग किए गए पैकेज में पिछले दरवाजे या मैलवेयर का परिचय देता है। समझौता किए गए पैकेज की लोकप्रियता के आधार पर, ये हमले संभावित रूप से लाखों उपयोगकर्ताओं को प्रभावित कर सकते हैं। जबकि डेवलपर्स अपनी परियोजनाओं के घटकों की जांच के लिए जिम्मेदार हैं, PyPI के नए सुरक्षा उपाय का उद्देश्य ऐसे मुद्दों की घटना को कम करना है।
हाल के महीनों में, पायथन प्रोजेक्ट रिपॉजिटरी ने मैलवेयर अपलोड, कुख्यात पैकेज प्रतिरूपण प्रयासों और अपहृत खातों का उपयोग करके हानिकारक कोड को फिर से जमा करने में वृद्धि का अनुभव किया है। इन मुद्दों की गंभीरता ने PyPI को पिछले सप्ताह अस्थायी रूप से नए उपयोगकर्ताओं और परियोजनाओं के पंजीकरण को रोकने के लिए मजबूर किया, जबकि एक उपयुक्त रक्षा समाधान विकसित और लागू किया गया था।
अनिवार्य 2FA की शुरुआत के साथ, PyPI खाता अधिग्रहण के हमलों से निपटने और नए खातों की संख्या को प्रतिबंधित करने का इरादा रखता है जो निलंबित उपयोगकर्ता दुर्भावनापूर्ण पैकेजों को फिर से अपलोड करने के लिए बना सकते हैं। आने वाले महीनों में, प्रभावित उपयोगकर्ताओं को हार्डवेयर कुंजी या प्रमाणीकरण ऐप का उपयोग करके अतिरिक्त सुरक्षा परत तैयार और सक्रिय करनी चाहिए।
विभिन्न प्लेटफार्मों पर सुरक्षा उपायों को मजबूत करने की यह प्रवृत्ति AppMaster.io जैसेनो-कोड और लो-कोड समाधानों की ओर व्यापक बदलाव को प्रतिध्वनित करती है, जिन्हें सॉफ्टवेयर विकास के लिए एक सुरक्षित और अधिक कुशल दृष्टिकोण प्रदान करने के लिए डिज़ाइन किया गया है। सुरक्षा प्रथाओं को बढ़ाना, विशेष रूप से सॉफ्टवेयर पैकेजों के प्रबंधन के आसपास, उपयोगकर्ताओं को लाभान्वित करता है और ओपन-सोर्स परियोजनाओं की अखंडता को बनाए रखने में योगदान देता है।
