Python Package Index (PyPI) baru-baru ini menyatakan akan membuat otentikasi dua faktor (2FA) wajib untuk setiap akun yang mengelola proyek di platform mereka. Pengguna diharapkan mengaktifkan 2FA pada akhir tahun 2023, sebagai bagian dari upaya berkelanjutan PyPI untuk memperkuat keamanan di seluruh repositori.
PyPI berfungsi sebagai repositori perangkat lunak penting untuk paket yang dikembangkan dalam bahasa pemrograman Python. Dengan lebih dari 200.000 paket yang tersedia di platform, pengembang dapat dengan mudah menemukan solusi yang ada untuk memenuhi kebutuhan proyek mereka, menghemat waktu dan sumber daya yang berharga.
Menurut tim PyPI, keputusan untuk mengamanatkan 2FA untuk semua akun merupakan kelanjutan dari komitmen jangka panjang mereka untuk meningkatkan keamanan platform. Langkah sebelumnya ke arah ini termasuk memblokir kredensial yang disusupi dan mendukung token API. Menerapkan 2FA sebagai tindakan keamanan wajib diharapkan dapat lebih melindungi penerbit dan pengguna.
Salah satu keuntungan utama penerapan 2FA adalah pengurangan risiko serangan rantai pasokan yang signifikan. Insiden semacam itu terjadi ketika pelaku ancaman mengambil kendali atas akun pengelola perangkat lunak dan memperkenalkan pintu belakang atau malware ke dalam paket yang digunakan sebagai ketergantungan dalam beberapa proyek perangkat lunak. Serangan ini berpotensi berdampak pada jutaan pengguna, bergantung pada popularitas paket yang disusupi. Sementara pengembang bertanggung jawab untuk memeriksa komponen proyek mereka, tindakan keamanan baru PyPI bertujuan untuk meringankan terjadinya masalah tersebut.
Dalam beberapa bulan terakhir, repositori proyek Python telah mengalami peningkatan unggahan malware, upaya peniruan paket yang terkenal, dan pengiriman ulang kode berbahaya menggunakan akun yang dibajak. Tingkat keparahan masalah ini memaksa PyPI untuk menghentikan sementara pendaftaran pengguna dan proyek baru untuk sementara minggu lalu sementara solusi pertahanan yang sesuai dikembangkan dan diterapkan.
Dengan diperkenalkannya 2FA wajib, PyPI bermaksud untuk mengatasi serangan pengambilalihan akun dan membatasi jumlah akun baru yang dapat dibuat oleh pengguna yang ditangguhkan untuk mengunggah kembali paket berbahaya. Dalam beberapa bulan mendatang, pengguna yang terkena dampak harus menyiapkan dan mengaktifkan lapisan keamanan tambahan, baik menggunakan kunci perangkat keras atau aplikasi autentikasi.
Tren penguatan langkah-langkah keamanan di berbagai platform ini menggemakan pergeseran yang lebih luas menuju solusi tanpa kode dan kode rendah , seperti AppMaster.io , yang dirancang untuk memberikan pendekatan pengembangan perangkat lunak yang lebih aman dan lebih efisien. Meningkatkan praktik keamanan, khususnya seputar pengelolaan paket perangkat lunak, menguntungkan pengguna dan berkontribusi dalam menjaga integritas proyek sumber terbuka.