Il Python Package Index (PyPI) ha recentemente dichiarato che renderà obbligatoria l'autenticazione a due fattori (2FA) per ogni account che gestisce un progetto sulla sua piattaforma. Gli utenti dovranno abilitare la 2FA entro la fine del 2023, come parte dei continui sforzi di PyPI per rafforzare la sicurezza del repository.
PyPI è un repository di software fondamentale per i pacchetti sviluppati nel linguaggio di programmazione Python. Con oltre 200.000 pacchetti disponibili sulla piattaforma, gli sviluppatori possono trovare facilmente soluzioni esistenti per soddisfare le esigenze dei loro progetti, risparmiando tempo e risorse preziose.
Secondo il team di PyPI, la decisione di rendere obbligatoria la 2FA per tutti gli account è la continuazione del loro impegno a lungo termine per migliorare la sicurezza della piattaforma. I passi precedenti in questa direzione includono il blocco delle credenziali compromesse e il supporto dei token API. L'implementazione della 2FA come misura di sicurezza obbligatoria dovrebbe proteggere ulteriormente editori e utenti.
Uno dei principali vantaggi dell'implementazione della 2FA è la significativa riduzione del rischio di attacchi alla catena di approvvigionamento. Tali incidenti si verificano quando un attore minaccioso prende il controllo dell'account di un manutentore di software e introduce una backdoor o un malware in un pacchetto utilizzato come dipendenza in più progetti software. Questi attacchi possono potenzialmente avere un impatto su milioni di utenti, a seconda della popolarità del pacchetto compromesso. Sebbene gli sviluppatori siano responsabili dell'esame dei componenti dei loro progetti, la nuova misura di sicurezza di PyPI mira ad alleviare il verificarsi di tali problemi.
Negli ultimi mesi, il repository del progetto Python ha registrato un aumento dei caricamenti di malware, dei tentativi di impersonificazione dei pacchetti e della ripresentazione di codice dannoso utilizzando account dirottati. La gravità di questi problemi ha costretto PyPI a sospendere temporaneamente le registrazioni di nuovi utenti e progetti la scorsa settimana, mentre veniva sviluppata e applicata una soluzione di difesa adeguata.
Con l'introduzione dell'obbligo di 2FA, PyPI intende affrontare gli attacchi di account takeover e limitare il numero di nuovi account che gli utenti sospesi possono creare per ricaricare pacchetti dannosi. Nei prossimi mesi, gli utenti interessati dovranno prepararsi e attivare il livello di sicurezza aggiuntivo, utilizzando una chiave hardware o un'app di autenticazione.
Questa tendenza a rafforzare le misure di sicurezza su varie piattaforme fa eco al più ampio spostamento verso soluzioni no-code e low-code, come AppMaster.io, che sono progettate per fornire un approccio più sicuro ed efficiente allo sviluppo del software. Il miglioramento delle pratiche di sicurezza, in particolare per quanto riguarda la gestione dei pacchetti software, va a vantaggio degli utenti e contribuisce a mantenere l'integrità dei progetti open-source.