Python Package Index(PyPI)はこのほど、プラットフォーム上でプロジェクトを管理するすべてのアカウントに対して二要素認証(2FA)を義務付けると宣言しました。PyPIが進めているリポジトリ全体のセキュリティ強化の一環として、ユーザーは2023年末までに2FAを有効にすることが期待されています。
PyPIは、プログラミング言語Pythonで開発されたパッケージのための重要なソフトウェアリポジトリとして機能しています。PyPIでは20万以上のパッケージが公開されており、開発者はプロジェクトのニーズを満たす既存のソリューションを容易に見つけることができるため、貴重な時間とリソースを節約することができます。
PyPIチームによると、すべてのアカウントで2FAを義務付けるという決定は、プラットフォームのセキュリティ強化に対する長期的なコミットメントの継続であるとのことです。この方向でのこれまでのステップには、漏洩した認証情報のブロックやAPIトークンのサポートが含まれています。2FAを必須のセキュリティ対策として実装することで、パブリッシャーとユーザーをさらに保護することが期待されます。
2FAを導入する主な利点の1つは、サプライチェーン攻撃のリスクを大幅に低減できることです。このような事件は、脅威者がソフトウェアメンテナのアカウントを制御し、複数のソフトウェアプロジェクトの依存関係として利用されているパッケージにバックドアやマルウェアを導入することで発生します。このような攻撃は、侵害されたパッケージの人気度によって、数百万人のユーザーに影響を与える可能性があります。開発者は、自分のプロジェクトのコンポーネントを調べる責任がありますが、PyPIの新しいセキュリティ対策は、このような問題の発生を緩和することを目的としています。
ここ数カ月、Pythonプロジェクトリポジトリでは、マルウェアのアップロード、有名なパッケージのなりすまし、乗っ取ったアカウントを使った有害コードの再投稿が増加しています。これらの問題の深刻さから、PyPIは先週、適切な防御ソリューションが開発・適用される間、新規ユーザーとプロジェクトの登録を一時的に停止することを余儀なくされました。
2FAの義務化により、PyPIはアカウント乗っ取り攻撃に対処し、停止したユーザーが悪意のあるパッケージを再アップロードするために作成できる新しいアカウントの数を制限することを意図しています。今後数ヶ月の間に、影響を受けるユーザーは、ハードウェアキーまたは認証アプリのいずれかを使用して、追加のセキュリティレイヤーを準備し、有効にする必要があります。
さまざまなプラットフォームでセキュリティ対策を強化するこの傾向は、AppMaster.io のようなノーコードやローコードソリューションへの幅広いシフトと呼応しています。セキュリティ対策の強化、特にソフトウェアパッケージの管理に関する強化は、ユーザーに利益をもたらし、オープンソースプロジェクトの完全性を維持することに貢献する。