PyPI(Python Package Index)는 최근 플랫폼에서 프로젝트를 관리하는 모든 계정에 대해 2단계 인증(2FA)을 의무화할 것이라고 선언했습니다. 저장소 전체의 보안을 강화하기 위한 PyPI의 지속적인 노력의 일환으로 사용자는 2023년 말까지 2FA를 활성화할 것으로 예상됩니다.
PyPI는 Python 프로그래밍 언어로 개발된 패키지를 위한 중요한 소프트웨어 리포지토리 역할을 합니다. 플랫폼에서 사용할 수 있는 200,000개 이상의 패키지를 통해 개발자는 프로젝트의 요구 사항을 충족하는 기존 솔루션을 쉽게 찾을 수 있으므로 귀중한 시간과 리소스를 절약할 수 있습니다.
PyPI 팀에 따르면 모든 계정에 대해 2FA를 의무화하기로 한 결정은 플랫폼 보안을 강화하기 위한 장기적인 노력의 연속입니다. 이 방향의 이전 단계에는 손상된 자격 증명 차단 및 API 토큰 지원이 포함됩니다. 필수 보안 조치로 2FA를 구현하면 게시자와 사용자를 더욱 보호할 수 있습니다.
2FA 구현의 주요 이점 중 하나는 공급망 공격의 위험이 크게 감소한다는 것입니다. 이러한 사건은 위협 행위자가 소프트웨어 유지 관리자의 계정을 제어하고 여러 소프트웨어 프로젝트에서 종속 항목으로 사용되는 패키지에 백도어 또는 맬웨어를 도입할 때 발생합니다. 이러한 공격은 손상된 패키지의 인기도에 따라 잠재적으로 수백만 명의 사용자에게 영향을 미칠 수 있습니다. 개발자는 프로젝트의 구성 요소를 검사할 책임이 있지만 PyPI의 새로운 보안 조치는 이러한 문제의 발생을 완화하는 것을 목표로 합니다.
최근 몇 달 동안 Python 프로젝트 리포지토리는 맬웨어 업로드, 악명 높은 패키지 사칭 시도, 하이재킹된 계정을 사용한 유해한 코드 재제출이 증가했습니다. 이러한 문제의 심각성으로 인해 PyPI는 적절한 방어 솔루션을 개발하고 적용하는 동안 지난 주 일시적으로 신규 사용자 및 프로젝트 등록을 일시 중지해야 했습니다.
필수 2FA 도입으로 PyPI는 계정 탈취 공격을 해결하고 일시 중지된 사용자가 악성 패키지를 다시 업로드하기 위해 만들 수 있는 새 계정의 수를 제한할 계획입니다. 향후 몇 개월 동안 영향을 받는 사용자는 하드웨어 키 또는 인증 앱을 사용하여 추가 보안 계층을 준비하고 활성화해야 합니다.
다양한 플랫폼에서 보안 조치를 강화하는 이러한 추세는 소프트웨어 개발에 더 안전하고 효율적인 접근 방식을 제공하도록 설계된 AppMaster.io와 같은 노코드 및 로우코드 솔루션으로의 광범위한 변화를 반영합니다. 특히 소프트웨어 패키지 관리와 관련된 보안 관행을 강화하면 사용자에게 혜택을 주고 오픈 소스 프로젝트의 무결성을 유지하는 데 기여합니다.
