De Python Package Index (PyPI) heeft onlangs verklaard dat het twee-factor authenticatie (2FA) verplicht zal maken voor elk account dat een project op hun platform beheert. Er wordt verwacht dat gebruikers 2FA inschakelen tegen eind 2023, als onderdeel van PyPI's voortdurende inspanningen om de beveiliging in de hele repository te versterken.
PyPI dient als een cruciale softwarerepository voor pakketten ontwikkeld in de programmeertaal Python. Met meer dan 200.000 pakketten beschikbaar op het platform, kunnen ontwikkelaars gemakkelijk bestaande oplossingen vinden om aan de behoeften van hun projecten te voldoen, wat waardevolle tijd en middelen bespaart.
Volgens het PyPI team is de beslissing om 2FA voor alle accounts verplicht te stellen een voortzetting van hun lange termijn inzet om de veiligheid van het platform te verbeteren. Eerdere stappen in deze richting zijn onder andere het blokkeren van gecompromitteerde credentials en het ondersteunen van API tokens. De implementatie van 2FA als verplichte veiligheidsmaatregel zal naar verwachting uitgevers en gebruikers verder beschermen.
Een van de belangrijkste voordelen van de implementatie van 2FA is de aanzienlijke vermindering van het risico van ketenaanvallen. Dergelijke incidenten doen zich voor wanneer een bedreigende actor de controle over het account van een softwarebeheerder overneemt en een achterdeur of malware introduceert in een pakket dat als afhankelijkheid in meerdere softwareprojecten wordt gebruikt. Deze aanvallen kunnen miljoenen gebruikers treffen, afhankelijk van de populariteit van het gecompromitteerde pakket. Hoewel ontwikkelaars verantwoordelijk zijn voor het onderzoeken van de onderdelen van hun projecten, is de nieuwe beveiligingsmaatregel van PyPI erop gericht het optreden van dergelijke problemen te verlichten.
In de afgelopen maanden heeft de Python-projectrepository een toename gezien van malware-uploads, beruchte pogingen tot imitatie van pakketten en het opnieuw indienen van schadelijke code met behulp van gekaapte accounts. De ernst van deze problemen dwong PyPI vorige week om registraties van nieuwe gebruikers en projecten tijdelijk op te schorten terwijl een geschikte verdedigingsoplossing werd ontwikkeld en toegepast.
Met de invoering van verplichte 2FA wil PyPI accountovername-aanvallen aanpakken en het aantal nieuwe accounts beperken dat geschorste gebruikers kunnen aanmaken voor het opnieuw uploaden van schadelijke pakketten. In de komende maanden moeten getroffen gebruikers zich voorbereiden en de extra beveiligingslaag activeren, met behulp van een hardwaresleutel of een authenticatie-app.
Deze trend van versterking van de beveiligingsmaatregelen op verschillende platforms sluit aan bij de bredere verschuiving naar no-code en low-code oplossingen, zoals AppMaster.io, die zijn ontworpen om een veiligere en efficiëntere aanpak van softwareontwikkeling te bieden. Het verbeteren van beveiligingspraktijken, met name rond het beheer van softwarepakketten, komt de gebruikers ten goede en draagt bij tot het behoud van de integriteit van open source-projecten.