Python Package Index (PyPI) ogłosił niedawno, że wprowadzi obowiązkowe uwierzytelnianie dwuskładnikowe (2FA) dla każdego konta zarządzającego projektem na swojej platformie. Oczekuje się, że użytkownicy włączą 2FA do końca 2023 r., W ramach ciągłych wysiłków PyPI na rzecz wzmocnienia bezpieczeństwa w całym repozytorium.
PyPI służy jako kluczowe repozytorium oprogramowania dla pakietów opracowanych w języku programowania Python. Dzięki ponad 200 000 pakietów dostępnych na platformie, programiści mogą łatwo znaleźć istniejące rozwiązania, aby zaspokoić potrzeby swoich projektów, oszczędzając cenny czas i zasoby.
Według zespołu PyPI, decyzja o wprowadzeniu 2FA dla wszystkich kont jest kontynuacją ich długoterminowego zaangażowania w zwiększanie bezpieczeństwa platformy. Poprzednie kroki w tym kierunku obejmowały blokowanie naruszonych danych uwierzytelniających i obsługę tokenów API. Oczekuje się, że wdrożenie 2FA jako obowiązkowego środka bezpieczeństwa jeszcze bardziej ochroni wydawców i użytkowników.
Jedną z głównych zalet wdrożenia 2FA jest znaczne zmniejszenie ryzyka ataków w łańcuchu dostaw. Takie incydenty mają miejsce, gdy aktor przejmuje kontrolę nad kontem opiekuna oprogramowania i wprowadza backdoora lub złośliwe oprogramowanie do pakietu wykorzystywanego jako zależność w wielu projektach oprogramowania. Ataki te mogą potencjalnie wpłynąć na miliony użytkowników, w zależności od popularności zaatakowanego pakietu. Podczas gdy deweloperzy są odpowiedzialni za sprawdzanie komponentów swoich projektów, nowy środek bezpieczeństwa PyPI ma na celu złagodzenie występowania takich problemów.
W ostatnich miesiącach repozytorium projektów Python doświadczyło wzrostu liczby przypadków wgrywania złośliwego oprogramowania, notorycznych prób podszywania się pod pakiety i ponownego przesyłania szkodliwego kodu przy użyciu przejętych kont. Powaga tych problemów zmusiła PyPI do tymczasowego wstrzymania rejestracji nowych użytkowników i projektów w zeszłym tygodniu, podczas gdy odpowiednie rozwiązanie obronne zostało opracowane i zastosowane.
Wraz z wprowadzeniem obowiązkowego 2FA, PyPI zamierza stawić czoła atakom polegającym na przejmowaniu kont i ograniczyć liczbę nowych kont, które zawieszeni użytkownicy mogą utworzyć w celu ponownego pobrania złośliwych pakietów. W nadchodzących miesiącach zainteresowani użytkownicy powinni przygotować się i aktywować dodatkową warstwę zabezpieczeń, używając klucza sprzętowego lub aplikacji uwierzytelniającej.
Tendencja do wzmacniania środków bezpieczeństwa na różnych platformach jest echem szerszej zmiany w kierunku rozwiązań no-code i low-code, takich jak AppMaster.io, które mają na celu zapewnienie bezpieczniejszego i bardziej wydajnego podejścia do tworzenia oprogramowania. Wzmocnienie praktyk bezpieczeństwa, w szczególności w zakresie zarządzania pakietami oprogramowania, przynosi korzyści użytkownikom i przyczynia się do utrzymania integralności projektów open source.