Indeks pakietów Pythona wprowadza obowiązkowe uwierzytelnianie dwuskładnikowe w celu zwiększenia bezpieczeństwa

Python Package Index (PyPI) ogłosił niedawno, że wprowadzi obowiązkowe uwierzytelnianie dwuskładnikowe (2FA) dla każdego konta zarządzającego projektem na swojej platformie. Oczekuje się, że użytkownicy włączą 2FA do końca 2023 r., W ramach ciągłych wysiłków PyPI na rzecz wzmocnienia bezpieczeństwa w całym repozytorium.

PyPI służy jako kluczowe repozytorium oprogramowania dla pakietów opracowanych w języku programowania Python. Dzięki ponad 200 000 pakietów dostępnych na platformie, programiści mogą łatwo znaleźć istniejące rozwiązania, aby zaspokoić potrzeby swoich projektów, oszczędzając cenny czas i zasoby.

Według zespołu PyPI, decyzja o wprowadzeniu 2FA dla wszystkich kont jest kontynuacją ich długoterminowego zaangażowania w zwiększanie bezpieczeństwa platformy. Poprzednie kroki w tym kierunku obejmowały blokowanie naruszonych danych uwierzytelniających i obsługę tokenów API. Oczekuje się, że wdrożenie 2FA jako obowiązkowego środka bezpieczeństwa jeszcze bardziej ochroni wydawców i użytkowników.

Jedną z głównych zalet wdrożenia 2FA jest znaczne zmniejszenie ryzyka ataków w łańcuchu dostaw. Takie incydenty mają miejsce, gdy aktor przejmuje kontrolę nad kontem opiekuna oprogramowania i wprowadza backdoora lub złośliwe oprogramowanie do pakietu wykorzystywanego jako zależność w wielu projektach oprogramowania. Ataki te mogą potencjalnie wpłynąć na miliony użytkowników, w zależności od popularności zaatakowanego pakietu. Podczas gdy deweloperzy są odpowiedzialni za sprawdzanie komponentów swoich projektów, nowy środek bezpieczeństwa PyPI ma na celu złagodzenie występowania takich problemów.

W ostatnich miesiącach repozytorium projektów Python doświadczyło wzrostu liczby przypadków wgrywania złośliwego oprogramowania, notorycznych prób podszywania się pod pakiety i ponownego przesyłania szkodliwego kodu przy użyciu przejętych kont. Powaga tych problemów zmusiła PyPI do tymczasowego wstrzymania rejestracji nowych użytkowników i projektów w zeszłym tygodniu, podczas gdy odpowiednie rozwiązanie obronne zostało opracowane i zastosowane.

Wraz z wprowadzeniem obowiązkowego 2FA, PyPI zamierza stawić czoła atakom polegającym na przejmowaniu kont i ograniczyć liczbę nowych kont, które zawieszeni użytkownicy mogą utworzyć w celu ponownego pobrania złośliwych pakietów. W nadchodzących miesiącach zainteresowani użytkownicy powinni przygotować się i aktywować dodatkową warstwę zabezpieczeń, używając klucza sprzętowego lub aplikacji uwierzytelniającej.

Tendencja do wzmacniania środków bezpieczeństwa na różnych platformach jest echem szerszej zmiany w kierunku rozwiązań no-code i low-code, takich jak AppMaster.io, które mają na celu zapewnienie bezpieczniejszego i bardziej wydajnego podejścia do tworzenia oprogramowania. Wzmocnienie praktyk bezpieczeństwa, w szczególności w zakresie zarządzania pakietami oprogramowania, przynosi korzyści użytkownikom i przyczynia się do utrzymania integralności projektów open source.