O Python Package Index (PyPI) declarou recentemente que tornará a autenticação de dois fatores (2FA) obrigatória para todas as contas que gerenciam um projeto em sua plataforma. Espera-se que os utilizadores activem a 2FA até ao final de 2023, como parte dos esforços contínuos do PyPI para reforçar a segurança em todo o repositório.
O PyPI serve como um repositório de software crucial para pacotes desenvolvidos na linguagem de programação Python. Com mais de 200.000 pacotes disponíveis na plataforma, os programadores podem facilmente encontrar soluções existentes para satisfazer as necessidades dos seus projectos, poupando tempo e recursos valiosos.
De acordo com a equipa do PyPI, a decisão de exigir 2FA para todas as contas é uma continuação do seu compromisso a longo prazo para melhorar a segurança da plataforma. Os passos anteriores nessa direção incluem o bloqueio de credenciais comprometidas e o suporte a tokens de API. Espera-se que a implementação da 2FA como uma medida de segurança obrigatória proteja ainda mais os editores e os utilizadores.
Uma das principais vantagens da implementação da 2FA é a redução significativa do risco de ataques à cadeia de fornecimento. Estes incidentes ocorrem quando um agente de ameaça assume o controlo da conta de um responsável pela manutenção de software e introduz uma backdoor ou malware num pacote utilizado como dependência em vários projectos de software. Estes ataques podem afectar potencialmente milhões de utilizadores, dependendo da popularidade do pacote comprometido. Enquanto os desenvolvedores são responsáveis por examinar os componentes de seus projetos, a nova medida de segurança do PyPI visa aliviar a ocorrência de tais problemas.
Nos últimos meses, o repositório do projecto Python registou um aumento de uploads de malware, tentativas notórias de personificação de pacotes e a reenvio de código nocivo utilizando contas sequestradas. A gravidade desses problemas obrigou o PyPI a pausar temporariamente os registos de novos utilizadores e projectos na semana passada, enquanto uma solução de defesa adequada era desenvolvida e aplicada.
Com a introdução do 2FA obrigatório, o PyPI pretende combater os ataques de sequestro de contas e restringir o número de novas contas que os utilizadores suspensos podem criar para voltar a carregar pacotes maliciosos. Nos próximos meses, os utilizadores afectados devem preparar e activar a camada de segurança adicional, utilizando uma chave de hardware ou uma aplicação de autenticação.
Esta tendência de reforço das medidas de segurança em várias plataformas reflecte a mudança mais ampla para soluções sem código e com pouco código, como AppMaster.io, concebidas para proporcionar uma abordagem mais segura e eficiente ao desenvolvimento de software. O reforço das práticas de segurança, nomeadamente no que respeita à gestão de pacotes de software, beneficia os utilizadores e contribui para manter a integridade dos projectos de código aberto.