Индекс пакетов Python внедряет обязательную двухфакторную аутентификацию для повышения безопасности

Индекс пакетов Python (PyPI) недавно объявил, что он сделает двухфакторную аутентификацию (2FA) обязательной для каждого аккаунта, управляющего проектом на его платформе. Пользователи должны включить 2FA к концу 2023 года, что является частью постоянных усилий PyPI по укреплению безопасности всего репозитория.

PyPI служит важнейшим репозиторием программного обеспечения для пакетов, разработанных на языке программирования Python. С более чем 200 000 пакетов, доступных на платформе, разработчики могут легко найти существующие решения для удовлетворения потребностей своих проектов, экономя ценное время и ресурсы.

По словам команды PyPI, решение ввести 2FA для всех учетных записей является продолжением их долгосрочных обязательств по повышению безопасности платформы. Предыдущие шаги в этом направлении включают блокировку скомпрометированных учетных данных и поддержку API-токенов. Ожидается, что внедрение 2FA в качестве обязательной меры безопасности еще больше защитит издателей и пользователей.

Одним из основных преимуществ внедрения 2FA является значительное снижение риска атак на цепочки поставок. Такие инциденты происходят, когда угрожающий субъект получает контроль над учетной записью разработчика программного обеспечения и внедряет бэкдор или вредоносное ПО в пакет, используемый в качестве зависимости в нескольких программных проектах. Такие атаки могут потенциально затронуть миллионы пользователей, в зависимости от популярности взломанного пакета. Хотя разработчики несут ответственность за проверку компонентов своих проектов, новая мера безопасности PyPI направлена на снижение вероятности возникновения подобных проблем.

В последние месяцы в репозитории проектов Python участились случаи загрузки вредоносных программ, попытки выдать себя за пользователя и повторная публикация вредоносного кода с использованием взломанных учетных записей. Серьезность этих проблем вынудила PyPI временно приостановить регистрацию новых пользователей и проектов на прошлой неделе, пока разрабатывалось и применялось подходящее решение для защиты.

С введением обязательного 2FA, PyPI намерен бороться с атаками захвата аккаунтов и ограничить количество новых аккаунтов, которые могут создать приостановленные пользователи для повторной загрузки вредоносных пакетов. В ближайшие месяцы пользователи должны подготовиться и активировать дополнительный уровень безопасности, используя либо аппаратный ключ, либо приложение для аутентификации.

Эта тенденция усиления мер безопасности на различных платформах перекликается с более широким переходом к решениям no-code и low-code, таким как AppMaster.io, которые призваны обеспечить более безопасный и эффективный подход к разработке программного обеспечения. Усиление мер безопасности, особенно в части управления программными пакетами, приносит пользу пользователям и способствует сохранению целостности проектов с открытым исходным кодом.