Индекс пакетов Python (PyPI) недавно объявил, что он сделает двухфакторную аутентификацию (2FA) обязательной для каждого аккаунта, управляющего проектом на его платформе. Пользователи должны включить 2FA к концу 2023 года, что является частью постоянных усилий PyPI по укреплению безопасности всего репозитория.
PyPI служит важнейшим репозиторием программного обеспечения для пакетов, разработанных на языке программирования Python. С более чем 200 000 пакетов, доступных на платформе, разработчики могут легко найти существующие решения для удовлетворения потребностей своих проектов, экономя ценное время и ресурсы.
По словам команды PyPI, решение ввести 2FA для всех учетных записей является продолжением их долгосрочных обязательств по повышению безопасности платформы. Предыдущие шаги в этом направлении включают блокировку скомпрометированных учетных данных и поддержку API-токенов. Ожидается, что внедрение 2FA в качестве обязательной меры безопасности еще больше защитит издателей и пользователей.
Одним из основных преимуществ внедрения 2FA является значительное снижение риска атак на цепочки поставок. Такие инциденты происходят, когда угрожающий субъект получает контроль над учетной записью разработчика программного обеспечения и внедряет бэкдор или вредоносное ПО в пакет, используемый в качестве зависимости в нескольких программных проектах. Такие атаки могут потенциально затронуть миллионы пользователей, в зависимости от популярности взломанного пакета. Хотя разработчики несут ответственность за проверку компонентов своих проектов, новая мера безопасности PyPI направлена на снижение вероятности возникновения подобных проблем.
В последние месяцы в репозитории проектов Python участились случаи загрузки вредоносных программ, попытки выдать себя за пользователя и повторная публикация вредоносного кода с использованием взломанных учетных записей. Серьезность этих проблем вынудила PyPI временно приостановить регистрацию новых пользователей и проектов на прошлой неделе, пока разрабатывалось и применялось подходящее решение для защиты.
С введением обязательного 2FA, PyPI намерен бороться с атаками захвата аккаунтов и ограничить количество новых аккаунтов, которые могут создать приостановленные пользователи для повторной загрузки вредоносных пакетов. В ближайшие месяцы пользователи должны подготовиться и активировать дополнительный уровень безопасности, используя либо аппаратный ключ, либо приложение для аутентификации.
Эта тенденция усиления мер безопасности на различных платформах перекликается с более широким переходом к решениям no-code и low-code, таким как AppMaster.io, которые призваны обеспечить более безопасный и эффективный подход к разработке программного обеспечения. Усиление мер безопасности, особенно в части управления программными пакетами, приносит пользу пользователям и способствует сохранению целостности проектов с открытым исходным кодом.