Python Package Index (PyPI) เพิ่งประกาศว่าจะทำให้การยืนยันตัวตนแบบสองปัจจัย (2FA) เป็นข้อบังคับสำหรับทุกบัญชีที่จัดการโครงการบนแพลตฟอร์มของตน ผู้ใช้คาดว่าจะเปิดใช้งาน 2FA ภายในสิ้นปี 2566 ซึ่งเป็นส่วนหนึ่งของความพยายามอย่างต่อเนื่องของ PyPI ในการเสริมความปลอดภัยทั่วทั้งพื้นที่เก็บข้อมูล
PyPI ทำหน้าที่เป็นที่เก็บซอฟต์แวร์ที่สำคัญสำหรับแพ็คเกจที่พัฒนาด้วยภาษาโปรแกรม Python ด้วยแพ็คเกจมากกว่า 200,000 แพ็คเกจที่พร้อมใช้งานบนแพลตฟอร์ม นักพัฒนาสามารถค้นหาโซลูชันที่มีอยู่เพื่อตอบสนองความต้องการของโครงการของพวกเขาได้ทันที ประหยัดเวลาและทรัพยากรอันมีค่า
จากข้อมูลของทีม PyPI การตัดสินใจสั่ง 2FA สำหรับบัญชีทั้งหมดเป็นความต่อเนื่องของความมุ่งมั่นระยะยาวในการยกระดับความปลอดภัยของแพลตฟอร์ม ขั้นตอนก่อนหน้านี้ในทิศทางนี้รวมถึงการบล็อกข้อมูลประจำตัวที่ถูกบุกรุกและการสนับสนุนโทเค็น API การนำ 2FA มาใช้เป็นมาตรการรักษาความปลอดภัยที่จำเป็นนั้นคาดว่าจะปกป้องผู้เผยแพร่และผู้ใช้ได้มากขึ้น
ข้อดีหลักประการหนึ่งของการนำ 2FA ไปใช้คือการลดความเสี่ยงของการโจมตีห่วงโซ่อุปทานได้อย่างมาก เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อผู้คุกคามเข้าควบคุมบัญชีของผู้ดูแลซอฟต์แวร์ และแนะนำแบ็คดอร์หรือมัลแวร์ในแพ็คเกจที่ใช้เป็นการอ้างอิงในโครงการซอฟต์แวร์หลายโครงการ การโจมตีเหล่านี้อาจส่งผลกระทบต่อผู้ใช้หลายล้านคน ขึ้นอยู่กับความนิยมของแพ็คเกจที่ถูกบุกรุก ในขณะที่นักพัฒนามีหน้าที่รับผิดชอบในการตรวจสอบส่วนประกอบของโครงการ มาตรการรักษาความปลอดภัยใหม่ของ PyPI มีเป้าหมายเพื่อบรรเทาปัญหาดังกล่าว
ในช่วงหลายเดือนที่ผ่านมา พื้นที่เก็บข้อมูลโครงการ Python ประสบกับการเพิ่มขึ้นของการอัปโหลดมัลแวร์ ความพยายามเลียนแบบแพ็คเกจที่ฉาวโฉ่ และการส่งรหัสที่เป็นอันตรายอีกครั้งโดยใช้บัญชีที่ถูกไฮแจ็ก ความรุนแรงของปัญหาเหล่านี้ทำให้ PyPI ต้องหยุดการลงทะเบียนของผู้ใช้ใหม่และโครงการชั่วคราวเมื่อสัปดาห์ที่แล้ว ในขณะที่มีการพัฒนาและปรับใช้โซลูชันการป้องกันที่เหมาะสม
ด้วยการเปิดตัว 2FA ที่จำเป็น PyPI ตั้งใจที่จะจัดการกับการโจมตีเพื่อครอบครองบัญชีและจำกัดจำนวนบัญชีใหม่ที่ผู้ใช้ที่ถูกระงับสามารถสร้างขึ้นเพื่ออัปโหลดซ้ำแพ็คเกจที่เป็นอันตราย ในอีกไม่กี่เดือนข้างหน้า ผู้ใช้ที่ได้รับผลกระทบควรเตรียมและเปิดใช้งานชั้นความปลอดภัยเพิ่มเติม โดยใช้คีย์ฮาร์ดแวร์หรือแอปตรวจสอบสิทธิ์
แนวโน้มของการเสริมความแข็งแกร่งของมาตรการรักษาความปลอดภัยในแพลตฟอร์มต่างๆ นี้สะท้อนให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นไปสู่ โซลูชันแบบไม่มีโค้ดและโค้ดต่ำ เช่น AppMaster.io ซึ่งออกแบบมาเพื่อให้แนวทางการพัฒนาซอฟต์แวร์ที่ปลอดภัยและมีประสิทธิภาพมากขึ้น การปรับปรุงแนวปฏิบัติด้านความปลอดภัย โดยเฉพาะอย่างยิ่งเกี่ยวกับการจัดการชุดซอฟต์แวร์ ให้ประโยชน์แก่ผู้ใช้และมีส่วนช่วยในการรักษาความสมบูรณ์ของโครงการโอเพ่นซอร์ส
