Python Paket Dizini (PyPI) geçtiğimiz günlerde, platformlarında bir proje yöneten her hesap için iki faktörlü kimlik doğrulamayı (2FA) zorunlu hale getireceğini açıkladı. Kullanıcıların, PyPI'nin havuz genelinde güvenliği güçlendirmeye yönelik devam eden çabalarının bir parçası olarak 2023'ün sonuna kadar 2FA'yı etkinleştirmesi bekleniyor.
PyPI, Python programlama dilinde geliştirilen paketler için çok önemli bir yazılım deposu görevi görür. Platformda bulunan 200.000'den fazla paket ile geliştiriciler, projelerinin ihtiyaçlarını karşılamak için mevcut çözümleri kolayca bulabilir ve değerli zaman ve kaynaklardan tasarruf edebilir.
PyPI ekibine göre, tüm hesaplar için 2FA'yı zorunlu kılma kararı, platform güvenliğini artırmaya yönelik uzun vadeli taahhütlerinin bir devamıdır. Bu yöndeki önceki adımlar, güvenliği ihlal edilmiş kimlik bilgilerinin engellenmesini ve API belirteçlerinin desteklenmesini içerir. 2FA'nın zorunlu bir güvenlik önlemi olarak uygulanmasının, yayıncıları ve kullanıcıları daha fazla koruması bekleniyor.
2FA uygulamasının birincil avantajlarından biri, tedarik zinciri saldırıları riskindeki önemli azalmadır. Bu tür olaylar, bir tehdit aktörü bir yazılım sağlayıcısının hesabının kontrolünü ele geçirdiğinde ve birden çok yazılım projesinde bağımlılık olarak kullanılan bir pakete bir arka kapı veya kötü amaçlı yazılım yerleştirdiğinde ortaya çıkar. Bu saldırılar, tehlikeye atılan paketin popülaritesine bağlı olarak potansiyel olarak milyonlarca kullanıcıyı etkileyebilir. Geliştiriciler, projelerinin bileşenlerini incelemekten sorumluyken, PyPI'nin yeni güvenlik önlemi bu tür sorunların oluşumunu azaltmayı amaçlıyor.
Son aylarda, Python proje deposu kötü amaçlı yazılım yüklemelerinde, kötü şöhretli paket taklit girişimlerinde ve ele geçirilen hesaplar kullanılarak zararlı kodların yeniden gönderilmesinde bir artış yaşadı. Bu sorunların ciddiyeti, uygun bir savunma çözümü geliştirilip uygulanırken PyPI'yi geçen hafta yeni kullanıcı ve proje kayıtlarını geçici olarak duraklatmaya zorladı.
Zorunlu 2FA'nın kullanıma sunulmasıyla PyPI, hesap ele geçirme saldırılarının üstesinden gelmeyi ve askıya alınan kullanıcıların kötü amaçlı paketleri yeniden yüklemek için oluşturabilecekleri yeni hesap sayısını kısıtlamayı amaçlıyor. Önümüzdeki aylarda, etkilenen kullanıcıların bir donanım anahtarı veya bir kimlik doğrulama uygulaması kullanarak ek güvenlik katmanını hazırlaması ve etkinleştirmesi gerekiyor.
Çeşitli platformlarda güvenlik önlemlerini güçlendirmeye yönelik bu eğilim, yazılım geliştirmeye daha güvenli ve daha verimli bir yaklaşım sağlamak için tasarlanan AppMaster.io gibi kodsuz ve az kodlu çözümlere doğru daha geniş bir kaymayı yansıtıyor. Özellikle yazılım paketlerinin yönetilmesiyle ilgili güvenlik uygulamalarının geliştirilmesi, kullanıcılara fayda sağlar ve açık kaynak projelerinin bütünlüğünün korunmasına katkıda bulunur.