Python Package Index (PyPI) gần đây đã tuyên bố rằng nó sẽ bắt buộc xác thực hai yếu tố (2FA) đối với mọi tài khoản quản lý dự án trên nền tảng của họ. Người dùng dự kiến sẽ kích hoạt 2FA vào cuối năm 2023, như một phần trong nỗ lực không ngừng của PyPI nhằm tăng cường bảo mật trên kho lưu trữ.
PyPI đóng vai trò là kho lưu trữ phần mềm quan trọng cho các gói được phát triển bằng ngôn ngữ lập trình Python. Với hơn 200.000 gói có sẵn trên nền tảng, các nhà phát triển có thể dễ dàng tìm thấy các giải pháp hiện có để đáp ứng nhu cầu của các dự án của họ, tiết kiệm thời gian và nguồn lực quý báu.
Theo nhóm PyPI, quyết định bắt buộc 2FA cho tất cả các tài khoản là sự tiếp nối cam kết lâu dài của họ trong việc tăng cường bảo mật nền tảng. Các bước trước đây theo hướng này bao gồm chặn thông tin đăng nhập bị xâm phạm và hỗ trợ mã thông báo API. Việc triển khai 2FA như một biện pháp bảo mật bắt buộc được kỳ vọng sẽ bảo vệ tốt hơn cho nhà xuất bản và người dùng.
Một trong những lợi thế chính của việc triển khai 2FA là giảm đáng kể nguy cơ bị tấn công chuỗi cung ứng. Những sự cố như vậy xảy ra khi một tác nhân đe dọa chiếm quyền kiểm soát tài khoản của người bảo trì phần mềm và đưa một cửa hậu hoặc phần mềm độc hại vào một gói được sử dụng làm phụ thuộc trong nhiều dự án phần mềm. Các cuộc tấn công này có khả năng ảnh hưởng đến hàng triệu người dùng, tùy thuộc vào mức độ phổ biến của gói bị xâm nhập. Mặc dù các nhà phát triển chịu trách nhiệm kiểm tra các thành phần trong dự án của họ, nhưng biện pháp bảo mật mới của PyPI nhằm mục đích giảm bớt sự xuất hiện của các sự cố như vậy.
Trong những tháng gần đây, kho lưu trữ dự án Python đã trải qua sự gia tăng tải lên phần mềm độc hại, nỗ lực mạo danh gói nổi tiếng và gửi lại mã có hại bằng cách sử dụng tài khoản bị tấn công. Mức độ nghiêm trọng của những vấn đề này đã buộc PyPI phải tạm dừng đăng ký người dùng và dự án mới vào tuần trước trong khi giải pháp bảo vệ phù hợp được phát triển và áp dụng.
Với việc giới thiệu 2FA bắt buộc, PyPI dự định giải quyết các cuộc tấn công chiếm đoạt tài khoản và hạn chế số lượng tài khoản mới mà người dùng bị tạm ngưng có thể tạo để tải lên lại các gói độc hại. Trong những tháng tới, những người dùng bị ảnh hưởng nên chuẩn bị và kích hoạt lớp bảo mật bổ sung, bằng cách sử dụng khóa phần cứng hoặc ứng dụng xác thực.
Xu hướng tăng cường các biện pháp bảo mật trên nhiều nền tảng khác nhau phản ánh sự thay đổi lớn hơn đối với các giải pháp không cần mã và ít mã , chẳng hạn như AppMaster.io, được thiết kế để cung cấp phương pháp phát triển phần mềm an toàn và hiệu quả hơn. Tăng cường thực hành bảo mật, đặc biệt xung quanh việc quản lý các gói phần mềm, mang lại lợi ích cho người dùng và góp phần duy trì tính toàn vẹn của các dự án nguồn mở.