Python软件包索引(PyPI)最近宣布,它将使双因素认证(2FA)成为其平台上每个管理项目的账户的必修课。预计用户将在2023年底前启用2FA,这是PyPI为加强整个存储库的安全性而不断努力的一部分。
PyPI是以Python编程语言开发的软件包的一个重要的软件资源库。该平台上有超过20万个软件包,开发者可以很容易地找到现有的解决方案,以满足他们项目的需要,节省宝贵的时间和资源。
根据PyPI团队的说法,为所有账户授权2FA的决定是他们对加强平台安全的长期承诺的延续。此前在这个方向上采取的措施包括阻止被破坏的凭证和支持API令牌。实施2FA作为一项强制性的安全措施,有望进一步保护出版商和用户。
实施2FA的主要优势之一是大大降低了供应链攻击的风险。当威胁者控制了一个软件维护者的账户,并将后门或恶意软件引入作为多个软件项目依赖的软件包时,就会发生此类事件。这些攻击有可能影响到数百万用户,这取决于被攻击软件包的受欢迎程度。虽然开发者有责任检查他们项目的组件,但PyPI的新安全措施旨在缓解此类问题的发生。
最近几个月,Python项目库经历了恶意软件上传的增加,臭名昭著的软件包冒充尝试,以及使用被劫持的账户重新提交有害代码。这些问题的严重性迫使PyPI在上周暂时暂停了新用户和项目的注册,同时开发和应用了一个合适的防御解决方案。
随着强制2FA的引入,PyPI打算解决账户接管攻击问题,并限制被暂停的用户为重新上传恶意软件包而创建的新账户数量。在接下来的几个月里,受影响的用户应该准备并激活额外的安全层,使用硬件密钥或认证应用程序。
这种在各种平台上加强安全措施的趋势呼应了向无代码和低代码解决方案的更广泛转变,如AppMaster.io ,其目的是为软件开发提供更安全和更有效的方法。加强安全实践,特别是围绕管理软件包的安全实践,有利于用户,并有助于维护开源项目的完整性。