„Zaczęliśmy wprowadzać wymóg 2FA: wkrótce opiekunowie krytycznych projektów muszą mieć włączone 2FA, aby je publikować, aktualizować lub modyfikować" – poinformował w ubiegłym tygodniu na Twitterze Python Package Index (PyPI). „Każdy opiekun krytycznego projektu (zarówno 'Maintainers' jak i 'Owners') jest objęty wymogiem 2FA” - dodano. Dodatkowo, deweloperom krytycznych projektów, którzy wcześniej nie włączyli 2FA na PyPi, oferowane są darmowe sprzętowe klucze bezpieczeństwa od Google Open Source Security Team.

Repozytorium PyPI, które jest prowadzone przez Python Software Foundation, mieści ponad 350 000 projektów, z czego ponad 3500 projektów jest podobno oznaczonych jako „krytyczne”.

Zobacz również:

• Google ogłasza ogólną dostępność uwierzytelniania się za pomocą kluczy dostępu

Według opiekunów repozytorium, każdy projekt, który odpowiada za 1% pobrań w ciągu ostatnich 6 miesięcy, jest oznaczony jako krytyczny, przy czym określenie to jest przeliczane codziennie.

Jednak gdy projekt zostanie sklasyfikowany jako krytyczny, oczekuje się, że zachowa to miano na czas nieokreślony, nawet jeśli wypadnie z listy 1% pobrań.

Posunięcie, które jest postrzegane jako próba poprawy bezpieczeństwa łańcucha dostaw w ekosystemie Pythona, pojawia się w następstwie wielu incydentów bezpieczeństwa, których ofiarą padły repozytoria open-source w ostatnich miesiącach.

W zeszłym roku konta deweloperów NPM zostały porwane przez tzw. złych aktorów, aby wstawić złośliwy kod do popularnych pakietów „ua-parser-js”, „coa” i „rc”, co skłoniło GitHub do zaostrzenia bezpieczeństwa rejestru NPM poprzez wymaganie 2FA dla opiekunów i administratorów począwszy od pierwszego kwartału 2022 roku.

„Zapewnienie, że najczęściej używane projekty mają te zabezpieczenia przed przejęciem konta, jest jednym z kroków w kierunku naszych szerszych wysiłków na rzecz poprawy ogólnego bezpieczeństwa ekosystemu Pythona dla wszystkich użytkowników PyPI” - oświadczyło PyPi.

Źródło: Hacker News