Google, indirmelerin ilk %1’inde proje sahiplerine Titan Güvenlik Anahtarları sağlıyor
Python Paket Endeksi (PyPI) kullanıma sunuluyor iki faktörlü kimlik doğrulama (2FA) “kritik projeler” için fiziksel güvenlik anahtarları şeklinde.
Artan tehdidin farkında yazılım tedarik zincirleridepo, USB-C veya USB-A olmak üzere iki ücretsiz anahtar için bir promosyon kodu kullanabilen nitelikli bakımcılara 4.000 Titan Güvenlik Anahtarı dağıtıyor.
PyPI’yi sürdüren Python Yazılım Vakfı’nın sponsoru olan Google Açık Kaynak Güvenlik Ekibi, anahtarları sağlamıştır.
Kritik projelerin tüm sorumluları, bir şifreye ek olarak anahtarları kullanarak hesaplarına giriş yapmak zorunda kalacaklar; bu, “önümüzdeki aylarda yürürlüğe girecek” bir gerekliliktir. duyuru PyPI web sitesinde.
ilk %1
Projeler, önceki altı aydaki indirme sayılarına göre PyPI projelerinin ilk %1’i arasındaysa ‘kritik’ kabul edilir.
Bu, yaklaşık 350.000 PyPI projesinin yaklaşık 3.500’ünün hak kazanacağı anlamına gelir.
Ve “proje bir kez kritik olarak belirlendiğinde, bu atamayı süresiz olarak korur” dedi. piton Yazılım Vakfı.
Titan donanım anahtarları yalnızca satış için onaylanmıştır ve bu nedenle yalnızca Avusturya, Belçika, KanadaFransa, Almanya, İtalya, Japonya, İspanya, İsviçre, Birleşik Krallık ve ABD.
En son açık kaynaklı güvenlik haberlerini yakalayın
Uygun olmayan bölgelerdeki kritik projelerin sahipleri, bağımsız olarak Yubikey veya Thetis gibi alternatif bir FIDO U2F güvenlik anahtarı satın alabilir veya bir TOTP uygulaması aracılığıyla 2FA’yı etkinleştirebilir.
Ancak PyPI, “WebAuthn aracılığıyla güvenlik anahtarlarının kullanılmasının genellikle 2FA için TOTP tabanlı kimlik doğrulama uygulamalarını kullanmaktan daha güvenli olduğu” konusunda uyardı.
Hareket, ABD tarafından yapılan benzer bir taahhüdü takip ediyor. RubyGems kod deposu geçen ay, 165 milyondan fazla indirmeye sahip mücevher sahipleri için geçerliydi.
GitHub ayrıca ilan edildi Geçen ay, 2FA’nın gelecek yılın sonuna kadar tüm kod katkıda bulunanlar için zorunlu hale getirileceği, NPM ise başlangıçta daha geniş bir sunumla birlikte en iyi 100 Node.js paket sağlayıcısı için 2FA’yı zorunlu hale getireceğini söyledi.
İLİŞKİLİ RubyGems, kod deposunun en son güvenlik çabasında varsayılan olarak 2FA’yı deniyor