Dalış Özeti:
- Kuruluş Perşembe günü yaptığı açıklamada, Python Paket Dizini’nin 2023’ün sonundan itibaren sitede bir proje veya kuruluş sürdüren her hesap için iki faktörlü kimlik doğrulamayı zorunlu kılacağını söyledi.
- Python, en yaygın kullanılan programlama dillerinden biri olarak kabul edilir. Yetki, geçmişte PyPI kullanıcılarını tehlikeye atmak için kullanılan hesap ele geçirme saldırılarını önlemek için tasarlanmıştır.
- Şu andan itibaren yıl sonuna kadar PyPI, iki faktörlü kullanıma dayalı olarak belirli site işlevlerine erişim sağlamaya başlayacak. Belirli kullanıcılar veya projeler de erken uygulama için seçilebilir, ancak seçim için kesin kriterlerin ne olacağı belirtilmemiştir..
Dalış Bilgisi:
Genişletilmiş kimlik doğrulama yetkisi, açık kaynak topluluğunda tedarik zinciri güvenliğiyle ilgili endişelerin arttığı bir zamanda gelir.
Bu ayın başlarında, PyPI geçici olarak askıya alındı bir dizi kötü niyetli saldırı arasında yeni kullanıcıların oluşturulması. Kötü amaçlı saldırıların hızı ve hacmi, yöneticiler olaylara zamanında yanıt veremediği için geçici olarak askıya alınmasına neden oldu.
Checkmarx’tan araştırmacılar son aylarda bir dizi farklı açık kaynak kaydını hedef alan bir kötü niyetli etkinlik dalgası bildirdi.
“Python oldukça popüler bir programlama dili olduğundan, güvenlik topluluğu, özellikle açık kaynak tedarik zinciri şirketleri, tehdit aktörleri ekosistemi şüpheli faaliyetlerle boğduğunda umursar.” Checkmarx yazılım tedarik zinciri güvenliği başkanı Jossef Harush Kadourie-posta yoluyla söyledi.
Kötü amaçlı etkinlik, aşağıdakileri içeren saldırılar da dahil olmak üzere çeşitli açık kaynak havuzlarını etkiledi: Nisan ayında NPM Ve 2022’nin sonlarında NuGet.
Geçen hafta Python Software Foundation yetkilileri, askıya almanın neden gerekli olduğu konusunda yorum yapmaktan kaçındı, ancak bir noktaya işaret etti. yakın zamanda yayınlanan hikaye yeterli sayıda kullanılabilir yönetici olmadığında, bu durum onları kötü amaçlı etkinlik hacmini kaldıramaz hale getirdi.
Adalet Bakanlığı üç mahkeme celbi yayınladı mart ve nisan ayına ait kullanıcı verilerini almak için, ancak bu bilgilerin neden istendiğine dair detaylar açıklanmadı. Mahkeme celpleri, isimler, adresler, oturum sürelerinin kayıtları, hizmet süresi, ödeme araçları ve kaynağı, yüklenen paketlerin kayıtları ve diğer bilgiler dahil olmak üzere birkaç özel ayrıntı talep etti.