Python için resmi üçüncü taraf yazılım deposunun sahipleri, “kritik” kabul edilen projeler için yeni bir iki faktörlü kimlik doğrulama (2FA) koşulu uygulamaya başladı.
Python Paket İndeksi (PyPI) “Bir 2FA gereksinimini kullanıma sunmaya başladık: yakında, kritik projelerin koruyucularının bunları yayınlamak, güncellemek veya değiştirmek için 2FA’yı etkinleştirmeleri gerekiyor” söz konusu Geçen hafta bir tweet’te.
“Kritik bir projenin herhangi bir koruyucusu (hem ‘Sürücüler’ hem de ‘Sahipler’) 2FA gereksinimine dahildir” katma.
Ayrıca, daha önce PyPi üzerinde 2FA’yı açmamış olan kritik projelerin geliştiricilerine, Google Açık Kaynak Güvenlik Ekibi’nden ücretsiz donanım güvenlik anahtarları sunuluyor.
Python Yazılım Vakfı tarafından yürütülen PyPI, 350.000’den fazla projeye ev sahipliği yapıyor. 3.500 proje “kritik” bir tanımla etiketlendiği söyleniyor.
Depo yöneticilerine göre, önceki 6 aydaki indirmelerin ilk %1’ini oluşturan herhangi bir proje kritik olarak belirlenir ve tespit günlük olarak yeniden hesaplanır.
Ancak bir proje kritik olarak sınıflandırıldığında, ilk %1’lik indirme listesinden düşse bile bu tanımı süresiz olarak koruması beklenir.
iyileştirmeye yönelik bir girişim olarak görülen hareket, tedarik zinciri güvenliği Python ekosisteminin son aylarda açık kaynak depolarını hedef alan bir dizi güvenlik olayının ardından geldi.
Geçen yıl, NPM geliştirici hesapları kaçırılmış kötü aktörler tarafından popüler “ua-parser-js”, “coa” ve “rc” paketlerine kötü amaçlı kod yerleştirmek, GitHub’ın ilk çeyreğinden itibaren bakımcılar ve yöneticiler için 2FA gerektirerek NPM kayıt defterinin güvenliğini sıkılaştırmasına neden oldu. 2022.
PyPi, “En yaygın kullanılan projelerin hesap devralmaya karşı bu korumalara sahip olmasını sağlamak, tüm PyPI kullanıcıları için Python ekosisteminin genel güvenliğini iyileştirmeye yönelik daha geniş çabalarımıza yönelik bir adımdır.” Dedi.