PyPI, kritik projeler için 2FA politikası uygular


Cuma günü, üçüncü taraf açık kaynaklı Python projelerinin resmi deposu olan Python Paket Endeksi (PyPI), “kritik” projelerin sahipleri için iki faktörlü kimlik doğrulama gereksinimlerini zorunlu kılmayı planladığını duyurdu.

Topluluğun birçok üyesi bu hareketi övmesine rağmen, popüler bir Python projesinin geliştiricisi, kodunu PyPI’den kaldırmaya ve projesine atanan “kritik” durumu geçersiz kılmak için yeniden yayınlamaya karar verdi.

Projeler Son altı aydaki indirmelerin ilk %1’ini temsil eden herhangi bir PyPI projesinin yanı sıra herhangi bir PyPI bağımlılığı kritik olarak belirlenmiştir.

Python ekosisteminin genel güvenliğini artırmak için PyPI, kritik projeler için iki faktörlü kimlik doğrulama (2FA) gereksinimini uygulamaya başladı. Bu şart önümüzdeki aylarda yürürlüğe girecek”, yöneticiler bir blog gönderisinde duyurdu.

Girişim, meşru yazılım kitaplıklarının ele geçirildiği son zamanlarda tekrarlanan olayları takip ediyor. npm ve PyPI.

Geçen yıl, npm yaygın olarak kullanılan ‘make-ayrıştırıcı-js’, ‘kaka’ ve ‘rc’ bakım hesapları ele geçirildikten sonra kötü amaçlı yazılımlarla bozuldu. ana şirket npmGitHub, Mayıs ayında duyurulan daha fazla güvenlik güncellemesiyle Aralık 2021’den itibaren geliştiriciler için geliştirilmiş bir oturum açma deneyimi (2FA seçenekleri) uygulamak için adımlar attı.

PyPI’nin en son haberleri ile ‘ctx’ kaçırılan PyPI, bakım hesapları için 2FA da uygulayarak GitHub’ın liderliğini takip etti.

PyPI yöneticileri ayrıca, “kritik” olarak tanımladıkları ve muhtemelen 2FA’yı benimsemeleri istenebilecek 3.818’den fazla PyPI projesini ve 8.218 PyPI kullanıcı hesabını gösteren bir pano paylaştı.

Buna rağmen, 28.000’den fazla PyPI kullanıcı hesabı (“kritik” bir projeyle ilişkili olmayanlar dahil) gönüllü olarak 2FA’yı etkinleştirdi.

Çoğu kişi bu harekete olumlu tepki vermiş ve PyPI’nin yazılım tedarik zincirinin genel güvenliğini iyileştirme girişimini memnuniyetle karşılamış olsa da, bazıları bunu yapmadı.

Markus Unterwaditzer, PyPI projesinin geliştiricisi ‘atomik yazar’ PyPI’den geliştiriciye projesinin kritik kabul edildiğini ve şimdi iki faktörlü kimlik doğrulama gerektirdiğini bildiren bir e-posta aldıktan sonra kodunu kayıt defterinden kaldırmaya karar verdi.

unterwaditer atomicwrites’ın belirli bir ayda 6 milyondan fazla indirildiği bildirildi. Son olarak, Unterwaditzer projesinin tüm sürümlerini sildikten kısa bir süre sonra ve indirme sayacını sıfırlayarak yeniden yayınladı.

Bazıları bu hareketi 2016’da başka bir geliştiricinin kritik JavaScript projelerini sistemden kaldırarak neredeyse interneti kırmasına neden olan sol taraf olayına benzetti. npm.





Source link