Python Paket Dizini (PyPI) geçen hafta, resmi üçüncü taraf yazılım deposunda bir proje yürüten her hesabın yıl sonuna kadar iki faktörlü kimlik doğrulamayı (2FA) açması gerekeceğini duyurdu.
PyPI yöneticisi Donald Stufft, “Bugün ile yıl sonu arasında, PyPI, 2FA kullanımına dayalı olarak belirli site işlevlerine erişim sağlamaya başlayacak” dedi. “Ayrıca, erken uygulama için belirli kullanıcıları veya projeleri seçmeye başlayabiliriz.”
Zorunluluk ayrıca kuruluş bakımcılarını da içerir, ancak hizmetin her bir kullanıcısını kapsamaz.
Amaç, bir saldırganın yazılım tedarik zincirini zehirlemek ve büyük ölçekte kötü amaçlı yazılım dağıtmak için popüler paketlerin truva atı haline getirilmiş sürümlerini dağıtmak için kullanabileceği hesap ele geçirme saldırılarının oluşturduğu tehditleri etkisiz hale getirmektir.
PyPI, npm gibi diğer açık kaynak havuzları gibi, sayısız kötü amaçlı yazılım ve paket kimliğine bürünme örneğine tanık oldu.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Bu ayın başlarında Fortinet FortiGuard Labs, rastgele uzak URL’lere bağlanmak ve güvenliği ihlal edilmiş makinelerden hassas verileri çalmak için çeşitli özellikler içeren 30’dan fazla Python kitaplığı keşfetti.
Geliştirme, PyPI’nin kritik proje yürütücüleri için 2FA’yı zorunlu hale getirmesinden yaklaşık bir yıl sonra gelir. Kayıt, 457.125 projeye ve 704.458 kullanıcıya ev sahipliği yapmaktadır.
Bulut izleme hizmeti sağlayıcısı Datadog’a göre, 9.580 kullanıcı ve 4.541 proje kritik olarak belirlendi ve bugüne kadar toplamda 38.248 kullanıcı için 2FA etkinleştirildi.