Python Paket Dizini (PyPI), platformdaki bir projeyi yöneten her hesabın yıl sonuna kadar iki faktörlü kimlik doğrulamanın (2FA) açık olmasını gerektireceğini duyurdu.
PyPI, Python programlama dilinde oluşturulan paketler için bir yazılım deposudur. Endeks 200.000 paket barındırır ve geliştiricilerin çeşitli proje gereksinimlerini karşılayan mevcut paketleri bulmalarına olanak tanıyarak zamandan ve emekten tasarruf sağlar.
PyPI ekibi, 2FA’yı tüm hesaplarda zorunlu hale getirme kararının, platformda güvenliği artırmaya yönelik uzun vadeli taahhütlerinin bir parçası olduğunu ve güvenliği ihlal edilmiş kimlik bilgilerini engelleme ve API belirteçlerini destekleme gibi bu yönde alınan önceki önlemleri tamamladığını söylüyor.
2FA korumasının bir avantajı, tedarik zinciri saldırılarının riskinin azalmasıdır. Bu tür saldırılar, kötü niyetli bir kişinin bir yazılım bakımcısının hesabının kontrolünü ele geçirmesi ve çeşitli yazılım projelerinde bağımlılık olarak kullanılan bir pakete bir arka kapı veya kötü amaçlı yazılım eklemesi durumunda gerçekleşir.
Paketin ne kadar popüler olduğuna bağlı olarak bu tür saldırılar milyonlarca kullanıcıyı etkileyebilir. Geliştiriciler, projelerinin yapı taşlarını kapsamlı bir şekilde incelemekle sorumlu olsa da, PyPI’nin önlemi bu tür sorunları en aza indirmeyi kolaylaştırmalıdır.
Ek olarak, Python proje deposu, geçtiğimiz aylarda yaygın kötü amaçlı yazılım yüklemelerinden, ünlü paket kimliğine bürünme ve ele geçirilen hesaplar kullanılarak kötü amaçlı kodun yeniden sunulmasından zarar gördü.
Sorun o kadar büyük bir boyuta ulaştı ki, geçen hafta PyPI, etkili bir savunma çözümü geliştirilip uygulanana kadar yeni kullanıcıların ve projelerin kayıtlarını geçici olarak duraklatmak zorunda kaldı.
2FA koruması, hesap ele geçirme saldırıları sorununu hafifletmeye yardımcı olur ve askıya alınmış bir kullanıcının kötü amaçlı paketleri yeniden yüklemek için kaç yeni hesap oluşturabileceği konusunda da bir sınır belirlemelidir.
2FA’ya Giden Yol
Tüm proje ve kuruluş bakımcı hesaplarında 2FA kurma gereksiniminin son tarihi 2023’tür.
Sonraki aylarda, etkilenen kullanıcıların bir donanım anahtarı veya kimlik doğrulama uygulaması kullanarak ek güvenlik önlemi hazırlamaları ve etkinleştirmeleri önerilir.
PyPI ekibi, geliştiricilerin kendilerini 2FA gereksinimlerine alıştırmalarına yardımcı olan GitHub gibi platformlardan gelen paralel girişimlerle birleşen ‘Güvenilir Yayıncılık’ı tanıtmak gibi önceki aylarda yaptığı hazırlık çalışmasının, bu yılı önlemi tanıtmak için mükemmel bir an haline getirdiğini söylüyor.