Al observar el secuestro reciente de varios proyectos de Python, el índice de paquetes de Python (PyPI) exige la autenticación de dos factores para las cuentas de proyectos críticos.
Ciertos proyectos con descargas significativas en los últimos seis meses y otros que están etiquetados como críticos pronto se verán obligados a asegurar, dice PyPI. Si bien es un buen movimiento, pocos desarrolladores están en contra.
El año pasado, vimos paquetes npm populares como ‘ua-parser-js,’ ‘coa‘ y ‘rc‘ eran modificado con malware para comprometer el software dependiente, lo que provocó que la comunidad presionara por más medidas de seguridad. Eventualmente, GitHub, el propietario de npm, exigió 2FA para las cuentas que mantienen paquetes confidenciales de npm.
Después de esta suite ahora está el Índice de paquetes de Python (PyPI), el repositorio oficial de proyectos Python de código abierto de terceros. Como se señaló en una publicación de bloglos administradores de la plataforma decidieron habilitar la autenticación de dos factores para las cuentas que mantienen proyectos críticos de Python.
Hemos comenzado a implementar un requisito de 2FA: pronto, los mantenedores de proyectos críticos deben tener habilitado 2FA para publicarlos, actualizarlos o modificarlos.
Para garantizar que estos mantenedores puedan usar métodos sólidos de 2FA, ¡también estamos distribuyendo 4000 llaves de seguridad de hardware!https://t.co/gcCNWSqBcU
— Índice de paquetes de Python (@pypi) 8 de julio de 2022
Estos se diferenciarán como – los proyectos que representan el 1% superior de las descargas en los últimos seis meses y cualquier dependencia de PyPI que haya sido designada como “crítica” – vienen bajo esta declaración.
Además, PyPI ofrece claves de seguridad de hardware gratuitas a los mantenedores de proyectos críticos, con el apoyo de su patrocinador: el equipo de seguridad de código abierto de Google. Esto viene después de un popular proyecto PyPI: ctx – fue secuestrado en un fallido experimento de piratería ‘ética’.
identificando más de 3818 proyectos PyPI y 8218 cuentas de usuario PyPI como críticas, el equipo dijo que este mandato se implementará en los próximos meses. Más;
“Asegurarse de que los proyectos más utilizados tengan estas protecciones contra la apropiación de cuentas es un paso hacia nuestros esfuerzos más amplios para mejorar la seguridad general del ecosistema de Python para todos los usuarios de PyPI”.
A pesar de esto, más de 28 000 cuentas de usuario de PyPI que no se consideran críticas han habilitado 2FA de forma voluntaria. Todavía, algunos desarrolladores están empujando hacia atrás en contra de este movimiento.