Header Ads Widget

PyPI para habilitar 2FA en cuentas críticas de proyectos de Python

 

Pitón pitón

Al observar el secuestro reciente de varios proyectos de Python, el índice de paquetes de Python (PyPI) exige la autenticación de dos factores para las cuentas de proyectos críticos.

Ciertos proyectos con descargas significativas en los últimos seis meses y otros que están etiquetados como críticos pronto se verán obligados a protegerlos, dice PyPI. Si bien es un buen movimiento, pocos desarrolladores están en contra.

Seguridad adicional para proyectos críticos de Python

El año pasado, vimos paquetes npm populares como ' ua-parser-js ', ' coa ' y ' rc ' modificados con malware para comprometer el software dependiente, lo que provocó que la comunidad presionara para obtener más medidas de seguridad. Eventualmente, GitHub, el propietario de npm, exigió 2FA para las cuentas que mantienen paquetes confidenciales de npm.

Después de esta suite ahora está el Índice de paquetes de Python (PyPI), el repositorio oficial de proyectos Python de código abierto de terceros. Como se señaló en una publicación de blog , los administradores de la plataforma decidieron habilitar la autenticación de dos factores para las cuentas que mantienen proyectos críticos de Python.

Estos se diferenciarán como: los proyectos que representan el 1% superior de las descargas en los últimos seis meses y cualquier dependencia de PyPI que haya sido designada como "crítica" se incluyen en esta declaración.

Además, PyPI ofrece claves de seguridad de hardware gratuitas a los mantenedores de proyectos críticos, con el apoyo de su patrocinador: el equipo de seguridad de código abierto de Google. Esto se produce después de que un popular proyecto de PyPI, ctx , fuera secuestrado en un experimento fallido de piratería "ética".

Al identificar más de 3818 proyectos PyPI y 8218 cuentas de usuario PyPI como críticas, el equipo dijo que este mandato se implementará en los próximos meses. Más lejos;

“Asegurarse de que los proyectos más utilizados tengan estas protecciones contra la apropiación de cuentas es un paso hacia nuestros esfuerzos más amplios para mejorar la seguridad general del ecosistema de Python para todos los usuarios de PyPI”.

A pesar de esto, más de 28 000 cuentas de usuario de PyPI que no se consideran críticas han habilitado 2FA de forma voluntaria. Sin embargo, algunos desarrolladores están rechazando este movimiento.

Publicar un comentario

0 Comentarios