PyPI 强制所有软件发布者启用双因素认证机制
编译:代码卫士
PyPI 宣布将要求平台上的项目管理账户在今年年底启用双因素认证机制。
PyPI 是通过 Python 创建的一款程序包仓库,托管着20多万个程序包,可使开发人员找到满足多种项目要求的现有程序包,从而节省他们的时间和精力。PyPI 团队表示,强制所有账户启用双因素认证机制是他们增强平台安全的长期努力之一,弥补此前所采取的措施如拦截受陷凭据和支持 API 令牌等。
双因素认证防护措施的好处之一是降低供应链攻击风险。当恶意人员获得对软件维护人员账户的控制权限并向用于多个软件项目中依赖的程序包添加后门或恶意软件时,就会发生供应链攻击。
根据程序包的流行程度,这类攻击可影响数百万名用户。虽然开发人员负责全面检查项目的构建块,但 PyPI 可更容易使这种问题最小化。几个月来,PyPI 已遭受多种攻击如恶意软件上传、程序包模仿以及通过被劫持的账户重新提交恶意代码等。这类问题非常严重,上周PyPI 不得不临时停止新用户和新项目的注册,直至开发并执行有效的防御措施。双因素防火措施将有助于缓解账户接管攻击并应该能够限制被挂起用户可创建以重新上传恶意包的新账户数量。
在所有项目和组织机构维护人员账户上设立双因素认证机制的要求的最后期限是2023年年底。
在接下来的几个月中,建议受影响用户通过硬件密钥或认证应用,准备并启用额外的安全措施。PyPI 指出,“你能够做的最重要的事情是尽快启用账户的双因素认证机制,或者通过安全设备(推荐)或认证应用,并通过可信发布者(推荐)或API令牌上传至 PyPI。”
PyPI 团队表示,前几个月已经做完前期准备工作,如引入“可信发布”并结合GitHub 等平台推出的措施,帮助开发人员熟悉双因素认证要求,而今年是推出该措施的最好时间点。
Python 开发人员提醒:PyPI 木马包假冒流行库发动攻击
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。