Modern technology gives us many things.

Η PyPI ανακοινώνει την υποχρεωτική χρήση του 2FA για όλους τους εκδότες λογισμικού

Το Python Package Index (PyPI) ανακοίνωσε ότι θα απαιτήσει από κάθε λογαριασμό που διαχειρίζεται ένα έργο στην πλατφόρμα να έχει ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων (2FA) μέχρι το τέλος του έτους.

Το PyPI είναι ένα αποθετήριο λογισμικού για πακέτα που δημιουργούνται στη γλώσσα προγραμματισμού Python. Το ευρετήριο φιλοξενεί 200.000 πακέτα, επιτρέποντας στους προγραμματιστές να βρουν υπάρχοντα πακέτα που ικανοποιούν διάφορες απαιτήσεις έργου, εξοικονομώντας χρόνο και προσπάθεια.

Η ομάδα PyPI λέει ότι η απόφαση να καταστήσουν το 2FA υποχρεωτικό σε όλους τους λογαριασμούς αποτελεί μέρος της μακροπρόθεσμης δέσμευσής τους για ενίσχυση της ασφάλειας στην πλατφόρμα, συμπληρώνοντας τα προηγούμενα μέτρα που ελήφθησαν προς αυτή την κατεύθυνση, όπως ο αποκλεισμός διαπιστευτηρίων σε κίνδυνο και η υποστήριξη διακριτικών API.

Ένα πλεονέκτημα της προστασίας 2FA είναι ο μειωμένος κίνδυνος επιθέσεων στην αλυσίδα εφοδιασμού. Αυτοί οι τύποι επιθέσεων συμβαίνουν όταν ένας κακόβουλος παράγοντας αποκτά τον έλεγχο του λογαριασμού ενός συντηρητή λογισμικού και προσθέτει μια κερκόπορτα ή κακόβουλο λογισμικό σε ένα πακέτο που χρησιμοποιείται ως εξάρτηση σε διάφορα έργα λογισμικού.

Ανάλογα με το πόσο δημοφιλές είναι το πακέτο, τέτοιες επιθέσεις μπορούν να επηρεάσουν εκατομμύρια χρήστες. Ενώ οι προγραμματιστές είναι υπεύθυνοι για τη διεξοδική επιθεώρηση των δομικών στοιχείων του έργου τους, το μέτρο του PyPI θα πρέπει να διευκολύνει την ελαχιστοποίηση αυτού του τύπου προβλήματος.

Επιπλέον, το αποθετήριο του έργου Python έχει υποφέρει από ανεξέλεγκτες μεταφορτώσεις κακόβουλου λογισμικού, διάσημη πλαστοπροσωπία πακέτων και εκ νέου υποβολή κακόβουλου κώδικα που χρησιμοποιεί παραβιασμένους λογαριασμούς τους τελευταίους μήνες.

Το πρόβλημα έφτασε σε τέτοιο μέγεθος που η PyPI χρειάστηκε την περασμένη εβδομάδα να σταματήσει προσωρινά τις εγγραφές νέων χρηστών και έργων μέχρι να αναπτυχθεί και να εφαρμοστεί μια αποτελεσματική αμυντική λύση.

Η προστασία 2FA θα βοηθήσει στην άμβλυνση του προβλήματος των επιθέσεων κατάληψης λογαριασμού και θα πρέπει επίσης να θέσει ένα όριο στον αριθμό νέων λογαριασμών που μπορεί να δημιουργήσει ένας χρήστης που έχει τεθεί σε αναστολή για να ανεβάσει εκ νέου κακόβουλα πακέτα.

Δρόμος προς 2FA

Η απαίτηση δημιουργίας 2FA σε όλους τους λογαριασμούς συντηρητών έργων και οργανισμού έχει προθεσμία έως το τέλος του 2023.

Τους επόμενους μήνες, συνιστάται στους χρήστες που επηρεάζονται να προετοιμάσουν και να ενεργοποιήσουν το πρόσθετο μέτρο ασφαλείας χρησιμοποιώντας είτε ένα κλειδί υλικού είτε μια εφαρμογή ελέγχου ταυτότητας.

«Τα πιο σημαντικά πράγματα που μπορείτε να κάνετε για να προετοιμαστείτε είναι να ενεργοποιήσετε το 2FA για τον λογαριασμό σας το συντομότερο δυνατό, είτε με συσκευή ασφαλείας (προτιμάται) ή ένα εφαρμογή ελέγχου ταυτότητας, και για να μεταβείτε στη χρήση είτε των Trusted Publishers (προτιμάται) είτε των διακριτικών API για μεταφόρτωση στο PyPI.” – PyPI

Η ομάδα της PyPI λέει ότι η προπαρασκευαστική εργασία που έκανε τους προηγούμενους μήνες, όπως η εισαγωγή του “Αξιόπιστες εκδόσειςσε συνδυασμό με παράλληλες πρωτοβουλίες από πλατφόρμες όπως το GitHub που έχουν βοηθήσει τους προγραμματιστές να εξοικειωθούν με τις απαιτήσεις του 2FA, καθιστούν φέτος μια εξαιρετική στιγμή για την εισαγωγή του μέτρου.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση