PyPI veya Python Paket Dizini, Python programlama dilinde yapılan kritik projeler için iki faktörlü kimlik doğrulamayı (2FA) zorunlu hale getirme girişiminin bir parçası olarak 4.000 Google Titan güvenlik anahtarı dağıtıyor.
Python, veri bilimi için yararlı kılan tamamlayıcı paketlerinin veya kitaplıklarının genişliğiyle takdir edilen, dünyanın en popüler programlama dillerinden biridir. Geliştiricilerin bu paketleri sık sık güncellemesi gerekir ve saldırganlar bu davranışı Windows, Linux ve Apple makinelerinde meşru paketlere benzer adlara sahip sahte paketler aracılığıyla bir arka kapı açmak için kullandılar.
Python Software Foundation tarafından yönetilen PyPI, Python geliştiricilerinin projeleri için üçüncü şahıslar tarafından geliştirilen açık kaynaklı paketleri edinebilecekleri ana depodur.
Kalıcı tehditler
PyPI ve eşdeğer JavaScript deposu, npm, geliştiriciler için App Store/Play Store gibi davranır, ancak bunlar kapalı değildir ve ücretsiz hizmetler, kötü amaçlı yazılımlar için paket gönderimlerini kontrol edecek kaynaklara sahip değildir.
Google, Linux Foundation’ın Open Source Security Foundation (OpenSSF) aracılığıyla kötü niyetli dil paketleri ve açık kaynaklı yazılım tedarik zinciri saldırıları tehdidini ele alıyor. O bir ayda 200’den fazla kötü amaçlı JavaScript ve Python paketi bulundu ve geliştiriciler ve bunları kurarken kod yazdıkları kuruluşlar için “yıkıcı sonuçlar” buldu.
Geliştiricilerin kendilerini kimlik bilgisi hırsızlığına karşı korumalarının bir yolu, iki faktörlü kimlik doğrulama kullanmaktır ve FSP, önümüzdeki aylarda “kritik projelerin” geliştiricileri için bu yöntemin kullanımını zorunlu hale getirecektir. PyPI bu yükümlülük için belirli bir tarih açıklamamıştır.
“2FA gereksinimini uygulamaya başladık: yakında, kritik görev projelerinin yöneticilerinin bu projeleri yayınlamak, güncellemek veya değiştirmek için iki faktörlü kimlik doğrulamasını etkinleştirmeleri gerekecek” dedi. beyan PSF, PyPI Twitter hesabında.
Kritik projeler için 2FA gereksinimi
Bu güvenlik kampanyasının bir parçası olarak, Google’ın açık kaynak güvenlik ekibinin yardımıyla proje yöneticilerine 4.000 Google Titan donanım güvenlik anahtarı dağıtılacak.
“Python ekosisteminin genel güvenliğini artırmak için PyPI, kritik görev projeleri için iki faktörlü kimlik doğrulama (2FA) gereksinimini uygulamaya başladı. Bu şart önümüzdeki aylarda yürürlüğe girecek” dedi. beyan Bir basın bülteninde PSF. “Kritik projelerin yürütücülerinin güvenlik anahtarlarıyla güçlü iki faktörlü kimlik doğrulamayı uygulama yeteneğine sahip olmasını sağlamak için, projenin sponsoru olan Google Açık Kaynak Güvenlik Ekibi, Python Yazılım Vakfı, kritik proje yürütücülerine dağıtmak için sınırlı sayıda güvenlik anahtarı sağlamıştır. »
PSF, son altı ayda indirmelerin ilk %1’inde görünen herhangi bir projeyi kritik olarak gördüğünü belirtiyor. Şu anda PyPI’de 350.000’den fazla proje var, bu da 3.500’den fazla projenin kritik kabul edildiği anlamına geliyor. PyPI bu rakamı günlük olarak hesaplar, bu nedenle Titan’ın bağışı kilit koruyucuların çoğunu kapsamalıdır, ancak hepsini değil. Şeffaflık adına PyPI ayrıca yayınlar 2FA hesap verileri burada. Şu anda 2FA’nın etkin olduğu 28.336 kullanıcı var ve bunların yaklaşık 27.000’i Microsoft Authenticator gibi bir 2FA uygulamasını kullanıyor. Bu grupta “kritik” olarak derecelendirilen 3.800’ün üzerinde proje ve 8.241 PyPI kullanıcısı bulunmaktadır.
Zaman içinde 2FA yükümlülüğüne yeni projeler eklendikçe kritik olarak belirlenen projeler süresiz olarak kaldıkça kritik havuzun da büyümesi muhtemeldir. 2FA kuralı hem bakımcılar hem de proje sahipleri için geçerlidir.
Titan Anahtarlarının satışına her yerde izin verilmiyor
Titan Anahtarlarının satışına yalnızca belirli coğrafi bölgelerde izin verilir. PyPI’ye göre yalnızca Avusturya, Belçika, Kanada, Fransa, Almanya, İtalya, Japonya, İspanya, İsviçre, İngiltere ve ABD’den geliştiriciler ücretsiz olarak bir tane alabilir.
Diğer bölgelerde 2FA kullanması gerekecek olan bakımcılar, Yubikey gibi satıcılardan bir FIDO U2F güvenlik anahtarı satın almalıdır. Ayrıca Google Authenticator, Microsoft Authenticator, Duo Mobile, Auth, FreeOTP+ veya FreeOTP gibi bir mobil uygulama veya 1Password gibi bir şifre yöneticisi aracılığıyla 2FA’yı etkinleştirebilirler.
Uygun bakım sahipleri, ücretsiz gönderim dahil olmak üzere iki ücretsiz Titan Güvenlik Anahtarı (USB-C veya USB-A) için bir promosyon kodu kullanabilir PyPI web sitesinde. Kodun süresi 1 Ekim’de sona eriyor.
Çoğu geliştirici 2FA sistemine aşina olsa da, bu gereksinim, örneğin bir kullanıcı 2FA anahtarını kaybederse ve hesabını yalnızca bir 2FA seçeneğiyle yapılandırırsa, oturum açma zorlukları yaratabilir.
“Birden fazla 2FA seçeneği olmadan, 2FA yöntemini kaybetmenin etkisi, hem PyPI sahipleri hem de yöneticiler için zahmetli ve zaman alıcı bir hesabı tamamen kurtarma ihtiyacına neden oluyor. Birden fazla 2FA yönteminin etkinleştirilmesi, birinin kaybolması durumunda olası kesintileri azaltır” diye uyarıyor PyPl.
Kaynak : ZDNet.com