Python için resmi üçüncü taraf yazılım deposunun sahipleri, “kritik” kabul edilen projeler için yeni bir iki faktörlü kimlik doğrulama (2FA) koşulu uygulamaya başladı.
Python Paket İndeksi (PyPI) “Bir 2FA gereksinimini kullanıma sunmaya başladık: yakında, kritik projelerin koruyucularının bunları yayınlamak, güncellemek veya değiştirmek için 2FA’yı etkinleştirmeleri gerekiyor” söz konusu Geçen hafta bir tweet’te.
“Kritik bir projenin herhangi bir koruyucusu (hem ‘Sürücüler’ hem de ‘Sahipler’) 2FA gereksinimine dahildir” katma.
Ayrıca, daha önce PyPi üzerinde 2FA’yı açmamış olan kritik projelerin geliştiricilerine, Google Açık Kaynak Güvenlik Ekibi’nden ücretsiz donanım güvenlik anahtarları sunuluyor.
Python Yazılım Vakfı tarafından yürütülen PyPI, 350.000’den fazla projeye ev sahipliği yapıyor. 3.500 proje “kritik” bir tanımla etiketlendiği söyleniyor.
Depo yöneticilerine göre, önceki 6 aydaki indirmelerin ilk %1’ini oluşturan herhangi bir proje kritik olarak belirlenir ve tespit günlük olarak yeniden hesaplanır.
Ancak bir proje kritik olarak sınıflandırıldığında, ilk %1’lik indirme listesinden düşse bile bu tanımı süresiz olarak koruması beklenir.
Python ekosisteminin tedarik zinciri güvenliğini iyileştirme girişimi olarak görülen hareket, son aylarda açık kaynak depolarını hedef alan bir dizi güvenlik olayının ardından geldi.
Geçen yıl, NPM geliştirici hesapları kötü niyetli kişiler tarafından popüler “ua-parser-js”, “coa” ve “rc” paketlerine kötü amaçlı kod eklemek için ele geçirildi ve GitHub’ın bakımcılar için 2FA gerektirerek NPM kayıt defterinin güvenliğini sıkılaştırmasını istedi. ve 2022’nin ilk çeyreğinde başlayan yöneticiler.
PyPi, “En yaygın kullanılan projelerin hesap devralmaya karşı bu korumalara sahip olmasını sağlamak, tüm PyPI kullanıcıları için Python ekosisteminin genel güvenliğini iyileştirmeye yönelik daha geniş çabalarımıza yönelik bir adımdır.” Dedi.