Kritik projeler için iki faktörlü kimlik doğrulama zorunluluğunun bir parçası olarak Python Paket Dizini, geliştiricilere 4.000 Google Titan güvenlik anahtarı dağıtacak.
Python kitaplıkları ve yazılım bileşenleri için en büyük paket yöneticisi olan PyPI, “kritik” Python projelerinin sahipleri için iki faktörlü kimlik doğrulamasını zorunlu kılmaya karar verdi. Geliştiricilerin projelerini yayınlayabilmeleri, güncelleyebilmeleri veya değiştirebilmeleri için iki faktörlü kimlik doğrulamanın etkinleştirilmesi gerekir. Bu gereklilik, geliştiricileri, çalınan kimlik bilgilerinin bir sonucu olarak hesap devralmalarından koruyacaktır. Saldırganların kod depolarını ele geçirdiği ve popüler paket yöneticilerinde barındırılan yazılım kitaplıklarını ve modüllerini ele geçirdiği çok sayıda tedarik zinciri saldırısı vakası oldu.
“Kritik” atama, son altı aydaki indirmelerin ilk %1’ini oluşturan herhangi bir PyPI projesine atanır. PyPI tarafından yayınlanan panoya göre 3.800’ün üzerinde PyPI projesi ve 8.200 kullanıcı hesabı tanımlanmış kritik olarak. Şu anda iki faktörlü kimlik doğrulamayı gönüllü olarak etkinleştiren 28.336 kullanıcı var.
PyPI’s, “En yaygın kullanılan projelerin hesap devralmaya karşı bu korumalara sahip olmasını sağlamak, tüm PyPI kullanıcıları için Python ekosisteminin genel güvenliğini iyileştirmeye yönelik daha geniş çabalarımıza doğru bir adımdır.” yöneticiler açıkladı.
İki faktörlü kimlik doğrulamayı zorunlu kılma kararı, Python ekosisteminin tedarik zinciri güvenliğini iyileştirme girişimidir ve GitHub’ın bu yılın başlarında iki faktörlü kimlik doğrulamasını zorunlu kılma kararına benzer bir kararı yansıtmaktadır. Saldırganların giderek artan bir şekilde PyPI’nin JavaScript eşdeğeri olan npm’deki kitaplıkları hedeflediğini kabul eden GitHub, Şubat ayında iki faktörlü kimlik doğrulama ile en iyi 100 npm paketinin bakımcılarını otomatik olarak kaydettirdi.