Python Paket Dizini (PyPI) geçen hafta, resmi üçüncü taraf yazılım deposunda bir proje yürüten her hesabın iki faktörlü kimlik doğrulamayı açması gerekeceğini duyurdu (2FA) yıl sonu.
PyPI yöneticisi Donald Stufft, “Bugün ile yıl sonu arasında, PyPI, 2FA kullanımına dayalı olarak belirli site işlevlerine erişim sağlamaya başlayacak” dedi. “Ayrıca, erken uygulama için belirli kullanıcıları veya projeleri seçmeye başlayabiliriz.”
Yürütme ayrıca şunları içerir: organizasyon koruyucularıancak hizmetin her bir kullanıcısını kapsamaz.
Amaç, bir saldırganın yazılım tedarik zincirini zehirlemek ve büyük ölçekte kötü amaçlı yazılım dağıtmak için popüler paketlerin truva atı haline getirilmiş sürümlerini dağıtmak için kullanabileceği hesap ele geçirme saldırılarının oluşturduğu tehditleri etkisiz hale getirmektir.
PyPI, npm gibi diğer açık kaynak havuzları gibi, sayısız kötü amaçlı yazılım ve paket kimliğine bürünme örneğine tanık oldu.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Bu ayın başlarında, Fortinet FortiGuard Labs keşfetti rastgele uzak URL’lere bağlanmak ve güvenliği ihlal edilmiş makinelerden hassas verileri çalmak için çeşitli özellikler içeren 30’dan fazla Python kitaplığı.
Geliştirme, PyPI’nin kritik proje yürütücüleri için 2FA’yı zorunlu hale getirmesinden yaklaşık bir yıl sonra gelir. bu kayıt 457.125 projeye ve 704.458 kullanıcıya ev sahipliği yapmaktadır.
Bulut izleme hizmeti sağlayıcısına göre veri köpeği9.580 kullanıcı ve 4.541 proje kritik olarak belirlendi ve bugüne kadar toplam 38.248 kullanıcı için 2FA etkinleştirildi.