Les responsables du référentiel de logiciels tiers officiel pour Python ont commencé à imposer une nouvelle condition d’authentification à deux facteurs (2FA) pour les projets jugés « critiques ».
« Nous avons commencé à déployer une exigence 2FA : bientôt, les responsables de projets critiques devront activer 2FA pour les publier, les mettre à jour ou les modifier », Python Package Index (PyPI) a dit dans un tweet la semaine dernière.
« Tout mainteneur d’un projet critique (à la fois les ‘mainteneurs’ et les ‘propriétaires’) est inclus dans l’exigence 2FA », il ajoutée.
De plus, les développeurs de projets critiques qui n’ont pas encore activé 2FA sur PyPi se voient offrir des clés de sécurité matérielles gratuites par l’équipe de sécurité Google Open Source.
PyPI, qui est géré par la Python Software Foundation, héberge plus de 350 000 projets, dont plus de 3 500 projets sont dits être étiquetés avec une désignation « critique ».
Selon les mainteneurs du référentiel, tout projet représentant le 1 % des téléchargements les plus importants au cours des 6 mois précédents est désigné comme critique, la détermination étant recalculée quotidiennement.
Mais une fois qu’un projet a été classé comme critique, on s’attend à ce qu’il conserve cette désignation indéfiniment, même s’il sort de la liste des 1 % de téléchargements les plus importants.
Cette décision, qui est considérée comme une tentative d’améliorer la sécurité de la chaîne d’approvisionnement de l’écosystème Python, fait suite à un certain nombre d’incidents de sécurité ciblant les référentiels open source ces derniers mois.
L’année dernière, des comptes de développeurs NPM ont été piratés par de mauvais acteurs pour insérer du code malveillant dans les packages populaires « ua-parser-js », https://thehackernews.com/2022/07/ »coa » et « rc », incitant GitHub à renforcer la sécurité du registre NPM en exigeant 2FA pour les mainteneurs et les administrateurs à partir du premier trimestre 2022.
« S’assurer que les projets les plus largement utilisés disposent de ces protections contre la prise de contrôle de compte est une étape vers nos efforts plus larges pour améliorer la sécurité générale de l’écosystème Python pour tous les utilisateurs de PyPI », a déclaré PyPi.