Die Betreuer des offiziellen Software-Repository für Python von Drittanbietern haben damit begonnen, eine neue Bedingung für die Zwei-Faktor-Authentifizierung (2FA) für Projekte einzuführen, die als „kritisch“ eingestuft werden.
„Wir haben damit begonnen, eine 2FA-Anforderung einzuführen: Bald müssen die Betreuer von kritischen Projekten 2FA aktivieren, um sie zu veröffentlichen, zu aktualisieren oder zu ändern“, teilte Python Package Index (PyPI) letzte Woche in einem Tweet mit.
„Jeder Betreuer eines kritischen Projekts (sowohl ‚Maintainer‘ als auch ‚Owner‘) ist von der 2FA-Anforderung betroffen“, heißt es weiter.
Zusätzlich werden den Entwicklern kritischer Projekte, die 2FA auf PyPi noch nicht aktiviert haben, kostenlose Hardware-Sicherheitsschlüssel vom Google Open Source Security Team angeboten.
Die PyPI, die von der Python Software Foundation betrieben wird, beherbergt mehr als 350.000 Projekte, von denen über 3.500 als „kritisch“ eingestuft sind.
Laut den Betreibern des Repositorys wird jedes Projekt, das in den letzten 6 Monaten die meisten Downloads verzeichnete, als kritisch eingestuft, wobei diese Einstufung täglich neu berechnet wird.
Wenn ein Projekt einmal als kritisch eingestuft wurde, behält es diese Einstufung auf unbestimmte Zeit, auch wenn es aus der Liste der Top-1%-Downloads herausfällt.
Der Schritt, der als Versuch gewertet wird, die Sicherheit der Lieferkette im Python-Ökosystem zu verbessern, folgt auf eine Reihe von Sicherheitsvorfällen, die sich in den letzten Monaten gegen Open-Source-Repositories richteten.
Letztes Jahr wurden NPM-Entwicklerkonten von böswilligen Akteuren gekapert, um Schadcode in die beliebten Pakete „ua-parser-js“, „coa“ und „rc“ einzuschleusen. Dies veranlasste GitHub, die Sicherheit der NPM-Registry zu erhöhen und ab dem ersten Quartal 2022 2FA für Maintainer und Admins vorzuschreiben.
„Die Sicherstellung, dass die am weitesten verbreiteten Projekte über diese Schutzmaßnahmen gegen die Übernahme von Konten verfügen, ist ein Schritt in Richtung unserer umfassenderen Bemühungen, die allgemeine Sicherheit des Python-Ökosystems für alle PyPI-Nutzer zu verbessern“, so PyPi.