denis-19 2 янв 2024 в 07:24

PyPI перешёл на обязательную двухфакторную аутентификацию (2FA) для всех пользователей

2 мин

7.4K

Информационная безопасность*IT-инфраструктура*Open source*Python*Программирование*

Комментарии 5

xenon 2 янв 2024 в 12:32

От себя добавлю - API ключ можно получить через вебморду PyPI, если проект управляется через hatch (и заливается через hatch publish), то в окружении (в свой .bashrc) прописываем:

export HATCH_INDEX_USER="__token__"
export HATCH_INDEX_AUTH="pypi-qqqqqqqq"

То есть USER у нас всегда __token__ (по два подчеркиваения с каждой стороны), а AUTH - ваш API ключ, который начинается на pypi-... .

mike66 2 янв 2024 в 17:26

В конце декабря GitHub предупредил всех добавляющих код на платформу разработчиков, что им ограничат функциональность, если они не включат 2FA в своих учётных записях до 19 января 2024 года.

После чего был послан в общеизвестном направлении, а проэкты были перенесены на гитлаб.

PS. Я не против 2FA как такового, я против его навязывания. Мои проекты - моё решение использовать 2FA или нет.

MountainGoat 3 янв 2024 в 08:46

Проблема то не в вас, а в пользователях, которых кинули, украв пароль от популярной репы и залив туда малварь. "Мои проекты - моё решение " действует, только если проект непубличный, а непубличные проекты можно и без 2FA.

mike66 3 янв 2024 в 17:27

Но ведь никто не заставляет использовать мой публичный код в своих проектах. Не уверен в безопасности - не используй. Я даже не против маркера «автор проекта не использует 2FA».
Но если по вопросу публичных open source проектов ещё можно спорить, то на кой ляд навязывать 2FA людям держащим только открытые репозитории с тестовыми задания ?

dartraiden 3 янв 2024 в 22:36

Но ведь никто не заставляет использовать мой публичный код в своих проектах. Не уверен в безопасности - не используй.

На эту тему есть эссе. Там объясняется, почему "я имею право вести себя <так-то>" не означает "это хорошая идея вести себя <так-то>". Да, разработчик может ставить своих пользователей под угрозу. Пользователи, в свою очередь, могут не использовать ПО такого разработчика. Но это не означает, что такое поведение разработчика является ответственным, поощряемым и соответствующим лучшим практикам.

На днях, кстати, как раз была история о том, как разработчик добавил в код прошивки закладку, выводящую в полночь 1 января надпись "Слава Украине" при нахождении устройства на территории России, а россиянин, использующий умную гирлянду с этой прошивкой, получил за это административку. Имел ли разработчик право? Имел. Его проект - его решение, законодательство его страны это не запрещает, лицензия тоже не запрещает. Но, козёл ли он? Конечно, козёл.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий