Площадка-репозиторий PyPI, который находится в ведении Python Software Foundation и содержит более 350 000 проектов, сообщил о новой политике для проектов, которые помечены как «критически важные».
Для управления такими проектами их администраторам принудительно включат двухфакторную аутентификацию, по прохождении которой можно будет публиковать, изменять или обновлять проект. В общей сложности в списке «критических» состоит около 3500 репозиториев экосистемы Python.
На данный шаг администрация PyPI пошла после нескольких атак, которые были проведены в последнее время.
Так, в прошлом году злоумышленники захватили учетные записи разработчиков NPM, чтобы вставить вредоносный код в популярные пакеты «ua-parser-js», «coa» и «rc». Эта атака заставила GitHub усилить безопасность реестра NPM через введение двухфакторной аутентификации для сопровождающих и администраторов. Для GitHub эта мера действует с первого квартала 2022 года.
Подобную практику решили перенять и в сообществе Python, так что теперь администраторам и сопровождающим придется пользоваться 2FA, если ранее они этого не делали.
Стоит отметить, что механизм попадания в «критические» репозитории весьма прост. Если в какой-то момент времени проект получает >1% от общих загрузок с PyPI в течении последних 6 месяцев, он помечается как «критический». При этом как выпасть из этого списка — неясно, достаточно разового всплеска активности сообщества, после чего репозиторий навсегда остается «критическим».
Для того, чтобы поддержать администраторов и облегчить им переход на 2FA, администрация PyPI совместно с Google Open Source Security Team предлагает воспользоваться аппаратными ключами доступа. Устройства будут поставляться администраторам репозиториев бесплатно, как жест поддержки со стороны PyPI в деле обеспечения безопасности сообщества Python.
«Обеспечение защиты от захвата учетных записей администраторов и сопровождающих наших наиболее широко используемых проектов — одно из самых масштабных наших усилий по укреплению безопасности экосистемы Python вообще и пользователей PyPI в частности», — говорится в официальном заявлении проекта.
Меры по принудительному включению 2FA на критических проектах PyPI вступят в силу уже на этой неделе.
