مستودع PyPI يجعل أمان 2FA إلزاميًا لمشاريع Python الحرجة

اخلاء مسؤولية | DISCLAIMER

بدأ المشرفون على مستودع برامج الطرف الثالث الرسمي لبايثون بفرض شرط جديد للمصادقة الثنائية (2FA) للمشاريع التي تعتبر “حرجة”.

قال Python Package Index (PyPI) في تغريدة الأسبوع الماضي: “لقد بدأنا في طرح مطلب 2FA: قريبًا ، يجب تمكين المصادقة الثنائية للمشروعات المهمة لنشرها أو تحديثها أو تعديلها”.

وأضافت: “يتم تضمين أي مشرف على مشروع بالغ الأهمية (كل من” المشرفين “و” المالكين “) في متطلبات المصادقة الثنائية”.

بالإضافة إلى ذلك ، فإن مطوري المشاريع الهامة الذين لم يسبق لهم تشغيل 2FA على PyPi يحصلون على مفاتيح أمان مجانية للأجهزة من فريق Google Open Source Security Team.

تضم PyPI ، التي تديرها مؤسسة Python Software Foundation ، أكثر من 350 ألف مشروع ، يُقال إن أكثر من 3500 مشروع منها تحمل تصنيفًا “حرجًا”.

وفقًا لمسؤولي صيانة المستودع ، فإن أي مشروع يمثل أعلى 1٪ من التنزيلات على مدار الأشهر الستة السابقة يتم تحديده على أنه بالغ الأهمية ، مع إعادة حساب القرار على أساس يومي

ولكن بمجرد تصنيف المشروع على أنه مهم ، من المتوقع أن يحتفظ بهذا التعيين إلى أجل غير مسمى ، حتى إذا خرج من قائمة التنزيلات الأعلى بنسبة 1٪.

تأتي هذه الخطوة ، التي يُنظر إليها على أنها محاولة لتحسين أمان سلسلة التوريد لنظام Python البيئي ، في أعقاب عدد من الحوادث الأمنية التي استهدفت مستودعات مفتوحة المصدر في الأشهر الأخيرة.

في العام الماضي ، اختطفت جهات فاعلة سيئة حسابات مطوري NPM لإدخال تعليمات برمجية ضارة في الحزم الشائعة “ua-parser-js” و “coa” و “rc” ، مما دفع GitHub إلى تشديد أمان سجل NPM من خلال طلب 2FA للمشرفين والمسؤولون بدءًا من الربع الأول من عام 2022.

قال PyPi: “إن ضمان أن المشاريع الأكثر استخدامًا لديها هذه الحماية ضد الاستيلاء على الحساب هو خطوة واحدة نحو جهودنا الأوسع لتحسين الأمن العام لنظام Python البيئي لجميع مستخدمي PyPI”.

المصدر من هنا