PyPI pokreće dvofaktorsku autentifikaciju (2FA) za svojih 1% najkritičnijih projekata
Napadi na lance snabdijevanja (Supply Chain Attack) sve se više oslanjaju na kompromitiranje repozitorija izvornog koda. Javna spremišta kao što su npm (najveći svjetski repozitorij) i PyPi (The Python Package Index) su posebno prijemčivi ciljevi, pa je prelazak na 2FA poželjan.
Nakon ponovljenih incidenata otmice legitimnih softverskih biblioteka—u ekosustavima npm i PyPI, administratori registra PyPI pokrenuli su inicijativu za poboljšanje ukupne sigurnosti lanca nabave softvera.
Najavili su da su započeli proces uvođenja zahtjeva za dvofaktorsku autentifikaciju (2FA) za najkritičnije projekte. Svaki PyPI projekat koji čini 1% najvećih preuzimanja u poslednjih šest mjeseci označen je kao krucijalan za zaštitu.
Održavatelji kritičnih projekata moraju imati omogućen 2FA kako bi imogli objaviti, ažurirati ili izmijeniti izvoran kod. Kako bi osigurali da ovi održavaoci mogu koristiti jake 2FA metode, oni također distribuiraju 4000 hardverskih hardverskih tokena!
Pročitajte više na Bleeping Computer!