PyPI pokreće dvofaktorsku autentifikaciju (2FA) za svojih 1% najkritičnijih projekata
Napadi na opskrbne lance (Supply Chain Attack) sve se više oslanjaju na kompromitiranje repozitorija izvornog koda. Javni repozitoriji kao što su npm (najveći svjetski repozitorij) i PyPi (The Python Package Index) su posebno primamljivi ciljevi, stoga je poželjan prelazak na 2FA.
Nakon ponovljenih incidenata otmice legitimnih softverskih biblioteka—u ekosustavima npm i PyPI, administratori registra PyPI pokrenuli su inicijativu za poboljšanje ukupne sigurnosti lanca nabave softvera.
Najavili su da su pokrenuli proces uvođenja zahtjeva dvofaktorske autentifikacije (2FA) za najkritičnije odnosno najpopularnije projekte. Svaki PyPI projekt koji čini 1% najvećih preuzimanja u posljednjih šest mjeseci označen je kao neophodan za zaštitu.
Održavatelji ključnih projekata moraju imati omogućen 2FA kako bi ih mogli objaviti, ažurirati ili izmijeniti izvorni kod.
Kako bi osigurali da ovi održavatelji mogu koristiti jake 2FA metode, ovi repozitoriji šalju autorima kritičnih projekata 4000 hardverskih tokena!
Pročitajte više na Bleeping Computer!