أعلن مؤشر Python Package (PyPI) الأسبوع الماضي أن كل حساب يحتفظ بمشروع في مستودع برامج الطرف الثالث الرسمي سيُطلب منه تشغيل المصادقة الثنائية (2FA) بحلول نهاية العام. تطبق PyPI المصادقة الثنائية
قال دونالد ستافت. مدير PyPI: “من الآن وحتى نهاية العام. ستبدأ PyPI في الوصول إلى وظائف معينة في الموقع بناءً على استخدام 2FA”. “بالإضافة إلى ذلك. قد نبدأ في اختيار مستخدمين أو مشاريع معينة للتنفيذ المبكر.”
بينما يشمل التنفيذ أيضًا المشرفين على المؤسسة. ولكنه لا يمتد إلى كل مستخدم للخدمة.
الهدف هو تحييد التهديدات التي تشكلها هجمات الاستيلاء على الحساب. والتي يمكن للمهاجم الاستفادة منها لتوزيع إصدارات أحصنة طروادة من الحزم الشائعة لتسميم سلسلة توريد البرامج ونشر البرامج الضارة على نطاق واسع.
كما شهدت PyPI. مثل المستودعات مفتوحة المصدر الأخرى مثل npm. حالات لا حصر لها من البرامج الضارة وانتحال هوية الحزمة.
تطبق PyPI المصادقة الثنائية الإلزامية لمالكي المشروع
في وقت سابق من هذا الشهر. اكتشفت Fortinet FortiGuard Labs أكثر من 30 مكتبة من مكتبات Python التي تضم العديد من الميزات للاتصال بعناوين URL التعسفية البعيدة وسرقة البيانات الحساسة من الأجهزة المخترقة.
يأتي هذا التطوير بعد عام تقريبًا من قيام PyPI بجعل 2FA إلزاميًا لمشرفي المشروع المهمين. من ناحية أخرى السجل هو موطن لـ 457125 مشروعًا و 704458 مستخدمًا.
وفقًا لمزود خدمة المراقبة السحابية Datadog. تم تحديد 9580 مستخدمًا و 4541 مشروعًا على أنها بالغة الأهمية. مع تمكين 2FA في المجموع لـ 38248 مستخدمًا حتى الآن. تطبق PyPI المصادقة الثنائية