Programació Python: PyPl està implementant 2FA per a projectes crítics, regalant 4.000 claus de seguretat

Imatge: Getty Images/iStockphoto

PyPI o Python Package Index regala 4.000 claus de seguretat de Google Titan com a part del seu pas a l’autenticació obligatòria de dos factors (2FA) per a projectes crítics construïts en el llenguatge de programació Python.

Python és un dels llenguatges de programació més populars del món, estimat per la seva amplitud de paquets o biblioteques complementàries que el fan útil per a la ciència de dades. Els desenvolupadors han d’actualitzar aquests paquets amb freqüència i els atacants han utilitzat aquest comportament per fer servir les seves màquines Windows, Linux i Apple a través de paquets falsos que s’anomenen de manera similar als legítims, també coneguts com a atacs a la cadena de subministrament de programari.

PyPI, que està gestionat per la Python Software Foundation (PSF), és el dipòsit principal on els desenvolupadors de Python poden obtenir paquets de codi obert desenvolupats per tercers per als seus projectes.

EES: Treballant dur o treballant poc? Els empleats no confien que els seus companys siguin productius mentre treballen des de casa

El repositori npm equivalent de PyPI i JavaScript actua com l’App Store/Play Store per als desenvolupadors, però no estan tancats i els serveis gratuïts no tenen els recursos per comprovar els enviaments de paquets per detectar programari maliciós.

Google, a través de la Fundació per a la seguretat de codi obert (OpenSSF) de la Fundació Linux, està abordant l’amenaça dels paquets de llenguatge maliciós i els atacs a la cadena de subministrament de programari de codi obert. Va trobar més de 200 paquets maliciosos de JavaScript i Python en un mes i va assenyalar “conseqüències devastadores” per als desenvolupadors i les organitzacions per a les quals escriuen codi quan els instal·len.

Una de les maneres en què els desenvolupadors poden protegir-se de les credencials robades és mitjançant l’ús de l’autenticació de dos factors i el PSF ara fa que sigui obligatori que els desenvolupadors darrere de “projectes crítics” utilitzin 2FA en els propers mesos. PyPI no ha declarat una data específica per al requisit.

“Hem començat a implementar un requisit de 2FA: aviat, els mantenedors de projectes crítics hauran de tenir 2FA habilitat per publicar-los, actualitzar-los o modificar-los”, el PSF. va dir al seu compte de Twitter PyPI.

Com a part de la unitat de seguretat, regala 4.000 claus de seguretat de maquinari de Google Titan als mantenedors de projectes dotats per l’equip de seguretat de codi obert de Google.

“Per tal de millorar la seguretat general de l’ecosistema Python, PyPI ha començat a implementar un requisit d’autenticació de dos factors (2FA) per a projectes crítics. Aquest requisit entrarà en vigor en els propers mesos”, va dir PSF en un comunicat.

“Per garantir que els mantenedors de projectes crítics tinguin la capacitat d’implementar una 2FA sòlida amb claus de seguretat, l’equip de seguretat de codi obert de Google, patrocinador de la Python Software Foundation, ha proporcionat un nombre limitat de claus de seguretat per distribuir als mantenedors de projectes crítics.

PSF diu que considera crític qualsevol projecte de l’1% de les descàrregues dels últims sis mesos. Actualment, hi ha més de 350.000 projectes a PyPI, és a dir, més de 3.500 projectes estan classificats com a crítics. PyPI ho calcula diàriament, de manera que el sorteig de Titan hauria de recórrer un llarg camí per cobrir una part dels mantenedors clau, però no tots.

En nom de la transparència, PyPI també publica mètriques del compte 2FA. Actualment hi ha 28.336 usuaris amb 2FA habilitat, i gairebé 27.000 d’ells utilitzen una aplicació 2FA com Microsoft Authenticator. Hi ha més de 3.800 projectes classificats com a “crítics” i 8.241 usuaris PyPI en aquest grup.

També és probable que el grup crític creixi, ja que els projectes que s’han designat com a crítics es mantenen de manera indefinida mentre que els nous projectes s’afegeixen a la 2FA obligatòria amb el pas del temps. La regla 2FA s’aplica tant als responsables del projecte com als propietaris.

Les claus Titan només estan aprovades per a la venda en determinades regions geogràfiques, de manera que només els desenvolupadors d’Àustria, Bèlgica, Canadà, França, Alemanya, Itàlia, Japó, Espanya, Suïssa, Regne Unit i els Estats Units poden rebre’n una gratuïtament, segons a PyPI.

EES: Els desenvolupadors estan esgotats. Això és el que estan fent per afrontar-ho

Els mantenedors d’altres regions que hauran d’utilitzar 2FA han de comprar una clau de seguretat FIDO U2F de proveïdors com Yubikey. O poden habilitar 2FA mitjançant una aplicació mòbil com Google Authenticator, Microsoft Authenticator, Duo Mobile, Auth, FreeOTP+ o FreeOTP, o un gestor de contrasenyes com 1Password.

Els mantenedors elegibles poden bescanviar un codi promocional per dues claus de seguretat Titan gratuïtes (USB-C o USB-A), inclòs l’enviament gratuït des del lloc web de PyPI. El codi caduca l’1 d’octubre.

Tot i que la majoria dels desenvolupadors estaran familiaritzats amb 2FA, el requisit podria crear reptes d’inici de sessió, per exemple, si un usuari perd la clau 2FA i ha configurat el seu compte amb només una opció 2FA.

“Sense múltiples opcions de 2FA, l’efecte de la pèrdua d’un mètode de 2FA comporta la necessitat de recuperar completament un compte, cosa que és onerós i requereix molt de temps tant per als responsables com per als administradors de PyPI. L’habilitació de diversos mètodes de 2FA redueix la possible interrupció si es perd un”. PyPl avisa.

Leave a Comment

Your email address will not be published. Required fields are marked *