Para aumentar a segurança e evitar os recentes incidentes, o PyPI tornou obrigatório o uso da autenticação de dois fatores.
PyPI é um repositório de software para pacotes criados na linguagem de programação Python. O índice hospeda 200.000 pacotes, permitindo que os desenvolvedores encontrem pacotes existentes que satisfaçam vários requisitos de projeto, economizando tempo e esforço.
Agora, O Python Package Index (PyPI) anunciou que exigirá que todas as contas que gerenciam um projeto na plataforma tenham a autenticação de dois fatores (2FA) ativada até o final do ano.
PyPI tornou obrigatório o uso da autenticação de dois fatores
A equipe PyPI diz que a decisão de tornar o 2FA obrigatório em todas as contas faz parte de seu compromisso de longo prazo para aumentar a segurança na plataforma, complementando as medidas anteriores tomadas nessa direção, como bloquear credenciais comprometidas e oferecer suporte a tokens de API.
Um benefício da proteção 2FA é o risco reduzido de ataques à cadeia de suprimentos.
Esses tipos de ataques ocorrem quando um ator mal-intencionado obtém o controle da conta de um mantenedor de software e adiciona um backdoor ou malware a um pacote usado como dependência em vários projetos de software.
Dependendo da popularidade do pacote, esses ataques podem afetar milhões de usuários. Embora os desenvolvedores sejam responsáveis por inspecionar minuciosamente os blocos de construção de seus projetos, a medida do PyPI deve facilitar a minimização desse tipo de problema.
Além disso, o repositório do projeto Python sofreu com uploads desenfreados de malware, falsificação de pacotes famosos e reenvio de código malicioso usando contas sequestradas nos últimos meses.
O problema atingiu tal magnitude que a PyPI na semana passada teve que pausar temporariamente os registros de novos usuários e projetos até que uma solução de defesa eficaz pudesse ser desenvolvida e implementada.
A proteção 2FA ajudará a mitigar o problema de ataques de controle de conta e também deve definir um limite de quantas novas contas um usuário suspenso pode criar para recarregar pacotes maliciosos.
A exigência de configurar 2FA em todas as contas de mantenedor de projetos e organizações tem prazo até o final de 2023.
Nos meses seguintes, recomenda-se que os usuários afetados preparem e habilitem a medida de segurança adicional usando uma chave de hardware ou um aplicativo de autenticação.
“As coisas mais importantes que você pode fazer para se preparar são habilitar o 2FA para sua conta o mais rápido possível, seja com um dispositivo de segurança (preferencial) ou um aplicativo de autenticação, e passar a usar Editores Confiáveis (preferencial) ou tokens de API para faça o upload para o PyPI” – PyPI
A equipe do PyPI diz que o trabalho preparatório realizado nos meses anteriores, como a introdução do ‘Trusted Publishing‘, combinado com iniciativas paralelas de plataformas como o GitHub, que ajudaram os desenvolvedores a se familiarizarem com os requisitos do 2FA, tornam este ano um excelente momento para introduzir a medida.
