Критически важные проекты должны иметь дополнительную защиту
Официальный репозиторий open-source Python проектов Python Package Index (PyPI) объявил о планах ввести обязательное требование двухфакторной аутентификации для сопровождающих «критических» проектов.
Администраторы PyPI объявили, что они находятся в процессе введения требования двухфакторной аутентификации (2FA) для проектов, которые считаются «критическими». Любой PyPI проект, на долю которого приходится 1% загрузок за последние 6 месяцев, а также зависимости пакетов, признаются критическими.
«Чтобы повысить общую безопасность экосистемы Python, PyPI начала внедрять требование 2FA для критически важных проектов. Это требование вступит в силу в ближайшие месяцы», — объявили администраторы в сообщении в блоге .
Кроме того, к критически важным проектам предлагаются бесплатные аппаратные ключи безопасности при поддержке команды Google Open Source Security Team, спонсора Python Software Foundation (PSF).
«Мы начали внедрение требования 2FA: вскоре у авторов критически важных проектов должна быть включена 2FA для их публикации, обновления или изменения.
Чтобы разработчики могли использовать надежные методы 2FA, мы также предоставляем 4000 аппаратных ключей безопасности!», - написала команда PyPI в Twitter .
Администраторы PyPI также поделились панелью инструментов , показывающей критические 3821 PyPI проект и 8 215 учетных записей пользователей PyPI, которым будет предложено внедрить 2FA.
Кроме того, более 28 300 учетных записей пользователей PyPI добровольно включили двухфакторную аутентификацию.
Хотя большинство положительно отреагировали на этот шаг, разработчик популярного PyPI проекта atomicwrites Маркус Унтервадитцер решил удалить свой код из PyPI и опубликовать его повторно, чтобы лишить его статуса «критический», присвоенного проекту. Проект atomicwrites загружается более 6 млн. раз в месяц .
«Я только что удалил пакет atomicwrites, а затем загрузил новую версию. Теперь это не критический проект», — написал Унтервадитцер в Twitter.
«...когда я создаю проект с открытым исходным кодом, я не выбираю создание «критического» пакета. Со временем он становится таковым», — написал создатель фреймворка Flask Армин Ронахер.
«Вместо того, чтобы возлагать бремя на пользователя пакетов, мы теперь перекладываем все на разработчика, который уже вложил в это свой труд и время. Некоторые из этих правил могут усложнить использование PyPI, но 2FA только для критических пакетов не так сильно повредит внедрению», — добавил разработчик.