Los mantenedores del repositorio oficial de software de terceros para Python han comenzado a imponer una nueva condición de autenticación de dos factores (2FA) para proyectos considerados «críticos».
“Hemos comenzado a implementar un requisito de 2FA: pronto, los mantenedores de proyectos críticos deben tener 2FA habilitado para publicarlos, actualizarlos o modificarlos”, dijo Python Package Index (PyPI) en un tuit la semana pasada.
«Cualquier mantenedor de un proyecto crítico (tanto ‘Mantenedores’ como ‘Propietarios’) está incluido en el requisito 2FA», agregó.
Además, a los desarrolladores de proyectos críticos que no hayan activado previamente 2FA en PyPi se les ofrecen claves de seguridad de hardware gratuitas del equipo de seguridad de código abierto de Google.
PyPI, que está a cargo de Python Software Foundation, alberga más de 350 000 proyectos, de los cuales se dice que más de 3500 proyectos están etiquetados con una designación «crítica».
De acuerdo con los mantenedores del repositorio, cualquier proyecto que represente el 1 % de las descargas principales durante los 6 meses anteriores se designa como crítico, y la determinación se recalcula diariamente.
Pero una vez que un proyecto ha sido clasificado como crítico, se espera que conserve esa designación indefinidamente, incluso si sale de la lista del 1% de descargas principales.
La medida, que se considera un intento de mejorar la seguridad de la cadena de suministro del ecosistema de Python, se produce a raíz de una serie de incidentes de seguridad dirigidos a los repositorios de código abierto en los últimos meses.
El año pasado, las cuentas de desarrolladores de NPM fueron secuestradas por malos actores para insertar código malicioso en los paquetes populares «ua-parser-js», «coa» y «rc», lo que llevó a GitHub a reforzar la seguridad del registro de NPM al requerir 2FA para los mantenedores. y administradores a partir del primer trimestre de 2022.
«Asegurarse de que los proyectos más utilizados tengan estas protecciones contra la apropiación de cuentas es un paso hacia nuestros esfuerzos más amplios para mejorar la seguridad general del ecosistema de Python para todos los usuarios de PyPI», dijo PyPi.