Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Авторов PyPI проектов принудят внедрить двухфакторную аутентификацию

12/07/22

PYPL

Официальный репозиторий open-source Python проектов Python Package Index (PyPI) объявил о планах ввести обязательное требование двухфакторной аутентификации для сопровождающих «критических» проектов.

Администраторы PyPI объявили, что они находятся в процессе введения требования двухфакторной аутентификации (2FA) для проектов, которые считаются «критическими». Любой PyPI проект, на долю которого приходится 1% загрузок за последние 6 месяцев, а также зависимости пакетов, признаются критическими, согласно Securitylab.

«Чтобы повысить общую безопасность экосистемы Python, PyPI начала внедрять требование 2FA для критически важных проектов. Это требование вступит в силу в ближайшие месяцы», — объявили администраторы в сообщении в блоге.

 

Кроме того, к критически важным проектам предлагаются бесплатные аппаратные ключи безопасности при поддержке команды Google Open Source Security Team, спонсора Python Software Foundation (PSF).

«Мы начали внедрение требования 2FA: вскоре у авторов критически важных проектов должна быть включена 2FA для их публикации, обновления или изменения.

Чтобы разработчики могли использовать надежные методы 2FA, мы также предоставляем 4000 аппаратных ключей безопасности!», - написала команда PyPI в Twitter.

content-img(184)

Администраторы PyPI также поделились панелью инструментов, показывающей критические 3821 PyPI проект и 8 215 учетных записей пользователей PyPI, которым будет предложено внедрить 2FA.

Кроме того, более 28 300 учетных записей пользователей PyPI добровольно включили двухфакторную аутентификацию.

Хотя большинство положительно отреагировали на этот шаг, разработчик популярного PyPI проекта atomicwrites Маркус Унтервадитцер решил удалить свой код из PyPI и опубликовать его повторно, чтобы лишить его статуса «критический», присвоенного проекту. Проект atomicwrites загружается более 6 млн. раз в месяц .

«Я только что удалил пакет atomicwrites, а затем загрузил новую версию. Теперь это не критический проект», — написал Унтервадитцер в Twitter.

«...когда я создаю проект с открытым исходным кодом, я не выбираю создание «критического» пакета. Со временем он становится таковым», — написал создатель фреймворка Flask Армин Ронахер.

 

«Вместо того, чтобы возлагать бремя на пользователя пакетов, мы теперь перекладываем все на разработчика, который уже вложил в это свой труд и время. Некоторые из этих правил могут усложнить использование PyPI, но 2FA только для критических пакетов не так сильно повредит внедрению», — добавил разработчик.

Темы:PythonАутентификацияОтрасльВебмониторэкс
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Обзор новинок UserGate конца 2024 года
    Компания UserGate обычно радует рынок своими новинками в апреле, но в этом году решила, что ждать весны слишком долго, и выстрелила новыми продуктами уже в ноябре. Темп инноваций лишний раз напоминает, что улучшение безопасности – это вопрос не календаря, а готовности разработчиков удивлять своих клиентов.
  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...