Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Авторов PyPI проектов принудят внедрить двухфакторную аутентификацию

12/07/22

PYPL

Официальный репозиторий open-source Python проектов Python Package Index (PyPI) объявил о планах ввести обязательное требование двухфакторной аутентификации для сопровождающих «критических» проектов.

Администраторы PyPI объявили, что они находятся в процессе введения требования двухфакторной аутентификации (2FA) для проектов, которые считаются «критическими». Любой PyPI проект, на долю которого приходится 1% загрузок за последние 6 месяцев, а также зависимости пакетов, признаются критическими, согласно Securitylab.

«Чтобы повысить общую безопасность экосистемы Python, PyPI начала внедрять требование 2FA для критически важных проектов. Это требование вступит в силу в ближайшие месяцы», — объявили администраторы в сообщении в блоге.

 

Кроме того, к критически важным проектам предлагаются бесплатные аппаратные ключи безопасности при поддержке команды Google Open Source Security Team, спонсора Python Software Foundation (PSF).

«Мы начали внедрение требования 2FA: вскоре у авторов критически важных проектов должна быть включена 2FA для их публикации, обновления или изменения.

Чтобы разработчики могли использовать надежные методы 2FA, мы также предоставляем 4000 аппаратных ключей безопасности!», - написала команда PyPI в Twitter.

content-img(184)

Администраторы PyPI также поделились панелью инструментов, показывающей критические 3821 PyPI проект и 8 215 учетных записей пользователей PyPI, которым будет предложено внедрить 2FA.

Кроме того, более 28 300 учетных записей пользователей PyPI добровольно включили двухфакторную аутентификацию.

Хотя большинство положительно отреагировали на этот шаг, разработчик популярного PyPI проекта atomicwrites Маркус Унтервадитцер решил удалить свой код из PyPI и опубликовать его повторно, чтобы лишить его статуса «критический», присвоенного проекту. Проект atomicwrites загружается более 6 млн. раз в месяц .

«Я только что удалил пакет atomicwrites, а затем загрузил новую версию. Теперь это не критический проект», — написал Унтервадитцер в Twitter.

«...когда я создаю проект с открытым исходным кодом, я не выбираю создание «критического» пакета. Со временем он становится таковым», — написал создатель фреймворка Flask Армин Ронахер.

 

«Вместо того, чтобы возлагать бремя на пользователя пакетов, мы теперь перекладываем все на разработчика, который уже вложил в это свой труд и время. Некоторые из этих правил могут усложнить использование PyPI, но 2FA только для критических пакетов не так сильно повредит внедрению», — добавил разработчик.

Темы:PythonАутентификацияОтрасльВебмониторэкс
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...