Programación Python: PyPl proporciona 2FA para proyectos críticos y proporciona 4000 claves de seguridad
PyPI, o Python Package Index, está lanzando 4000 claves de seguridad de Google Titan como parte de su paso a la autenticación obligatoria de dos factores (2FA) para proyectos críticos creados en el lenguaje de programación Python.
Python es uno de los lenguajes de programación más populares del mundo, amado por su amplia gama de paquetes o bibliotecas complementarias que lo hacen útil para la ciencia de datos. Los desarrolladores deben actualizar estos paquetes con frecuencia, y los atacantes han usado este comportamiento para hacer backdoor en máquinas Windows, Linux y Apple. a través de paquetes falsos con nombres similares a los legítimostambién conocidos como ataques de cadena de software.
Administrado por Python Software Foundation (PSF), PyPI es el repositorio principal donde los desarrolladores de Python pueden obtener paquetes de código abierto de terceros para sus proyectos.
El repositorio npm equivalente de PyPI y JavaScript actúa como una App Store/Play Store para desarrolladores, pero no está cerrado y los servicios gratuitos no tienen los recursos para verificar los envíos de paquetes en busca de malware.
Google lucha contra los paquetes de idiomas maliciosos y las amenazas a través de Open Source Security Foundation (OpenSSF) de Linux Foundation. ataques a la cadena de suministro de software de código abierto. Él detectó más de 200 paquetes maliciosos de JavaScript y Python en un mes y señaló “consecuencias devastadoras” para los desarrolladores y las organizaciones que codifican mientras los instalan.
Una forma en que los desarrolladores pueden protegerse de las credenciales robadas es usar la autenticación de dos factores, y PSF ahora exige el uso de 2FA para los desarrolladores detrás de “proyectos críticos” en los próximos meses. PyPI no ha anunciado una fecha específica para la solicitud.
“Hemos comenzado a hacer cumplir 2FA: pronto los mantenedores de proyectos críticos deberán habilitar 2FA para publicarlos, actualizarlos o modificarlos” PSF PyPI informó al respecto en su cuenta de Twitter.
Como parte de la seguridad, está regalando 4000 llaves de seguridad de hardware de Google Titan a los propietarios de proyectos donadas por el equipo de seguridad de código abierto de Google.
“Para mejorar la seguridad general del ecosistema de Python, PyPI ha comenzado a implementar un requisito de autenticación de dos factores (2FA) para proyectos críticos. Este requisito entrará en vigencia en los próximos meses”. Así lo aseguró el comunicado del PSF.
“Para garantizar que los desarrolladores de proyectos seguros tengan la capacidad de implementar 2FA sólido con claves de seguridad, el equipo de seguridad de código abierto de Google, Fundación del software Pythonha proporcionado un número limitado de claves de seguridad para distribuir a los mantenedores de proyectos críticos.
PSF dice que considera crítico cualquier proyecto en el 1% superior de las descargas en los seis meses anteriores. PyPI actualmente tiene más de 350.000 proyectos, lo que significa que más de 3.500 proyectos están clasificados como críticos. PyPI calcula esto a diario, por lo que el obsequio de Titan debería recorrer un largo camino para cubrir a algunos de los técnicos principales, pero no a todos.
En nombre de la transparencia, PyPI también 2FA publica credenciales de cuenta. Actualmente hay 28 336 usuarios habilitados para 2FA, de los cuales aproximadamente 27 000 usan una aplicación 2FA como Microsoft Authenticator. Este grupo cuenta con más de 3.800 proyectos calificados como “críticos” y 8.241 usuarios de PyPI.
A medida que se agregan nuevos proyectos a la 2FA obligatoria con el tiempo, es probable que el grupo crítico crezca a medida que los proyectos designados como críticos permanezcan indefinidamente. La regla 2FA se aplica tanto a los propietarios de proyectos como a los propietarios de proyectos.
Las claves de titanio solo están aprobadas para la venta en ciertas regiones geográficas, por lo que solo los desarrolladores de Austria, Bélgica, Canadá, Francia, Alemania, Italia, Japón, España, Suiza, Reino Unido y EE. UU. pueden obtener una clave gratuita. Para PyPI.
VER: Los desarrolladores se quemaron. Esto es lo que hace para hacer frente
En otras regiones, los técnicos que deberán usar 2FA deben comprar una clave de seguridad FIDO U2F de proveedores como Yubikey. o puede habilite 2FA a través de la aplicación móvil Como Google Authenticator, Microsoft Authenticator, Duo Mobile, Auth, FreeOTP+ o un administrador de contraseñas como FreeOTP o 1Password.
Los cuidadores elegibles pueden obtener dos gratis con el código de promoción Llaves de seguridad de titanio (USB-C o USB-A), incluido el envío gratuito Desde el sitio web de PyPI. El código vence el 1 de octubre.
Si bien la mayoría de los desarrolladores están familiarizados con 2FA, el requisito puede causar problemas de inicio de sesión si un usuario pierde su clave 2FA y configura su cuenta con solo una opción 2FA.
“Sin múltiples opciones de 2FA, el impacto de perder un método 2FA da como resultado la necesidad de recuperar completamente la cuenta, lo cual es una carga y requiere mucho tiempo tanto para los mantenedores como para los administradores de PyPI. Tener múltiples métodos 2FA en su lugar reduce la interrupción potencial si uno es perdido”, advierte PyPl.
