PyPI tornará obrigatório uso de 2FA para todos os editores de software

pypi-tornara-obrigatorio-uso-de-2fa-para-todos-os-editores-de-software

O Python Package Index (PyPI) acaba de anunciar que exigirá que todas as contas que gerenciam um projeto na plataforma tenham a autenticação de dois fatores (2FA) ativada até o final do ano. Assim, todos os editores de software precisarão usar esse modo de autenticação.

PyPI é um repositório de software para pacotes criados na linguagem de programação Python. O índice hospeda 200.000 pacotes, permitindo que os desenvolvedores encontrem pacotes existentes que satisfaçam vários requisitos de projeto, economizando tempo e esforço.

PyPI e a autenticação 2FA para todos os editores de software

A equipe PyPI diz que a decisão de tornar o 2FA obrigatório em todas as contas faz parte de seu compromisso de longo prazo para aumentar a segurança na plataforma, complementando as medidas anteriores tomadas nessa direção, como bloquear credenciais comprometidas e oferecer suporte a tokens de API.

Um benefício da proteção 2FA é o risco reduzido de ataques à cadeia de suprimentos. Esses tipos de ataques ocorrem quando um ator mal-intencionado obtém o controle da conta de um mantenedor de software e adiciona um backdoor ou malware a um pacote usado como dependência em vários projetos de software.

pypi-tornara-obrigatorio-uso-de-2fa-para-todos-os-editores-de-software

Dependendo da popularidade do pacote, esses ataques podem afetar milhões de usuários. Embora os desenvolvedores sejam responsáveis por inspecionar minuciosamente os blocos de construção de seus projetos, a medida do PyPI deve facilitar a minimização desse tipo de problema. Além disso, o repositório do projeto Python sofreu com uploads desenfreados de malware, falsificação de pacotes famosos e reenvio de código malicioso usando contas sequestradas nos últimos meses.

Dado o grave problema, a PyPI teve que pausar temporariamente os registros de novos usuários e projetos na semana passada até que uma solução de defesa eficaz pudesse ser desenvolvida e implementada. Assim, a proteção 2FA ajudará a mitigar o problema de ataques de controle de conta e também deve definir um limite de quantas novas contas um usuário suspenso pode criar para recarregar pacotes maliciosos.

Estrada para 2FA

A exigência de configurar 2FA em todas as contas de mantenedor de projetos e organizações tem prazo até o final de 2023. Nos meses seguintes, recomenda-se que os usuários afetados preparem e habilitem a medida de segurança adicional usando uma chave de hardware ou um aplicativo de autenticação.

As coisas mais importantes que você pode fazer para se preparar são habilitar o 2FA para sua conta o mais rápido possível, seja com um dispositivo de segurança (preferencial) ou um aplicativo de autenticação , e passar a usar Editores Confiáveis (preferencial) ou tokens de API para faça o upload para o PyPI.

A equipe PyPI diz que o trabalho preparatório feito nos meses anteriores, como a introdução do “Trusted Publishing”, combinado com iniciativas paralelas de plataformas como o GitHub, que ajudaram os desenvolvedores a se familiarizarem com os requisitos 2FA, tornam este ano um excelente momento para introduzir a medida.