В блоге репозитория PyPI рассказали, что все пользователи, разрабатывающие хотя бы один проект, должны будут в обязательном порядке пользоваться двухфакторной аутентификацией. Полный переход на новые правила защиты планируется совершить к концу 2023 года.
PyPI начнёт ограничивать разработчиков, которые всё ещё не подключили двухфакторную защиту на свои аккаунты. Администраторы проекта не сообщают, как будут выбирать разработчиков и какие возможности сайта будут отключаться, если проигнорировать требования. При этом в блоге отметили, что определённые категории пользователей получат уведомления о переходе в первую очередь.
Также администрация PyPI подготовила подробные инструкции по подключению двухфакторной аутентификации. Разработчикам рекомендуют использовать физические USB-ключи, поддерживающие спецификацию FIDO U2F. К примеру, Yubikey, Google Titan или Thetis. Также можно использовать специальные приложения для генерации кодов и API-токены.
Руководство организации считает, что без дополнительной защиты злоумышленники могут получить контроль над аккаунтом разработчика и начать распространять заражённые пакеты или вносить изменения от имени пользователя. Такой сценарий особенно опасен для PyPI, так как пакеты из репозитория запускаются на сотнях тысяч машин по всему миру.
ссылка на оригинал статьи https://habr.com/ru/articles/737776/
Добавить комментарий