PyPI または Python Package Index は、Python プログラミング言語で構築された重要なプロジェクトに必須の 2 要素認証 (2FA) への移行の一環として、4,000 個の Google Titan セキュリティ キーを提供しています。
Python は、世界で最も人気のあるプログラミング言語の 1 つであり、データ サイエンスに役立つ幅広いパッケージやアドオン ライブラリで愛されています。 開発者はこれらのパッケージを頻繁に更新する必要があり、攻撃者はこの動作を利用して、正当なパッケージと同様の名前の偽のパッケージを介して Windows、Linux、および Apple マシンをバックドアします。ソフトウェア サプライ チェーン攻撃とも呼ばれます。
Python Software Foundation (PSF) によって管理されている PyPI は、Python 開発者がプロジェクト用にサードパーティが開発したオープンソース パッケージを入手できるメイン リポジトリです。
EES: 一生懸命働くか、ほとんど働かないか? 従業員は、在宅勤務中の同僚の生産性を信頼していません
PyPI と JavaScript に相当する npm リポジトリは、開発者向けの App Store/Play Store のように機能しますが、閉鎖されておらず、無料のサービスにはマルウェアのパッケージ提出を精査するためのリソースがありません。
Google は、Linux Foundation の Open Source Security Foundation (OpenSSF) を通じて、悪意のある言語パッケージとオープンソース ソフトウェア サプライ チェーン攻撃の脅威に取り組んでいます。 1 か月で 200 を超える悪意のある JavaScript および Python パッケージを発見し、それらをインストールすると、開発者とコードを作成する組織に「壊滅的な結果」をもたらすことを指摘しました。
開発者が盗まれた資格情報から身を守る方法の 1 つは、2 要素認証を使用することです。PSF は、今後数か月で「重要なプロジェクト」の背後にある開発者が 2FA を使用することを義務付けています。 PyPI は、要件の特定の日付を宣言していません。
「2FA要件の展開を開始しました。まもなく、重要なプロジェクトのメンテナーは、それらを公開、更新、または変更するために2FAを有効にする必要があります」とPSF PPI の Twitter アカウントで次のように述べています。.
セキュリティ推進の一環として、Google のオープンソース セキュリティ チームからプロジェクト メンテナーに 4,000 個の Google Titan ハードウェア セキュリティ キーを提供しています。
「Python エコシステムの一般的なセキュリティを向上させるために、PyPI は重要なプロジェクトに対して 2 要素認証 (2FA) 要件の実装を開始しました。この要件は、今後数か月で有効になります」と PSF は声明で述べています。
「重要なプロジェクトのメンテナーがセキュリティ キーを使用して強力な 2FA を実装できるようにするために、Python Software Foundation のスポンサーである Google オープン ソース セキュリティ チームは、重要なプロジェクトのメンテナーに配布する限られた数のセキュリティ キーを提供しています。
PSF は、過去 6 か月間のダウンロード数の上位 1% に含まれるプロジェクトをクリティカルとみなすと述べています。 現在、PyPI には 350,000 以上のプロジェクトがあり、3,500 以上のプロジェクトがクリティカルと評価されています。 PyPI はこれを毎日計算するため、Titan プレゼントは主要なメンテナーの一部をカバーするのに大いに役立ちますが、すべてではありません。
透明性の名の下に、PyPI は 2FA アカウント メトリクスも公開しています。 現在、2FA が有効になっているユーザーは 28,336 人おり、そのうち約 27,000 人が Microsoft Authenticator のような 2FA アプリを使用しています。 「クリティカル」と評価されたプロジェクトは 3,800 件以上あり、このグループには 8,241 人の PyPI ユーザーがいます。
新しいプロジェクトが時間の経過とともに必須の 2FA に追加されている間、重要として指定されたプロジェクトは無期限に残るため、重要なグループも成長する可能性があります。 2FA ルールは、プロジェクトのメンテナーと所有者の両方に適用されます。
Titan キーは特定の地理的地域でのみ販売が承認されているため、オーストリア、ベルギー、カナダ、フランス、ドイツ、イタリア、日本、スペイン、スイス、英国、および米国の開発者のみが無料のものを受け取る資格があります。 PyPIに。
EES: 開発者は燃え尽きます。 これに取り組むために彼らが行っていることは次のとおりです
2FA を使用する必要がある他の地域のメンテナーは、Yubikey などのベンダーから FIDO U2F セキュリティ キーを購入する必要があります。 または、Google Authenticator、Microsoft Authenticator、Duo Mobile、Auth、FreeOTP+、FreeOTP などのモバイル アプリ、または 1Password などのパスワード マネージャーを介して 2FA を有効にすることもできます。
資格のあるメンテナーは、PyPI Web サイトからの送料無料を含む、2 つの無料の Titan セキュリティ キー (USB-C または USB-A) のプロモーション コードを引き換えることができます。 コードの有効期限は 10 月 1 日です。
ほとんどの開発者は 2FA に精通していますが、ユーザーが 2FA キーを紛失し、1 つの 2FA オプションのみでアカウントをセットアップした場合など、この要件によりログインの課題が生じる可能性があります。
「複数の 2FA オプションがなければ、2FA メソッドを失うと、アカウントを完全に回復する必要が生じます。これは、メンテナーと PyPI 管理者の両方にとって負担と時間がかかります。複数の 2FA メソッドを有効にすると、1 つが失われた場合の潜在的な混乱が軽減されます。」 PyPl は警告します。