Python包索引(PyPI)正在以物理安全密钥的形式为“关键项目”推出双因素身份验证(2FA)。考虑到对软件供应链日益严重的威胁,该存储库正在向符合条件的维护者分发4000个Titan安全密钥,他们可以兑换促销代码以获取两个免费密钥,USB-C或USB-A。维护PyPI的Python软件基金会的赞助商Google开源安全团队提供了密钥。根据PyPI网站上的公告,所有关键项目的维护者都必须使用密钥和密码登录他们的帐户,这一要求“将在未来几个月内生效” 。
如果项目在前六个月的下载量中位于PyPI项目的前1%中,则该项目被视为“关键”。
这意味着大约350000个PyPI项目中大约有3500个符合条件。
并且“一旦该项目被指定为关键项目,它将无限期地保留该名称”,Python软件基金会表示。
Titan硬件密钥仅获准销售,因此只能分发到奥地利、比利时、加拿大、法国、德国、意大利、日本、西班牙、瑞士、英国和美国。
不符合条件的地区的关键项目的维护者可以独立购买替代的FIDO U2F安全密钥,例如Yubikey或Thetis,或者通过TOTP 应用程序启用2FA。
然而,PyPI警告说,“通过WebAuthn使用安全密钥通常被认为比使用基于TOTP的身份验证应用程序进行2FA更安全”。
此举遵循RubyGems代码存储库上个月做出的类似承诺,该承诺适用于下载量超过1.65亿次的gems维护者。
GitHub上个月还宣布,到明年年底,所有代码贡献者都必须强制执行2FA,而NPM最初将对其前100名Node.js包维护者强制执行2FA,并且已经在进行更广泛的推广。
评论已关闭。