To επίσημο αποθετήριο τρίτων έργων ανοιχτού κώδικα Python, γνωστό και ως PyPI, ανακοίνωσε σχέδια για την επιβολή της απαίτησης ελέγχου ταυτότητας δύο παραγόντων για τους συντηρητές των «κρίσιμων» έργων.
Δείτε επίσης: Παραβιάστηκαν δημοφιλείς βιβλιοθήκες PyPI και PHP
Αν και πολλά μέλη της κοινότητας επαίνεσαν την κίνηση, ο προγραμματιστής ενός δημοφιλούς έργου Python αποφάσισε να διαγράψει τον κώδικά του από το PyPI και να τον αναδημοσιεύσει για να ακυρώσει την “κρίσιμη” κατάσταση που έχει εκχωρηθεί στο έργο του.
Οι διαχειριστές του μητρώου ΡyPI ανακοίνωσαν ότι βρίσκονταν στη διαδικασία εισαγωγής της απαίτησης ελέγχου ταυτότητας δύο παραγόντων (2FA) για έργα που θεωρούνται “κρίσιμα”.
Οποιοδήποτε έργο PyPI αντιπροσωπεύει το κορυφαίο 1% των λήψεων τους τελευταίους έξι μήνες, καθώς και οι εξαρτήσεις του PyPI έχουν χαρακτηριστεί κρίσιμες.
“Για να βελτιωθεί η γενική ασφάλεια του οικοσυστήματος Python, η ΡyPI έχει αρχίσει να εφαρμόζει μια απαίτηση ελέγχου ταυτότητας δύο παραγόντων (2FA) για κρίσιμα έργα. Αυτή η απαίτηση θα τεθεί σε ισχύ τους επόμενους μήνες“, ανακοίνωσαν οι διαχειριστές σε μια ανάρτηση ιστολογίου.
Επιπλέον, στους συντηρητές κρίσιμων έργων προσφέρονται δωρεάν κλειδιά ασφαλείας υλικού, με την υποστήριξη της Ομάδας Ασφάλειας Ανοικτού Κώδικα Google, χορηγό του Python Software Foundation (PSF).
Η πρωτοβουλία ακολουθεί τα πρόσφατα επαναλαμβανόμενα περιστατικά πειρατείας νόμιμων βιβλιοθηκών λογισμικού τόσο στα οικοσυστήματα npm όσο και στο PyPI.
Δείτε ακόμα: Καταργήθηκαν κακόβουλα πακέτα PyPI με πάνω από 10.000 λήψεις
Πέρυσι, οι πολυχρησιμοποιούμενες βιβλιοθήκες npm, «ua-parser-js», «coa» και «rc» τροποποιήθηκαν με κακόβουλο λογισμικό μετά από παραβίαση των λογαριασμών συντηρητών τους. Ως εκ τούτου, η μητρική εταιρεία του npm, η GitHub, έλαβε μέτρα για την ανάπτυξη μιας βελτιωμένης εμπειρίας σύνδεσης (επιλογές 2FA) για προγραμματιστές από τον Δεκέμβριο του 2021, με περαιτέρω ενημερώσεις ασφαλείας που ανακοινώθηκαν αυτόν τον Μάιο.
Μετά τις πρόσφατες ειδήσεις για τις παραβιάσεις στο PyPI project ‘ctx’, που αργότερα αποδείχτηκε ότι ήταν ένα πείραμα “ηθικού” hacking που πήγε στραβά, η PyPI ακολούθησε το παράδειγμα του GitHub στην εφαρμογή του 2FA για λογαριασμούς συντηρητών.
“Η διασφάλιση ότι τα πιο ευρέως χρησιμοποιούμενα έργα έχουν αυτές τις προστασίες κατά της κατάληψης λογαριασμού είναι ένα βήμα προς τις ευρύτερες προσπάθειές μας να βελτιώσουμε τη γενική ασφάλεια του οικοσυστήματος Python για όλους τους χρήστες PyPI“, εξηγούν οι διαχειριστές PyPI που έχουν επίσης μοιραστεί έναν πίνακα ελέγχου που εμφανίζει περισσότερα από 3.818 έργα PyPI και 8.218 λογαριασμούς χρηστών PyPI που έχουν αναγνωρίσει ως “κρίσιμους” και από τους οποίους πιθανότατα θα ζητηθεί να υιοθετήσουν το 2FA.
Παρά το γεγονός αυτό, πάνω από 28.000 λογαριασμοί χρηστών PyPI (συμπεριλαμβανομένων αυτών που δεν σχετίζονται με ένα “κρίσιμο” έργο) έχουν ενεργοποιήσει εθελοντικά το 2FA.
Αν και οι περισσότεροι αντέδρασαν θετικά στην κίνηση και χαιρέτησαν την πρωτοβουλία της PyPI για την ενίσχυση της συνολικής ασφάλειας της αλυσίδας εφοδιασμού λογισμικού, ορισμένοι δεν το έκαναν.
Ο Markus Unterwaditzer, προγραμματιστής του έργου PyPI ‘atomicwrites’ αποφάσισε να διαγράψει τον κωδικό του από το μητρώο, αφού έλαβε ένα “Συγχαρητήριο!” email από την PyPI που τον ειδοποιούσε ότι το έργο του κρίθηκε κρίσιμο και τώρα απαιτεί έλεγχο ταυτότητας δύο παραγόντων. Άλλα μέλη της κοινότητας συμμετείχαν επίσης στο θέμα.
Δείτε επίσης: Κακόβουλα PyPI packages παραβιάζουν μηχανήματα για cryptomining
Τα επανειλημμένα περιστατικά κακόβουλου λογισμικού και οι επιθέσεις που περιλαμβάνουν στοιχεία λογισμικού ανοιχτού κώδικα έχουν αναγκάσει τους διαχειριστές μητρώου να εντείνουν την ασφάλεια στις πλατφόρμες τους. Μένει ακόμη να δούμε πόσο καλά θα ευθυγραμμιστεί το πρόσθετο βάρος της διασφάλισης των έργων τους, εκτός από την ανάπτυξή τους, με τις προσδοκίες ενός προγραμματιστή λογισμικού ανοιχτού κώδικα.
