Canal de Telegram

11 jul 2022

Segu-Info » , » PyPI comienza a exigir 2FA en sus proyectos críticos

PyPI comienza a exigir 2FA en sus proyectos críticos

11 jul 2022, 8:41:00 a.m.   1 comentario
  ,  

El viernes, el Python Package Index (PyPI), el repositorio oficial de proyectos Python de código abierto de terceros, anunció planes para exigir el requisito de autenticación de dos factores para los mantenedores de proyectos "críticos".

Aunque muchos miembros de la comunidad elogiaron la medida, el desarrollador de un popular proyecto de Python decidió eliminar su código de PyPI y volver a publicarlo para invalidar el estado "crítico" asignado a su proyecto.

PyPI implementa 2FA para los principales proyectos del 1%

Cualquier proyecto de PyPI que represente el 1% superior de las descargas durante los últimos seis meses, así como las dependencias de PyPI, se han designado como críticos.

"Para mejorar la seguridad general del ecosistema de Python, PyPI ha comenzado a implementar un requisito de autenticación de dos factores (2FA) para proyectos críticos. Este requisito entrará en vigencia en los próximos meses", anunciaron los administradores en una publicación de blog.

La iniciativa sigue a incidentes recientes repetidos de bibliotecas de software legítimas que fueron secuestradas, tanto en los ecosistemas npm como PyPI.

El año pasado, las bibliotecas npm muy utilizadas, 'ua-parser-js', 'coa' y 'rc' se alteraron con malware después de que sus cuentas de mantenimiento se vieran comprometidas. Por eso, la empresa matriz de npm, GitHub, tomó medidas para implementar una experiencia de inicio de sesión mejorada (opciones de 2FA) para los desarrolladores a partir de diciembre de 2021, con más actualizaciones de seguridad anunciadas en mayo.

Con las noticias más recientes del proyecto PyPI 'ctx' siendo secuestrado, y el caso resultó ser un experimento de hacking "ético" que salió mal, PyPI ha seguido el ejemplo de GitHub al implementar también 2FA para las cuentas de mantenimiento.

Los administradores de PyPI también han compartido un panel que muestra más de 3.818 proyectos de PyPI y 8218 cuentas de usuario de PyPI que han identificado como "críticas" y a las que probablemente se les pedirá que adopten 2FA.

A pesar de esto, más de 28.000 cuentas de usuarios de PyPI (incluidas las que no están asociadas a un proyecto "crítico") han habilitado 2FA de forma voluntaria.

El desarrollador rechaza la 2FA obligatoria

Aunque la mayoría [1, 2, 3] han reaccionado favorablemente a la medida y han acogido con beneplácito la iniciativa de PyPI para mejorar la seguridad general de la cadena de suministro de software, algunos no lo han hecho.

Markus Unterwaditzer, desarrollador del proyecto PyPI 'atomicwrites' decidió eliminar su código del registro después de recibir un correo electrónico de PyPI que notifica al desarrollador que su proyecto se consideró crítico y ahora requiere autenticación de dos factores. Según los informes, atomicwrites de Unterwaditzer se ha descargado más de 6 millones de veces en un mes determinado. Finalmente, Unterwaditzer volvió a publicar todas las versiones de su proyecto poco después de eliminarlas y con el contador de descargas reiniciado.

Algunos compararon este movimiento con el incidente left-paden 2016, que involucró a otro desarrollador que casi rompió Internet al retirar sus proyectos críticos de JavaScript del registro npm.

Fuente: BC

Suscríbete a nuestro Boletín

1 comentario:

  1. Anónimo11 de julio de 2022, 9:49 p.m.

    OK, es hora de dejar de usar atomicwrites ya que por lo visto a su desarrollador le importa poco la seguridad de sus usuarios

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!