Référentiel Pypi

Les responsables du référentiel de logiciels tiers officiel pour Python ont commencé à imposer une nouvelle condition d’authentification à deux facteurs (2FA) pour les projets jugés « critiques ».

« Nous avons commencé à déployer une exigence 2FA : bientôt, les responsables de projets critiques devront activer 2FA pour les publier, les mettre à jour ou les modifier », Python Package Index (PyPI) a dit dans un tweet la semaine dernière.

« Tout mainteneur d’un projet critique (à la fois les ‘mainteneurs’ et les ‘propriétaires’) est inclus dans l’exigence 2FA », il ajoutée.

De plus, les développeurs de projets critiques qui n’ont pas encore activé 2FA sur PyPi se voient offrir des clés de sécurité matérielles gratuites par l’équipe de sécurité Google Open Source.

PyPI, qui est géré par la Python Software Foundation, héberge plus de 350 000 projets, dont plus de 3 500 projets sont dits être étiquetés avec une désignation « critique ».

Publicité

Selon les mainteneurs du référentiel, tout projet représentant le 1 % des téléchargements les plus importants au cours des 6 mois précédents est désigné comme critique, la détermination étant recalculée quotidiennement.

Projets Python Critiques

Mais une fois qu’un projet a été classé comme critique, on s’attend à ce qu’il conserve cette désignation indéfiniment, même s’il sort de la liste des 1 % de téléchargements les plus importants.

Cette décision, qui est considérée comme une tentative d’améliorer la sécurité de la chaîne d’approvisionnement de l’écosystème Python, fait suite à un certain nombre d’incidents de sécurité ciblant les référentiels open source ces derniers mois.

La Cyber-Sécurité

L’année dernière, des comptes de développeurs NPM ont été piratés par de mauvais acteurs pour insérer du code malveillant dans les packages populaires « ua-parser-js », « coa » et « rc », incitant GitHub à renforcer la sécurité du registre NPM en exigeant 2FA pour les mainteneurs. et les administrateurs à partir du premier trimestre 2022.

« S’assurer que les projets les plus largement utilisés disposent de ces protections contre la prise de contrôle de compte est une étape vers nos efforts plus larges pour améliorer la sécurité générale de l’écosystème Python pour tous les utilisateurs de PyPI », a déclaré PyPi.


Rate this post
Publicité
Article précédentQuel OS est le meilleur pour les débutants ?
Article suivantLes 10 meilleures applications Android pour contrôler un PC avec un téléphone Android
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici