PyPI存储库使得关键Python项目必须具有2FA安全性

Python官方第三方软件库的维护者已经开始对被视为“关键”的项目施加新的双因素身份验证（2FA）条件

“我们已经开始推出2FA要求：很快，关键项目的维护者必须启用2FA来发布、更新或修改它们，”Python包索引（PyPI）在上周的一条推文中表示。

“关键项目的任何维护者（“维护者”和“所有者”）都包含在2FA要求中，”它补充道。

此外，谷歌开源安全团队还向之前没有在PyPi上启用2FA的关键项目的开发人员提供免费的硬件安全密钥。

PyPI由Python软件基金会运营，拥有350000多个项目，其中3500多个项目被称为“关键”项目。

但一旦一个项目被列为关键项目，它就有望无限期地保留该名称，即使它从前1%的下载列表中退出。

此举被视为是为了提高Python生态系统的供应链安全性，紧随着最近几个月发生的一系列针对开源存储库的安全事件。

去年，NPM开发者帐户被坏人劫持，将恶意代码插入流行软件包“ua parser js”、“coa”和“rc”，促使GitHub从2022年第一季度开始要求维护人员和管理员使用2FA，以加强NPM注册表的安全性。