Python 编程语言软件存储库 PyPI 在官方博客中宣布:在 PyPI 上维护任何项目或组织的帐户,都需要在 2023 年底之前启用 2FA 双因素身份验证,否则该帐号将无法登录。
在 4 月,PyPI 引入了 “可信发布” 机制,这是一种新的、更安全的发布方法,不需要与外部系统共享长期密码或 API 令牌。但这仍然不够,回想过去几个月,PyPI 平台饱受恶意软件的上传、恶意模仿软件包名称,以及被盗帐户用来提交恶意代码的困扰。
甚至一度因新创建的恶意用户 / 项目的数量实在太多,PyPI管理员完全应付不过来,只能关闭新用户注册和新项目上传功能。此外,Pypi 还因为一些恶意软件用户问题被美国司法部传唤。
PyPI 团队表示,对所有帐户强制执行 2FA 是增强平台安全性的长期承诺的一部分,可阻止凭据和 API 令牌的泄露,减少恶意软件的数量。 2FA 验证将在年底强制执行,届时 PyPI 将开始根据 2FA 的使用情况限制对某些站点功能的访问,如果某些软件包事故多发,可能会提前执行强制 2FA 措施。