PyPI 宣布对所有软件发布者强制使用 2FA 登录验证


 Python 编程语言软件存储库 PyPI 在官方博客中宣布:在 PyPI 上维护任何项目或组织的帐户,都需要在 2023 年底之前启用 2FA 双因素身份验证,否则该帐号将无法登录。

 

在 4 月,PyPI 引入了 “可信发布” 机制,这是一种新的、更安全的发布方法,不需要与外部系统共享长期密码或 API 令牌。但这仍然不够,回想过去几个月,PyPI 平台饱受恶意软件的上传、恶意模仿软件包名称,以及被盗帐户用来提交恶意代码的困扰。

甚至一度因新创建的恶意用户 / 项目的数量实在太多,PyPI管理员完全应付不过来,只能关闭新用户注册和新项目上传功能。此外,Pypi 还因为一些恶意软件用户问题被美国司法部传唤。

PyPI 团队表示,对所有帐户强制执行 2FA 是增强平台安全性的长期承诺的一部分,可阻止凭据和 API 令牌的泄露,减少恶意软件的数量。 2FA 验证将在年底强制执行,届时 PyPI 将开始根据 2FA 的使用情况限制对某些站点功能的访问,如果某些软件包事故多发,可能会提前执行强制 2FA 措施。


相關推薦

2022-07-12

第三方开源 Python 项目的官方存储库 Python 包索引 (PyPI) 宣布计划对“关键 (critical) ”项目的维护者强制要求双重身份验证(2FA) 。“为了提高 Python 生态系统的总体安全性,PyPI 已开始对关键项目实施双重身份验证 (2FA) 要求;该要

2022-02-16

队,虽然对方没有反馈,但在研究报告正式发布前,npm 宣布了逐步为开发者帐户强制执行 2FA(双因素认证)的计划。

2023-04-22

PyPI 官方宣布,从今天开始他们引入了'Trusted Publishers'(可信发布)机制,PyPI 包维护者可以采用一种新的、更安全的发布方法,不需要与外部系统共享长期密码或 API 令牌。 据介绍,“可信发布”是使用 OpenID Connect (OIDC) 标准

2023-08-30

京站,聊聊 AI 大模型与底层技术 >>> Notary 项目维护人员宣布了一项重大发布,包括 Notary 项目规范 v1.0.0、notation v1.0.0、notation-go v1.0.0 和notation-core-go v1.0.0,已经可以用于生产环境! Notation 是 Notary 项目的一个子项目,包括

2022-08-15

设需求的精致产品。同时,与 Dromara 开源社区以及社区中所有的优秀人才一起互相扶持、并肩前行,创造更多、更好、更精的产品以回馈社会,促进软件开源的发展。 谢谢大家对 Eurynome Cloud 支持与厚爱,希望大家继续给与 Dante

2023-02-28

在支持它的 EFI 系统上,现在指示固件在重新启动时擦除所有内存,以阻止冷启动攻击。 Landlock 支持已启用。 GCC 的“latent entropy”插件已被禁用,因为它不会生成加密安全熵。 为了减少攻击面,已删除对 ACPI 配置文件系统

2022-07-15

的明确记录,它是一个机器可读的文件,列出了产品中的所有组件,其中也包括所有的开源项目,这就有点像是食品包装上的成分表。通过这个 “成分表” 可以清楚的了解产品上下游之间的关系。 近些年网络安全问题频频发

2023-04-15

DB 数据库 基于风险等级的自定义审批流 支持强制要求所有用户开启双重认证(2FA) 改进 优化了转移数据库的过滤功能 支持跳过工单当前阶段下所有失败的任务 为工单上传 SQL 的时候显示上传进度 更多详情可查看

2024-08-14

Https 的跳转未生效问题 Spring Boot 3 版本 包含上述的所有升级的内容 修正 spring boot 3.2 的一些兼容问题 移除 fst 依赖 Vue 分离端版本 新增 主题设置中新增页面字体大小动态调整 新增 页面水印方法调用库及实例

2022-09-23

设需求的精致产品。同时,与 Dromara 开源社区以及社区中所有的优秀人才一起互相扶持、并肩前行,创造更多、更好、更精的产品以回馈社会,促进软件开源的发展。 谢谢大家对 Eurynome Cloud 支持与厚爱,希望大家继续给与 Dante

2022-07-09

证(2FA),创建大量用户账号。 (图片源自checkmarx.com) 所有已发布的恶意包都使用了 eazyminer 的源代码,该包利用 Web 服务器上未被使用的资源来挖取 Monero 币。 (恶意包中的 eazyminer 调用代码片段) 包中分别包含Linux和Windo

2023-02-10

A) ,目标是“加强网络安全规则,以提供更安全的硬件和软件产品”。但该法案随即引起了公众的批评,因为它可能会对开源生态产生严重的影响。 这个法案可以理解为软件产品的 CE (欧盟认证)标准,有四个具体目标:

2023-10-23

将近两年的更新,功能的丰富度上已经有一定的成果,但所有的功能模块都在一个项目中进行管理,不但项目的复杂的变高,而且每个用户所用到的模块功能都有差异,所以对整个项目进行拆分重构,发布。 园博园站选用深色

2023-04-27

che Flink 官方博客 翻译 | 林东 Apache Flink 社区很荣幸地宣布 Apache Flink ML 2.2.0 版本正式发布!本次发布的版本重点添加了 Flink ML 中的特征工程算法。现在 Flink ML 包含了 33 个开箱可用的特征工程算法,可以支持很多常见的特征