Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon PyPI comienza a exigir 2FA en sus proyectos críticos


El Python Package Index (PyPI), el repositorio oficial de proyectos Python de código abierto de terceros, anunció planes para exigir el requisito de autenticación de dos factores para los mantenedores de proyectos "críticos".




Aunque muchos miembros de la comunidad elogiaron la medida, el desarrollador de un popular proyecto de Python decidió eliminar su código de PyPI y volver a publicarlo para invalidar el estado "crítico" asignado a su proyecto.

PyPI implementa 2FA para los principales proyectos del 1%

Cualquier proyecto de PyPI que represente el 1% superior de las descargas durante los últimos seis meses, así como las dependencias de PyPI, se han designado como críticos.

"Para mejorar la seguridad general del ecosistema de Python, PyPI ha comenzado a implementar un requisito de autenticación de dos factores (2FA) para proyectos críticos. Este requisito entrará en vigencia en los próximos meses", anunciaron los administradores en una publicación de blog.

La iniciativa sigue a incidentes recientes repetidos de bibliotecas de software legítimas que fueron secuestradas, tanto en los ecosistemas npm como PyPI.

El año pasado, las bibliotecas npm muy utilizadas, 'ua-parser-js', 'coa' y 'rc' se alteraron con malware después de que sus cuentas de mantenimiento se vieran comprometidas. Por eso, la empresa matriz de npm, GitHub, tomó medidas para implementar una experiencia de inicio de sesión mejorada (opciones de 2FA) para los desarrolladores a partir de diciembre de 2021, con más actualizaciones de seguridad anunciadas en mayo.

Con las noticias más recientes del proyecto PyPI 'ctx' siendo secuestrado, y el caso resultó ser un experimento de hacking "ético" que salió mal, PyPI ha seguido el ejemplo de GitHub al implementar también 2FA para las cuentas de mantenimiento. 



os administradores de PyPI también han compartido un panel que muestra más de 3.818 proyectos de PyPI y 8218 cuentas de usuario de PyPI que han identificado como "críticas" y a las que probablemente se les pedirá que adopten 2FA.

A pesar de esto, más de 28.000 cuentas de usuarios de PyPI (incluidas las que no están asociadas a un proyecto "crítico") han habilitado 2FA de forma voluntaria.

El desarrollador rechaza la 2FA obligatoria



Aunque la mayoría [1, 2, 3] han reaccionado favorablemente a la medida y han acogido con beneplácito la iniciativa de PyPI para mejorar la seguridad general de la cadena de suministro de software, algunos no lo han hecho.

Markus Unterwaditzer, desarrollador del proyecto PyPI 'atomicwrites' decidió eliminar su código del registro después de recibir un correo electrónico de PyPI que notifica al desarrollador que su proyecto se consideró crítico y ahora requiere autenticación de dos factores. Según los informes, atomicwrites de Unterwaditzer se ha descargado más de 6 millones de veces en un mes determinado. Finalmente, Unterwaditzer volvió a publicar todas las versiones de su proyecto poco después de eliminarlas y con el contador de descargas reiniciado.

Algunos compararon este movimiento con el incidente left-pad en 2016, que involucró a otro desarrollador que casi rompió Internet al retirar sus proyectos críticos de JavaScript del registro npm.


Fuentes:

  BC

https://blog.segu-info.com.ar/2022/07/pypi-comienza-exigir-2fa-en-sus.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.