PyPI 强制维护者启用双重身份验证以增强安全性
关键要点
所有 Python 包索引PyPI项目维护者必须在年底前实施双重身份验证,以防止账户被攻击。2FA 的实现可通过身份验证器应用程序或安全设备进行,也可以通过 API 令牌或信任发布来完成上传。PyPI 还将减少 IP 地址数据的收集和存储,并决定移除低使用率和安全性问题的 PGP 签名。根据 SecurityWeek 的报道,为了更好地防止账户被劫持,所有 Python 包索引PyPI的项目维护者被要求在年底之前实施双重身份验证2FA。维护者可以通过身份验证器应用程序或安全设备来执行该认证流程,此外在进行 PyPI 上传时也可以利用 API 令牌或信任发布的方式。
蚂蚁加速npv破解版“只需一个项目被攻击,就能影响到某人的计算机。一旦被攻破,攻击者可以扩展攻击范围,进而对其他系统,包括该名维护的其他 PyPI 项目进行攻击。” PyPI 管理员兼维护者唐纳德斯图夫特Donald Stufft表示。
除 2FA 实施外,PyPI 还计划减少 IP 地址数据的收集和存储。与此同时,PyPI 还决定在安全性和使用率低的情况下,移除 PGP 签名。对于新添加的 PGP 签名,PyPI 将不采取任何行动,但现有的签名仍将保持有效。
政策详情双重身份验证所有项目维护者须在年底前启用 2FA实施方式通过应用程序、安全设备、API 令牌或信任发布IP 地址收集减少收集和存储PGP 签名移除低使用率的 PGP 签名,现有签名保持有效PyPI 的这些措施旨在提升平台整体的安全性,确保开发者和用户的数据安全。
