Entwickler entsetzt: PyPI setzt bald 2FA für kritische Projekte voraus

Zahlreiche Entwickler, die ihre Projekte im Python Package Index (PyPI) anbieten möchten, müssen zukünftig eine Zwei-Faktor-Authentifizierung verwenden. Nachdem einige Pakete vor wenigen Wochen kompromittiert wurden, soll so die Sicherheit deutlich verbessert werden.
Update, Sicherheit, Sicherheitslücke, Hacker, Patch, Security, Malware, Angriff, Hack, Linux, Kriminalität, Server, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Sicherheitslücken, Darknet, Sicherheitsupdate, Hacker Angriff, Hacker Angriffe, Aktienkurs, Hacken, Attack, Hacks, Cyberangriff, Kurs, Crime, Russische Hacker, Sicherheitslösung, Schädling, Risiko, Cyberwar, China Hacker, Sicherheitsrisiko, Sicherheitsproblem, Cyberattacke
Die Verwalter des offiziellen Repositorys für quelloffene Python-Projekte haben angekündigt, dass Entwickler von "kritischen Projekten" bald eine Zwei-Faktor-Authentifizierung (2FA) nutzen müssen. Die 2FA soll in den nächsten Monaten eine zwingende Voraussetzung werden. Hierfür bieten die Verwalter den Entwicklern in Zusammenarbeit mit dem Google Open Source Security Team 4000 kostenlose Hardware-Sicherheitsschlüssel an. Natürlich sind nicht nur die Geräte, sondern auch andere 2FA-Methoden zugelassen. Damit reagiert PyPI auf mit Malware ausgestattete Pakete, die Ende Juni entdeckt wurden.

Als kritisch wird das eine Prozent an Paketen eingestuft, das am häufigsten heruntergeladen wurde und damit auf den meisten Systemen zum Einsatz kommen dürfte. Es sind 3818 PyPI-Projekte und 8218 Accounts betroffen.

Obwohl mit der 2FA-Pflicht der Sicherheits-Standard erhöht wird, sind einige Entwickler hiervon alles andere als begeistert. Manche Entwickler sehen es nicht ein, sich mit der Sicherheit der Versorgungskette zu beschäftigen, wenn sie ihren Code ohnehin kostenlos anbieten und für ihre Arbeit nicht bezahlt werden. Außerdem dürften aus Zeitgründen aufgegebene Projekte häufiger kompromittiert werden, als aktive Entwicklerkonten.

Ein Entwickler umgeht die 2FA-Pflicht auf kreative Weise

Wie BleepingComputer schreibt, hat Markus Unterwaditzer, der Entwickler hinter dem PyPI-Projekt "atomicwrites", den kommenden 2FA-Zwang auf eine kreative Weise umgangen. Als er darüber informiert wurde, dass sein Paket zu den kritischen Projekten zählt, hat er seinen Code kurzerhand gelöscht und erneut hochgeladen. Damit wurde der Download-Zähler zurückgesetzt, sodass "atomicwrites" nicht mehr als kritisches Projekt eingestuft wird.

Siehe auch:
Thema:
Entwicklung
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Beliebte Downloads
Weitere Downloads
Beliebt im Preisvergleich
Programmierung & Reporting
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Interessante Artikel & Testberichte
Meist kommentierte Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!