实在无法忍受恶意软件后,PyPI要求所有项目维护者年底前必须绑定2FA
Python Package Index 日前宣布,每个在 PyPI 官方第三方软件仓库上发布软件的项目维护者都必须在今年年底前绑定 2FA 验证,否则账号的某些功能可能无法正常使用。
作出这个决定是因为 PyPI 实在是受不了恶意软件了,PyPI 以及 npm 项目都是各种恶意软件的重灾区,经常有黑客提交包含后门的恶意软件。
当然黑客想要提交也不算容易,所以不少黑客会通过钓鱼方式直接窃取某些维护者的账号,这也是为什么 PyPI 决定维护者必须启用 2FA 验证的原因。
本月早些时候安全公司发现 30 多个 Python 库存在后门,这些库可以连接到远程服务器并从受感染的服务器上窃取敏感数据。
本月还有个消息是因为安全问题,美国司法部要求 PyPI 提供了多名维护者的个人资料,经过律师协商后最终 PyPI 交出少部分用户资料。
启用 2FA 验证后虽然无法彻底解决恶意软件问题,不过至少应该可以解决一部分问题,也就是被钓鱼和盗号的维护者应该会少一些。