PyPI | iHADtoinstalllinux

PyPI переходит на обязательную двухфакторную аутентификацию

Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее. https://www.opennet.ru/opennews/art.shtml?num=59198

PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей

Директор по инфраструктуре организации Python Software Foundation опубликовал отчёт о выполнении требований по раскрытию персональных данных пользователей репозитория PyPI (Python Package Index). В марте и апреле Министерство юстиции США направило в PyPI требования о раскрытии данных 5 пользователей, которые после консультаций с юристами были выполнены. Переданные данные включали имена, адресную информацию, списки загруженных пакетов и сведения о сеансах и IP-адресах. https://www.opennet.ru/opennews/art.shtml?num=59191

PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов

Репозиторий Python-пакетов PyPI (Python Package Index) временно прекратил регистрацию новых пользователей и проектов. В качестве причины указан всплеск активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом. Отмечается, что с учётом нахождения в отпуске нескольких администраторов, на прошлой неделе объём зарегистрированных вредоносных проектов превысил возможности оставшейся команды PyPI по оперативному реагированию. Разработчики планируют за выходные перестроить некоторые процессы проверки, после чего возобновить возможность регистрации в репозитории. https://www.opennet.ru/opennews/art.shtml?num=59168

В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API

В репозитории Python-пакетов PyPI (Python Package Index) предоставлена возможность использования нового защищённого метода публикации пакетов, позволяющего обойтись без сохранения на внешних системах (например, в GitHub Actions) фиксированных паролей и токенов доступа к API. Новый метод аутентификации получил название ‘Trusted Publishers’ и призван решить проблему с публикацией вредоносных обновлений, осуществляемых в результате компрометации внешних систем и попадания в руки злоумышленников предопределённых паролей или токенов. https://www.opennet.ru/opennews/art.shtml?num=59019