CWN(CHANGE WITH NEWS) - PyPI, 파이썬 패키지 다운로드 보안 위한 2FA 발표

PYPI에서 파이썬 패키지 다운로드 보안을 위한 가이드를 발표했다.

Tech 전문지 packtpub에 따르면 파이썬의 핵심 개발팀은 PyPI가 파이썬 패키지 다운로드의 보안을 향상 시키고 권한없는 계정 액세스의 위험을 줄이기 위해 2단계 인증을 제공한다고 발표했으며, 2FA가 Python Package Index의 로그인 보안 옵션으로 소개 될 것"이라고 밝혔다.

파이썬의 공식 블로그에는 "프로젝트 관리자와 소유자가 로그인 하여 두 번째 요소를 추가하기 위해 계정 설정으로 이동하는 것이 좋습니다" 라고 밝혔다.

이 블로그는 또한 프로젝트가 "오픈 기술 기금(Open Technology Fund)의 보조금 "이라고 언급했다. 파이썬 소프트웨어 재단(Python Software Foundation)의 패키징 워킹 그룹(Packaging Working Group )이 공동 기획했다.

PyPI는 현재 Time-based One-Time Password (TOTP) 애플리케이션을 통해 코드를 생성하는 단일 2FA 메소드를 지원한다. 사용자가 PyPI 계정에서 2FA를 설정 한 후 로그인하려면 사용자 이름과 비밀번호와 함께 TOTP를 제공해야한다. 따라서 PyPI에서 2FA를 사용하려면 사용자가 애플리케이션 (일반적으로 휴대 전화 앱)을 제공해야하며 인증 코드를 생성한다.

현재는 TOFA만이 2FA 메소드로 지원된다. 또한 2FA는 웹 사이트를 통한 로그인에만 영향을 미치며 프로젝트 소유권의 악의적인 변경, 이전 버전의 삭제 및 계정 해킹으로부터 보호한다. 2FA 코드가 제공되지 않으면 패키지 업로드가 계속 작동한다.

개발자들은 WebAuthn 기반의 다중 요소 인증(multi-factor authentication)작업을하고 있으며, 이는 예를 들어 Yubikeys를 두 번째 요소로 사용할 수있게 해줄 것 이라고 밝혔다. 또한 패키지 업로드를위한 API 키와 중요한 사용자 작업에 대한 고급 감사 추적 기능을 추가 할 계획이다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]