2023

PyPI 从 2024 年 1 月 1 日开始强制实施 2FA

从 2024 年 1 月 1 日开始，所有用户必须启用 2FA 才能使用他们的 PyPI 帐户。

PyPI 一直在努力成为一个完全支持双因素身份验证的服务，这一目标始于 2019 年。阅读有关最近几个月采取的一些措施的更多信息。

从今天开始，所有用户必须启用 2FA 才能对 TestPyPI 执行任何管理操作。

一个 PyPI 用户的帐户被盗，并被用来删除该用户对 4 个项目的拥有权。这不是 PyPI 的故障，也没有利用任何漏洞，而是该用户帐户没有得到足够的保护，无法抵御帐户被盗。

攻击者将自己添加为这些项目的合作者，并删除了原始所有者。除了所有权变更之外，这些项目没有进行任何修改。

这是三部分系列中的第三部分。请查看第一部分和第二部分.

这篇文章深入探讨了对 cabotage 安全审计发现的修复 - 代码库部署 PyPI 及其支持服务，如 conveyor、camo 和 inspector。

这是三部分系列中的第二部分。请查看第一部分和第三部分.

这篇文章深入探讨了对仓库安全审计发现的修复 - PyPI.org 的主要代码库。

审计报告可以在这里找到。我强烈建议您先阅读该报告以获取最完整的上下文。

这是三部分系列中的第一部分。请查看第二部分和第三部分

我们很高兴地宣布，PyPI 完成了有史以来的第一次外部安全审计。这项工作得到了开放技术基金 (OTF) 的资金支持，OTF 之前支持过 PyPI 的安全改进工作。

当前的 PyPI 安全报告流程指导报告人向 security@pypi.org 发送包含详细信息的电子邮件。security@ 之前是 admin@ 的电子邮件别名，admin@ 是一个包含所有当前 PyPI 管理员（4 人）的 Google 群组。

早在 2019 年，我们就启动了与 GitHub 密钥扫描集成的工作。由于其复杂性，完整的集成于 2021 年推出，由 Joachim Jablon (@ewjoachim) 和 GitHub 团队领导的志愿者团队完成。

从今天开始，新注册用户必须启用 2FA 才能对 PyPI 执行任何管理操作。此更改是在我们为帐户添加了一条规则之后，要求帐户拥有经过验证的主要电子邮件地址才能执行同一组管理操作。

提醒一下，PyPI 自 2019 年以来一直支持添加 2FA。

👋 您好！我是 Mike Fiedler (@miketheman)，我从 2021 年初开始就一直是 Python 包索引 (PyPI) 的贡献者，并在 2022 年成为维护者。现在，我加入了 PSF，作为第一位 PyPI 安全工程师全职从事 PyPI 工作。