PyPI 博客

TestPyPI 的 2FA 强制执行

从今天开始，**所有用户都必须启用 2FA** 才能对 TestPyPI 执行任何管理操作。

一个 PyPI 用户的帐户被盗，并被用来删除该用户对 4 个项目的拥有权。这不是 PyPI 的故障或使用任何漏洞，而是该用户的帐户没有得到足够的保护以防止帐户被盗。

攻击者将自己添加为这些项目的合作者，并删除了原始所有者。除了所有权变更外，这些项目都没有进行任何修改。

这是三部分系列中的第三部分。请查看第一部分和第二部分.

这篇文章深入探讨了针对 cabotage 的安全审计发现的修复工作，cabotage 是代码库，它部署了 PyPI 及其支持服务，例如 conveyor、camo 和 inspector。

这是三部分系列中的第二部分。请查看第一部分和第三部分.

这篇文章深入探讨了针对 Warehouse 的安全审计发现的修复工作，Warehouse 是 PyPI.org 的主要代码库。

可以在这里找到审计报告。我强烈建议您首先阅读该报告以获得最完整的上下文。

这是三部分系列中的第一部分。请查看第二部分和第三部分

我们很自豪地宣布 PyPI 已完成其有史以来的第一次外部安全审计。这项工作由开放技术基金 (OTF) 资助，OTF 是之前支持者，支持 PyPI 的安全相关改进。

当前的 PyPI 安全报告程序指导报告者向 security@pypi.org 发送包含详细信息的电子邮件。security@ 以前是 admin@ 的电子邮件别名，admin@ 是一个包含所有当前 PyPI 管理员（4 人）的 Google 群组。

早在 2019 年，我们就启动了与 GitHub 秘密扫描整合的工作。由于其复杂性，整合工作于 2021 年完成并启动，由 Joachim Jablon (@ewjoachim) 和 GitHub 团队共同完成。

从今天开始，**新注册的用户必须在对 PyPI 执行任何管理操作之前启用 2FA**。此更改是在我们在规则中添加了帐户必须具有经过验证的主要电子邮件地址以执行同一组管理操作之后进行的。

提醒一下，PyPI 自 2019 年起就支持添加 2FA。

👋 您好！我是 Mike Fiedler (@miketheman)，我从 2021 年初开始就是 Python 包索引 (PyPI) 的贡献者，并在 2022 年成为维护者。现在我加入了 PSF，以全职的身份担任 PyPI 首席安全与安全工程师。

PEP 715 已被接受，它弃用了 bdist_egg/.egg 上传到 PyPI。我们今天将开始实施此过程。

请注意，这**不会**从 PyPI 中删除任何现有的已上传的 egg 文件。