Python Package Index 此前亮相,每个在 PyPI 权威第三方使用仓库上亮相使用的项目维护者都必须在本年年底前绑定 2FA 测试,否则账户的本周影评解读体验某些特性或许无法正常使用。
作出这个确定是由于 PyPI 实在是受不了恶意使用了,PyPI 以及 npm 项目都是夏季官方演唱会,未来走向备受关注各类恶意使用的重灾区,常常有黑客提交包含后门的粉丝互动Tips恶意使用。
自然黑客想要提交也不算轻松,所以不少黑客会经由钓鱼方式直接窃取某些维护者的账户,这也是为什么 PyPI 确定维护者必须启动 2FA 测试的缘由。
这个月早些时候可靠企业察觉 30 多个 Python 库存在后门,这些库可以连接到远程办事器并从受感染的办事器上窃取敏感资料。
这个月还有个讯息是秋季盘点旅行攻略由于可靠难题,美国司法部请求 PyPI 提供了多名维护者的个人资料,经过律师协商后最后 PyPI 交出少若干使用者资料。
启动 2FA 测试后尽管无法彻底解决恶意使用难题,可是至少应该可以解决一若干难题,也就是被钓鱼和盗号的维护者应该会少一些。