مطورو مستودع حزم PyPI بايثون معروفة مؤخرا من خلال وظيفة خارطة طريق للانتقال إلى المصادقة عاملان إلزاميان للحزم الحرجة.
يتم تحديد الأهمية من خلال عدد التنزيلات وسينطبق التغيير على حسابات المشرفين ومالكي المشروع المرتبطين بأعلى 1٪ من الحزم في 6 أشهر عن طريق التنزيلات.
على عكس الانتقال إلى مشاريع المصادقة الثنائية RubyGems و NPM و GitHub ، ستنفذ PyPI في البداية مخططًا يتضمن الاستخدام المرغوب فيه لرمز الجهاز مع مفاتيح الوصول.
كسبب ل الاستخدام الموصى به للعلامات المميزة وبروتوكول WebAuthn، تم ذكر مستوى أمان أعلى مقارنة بإنشاء كلمات مرور لمرة واحدة (ستتوفر القدرة على استخدام TOTP بدلاً من الرموز المميزة كخيار).
يمكن الحصول على الرموز مجانًا ، حسنًا ، رعت Google المبادرة وخصصت 4000 مفتاح Titan للمشروع. يمكن لكل عامل صيانة طلب رمزي USB-C أو USB-A مجانًا. يتم إرسال الرمز الثاني كنسخة احتياطية في حالة كسر الرمز الرئيسي أو فقده ، لتقليل مخاطر فقدان الوصول إلى المستودع وحفظ المطورين من الاضطرار إلى إجراء عملية استرداد صعبة.
لسوء الحظ، يمكن فقط إرسال الرموز المميزة إلى النمسا ، بلجيكا ، كندا ، فرنسا ، ألمانيا ، إيطاليا ، اليابان ، إسبانيا ، سويسرا ، المملكة المتحدة والولايات المتحدة الأمريكية.
يمكن للرفاق من الدول الأخرى الشراء بشكل مستقل الرموز المتوافقة مع FIDO U2F مثل رموز Yubikey و Thetis. كبديل ، من الممكن أيضًا استخدام تطبيقات المصادقة المعتمدة على كلمة المرور لمرة واحدة والتي تدعم بروتوكول TOTP ، مثل Authy و Google Authenticator و FreeOTP ، بدلاً من الرمز المميز.
لم تكن المبادرة بدون حوادث.لأن مؤلف حزمة Atomicwrites، التي تم تنزيلها 6 ملايين شهريًا و 38 مليون عملية تنزيل في 6 أشهر ، لا تريد التبديل إلى المصادقة عاملين وحاول إعادة تعيين عداد التنزيل لاستبعاد الحزمة الخاصة بك من القائمة الهامة.
لإعادة التشغيل، قام أولاً بإزالة الحزمة ثم تنزيل الإصدار الجديد ، حتى هذه النقطة كنت أتوقع أن مثل هذا التلاعب لن يؤدي إلا إلى إعادة تعيين العداد ، ولكن لمفاجأة المطور ، تمت إزالة جميع الإصدارات القديمة أيضًا من المستودع ، مما أدى إلى حدوث مشكلات للمشاريع المعتمدة على المكتبة ، والتي شبهها بعض المطورين بالحادث الناتج عن إزالة الحزمة من اللوحة اليسرى في NPM.
تفاقمت المشكلة بسبب حقيقة أنه بعد الإزالة ، لم يتمكن مؤلف atomicwrites من تنزيل الإصدارات القديمة ، والتي لم تتم استعادتها حتى اليوم التالي بعد تدخل مسؤولي PyPI.
بعد الحادث ، قرر مؤلف الحزمة التوقف عن تطوير atomicwrites وإيقاف الحزمة. السبب المعطى هو أنه يطور المشروع كهواية في أوقات فراغه والمتطلبات الإضافية التي تعقد العمل لا تعوض عن الوقت الذي يقضيه في الصيانة المجانية لمثل هذه الحزمة الشعبية.
يجادل مؤلف كتاب atomicwrites بأنه يفضل فقط كتابة التعليمات البرمجية للمتعة ، وأنه يمكن الاعتناء بالحماية الإضافية ضد الاختطاف من قبل المهاجمين عند دفع ثمنها.
تحتوي مكتبة atomicwrites على حوالي 200 سطر من التعليمات البرمجية وتوفر وظائف لكتابة الملفات بشكل ذري. كبديل ، يمكنك استخدام الاستدعاءات العادية os.replace و os.rename (تتلخص العملية في الكتابة إلى ملف باسم مؤقت وإعادة تسمية ملف الوجهة عندما تكون جاهزًا).
مع وجود أكثر من 350 حزمة حاليًا في مستودع PyPI ، سيتم تطبيق المصادقة الثنائية على ما يقرب من 000 حزمة. تم إعداد صفحة خاصة للتحقق مما إذا كان هناك حساب مدرج في القائمة. لم يتم تحديد التاريخ الدقيق لإدراج المصادقة الثنائية الإلزامية ، ومن المتوقع أن يحدث هذا في الأشهر المقبلة.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.