为应对频发的供应链攻击,PyPI决定设立关键包制度强制施行双因子认证,但部分开发却决定对着干。
总体来说这项举措还是众望所归,推出后在开发者社区里好评如潮,但每种制度总有人唱反调,何况确实带来了一些不便。有一个开发者为了不被强制加入双因子认证,从PyPI中删除了包重新发布,清空了下载量,以便退出“关键包”之列。目前的关键包政策是,六个月内下载量前1%的包设置为关键包,赞助商Google也会为此项目提供免费的硬件密钥。考虑到直到上周还在出现的PyPI供应链攻击,虽然这种方式无法对抗模糊名称,至少可以在反劫持上做出一定的贡献。
部分开发者不知是不是被官方发送的邮件气到了——“恭喜,你的包成为了关键包,快来双因子认证吧!”,决定删除后重新上架自己月下载量高达600万次的包,同时表示绝不使用这项功能,认为开发者已经做的够多了不能再折腾开发者。鉴于反对者只占少数,关键包制度应该会执行下去,这个“退出”的办法应该也不会封禁作为少数开发者的应对之策。[阅读原文]
发表评论
您还未登录,请先登录。
登录