PyPI设立关键包制度遭部分开发抗议

阅读量20929

发布时间 : 2022-07-11 15:14:53

 

为应对频发的供应链攻击,PyPI决定设立关键包制度强制施行双因子认证,但部分开发却决定对着干。

总体来说这项举措还是众望所归,推出后在开发者社区里好评如潮,但每种制度总有人唱反调,何况确实带来了一些不便。有一个开发者为了不被强制加入双因子认证,从PyPI中删除了包重新发布,清空了下载量,以便退出“关键包”之列。目前的关键包政策是,六个月内下载量前1%的包设置为关键包,赞助商Google也会为此项目提供免费的硬件密钥。考虑到直到上周还在出现的PyPI供应链攻击,虽然这种方式无法对抗模糊名称,至少可以在反劫持上做出一定的贡献。

部分开发者不知是不是被官方发送的邮件气到了——“恭喜,你的包成为了关键包,快来双因子认证吧!”,决定删除后重新上架自己月下载量高达600万次的包,同时表示绝不使用这项功能,认为开发者已经做的够多了不能再折腾开发者。鉴于反对者只占少数,关键包制度应该会执行下去,这个“退出”的办法应该也不会封禁作为少数开发者的应对之策。[阅读原文]

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/276266

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66