En un movimiento que pretende introducir un nuevo nivel de seguridad para el lenguaje de programación favorito del mundo, Python Package Index (PyPI), el depósito oficial de proyectos Python de código abierto de terceros, anunció que introducirá la autenticación de dos factores para lo que la plataforma considera proyectos ‘críticos’.
Anunciada a principios de julio, la consideración impulsada por la seguridad ha sido muy bien recibida por los miembros de la comunidad de Python, aunque un conocido desarrollador optó por eliminar su código de PyPI antes de volver a publicarlo como un nuevo proyecto que está libre de su estado «crítico» designado.
Como muestran los datos anteriores, Python ha superado a muchos lenguajes de programación líderes para convertirse en el lenguaje favorito del mundo en los últimos años, y el movimiento para proteger sus proyectos más valiosos con una capa adicional de seguridad ha ayudado a implementar un elemento adicional de confianza.
Tras la implementación de la nueva medida de seguridad, cualquier proyecto de PyPI que represente el 1% de las descargas principales en los últimos seis meses, así como cualquiera de las dependencias de PyPI, se ha etiquetado como «crítico» y, por lo tanto, requiere autenticación de dos factores.
“Para mejorar la seguridad general del ecosistema de Python, PyPI ha comenzado a implementar un requisito de autenticación de dos factores (2FA) para proyectos críticos. Este requisito entrará en vigencia en los próximos meses”, señalaron los administradores de PyPI en el sitio web del proyecto.
Este salto a 2FA se produce a raíz de una serie de incidentes de seguridad que han causado que las bibliotecas de software legítimas sean secuestradas dentro del ecosistema PyPI y la biblioteca npm en expansión.
A lo largo de 2021, las bibliotecas npm que experimentaron niveles significativos de tráfico, como ‘ua-parser-js’, ‘coa’ y ‘rc’ se vieron fundamentalmente alteradas por malware después de que sus cuentas de mantenimiento se vieran comprometidas. Esto hizo que GitHub, la empresa matriz de npm, tomara la medida de implementar la seguridad 2FA para los desarrolladores hacia fines del año pasado, y se agregaron más procedimientos en mayo de 2022.
Las cosas llegaron a un punto crítico en las últimas semanas luego de la noticia de que el proyecto PyPI, ‘ctx’, fue secuestrado por piratas informáticos, según lo informado por BleepingComputer. Posteriormente, se reveló que ‘ctx’ fue víctima de un experimento de piratería ‘ética’ que salió mal, pero la plataforma se tomó el incidente lo suficientemente en serio como para implementar una actualización integral de cómo funcionan sus proyectos.
Claves de seguridad de hardware gratuitas para proyectos críticos
Para ayudar a suavizar la transición hacia 2FA, Python Package Index está regalando 4000 claves de seguridad de Google Titan como parte de su oferta para transportar todos los proyectos críticos creados con el lenguaje de programación Python.
Aunque el lenguaje de código abierto es tremendamente popular y en gran medida seguro debido a la gran cantidad de programadores que trabajan para mejorar continuamente el lenguaje, los piratas informáticos se han aferrado a la gran cantidad de actualizaciones que sufre el programa como un medio de puerta trasera para Windows, Linux, y máquinas Apple a través de paquetes falsos que son nombres similares a los lanzamientos oficiales en un movimiento que se conoce popularmente como ataques a la cadena de suministro de software.
Con la ayuda de Open Source Security Foundation (OpenSSF) de la Fundación Linux, Google pretende enfrentarse a la amenaza de los paquetes de lenguaje malicioso y los ataques a la cadena de suministro de software de código abierto. En el espacio de solo un mes, los gigantes de los motores de búsqueda identificaron más de 200 paquetes maliciosos de JavaScript y Python, y destacaron las «consecuencias devastadoras» para los desarrolladores y las organizaciones para las que escriben código cuando los instalan.
El marco de código abierto de Python sigue siendo el mejor para las empresas
A pesar del reciente anuncio de que la autenticación 2FA se introducirá en los principales proyectos de Python, el lenguaje de programación sigue siendo una de las mejores opciones para las empresas que buscan construir su presencia en línea en la actualidad.
La razón fundamental de esto es el marco de código abierto de Python y el hecho de que muchos más ojos pueden observar, identificar y solucionar problemas emergentes rápidamente.
Si bien algunos espectadores argumentan que los programas de código abierto pueden significar que el código está abierto para que los piratas informáticos lo ataquen, esto generalmente funciona más a favor de los volúmenes mucho más grandes de solucionadores de problemas que trabajan las 24 horas para detectar y remediar vulnerabilidades. En el caso de Python, los hackers de sombrero blanco, los colaboradores y los usuarios pueden trabajar en conjunto para encontrar problemas y actuar al instante.
También puede ser un beneficio significativo para las empresas que buscan asumir los servicios de desarrollo de Python, donde los desarrolladores tienen la ventaja de trabajar de cerca y directamente con el lenguaje de programación de una manera que los lenguajes comerciales más cerrados no pueden ofrecer.
Esta última iteración de seguridad para Python ha ayudado instantáneamente a proteger los proyectos más utilizados que operan dentro del ecosistema. Aunque no se requerirá que el 99 % restante de los proyectos realice el cambio a 2FA, sus usuarios pueden estar seguros de que las actualizaciones continúan implementándose a un ritmo rápido.
A medida que el impulso global hacia la transformación digital continúa acelerándose, Python ha demostrado ser líder del mercado en términos de desarrollo web, debido a su extensa red de bibliotecas de código abierto.
El impulso para acomodar 2FA entre sus proyectos más grandes representa una consideración clave para los proyectos más activos de la plataforma, y un paso considerable en la dirección correcta para un lenguaje de programación que todavía tiene mucho espacio para crecer.