【Python套件管理區 - PyPI系列】平台開始使用F2A來管制套件囉
一早看著IThome的新聞發現到這個標題「📢 PyPI新帳號現需要啟用雙因素驗證才能執行管理操作」, 而近期幾乎都在接觸Python語言, 在Python的生態圈裡相信對於「pip install…」應該相當熟悉了吧! 但對於背後的平台相信我們不曾仔細去了解一番, 這好藉著這次的觀點也順便來介紹一下。
什麼是PyPI(Python Package Index)平台?
我們不管在使用Android或者是IOS時, 需要一個應用程式, 無非就是去Google Play、APP Store找尋需要的程式, 然而PyPI就是擔任著這樣的角色, 只是場景從「使用者 ↔ Google Play ↔ 應用程式」轉換成「python程式開發 ↔ PyPI平台↔ python套件」, 這樣懂了吧!
導覽PyPI
我們可以看到除了基本的搜尋文字框之外,左側也提供非常豐富的篩選器,讓我們更人性化的找到資料。
你還在苦惱開發Python應該用哪些套件嗎? 就來這裡找找吧, 這裡存放著各式各樣的Python專業開發者套件, 我們只要在這裡搜尋一下就能夠找到我們需要的套件, 舉例來說, 我們今天想要對Youtube進行語料的蒐集或者分析一下影片的資訊時就可以使用「pytube」, 順便工商一下:
【資料處理神器區 - Pytube系列】 蒐集情報讓數據會說話
為什麼要進行雙因素驗證?
早期在資安意識尚未抬頭的環境底下, 各平台都尚未注重資安的部份, 包括NPM、Google Play、APP Store也是近幾年才開始具有嚴格的檢查機制, 畢竟資安事件實在層出不窮, 隨著我們依賴軟體越來越深入, 那麼就容易被有心人士趁機而入, 嚴重則竊取重要資料導致財產損失, 所以這些平台廠商才會漸漸將安全審查流程導入, 避免使用平台的用戶們蒙受損失。
雙因素驗證解決了哪些問題? 首先是避免套件氾濫, 當開發者越來越多時,一旦失去了管理機制, 那勢必嚴重打擊生態圈的品質, 那如果又遇到惡意的駭客, 上傳一個有害的套件又被不知情的其他開發者使用來開發產品時, 而該產品也被廣大的用戶們(我們)使用時, 那危害程度勢必會非常廣大, 也很難收斂, 想想「Log4j漏洞事件」與五月份的「惡意專案多到讓PyPI暫停接受新用戶與專案」, 那可謂是令人頭皮發麻、疲於奔命啊! 為了不讓這些悲劇重演, PyPI平台也強制讓新的開發者要經過F2A的驗證機制:
這項政策主要是管控新用戶的部份, 在創建/管理專案、添加/刪除API權杖、添加/刪除協作者,以及添加/管理受信任發布者等操作,都會需要先啟用雙因素驗證。
一般使用者需要做什麼事?
🙅♂️ 答案是不需要的, 因為主要針對上傳套件時進行管控, 避免惡意套件流入平台。
結語
隨著科技軟體的蓬勃發展, 我們身為開發者也應該擔起資訊安全的責任, 避免因為沒有嚴格的把關造成客戶的損失, 嚴重影響商譽, 對公司也不好, 不要小看我們自己, 每個開發者都是非常重要的, 所以當我們開發時如果能夠將資安意識深入心中就會減少許多悲劇的發生, 共勉之…。
另外您如果對軟體開發有興趣的話,歡迎加入實戰營,讓我們以系統化的方式分享給你關於軟體的心法與實作:
喜歡撰寫文章的你,不妨來了解一下:
Web3.0時代下為創作者、閱讀者打造的專屬共贏平台 — 為什麼要加入?
歡迎加入一起練習寫作,賺取知識
