PyPIの2FA義務化？

PyPIはPython向けのパッケージ管理システムです。
Python Package Indexを短くしてPyPIという話です。
いろいろなコンピュータ言語向けのパッケージ管理システムがあります。
そしてそういったいろいろなパッケージ管理システムで悲しい事例が多く確認されています。
ソフトウェアサプライチェーン問題のひとつの形です。

メンテナンスされていないパッケージの管理者を別の人が引継ぎ、そのパッケージにマルウェア機能を仕込むという形式があります。
人気のあるパッケージに似た名前のパッケージを公開してtypoで感染を広げるという形式もあります。
パッケージ管理システムの周辺で起こる問題というのはこのようにいろいろな形式があります。

2FAというものがあります。
Two Factor Authentication（二要素認証）です。
複数の要素で認証を実施することによって、なりすましを防ぐことを狙った機構です。

PyPIでも2019年からこの2FAを利用することができるようになっています。
しかしなかなかその利用が広がっていないということなのでしょうか。
今回、PyPIで月間ダウンロード数の多いパッケージを公開している開発者に向けて、2FAの利用を義務化するという案内がなされました。
もちろん2FAは安全性向上に対し一定の効果があると考えられます。
しかし歓迎されていない例もあるようです。
「パッケージのユーザーに負担をかけるのではなく、すでに自分の労力と時間を費やしている開発者に物を積み上げています。」
といった気持ちの開発者も出てきています。

たしかにモヤモヤする部分があると思います。
こういったパッケージ管理システムにパッケージを公開している人は、自分の活動の成果を無償で公開しています。
自分の書いたものがみんなに使われるのはとても楽しいことだと思います。
そしていつの日か自分の書いたものが人気のパッケージになるのです。
そこまでは楽しかったのです。
で、人気があるパッケージを公開しているのであなたは2FAを使ってください、と連絡が来ます。
なりすましを困難化することの代償に開発者の手間が増えるというように見えるということでしょうか。
たしかにモヤモヤする感じがします。

私たちの身の回りには様々なコンピュータシステムが使われています。
しかし残念ながらそれらに対し現状では絶対の安全対策というものは存在していません。
一部の領域にのみ効果があるというような安全対策をいくつも並行して実施して安全性を高めていくことが今の私たちの取れる対応です。

もし絶対安全になる唯一の安全対策というものができたとしたらどうでしょう。
優れたシステムですので、すべてのシステムがその機構を採用します。
ある日そのシステムに重大な問題が発見され、世界中のすべてのシステムが安全な状態ではなくなりました。
ぞっとする流れです。

2FAがどうとかそういうことではなく、複数の安全対策を組み合わせて使っていくことは必要なことなのかもしれません。

参考記事（外部リンク）：PyPI mandates 2FA for critical projects, developer pushes
back
www.bleepingcomputer.com/news/security/pypi-mandates-2fa-for-critical-projects-developer-pushes-back/