CSDN
出品 | CSDN(ID:CSDNnews)
Python 作为全球最流行的编程语言之一,支撑着无数开源项目和商业应用。但正因其生态系统庞大而活跃,安全风险也随之增加,尤其是供应链方面的潜在威胁。
为应对这些挑战,Python 软件基金会(PSF)此前向美国国家科学基金会(NSF)提交了一份价值 150 万美元的拨款提案。这也是 PSF 首次尝试申请政府资助。
然而,事情并未按计划发展。近日,PSF 在官网、社交平台 Reddit 上宣布,由于 NSF 提出的附加条件,具体包括 PSF 得承诺不运营任何推进多样性、公平和包容(DEI)的项目才能获得拨款。思量之下,PSF 选择主动撤回原本获得推荐资助的 NSF 项目提案,并向外界公示。
这一决定立即引发开源社区和技术行业的广泛关注,尤其是在当前全球科技环境日益复杂的背景下。
为 Python 安全而出现的提案
据 PSF 公告显示,其提交的提案隶属于“开源生态系统的安全、保障与隐私” 项目,旨在提升 Python 生态系统的安全性,特别是加强 PyPI(Python 包索引)的供应链防护。
这个项目原来是计划开发一套新的自动化工具,用于主动审查所有上传至 PyPI 的软件包,而非目前仅能事后响应的被动机制。这些创新工具将基于已知恶意软件数据集设计的“功能分析(capability analysis)”方法实现。
除了保护 PyPI 用户之外,这项工作的成果也可以推广到其他开源包注册中心(如 NPM 与 Crates.io),从而提升多个开源生态系统的整体安全水平。
因此,PSF 为申请这项提案也下足了功夫来准备。
据悉,PSF 安全驻站开发者 Seth Larson 担任首席研究员(PI),PSF 副执行董事 Loren Crary 担任联合首席研究员(co-PI),共同领导了多轮提案撰写与为期数月的评审过程。
“对于我们这样一个小型团队来说,应对复杂繁琐的申请流程是一段陡峭的学习曲线。”PSF 在公告中说道:“我们投入了大量时间与精力,因为我们相信,PSF 的工作方向与该项目高度契合,一旦提案获批,将能为社区带来显著的积极影响。”
在经过数月努力后,PSF 的提案获得了资助推荐,这得来也非常不易。毕竟,首次申请 NSF 资助的成功率仅为 36%。
150 万美元资助背后的附加条件
然而,就在 PSF 庆贺这一进程之际,他们也收到了资助附带的条款与条件,顿感不妙。
附带条件中有一条规定要求 PSF 确认:“在本次资助期间,不得运营或推广任何以推动多元化、公平或包容(DEI)为目的的项目,或从事违反联邦反歧视法的相关活动。”
PSF 的法律顾问还表示,这一限制不仅适用于该笔资助直接支持的安全项目,还适用于 Python 软件基金会的所有活动。
更严重的是,若违反该条款,NSF 有权“追回”已批准并划拨的资金,这意味着即使资金已经被用于支出,也可能被要求退还。
PSF 坦言,「对我们而言,这将是一个巨大且无法预估的财务风险」。
要知道一直以来,PSF 的使命是推动、保护并发展 Python 编程语言,同时支持并促进一个多元化的国际 Python 开发者社区的成长。多元化、公平与包容(DEI)是 PSF 的核心价值,这一点在其使命声明中有明确体现。
如果同意 NSF 的要求,虽说一方面会对 Python 安全方面有所裨益,同时也能对 PSF 的预算产生重大影响。据官方透露,PSF 是一个相对小型的组织,年预算约为 500 万美元,员工仅有 14 人。「若获得这笔为期两年、总额 150 万美元的资助,将成为我们有史以来规模最大的一笔资金支持」。
可是另一方面,这将迫使 PSF 放弃其核心价值和使命。
一边是发展,一边是使命,PSF 起初陷入了两难的境地。
PSF:内部达成一致,主动拒绝
经过内部投票,PSF 内部统一认为,“项目的价值与资金的规模,都不应凌驾于我们的核心价值与支持社区自由发展的使命之上。PSF 董事会最终一致投票,决定撤回本次申请。”
对此,Django 创造者、PSF 董事会成员之一的 Simon Willison 也在个人博客上支持这一决定,其表示:
“对我们来说,这不是可以接受的选项......
即使我们接受并花费了这笔资金,仍存在被要求追回的现实风险。由于资金已经使用,这将对基金会构成生存性风险。
我本人是投票反对接受这笔资助的董事会成员之一——这是一次全票通过但艰难的决定。我为能够在这样的董事会服务而感到自豪,因为它能做出如此艰难的决策。”
在全球科技环境日益复杂的今天,如何在资金支持与价值坚持之间找到平衡,是所有开源组织和科技机构需要思考的问题。对此,PSF 呼吁社区成员和支持者提供财政支持,以确保其能够独立运营,继续为全球 Python 开发者社区服务。
当然,PSF 的这一行动也引发了不少 IT 从业者的讨论,多数用户表示大力支持 PSF 的态度:
PSF 拒绝这笔资金是完全正确的。无论如何,那 150 万美元的预算计划是如何分配的?社区是否可以不依赖这笔资金,继续开展这些工具的开发工作?如果资金主要用于基础设施或云服务等,对于使用 Python 的许多大公司来说,这点投入微不足道,而目标的重要性却非常高。
也有网友为此庆幸道,“可悲的是,这可能也是最务实的选择。如果他们的资助真的被追回,基金会的处境将比原先更糟,而这无疑是一个过于巨大的风险,不值得承担。”
对此,你怎么看待 PSF 的这一举措?
京公网安备 11011402013531号