全球知名编程语言Python的生态安全近期成为焦点。其背后的Python软件基金会(PSF)为提升开源生态安全性,曾向美国国家科学基金会(NSF)提交了一项价值150万美元的资助申请,却因附加条款引发争议,最终选择主动撤回申请。
PSF此次申请的项目属于“开源生态系统的安全、保障与隐私”计划,核心目标是强化Python包索引(PyPI)的供应链防护。当前PyPI的审查机制仅能事后响应恶意软件上传,而新提案计划开发一套自动化工具,通过“功能分析”技术主动筛查所有上传包,从源头降低安全风险。该技术基于已知恶意软件数据集设计,若成功实施,其成果还可推广至NPM、Crates.io等其他开源包注册中心,惠及更广泛的开发者社区。
为推进这一项目,PSF组建了专业团队:安全驻站开发者塞思·拉尔森担任首席研究员,副执行董事洛伦·克雷里作为联合首席研究员,带领团队历经多轮提案撰写与数月评审。尽管首次申请NSF资助的成功率仅36%,PSF仍凭借方案与基金会使命的高度契合,最终获得资助推荐。对于年预算约500万美元、仅有14名员工的小型组织而言,这笔为期两年、总额150万美元的资助堪称“史上最大规模支持”。
然而,资助附带的条款却让PSF陷入两难。NSF要求PSF在资助期间“不得运营或推广任何以推动多元化、公平或包容(DEI)为目的的项目,或从事违反联邦反歧视法的活动”。更严苛的是,这一限制不仅针对安全项目本身,还覆盖PSF所有活动。若违反条款,NSF有权追回已划拨资金,即使资金已用于支出也需退还。PSF法律顾问指出,这将对基金会构成“巨大且无法预估的财务风险”。
DEI理念是PSF的核心价值之一。其使命声明明确强调“支持并促进多元化的国际Python开发者社区成长”,若接受条款,意味着需放弃这一原则。PSF董事会经过内部投票,最终一致决定撤回申请。董事会成员西蒙·威利森在个人博客中表示:“即使接受资金,仍存在被追回的现实风险,这可能威胁基金会的生存。这是一次全票通过但艰难的决定,我为董事会能做出如此选择感到自豪。”
这一决定在开源社区引发广泛讨论。多数从业者支持PSF的立场,认为“核心价值远比资金规模重要”。有网友分析,若资金主要用于基础设施或云服务,对使用Python的大型科技公司而言投入微不足道,而项目目标的安全性却关乎整个生态的健康发展。也有观点认为,拒绝资助是务实选择——若资金被追回,基金会处境将比原先更糟,风险过高难以承担。
目前,PSF已呼吁社区成员提供财政支持,以确保其能独立运营,继续服务全球开发者。这场风波也暴露出开源组织在资金依赖与价值坚守间的普遍困境:如何在外部资助与自身使命间找到平衡,成为所有科技机构需共同面对的课题。
