Python 软件基金会撤回向美国政府申请资助 150 万美元的提案

2025年1月，Python软件基金会（Python Software Foundation，以下简称 PSF）向美国国家科学基金会提交提案，申请开源生态系统安全与隐私计划拨款，旨在解决Python及PyPI平台的结构性漏洞问题。这是PSF首次申请政府资助，繁复的申请流程对我们的小型团队而言是陡峭的学习曲线。PSF驻场安全开发者塞斯·拉尔森担任首席研究员(PI)，PSF副执行董事洛伦·克雷里担任联合首席研究员(co-PI)，共同主导了多轮提案撰写及长达数月的审核流程。我们投入大量时间和精力，是因为深信PSF的工作与该计划高度契合，且提案获批将为社区带来显著效益。

历经数月努力，我们的提案最终获得资助推荐，这令我们深感荣幸——尤其考虑到NSF新申请者首次获批率仅为36%。然而当我们看到接受资助需签署的条款时，忧虑油然而生。其中要求我们承诺“在资助期间绝不开展任何违反联邦反歧视法律、推进或宣扬DEI(多样性、公平性、包容性)理念或歧视性平等意识形态的项目”。该限制不仅适用于拨款直接资助的安全工作，** 更涵盖PSF组织整体的所有活动 **。此外，违反条款将赋予NSF“追回”已批准拨付资金的权利。这意味着已支出的资金可能被收回，构成巨大且无法预估的财务风险。

多样性、公平性与包容性是PSF的核心价值观，正如我们使命宣言所承诺：

Python软件基金会的使命是推广、保护并发展Python编程语言，同时支持并促进 多元化国际化 Python开发者社区的成长。

鉴于该资助对社区及PSF的价值，我们竭尽全力厘清条款细节，并寻求符合价值观的推进方案。我们咨询了美国国家科学基金会(NSF)的联络人，并参考了其他组织在类似情境下的决策，特别是The Carpentries的处理方式。

然而最终，PSF 无法接受任何承诺“不推进或促进”多样性、公平性与包容性项目的声明——这将背离我们的使命与社区精神。

我们深感遗憾被迫做出此决定，因为我们坚信该提案项目将为Python及更广泛的开源社区带来不可估量的进步，保护数百万PyPI用户免受供应链攻击威胁。该项目拟开发新型工具，对上传至PyPI的所有软件包实施主动式自动化审查，取代当前仅限被动响应的审核流程。这些创新工具将基于已知恶意软件数据集设计的能力分析技术。该项目成果不仅能保护PyPI用户，还可推广至NPM、Crates.io等所有开源软件包注册库，从而提升多个开源生态系统的安全性。

除安全效益外，该资助资金将对PSF预算产生重大影响。PSF作为小型组织，年预算约500万美元，仅有14名员工。两年150万美元对我们而言数额可观，这将是PSF有史以来获得的最大一笔资助。然而最终，工作价值与资助规模都无法超越践行核心价值观的必要性——我们必须保持支持社区每个角落的自由。PSF董事会一致投票决定撤回申请。

放弃NSF资助机会，叠加通胀压力、赞助减少、科技行业经济困境以及全球/本地不确定性与冲突，意味着PSF比以往任何时候都更需要财务支持。我们对您的任何帮助都深怀感激。若您已是PSF会员或长期捐助者，我们谨致以诚挚谢意，并诚邀您分享支持PSF的动机。您的故事对传播PSF的使命与工作至关重要。

支持PSF的方式：

• 成为会员：注册成为PSF支持会员，您即成为基金会的一员。您将获得PSF选举投票权，用您的声音指引未来方向，并通过年度支持助力我们持续开展工作。
• 捐赠：您的捐赠使我们能够年复一年地持续支持Python及其社区。
• 赞助：若贵公司使用Python且尚未成为赞助商，请发送我们的赞助页面或立即联系sponsors@python.org。PSF永远心怀感激，感谢所有过去和现在的赞助商，我们将竭尽全力确保赞助关系既有益又富有回报。

本文文字及图片出自 The PSF has withdrawn a $1.5 million proposal to US government grant program