Организация Python Software Foundation, курирующая разработку языка программирования Python, отказалась от получения гранта в 1.5 млн долларов, одобренного Национальным научным фондом США в рамках программы “Безопасность, защита и конфиденциальность Open Source экосистем”. Заявка на получение гранта была подана в январе и после многомесячного процесса проверки и согласования была одобрена на предоставление финансирования. Грант подразумевал выделение 1.5 млн долларов в течение двух лет, что является ощутимой для Python Software Foundation суммой, так как общий готовой бюджет данной организации составляет около 5 млн долларов в год при 14 трудоустроенных сотрудниках.
Причиной отказа от гранта стали условия, которые необходимо было принять в случае получения денег. В течение срока действия гранта участникам предписывалось не осуществлять инициативы, продвигающие или поддерживающие политику DEI (разнообразие, равенство и инклюзивность) или иную дискриминационную идеологию равенства, нарушающую федеральные антидискриминационные законы США (Дональд Трамп объявил программы DEI незаконными, аморальными и дискриминационными). Ограничение распространяется не только на финансируемые грантом работы, но и на всю деятельность организации, получившей грант.
Данное требование создаёт финансовые риски, так как Национальный научный фонд имеет право отозвать уже перечисленные средства, в случае нарушения условий предоставления гранта, т.е. уже потраченные средства могут быть затребованы назад. Кроме того, отмеченное требование идёт вразрез с миссией проекта Python, в которой разнообразие, равенство и инклюзивность упоминаются среди ключевых ценностей. По заявлению представителей Python Software Foundation, принятие условий и отказ от поддержки DEI стало бы предательством сообщества и объявленной миссии.
Выделяемые средства планировали потратить на разработку новых инструментов для автоматизированного рецензирования пакетов, загружаемых в каталог PyPI (Python Package Index). Вместо ныне применяемой “reactive” схемы, подразумевающей проверку после того как пакет уже доступен в каталоге, намеревались внедрить “proactive” схему, при которой проверка выполняется до того, как пакет станет доступен пользователям. Для выявления вредоносных пакетов планировали использовать анализ функциональности, учитывающий типовые элементы известного вредоносного ПО. Предполагалось, что развиваемый инструментарий не ограничится защитой PyPI и его можно будет адаптировать для каталогов других открытых проектов, таких как NPM и Crates.io.