Projekt Python odmítl grant ve výši 1.5 milionu dolarů na zlepšení zabezpečení PyPI.

Nadace Python Software Foundation, která dohlíží na vývoj programovacího jazyka Python, odmítla grant ve výši 1.5 milionu dolarů od americké Národní vědecké nadace v rámci programu „Bezpečnost, ochrana a soukromí ekosystémů s otevřeným zdrojovým kódem“. Žádost o grant byla podána v lednu a po měsíčním procesu kontroly a schvalování byla schválena k financování. Grant byl ve výši 1.5 milionu dolarů na dva roky, což je pro Nadaci Python Software Foundation značná částka, protože její celkový rozpočet je přibližně 5 milionů dolarů ročně a zaměstnává 14 zaměstnanců.

Grant byl zamítnut z důvodu podmínek, které musely být splněny, aby financování získali. Během doby trvání grantu se od účastníků požadovalo, aby nerealizovali iniciativy, které propagují nebo podporují politiku DEI (diverzita, rovnost a inkluze) nebo jiné diskriminační ideologie rovnosti, které porušují federální zákony USA proti diskriminaci (Donald Trump prohlásil programy DEI za nezákonné, nemorální a diskriminační). Toto omezení se vztahuje nejen na práci financovanou grantem, ale na všechny aktivity organizace, která grant obdržela.

Tento požadavek vytváří finanční rizika, protože Národní vědecká nadace (NSF) si vyhrazuje právo odvolat již vyplacené finanční prostředky, pokud budou porušeny podmínky grantu, což znamená, že již vynaložené prostředky lze získat zpět. Tento požadavek je navíc v rozporu s posláním projektu Python, které mezi své základní hodnoty uvádí rozmanitost, rovnost a inkluzi. Podle Python Software Foundation by přijetí podmínek a nepodpora DEI byla zradou komunity a jejího deklarovaného poslání.

Přidělené finanční prostředky měly být vynaloženy na vývoj nových nástrojů pro automatickou kontrolu balíčků nahraných do adresáře PyPI (Python Package Index). Namísto současného „reaktivního“ přístupu, který zahrnuje kontrolu balíčků poté, co jsou již v adresáři k dispozici, se plánovalo zavést „proaktivní“ přístup, kdy se kontrola provádí předtím, než je balíček zpřístupněn uživatelům. Pro identifikaci škodlivých balíčků se plánovalo použití funkční analýzy s přihlédnutím k typickým prvkům známého malwaru. Předpokládalo se, že vyvinuté nástroje se nebudou omezovat pouze na ochranu PyPI a budou moci být adaptovány i pro adresáře jiných open source projektů, jako jsou NPM a Crates.io.

Zdroj: opennet.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster