La Python Software Foundation, l'organisation qui supervise le développement du langage de programmation Python, a refusé une subvention de 1.5 million de dollars de la National Science Foundation des États-Unis dans le cadre du programme « Sécurité, sûreté et confidentialité des écosystèmes open source ». La demande de subvention a été soumise en janvier et, après un processus d'examen et d'approbation de plusieurs mois, son financement a été approuvé. La subvention s'élevait à 1.5 million de dollars sur deux ans, un montant important pour la Python Software Foundation, dont le budget annuel total est d'environ 5 millions de dollars et qui emploie 14 personnes.
La subvention a été refusée en raison des conditions d'acceptation. Pendant la durée de la subvention, les participants étaient tenus de ne pas mettre en œuvre d'initiatives promouvant ou soutenant des politiques de diversité, d'équité et d'inclusion (DEI) ou d'autres idéologies discriminatoires en matière d'égalité, contraires aux lois fédérales américaines anti-discrimination (Donald Trump a déclaré les programmes de DEI illégaux, immoraux et discriminatoires). Cette restriction s'applique non seulement aux travaux financés par la subvention, mais à toutes les activités de l'organisation bénéficiaire.
Cette exigence engendre des risques financiers, car la National Science Foundation se réserve le droit de révoquer les fonds déjà versés en cas de non-respect des conditions de la subvention, ce qui permet de récupérer les fonds déjà dépensés. De plus, cette exigence est contraire à la mission du projet Python, qui place la diversité, l'équité et l'inclusion parmi ses valeurs fondamentales. Selon la Python Software Foundation, accepter ces conditions et ne pas soutenir la DEI constituerait une trahison envers la communauté et sa mission déclarée.
Les fonds alloués devaient être consacrés au développement de nouveaux outils d'analyse automatisée des paquets déposés dans le répertoire PyPI (Python Package Index). Au lieu de l'approche « réactive » actuelle, qui consiste à analyser les paquets après leur publication dans le répertoire, il était prévu de mettre en œuvre une approche « proactive », qui consiste à analyser les paquets avant leur mise à disposition. Pour identifier les paquets malveillants, il était prévu d'utiliser une analyse fonctionnelle prenant en compte les éléments typiques des logiciels malveillants connus. Il était envisagé que les outils développés ne se limitent pas à la protection de PyPI et puissent être adaptés aux répertoires d'autres projets open source, tels que NPM et Crates.io.
Source: opennet.ru
