作为全球最重要的开源编程语言之一,Python 的生态系统安全牵动着数百万开发者的日常。然而,其背后的支持机构 Python 软件基金会(PSF)却在近期面临一场关于价值观与资金之间的艰难抉择。

2025年1月,PSF 首次向美国国家科学基金会(NSF)提交了一项资助申请,计划在“开源生态系统安全、隐私与保护”项目下,系统性增强 Python 及其软件包索引 PyPI 的结构安全性。这项提案由基金会安全开发者 Seth Larson 与副执行总监 Loren Crary 牵头,旨在开发一套自动化工具,实现对 PyPI 上传软件包的主动安全审查,从而防御供应链攻击,保护开源生态。

经过数月的审核,该提案成功获得 NSF 推荐资助,金额达 150 万美元,分两年执行。对年预算仅约 500 万美元、全职员工仅 14 人的 PSF 而言,这不仅是史上最大的一笔资助,更是推动平台安全能力跨越式升级的关键机会。

然而,在最终签署阶段,PSF 发现资助协议中含有一项引起极大关切的条款:要求受助组织承诺“不在资助期内运营任何推进或促进多元化、公平与包容(DEI)的项目”。该限制不仅适用于资金支持的安全项目,更覆盖 PSF 的全部活动。更严峻的是,一旦违反该条款,NSF 有权追回已拨付的全部资金,这为 PSF 带来不可控的财务与法律风险。

对这一要求,PSF 明确表示无法接受。基金会在其使命宣言中清楚写道:“支持并促进多元化、国际化的 Python 程序员社区的发展”,DEI(多元化、平等及包容) 不仅是其核心价值,更是社区健康的基石。尽管团队曾尝试与 NSF 沟通条款解释、寻求豁免可能,并参考了其他组织(如 The Carpentries)在类似情境下的应对经验,但最终仍未能达成符合价值观的共识。

2025年10月,PSF 董事会经一致表决,决定主动撤回资助申请。副执行总监 Loren Crary 指出:“我们无法签署一个声明,声称不会推进多元化、公平与包容——这等同于背弃我们的使命与社区。”

这一决定虽坚守了原则,但也使 PSF 面临更严峻的财务压力。尤其在当前技术行业赞助缩减、经济不确定性增强的背景下,放弃这笔高额资助意味着未来需更依赖社区与企业的支持。PSF 也公开呼吁开发者通过成为支持会员、捐款或推动企业赞助等方式协助基金会度过困难时期,维持其对 Python 生态的持续贡献。

这件事不仅是一个基金会的独立选择,更折射出当前科技资助体系中价值观条款与开源精神之间的张力。当资金附带了可能限制组织使命和运营自由的条件,是否仍值得接受?PSF 用行动给出了它的答案——即使放弃重要的资源,也不以妥协核心价值为代价。

声明原文:https://pyfound.blogspot.com/2025/10/NSF-funding-statement.html