Yazılım dünyasının temel taşlarından biri olan Python'ın güvenliğini daha üst seviyelere taşımayı hedefleyen, Ulusal Bilim Vakfı'ndan (NSF) gelecek 1.5 milyon dolarlık hibe, ABD'deki politika değişiklikleri nedeniyle iptal edildi. Python Yazılım Vakfı, bu büyük kaynağı, bünyesinde barındırdığı çeşitlilik, eşitlik ve kapsayıcılık (DEI) programlarına yönelik getirilen kısıtlamalar nedeniyle reddetmek zorunda kaldı.
Yazılımın hem yapısını hem de PyPI (Python Paket İndeks) üzerindeki güvenlik açıklarını gidermeyi amaçlayan vakıf, 2025'in başında NSF'nin 'Açık Kaynak Ekosistemlerinin Güvenliği, Emniyeti ve Gizliliği' programına bir hibe başvurusu yapmıştı. Aylarca süren değerlendirme sürecinin ardından olumlu sonuç alınması beklenirken, projenin kaderi, yönetim tarafından belirlenen yeni kurallarla değişti.
1.5 milyon dolarlık hibe, 5 milyon dolarlık yıllık bütçeye ve 14 kişilik ekibe sahip Python Yazılım Vakfı için rekor büyüklükte bir kaynak olacaktı. Ancak vakfın temel misyonlarından biri, 'Python programcılarından oluşan çeşitli ve uluslararası bir topluluğun büyümesini desteklemek ve kolaylaştırmak' olarak tanımlanıyor. Bu misyon, yeni getirilen hibe şartlarıyla çelişiyordu.
Vakıf, hibe programıyla ilgili belirsizlikleri gidermek ve kendi değerleriyle uyumlu bir yol bulmak için büyük çaba sarf etti. Ulusal Bilim Vakfı ile iletişime geçildi ve benzer durumda olan diğer kuruluşların, özellikle de The Carpentries'in aldığı kararlar incelendi.
Oybirliğiyle Başvuru Geri Çekildi
Veri bilimi ve hesaplamalı bilimler alanlarında araştırmacılara eğitim veren The Carpentries, haziran ayında yaptığı açıklamada, hibe başvurusunu geri çektiğini duyurmuştu. Bunun nedeni olarak, başvurularının 'kaynağı belirsiz öğrencilerin elde tutulması konusunda bir sınırlama veya tercih içermesi ve bu durumun NSF'nin öncelikleriyle uyumlu olmaması' gerekçesiyle işaretlenmesi gösterilmişti. The Carpentries ayrıca, NSF'nin hibeyi alan kuruluşların herhangi bir programda çeşitlilik, eşitlik ve kapsayıcılığı (DEI) 'ilerletmesini veya teşvik etmesini' yasaklayan Mayıs ayında yürürlüğe giren yeni kuralından da endişe duyuyordu.
The Carpentries, haziran ayındaki açıklamasında, bu yeni şartların, NSF fonlarını kabul edebilmeleri için, 'tüm DEI odaklı programlarını durdurmayı kabul etmeleri anlamına geldiğini, bu faaliyetler NSF fonlarıyla yürütülmese bile' belirterek başvuruyu geri çekme kararlarını açıklamıştı.
Benzer bir şekilde, Python Yazılım Vakfı da 'çeşitliliği, eşitliği ve kapsayıcılığı 'ilerleten veya teşvik eden' herhangi bir programı yürütmeyeceğine dair bir ifadeyi kabul edemeyeceğini, çünkü bunun hem misyonlarına hem de topluluklarına bir ihanet olacağını' belirtti. Vakfın yönetim kurulu, bu nedenle başvuruyu oybirliğiyle geri çekme kararı aldı.
Python vakfı, projenin 'Python ve genel olarak açık kaynak topluluğu için paha biçilmez ilerlemeler sağlayacağını ve milyonlarca PyPI kullanıcısını tedarik zinciri saldırılarından koruyacağını' düşündükleri için hayal kırıklığına uğradıklarını ifade etti. Plan, mevcut reaktif inceleme sürecinin aksine, PyPI'ye yüklenen tüm paketlerin otomatik ve proaktif incelemesi için yeni araçlar oluşturmaktı. Bu yeni araçlar, bilinen kötü amaçlı yazılımlardan oluşan bir veri kümesine dayanarak tasarlanacak yetenek analizlerine dayanacaktı. Bu çalışmanın çıktıları, sadece PyPI kullanıcılarını korumakla kalmayacak, aynı zamanda NPM ve Crates.io gibi diğer açık kaynak yazılım paket kayıtları için de aktarılabilir olacak ve böylece birden fazla açık kaynak ekosisteminde güvenliği artıracaktı.
Vakıf, bu çalışmayı gerçekleştirmeye hala umutlu olduğunu ve blog yazısını, Python kullanan birey ve şirketlerden bağış toplama çağrısıyla sonlandırdı.
