全球知名編程語言Python的生態安全近期成為焦點。其背后的Python軟件基金會（PSF）為提升開源生態安全性，曾向美國國家科學基金會（NSF）提交了一項價值150萬美元的資助申請，卻因附加條款引發爭議，最終選擇主動撤回申請。

PSF此次申請的項目屬于“開源生態系統的安全、保障與隱私”計劃，核心目標是強化Python包索引（PyPI）的供應鏈防護。當前PyPI的審查機制僅能事后響應惡意軟件上傳，而新提案計劃開發一套自動化工具，通過“功能分析”技術主動篩查所有上傳包，從源頭降低安全風險。該技術基于已知惡意軟件數據集設計，若成功實施，其成果還可推廣至NPM、Crates.io等其他開源包注冊中心，惠及更廣泛的開發者社區。

為推進這一項目，PSF組建了專業團隊：安全駐站開發者塞思·拉爾森擔任首席研究員，副執行董事洛倫·克雷里作為聯合首席研究員，帶領團隊歷經多輪提案撰寫與數月評審。盡管首次申請NSF資助的成功率僅36%，PSF仍憑借方案與基金會使命的高度契合，最終獲得資助推薦。對于年預算約500萬美元、僅有14名員工的小型組織而言，這筆為期兩年、總額150萬美元的資助堪稱“史上最大規模支持”。

然而，資助附帶的條款卻讓PSF陷入兩難。NSF要求PSF在資助期間“不得運營或推廣任何以推動多元化、公平或包容（DEI）為目的的項目，或從事違反聯邦反歧視法的活動”。更嚴苛的是，這一限制不僅針對安全項目本身，還覆蓋PSF所有活動。若違反條款，NSF有權追回已劃撥資金，即使資金已用于支出也需退還。PSF法律顧問指出，這將對基金會構成“巨大且無法預估的財務風險”。

DEI理念是PSF的核心價值之一。其使命聲明明確強調“支持并促進多元化的國際Python開發者社區成長”，若接受條款，意味著需放棄這一原則。PSF董事會經過內部投票，最終一致決定撤回申請。董事會成員西蒙·威利森在個人博客中表示：“即使接受資金，仍存在被追回的現實風險，這可能威脅基金會的生存。這是一次全票通過但艱難的決定，我為董事會能做出如此選擇感到自豪。”

這一決定在開源社區引發廣泛討論。多數從業者支持PSF的立場，認為“核心價值遠比資金規模重要”。有網友分析，若資金主要用于基礎設施或云服務，對使用Python的大型科技公司而言投入微不足道，而項目目標的安全性卻關乎整個生態的健康發展。也有觀點認為，拒絕資助是務實選擇——若資金被追回，基金會處境將比原先更糟，風險過高難以承擔。

目前，PSF已呼吁社區成員提供財政支持，以確保其能獨立運營，繼續服務全球開發者。這場風波也暴露出開源組織在資金依賴與價值堅守間的普遍困境：如何在外部資助與自身使命間找到平衡，成為所有科技機構需共同面對的課題。