PSF zieht 1,5-Millionen-Dollar-Antrag aus US-Regierungszuschussprogramm zurück

 (pyfound.blogspot.com)
1 Punkte von GN⁺ 2025-10-28 | 1 Kommentare | Auf WhatsApp teilen
  • Die Python Software Foundation (PSF) hat ihren bei der US National Science Foundation (NSF) eingereichten Antrag über 1,5 Millionen US-Dollar zurückgezogen, der auf die Verbesserung von Sicherheitslücken in Python und PyPI abzielte
  • Die Stiftung bewarb sich erstmals für das Programm SAFE OSE („Safety, Security, and Privacy of Open-Source Ecosystems“) der NSF, stieß dabei jedoch auf problematische Förderbedingungen, darunter eine Einschränkung von DEI-Aktivitäten (Diversity, Equity, and Inclusion)
  • Diese Klausel galt für die gesamten Aktivitäten der PSF und brachte bei einem Verstoß ein hohes finanzielles Risiko mit sich, einschließlich der Möglichkeit einer Rückforderung (claw back) bereits ausgezahlter Mittel
  • Entsprechend ihrer Mission, in der DEI als zentraler Wert festgeschrieben ist, lehnte die PSF die Annahme der Bedingungen ab und traf die einstimmige Entscheidung des Vorstands, den Antrag zurückzuziehen
  • Die Entscheidung belastet zwar die Finanzen der PSF, wird aber als Wahl zum Schutz ihrer Werte und der Prinzipien ihrer Community bewertet

Hintergrund und Ziele des Antrags

  • Im Januar 2025 reichte die PSF einen Antrag im SAFE-OSE-Programm der NSF ein, mit dem Ziel, strukturelle Sicherheitslücken in Python und PyPI zu beheben
    • Es handelte sich um den ersten Antrag der PSF auf staatliche Fördermittel; ein kleines Team arbeitete sich dabei durch komplexe Verwaltungsverfahren
    • Der Antrag wurde federführend von Seth Larson (Security Developer) erstellt, Loren Crary (Deputy Executive Director) war Mitverantwortliche
  • Die PSF war der Ansicht, dass der Antrag dem Programmzweck entsprach und im Erfolgsfall großen Nutzen für die Community bringen würde, weshalb erhebliche Zeit und Mühe investiert wurden

Bewilligung des Antrags und Auftreten des Problems

  • Nach mehreren Monaten Prüfung wurde der Antrag zur Förderung empfohlen (recommended for funding), was ein seltener Erfolg war, da nur 36 % der neuen Antragsteller beim ersten Versuch erfolgreich sind
  • Das Problem trat jedoch bei den Bedingungen zur Annahme der Förderung auf
    • Zu den Bedingungen gehörte die Formulierung, dass keine Programme betrieben werden dürften, die DEI (Diversity, Equity, and Inclusion) oder diskriminierende Gleichheitsideologien fördern
    • Diese Klausel galt nicht nur für das mit dem Zuschuss finanzierte Sicherheitsprojekt, sondern für die gesamten Aktivitäten der PSF
    • Im Fall eines Verstoßes hätte die NSF bereits ausgezahlte Mittel zurückfordern (claw back) können, wodurch ein unbegrenztes finanzielles Risiko entstanden wäre

Werte und Mission der PSF

  • Die PSF benennt DEI als zentralen Wert und macht dies auch in ihrem offiziellen Mission Statement deutlich
    • Als Aufgabe der PSF wird festgelegt: „die Förderung und der Schutz der Programmiersprache Python sowie die Unterstützung des Wachstums einer vielfältigen und internationalen Community
  • Die PSF versuchte im Austausch mit der NSF, die Auslegung der Bedingung zu klären, und prüfte Fälle anderer Organisationen wie The Carpentries, die sich in ähnlichen Situationen befanden, kam aber zu dem Schluss, dass sie mit ihren Werten kollidierende Bedingungen nicht akzeptieren könne
  • Infolgedessen hielt die PSF an ihrer Position fest, DEI-Aktivitäten nicht einzustellen, und zog das Förderangebot zurück

Technische Inhalte des vorgeschlagenen Projekts

  • Das vorgeschlagene Projekt zielte auf die Entwicklung eines automatisierten Vorab-Prüftools zur Abwehr von Supply-Chain-Angriffen auf PyPI
    • Derzeit arbeitet PyPI nur mit einem nachgelagerten Prüfsystem, das vorgeschlagene System hätte jedoch alle hochgeladenen Pakete vorab analysiert
    • Es sollte eine Capability Analysis auf Basis von Malware-Datensätzen nutzen, um potenzielle Bedrohungen frühzeitig zu erkennen
  • Diese Technik wäre nicht nur auf PyPI anwendbar, sondern auch auf andere Open-Source-Paketregistries wie NPM und Crates.io und hätte damit das Potenzial, die Sicherheit im gesamten Open-Source-Ökosystem zu stärken

Finanzielle Auswirkungen und künftige Aufgaben

  • Die PSF arbeitet mit einem Jahresbudget von rund 5 Millionen US-Dollar und ist mit 14 Mitarbeitenden eine kleine Organisation
    • Die 1,5 Millionen US-Dollar über zwei Jahre wären der größte Zuschuss in der Geschichte der PSF gewesen
  • Dennoch stellte die PSF die Umsetzung ihrer Werte und die freie Unterstützung der Community über den finanziellen Nutzen
    • Der Vorstand billigte den Rückzug einstimmig
  • Durch den Rückzug steht die PSF nun unter finanziellem Druck, verstärkt durch Inflation, sinkende Sponsorengelder, die Abschwächung der Technologiebranche und globale Unsicherheit
    • Die PSF bittet Mitglieder, Spender und Unternehmenssponsoren um fortlaufende Unterstützung und stärkere Beteiligung
    • Einzelpersonen können die Mission und Aktivitäten der PSF durch Mitgliedschaft, Spenden und Sponsoring unterstützen

Fazit

  • Die PSF entschied sich dafür, statt des finanziellen Vorteils die Werte der Organisation und die Prinzipien ihrer Community zu schützen
  • Der Fall gilt als wichtiger Präzedenzfall dafür, welchen Einfluss Bedingungen staatlicher Fördermittel auf die Autonomie und Werte von Open-Source-Organisationen haben können
  • Die PSF will ihre Arbeit auch künftig so fortsetzen, dass mehr Sicherheit im Python-Ökosystem und mehr Vielfalt parallel gefördert werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-28
Hacker-News-Kommentare

  • Viele Kommentare behaupten, „DEI schade der Meritokratie“, verstehen aber nicht richtig, wie DEI-Maßnahmen tatsächlich funktionieren
    Laut einem von der Diversity-Verantwortlichen der PyCon 2016 geteilten Tweet stieg der Anteil weiblicher Vortragender von 1 % auf 40 %
    Das lag daran, dass es trotz eines Blindverfahrens bei der Auswahl aktive Outreach-Arbeit zur Diversifizierung des Bewerberpools selbst gab
    Die Welt funktioniert nicht allein nach reiner Leistung. „Zugehörigkeitsgefühl“ oder das „Gefühl, eingeladen zu sein“ haben großen Einfluss auf Ergebnisse
    PSF könnte auf solche Outreach-Arbeit verzichten und beim Status quo bleiben, aber ich hoffe, dass es sich zu einer vielfältigeren und inklusiveren Community weiterentwickelt

    • Ich denke, dass dies die Form ist, in der DEI idealerweise funktioniert
      In der Realität werden jedoch häufig kennzahlengetriebene DEI-Richtlinien missbraucht, etwa nach dem Motto „In diesem Quartal dürfen nur diverse Kandidaten eingestellt werden“
      Dazu wird auf Gerichtsunterlagen verwiesen, die zeigen sollen, dass es solche Fälle tatsächlich gibt
    • Ich stimme der Aussage „Die Welt funktioniert nicht nur nach Leistung“ nicht zu
      Wichtige Systeme werden letztlich durch Kompetenz betrieben
    • Diskriminierende Behandlung aufgrund unveränderlicher Merkmale wie Ethnie oder Geschlecht ist rechtlich verboten
      Keine noch so logische Rechtfertigung kann daran etwas ändern
    • Ich bin ein entschiedener Gegner von DEI-Programmen
      Ich halte DEI im Kern für eine Form von Diskriminierung
      Ich habe tatsächlich erlebt, dass mir wegen meines Geschlechts Bildungschancen verwehrt wurden, und das lässt sich niemals rechtfertigen
      Außerdem bin ich skeptisch gegenüber der Behauptung, dass diverse Gruppen immer bessere Ergebnisse liefern

  • In der Highschool leitete ich ein Robotikteam und betrieb Community-Outreach mit dem Ziel von Fairness in der STEM-Bildung
    Unter der DEI-Politik der aktuellen Regierung könnten solche Aktivitäten jedoch dem Risiko von Klagen ausgesetzt sein
    Es ist bedauerlich, dass die Regierung willkürlich festlegt, „wer auf der richtigen Seite steht“

    • Ich erinnere mich daran, dass Guido 2019 gesagt haben soll, er werde „keine weißen Männer mehr mentorieren“
      Solche binären Ansätze führen eher zu Gegenreaktionen und Spaltung
      Es braucht Förderprogramme, die sich auf individuelle Bedürfnisse und Entwicklungswünsche konzentrieren, nicht auf Geschlecht oder Ethnie
      Eine Universität in Schweden hat ihr Ziel der Geschlechtergleichstellung in technischen Fächern erreicht und versucht nun, Ungleichgewichte in Biologie und Chemie zu korrigieren
      Ich hoffe, dass solche Veränderungen zu echtem moralischem Mut führen
    • Programme wie „girls who code“ klingen schon vom Namen her diskriminierend
      Ich frage mich, warum es keine Unterstützung für Menschen gibt, die wegen ihrer wirtschaftlichen Lage nicht programmieren lernen können
    • Letztlich wirkt diese Situation wie die Rückkehr von Vetternwirtschaft (cronyism)

  • Rein rechtlich scheint diese Klausel DEI an sich nicht zu verbieten, sondern nur DEI-Aktivitäten, die gegen Bundesrecht verstoßen
    Tatsächlich hat die Regierung jedoch bereits versucht, DEI-bezogene Organisationen unter Druck zu setzen oder Mittel zurückzufordern, selbst wenn kein Rechtsverstoß vorlag, weshalb ihr schwer zu vertrauen ist

    • Aufgrund der grammatischen Struktur der Klausel ist unklar, worauf sich „Verstoß gegen Bundesrecht“ genau bezieht
      Die Interpunktion ist fehlerhaft, sodass eine Auslegung möglich ist, nach der die Regierung absichtlich DEI insgesamt verbieten will
      Tatsächlich betrachtet die derzeitige Regierung DEI selbst als rechtswidrig
    • Das eigentliche Problem ist die Clawback-Klausel
      Wenn die 1,5 Millionen Dollar bereits für Forschung ausgegeben wurden und später zurückverlangt werden, droht finanzieller Ruin
      Letztlich besteht das Risiko, dass diese Klausel nicht einen Zuschuss, sondern eine Schuld schafft
    • Die Executive Order 14151 stuft DEI als rechtswidrige diskriminierende Praxis ein
      Der Ausdruck „discriminatory equity ideology“ wirkt wie ein Neologismus, der diesen Widerspruch verschleiern soll
    • Die aktuelle Regierung betrachtet DEI als illegal und streicht auch Forschungsförderungen zu Diversitätsthemen
    • Je nachdem, wie das „or“ im Satz ausgelegt wird, kann sich die Bedeutung ändern

  • Ich halte es für eine Überzeugungstat in praktischem Handeln, dass PSF diese Bedingungen abgelehnt hat
    Ich hoffe, dass große Unternehmen wie Google, AWS und Microsoft diese Gelegenheit nutzen und mit Matching Funds unterstützen

    • Allerdings werden große Unternehmen PSF wohl wegen politischer Vor- und Nachteile nicht öffentlich unterstützen
      Sie haben ihre DEI-Programme bereits eingestellt, um ihre Beziehungen zur Regierung zu wahren
    • Wenn solche Unternehmen „pro-DEI-Organisationen“ unterstützen, könnten Regierungsaufträge gefährdet sein
      Deshalb ist klar, warum sie auf die Stimmung der Regierung achten
    • Eigentlich ist es so, als würde man sich mit der Annahme solcher Mittel selbst eine Schlinge um den Hals legen
      Es ist ohnehin sehr wahrscheinlich, dass es später zu einer Rückforderung kommt
      Schade, dass mehrere Monate Arbeit am NSF-Antrag umsonst waren

  • Dieser Vorfall ist nicht nur für PSF, sondern für die wissenschaftliche Forschung insgesamt ein Warnsignal
    Forschungsförderung mit politischen Bedingungen schadet langfristig allen

    • Politische Winde können sich jederzeit drehen
      Organisationen wie PSF können ein solches unbefristetes politisches Risiko nicht tragen
      Dass Forschungsförderung in den USA politisiert wird, ist ein ernstes Problem
    • Das Budget von PSF liegt bei rund 5 Millionen Dollar, doch seine Wirkung schafft Industriewerte in Billionenhöhe
    • Auch die frühere DEI-orientierte Förderung war nur die andere Seite desselben Pendels, weil auch sie politische Bedingungen erzwang
    • Schon früher nahm der politische Einfluss auf wissenschaftliche Forschungsförderung immer weiter zu
      Selbst Anträge beim DOE enthielten DEI-Anforderungen, und ich hoffe, dass solche politischen Eingriffe insgesamt zurückgehen
    • In der medizinischen Forschung ist es ähnlich
      Forschende mussten ihre Anträge anpassen und Wörter wie „Geschlecht“ durch „Unterschiede“ ersetzen
      Die meisten reagieren darauf nach dem Muster „formal anpassen und die eigentliche Forschung wie geplant fortführen“
      Schon deshalb, weil der Regierung gar nicht das Personal fehlt, um alles einzeln zu überwachen

  • Der PSF-Vorstand erklärte, er habe die Förderung wegen des Risikos einer Mittelrückforderung abgelehnt
    Ich zolle dem Vorstand, der diese Entscheidung getroffen hat, Respekt und Unterstützung

  • 1,5 Millionen Dollar sind im Vergleich zu dem Wert, den PyPI für den Finanzsektor liefert, eine viel zu kleine Summe
    Schon geringe Beiträge großer Unternehmen könnten sehr helfen

    • Mehrere Open-Source-Organisationen, darunter auch PSF, haben eine gemeinsame Erklärung zum Aufbau nachhaltiger Infrastruktur veröffentlicht
      Ich bin gespannt, wie es weitergeht
    • Die „Open-Source-Fonds“ großer Unternehmen sind meist nur Gesten zur Mitarbeiterzufriedenheit
      Der tatsächliche Umfang der Unterstützung ist gering und wird oft nur Projekten zugeteilt, die DEI-Checklisten erfüllen
      Unternehmen haben kein Interesse an gemeinwohlorientierter Förderung, wenn kein wirtschaftlicher Nutzen darin liegt
      In einer Struktur, in der Gewinn vor Ethik steht, ist dieses Ergebnis naheliegend

  • Die rechtliche Auslegung der Formulierung „DEI oder diskriminierende Gleichheitsideologie nicht in einer Weise zu fördern, die gegen Bundesrecht verstößt“ ist unklar
    Tatsächlich ist unbestimmt, auf welchen Teil sich der „Verstoß“ bezieht

    • Vom Satzbau her wirkt es natürlich, „Verstoß gegen Bundesrecht“ auf die gesamte Formulierung zu beziehen
      Aber weil EO 14151 DEI selbst als illegal einstuft, ist die politische Absicht wichtiger als die Grammatik
    • Ehrlich gesagt leben wir gerade in einer Zeit, in der rechtliche Auslegung bedeutungslos erscheint
      Wenn die Regierung will, kann sie jede Klausel politisch instrumentalisieren
    • Am Ende wird die Regierung es ohnehin nach eigenem Gutdünken auslegen
    • Es ist eine Zeit, in der nicht Rechtsstaatlichkeit, sondern die Absicht der Machthaber Vorrang hat
      Hätte PSF das Geld angenommen, wäre es vielleicht sicherer gewesen, die Hälfte davon Trump zu opfern
    • All das ist eine Strategie, um Unterstützung für Minderheiten als „umgekehrte Diskriminierung“ zu brandmarken
      Es ist eine widersprüchliche Situation, in der die Regierung vorgibt, die Meinungsfreiheit zu schützen, während sie zugleich die Zensur verschärft

  • Beim Wortlaut der Klausel ist strittig, ob sich „Verstoß gegen Bundesrecht“ auf die gesamte Formulierung bezieht
    Wenn ja, könnte es unproblematisch sein, solange DEI selbst nicht rechtswidrig ist
    In der Praxis ist das rechtliche Risiko jedoch viel zu groß, um es zu akzeptieren

    • Die Clawback-Klausel der NSF ist sehr konkret
      Bei Verstößen gegen Bundesrecht oder verbotenen Boykotten (insbesondere in Bezug auf Israel) kann der gesamte Betrag zurückgefordert werden
      Falls PSF diese Entscheidung ohne rechtliche Beratung getroffen hat, wäre das bedauerlich
    • Wenn es nur um das Versprechen ginge, „nicht gegen das Gesetz zu verstoßen“, müsste man das nicht eigens festhalten
      Daher liest es sich so, als solle man einer Auslegung zustimmen, nach der DEI als Gesetzesverstoß gilt

  • Im PSF-Blog wird ausführlich erklärt, für welches Projekt die abgelehnte Förderung ursprünglich vorgesehen war
    Wer die Sicherheitsverbesserung des Python-Ökosystems direkt unterstützen möchte, kann die Spendenseite oder den Sponsoring-Antrag ansehen