La PSF retire sa proposition de 1,5 million de dollars d’un programme de subventions du gouvernement américain

 (pyfound.blogspot.com)
1 points par GN⁺ 2025-10-28 | 1 commentaires | Partager sur WhatsApp
  • La Python Software Foundation (PSF) a retiré une proposition de 1,5 million de dollars soumise à la National Science Foundation (NSF) des États-Unis, qui visait à améliorer les vulnérabilités de sécurité de Python et de PyPI
  • Elle avait postulé pour la première fois au programme « Safe and Secure Open Source Ecosystem (SAFE OSE) » de la NSF, mais une clause limitant les activités DEI (diversité, équité et inclusion) parmi les conditions d’acceptation de la subvention a posé problème
  • Cette clause s’appliquait à l’ensemble des activités de la PSF, et en cas de violation, elle incluait la possibilité de récupération des fonds déjà versés (claw back), ce qui créait un risque financier important
  • Fidèle à sa mission, qui présente la DEI comme une valeur fondamentale, la PSF a refusé d’accepter ces conditions et a décidé à l’unanimité au conseil d’administration de retirer la proposition
  • Cette décision pèse sur les finances de la PSF, mais elle est considérée comme un choix visant à préserver ses valeurs et les principes de sa communauté

Contexte et objectifs de la soumission

  • En janvier 2025, la PSF a soumis une proposition au programme SAFE OSE de la NSF avec pour objectif de corriger des vulnérabilités structurelles de sécurité dans Python et PyPI
    • Il s’agissait de la première demande de subvention publique de la PSF, menée par une petite équipe qui a dû se familiariser avec des procédures administratives complexes
    • La rédaction de la proposition a été dirigée par Seth Larson (développeur sécurité), avec Loren Crary (directrice exécutive adjointe) comme co-responsable
  • La PSF estimait que la proposition correspondait pleinement aux objectifs du programme et que son adoption apporterait des bénéfices majeurs à la communauté, ce qui a justifié un investissement important en temps et en efforts

Approbation de la proposition et apparition du problème

  • Après plusieurs mois d’évaluation, la proposition a été recommandée pour financement (recommended for funding), un résultat rare puisque seuls 36 % des nouveaux candidats réussissent dès leur première tentative
  • Mais un problème est apparu dans les conditions d’acceptation de la subvention
    • Parmi ces conditions figurait la formule selon laquelle l’organisation ne devait pas gérer de programmes promouvant la DEI (diversité, équité et inclusion) ou une idéologie d’égalité discriminatoire
    • Cette clause s’appliquait non seulement au projet de sécurité financé par la subvention, mais à l’ensemble des activités de la PSF
    • En cas de non-respect, la NSF pouvait récupérer les fonds déjà versés (claw back), ce qui exposait la PSF à un risque financier potentiellement illimité

Valeurs et mission de la PSF

  • La PSF présente explicitement la DEI comme une valeur fondamentale et l’affirme clairement dans sa déclaration de mission
    • Sa mission est définie comme le fait de « faire progresser et protéger le langage Python, et soutenir la croissance d’une communauté diverse et internationale »
  • La PSF a tenté, dans ses échanges avec la NSF, d’obtenir une interprétation plus claire de ces conditions, et a également examiné des cas similaires vécus par The Carpentries et d’autres organisations, mais elle a conclu qu’elle ne pouvait pas accepter des conditions contraires à ses valeurs
  • En conséquence, la PSF a maintenu sa position de ne pas mettre fin à ses activités DEI et a retiré sa demande de subvention

Contenu technique du projet proposé

  • Le projet proposé visait à développer des outils automatisés de pré-vérification pour empêcher les attaques sur la chaîne d’approvisionnement de PyPI
    • À l’heure actuelle, PyPI fonctionne uniquement avec un système de vérification a posteriori, tandis que le système proposé devait analyser tous les paquets téléversés en amont
    • Il devait s’appuyer sur une analyse de capacités (capability analysis) fondée sur un jeu de données de malwares afin de détecter plus tôt les menaces potentielles
  • Cette technologie pourrait s’appliquer non seulement à PyPI, mais aussi à d’autres registres de paquets open source comme NPM et Crates.io, avec un potentiel réel pour renforcer la sécurité de l’ensemble de l’écosystème open source

Impact financier et défis à venir

  • La PSF fonctionne avec un budget annuel d’environ 5 millions de dollars et reste une petite organisation de 14 employés
    • Sur deux ans, ces 1,5 million de dollars auraient constitué la plus importante subvention de l’histoire de la PSF
  • Toutefois, la PSF a choisi de faire passer la mise en pratique de ses valeurs et le soutien libre à sa communauté avant l’intérêt financier
    • Le conseil d’administration a approuvé à l’unanimité la décision de retrait
  • À la suite de ce retrait, la PSF subit une pression financière accentuée par l’inflation, la baisse du sponsoring, le ralentissement du secteur technologique et les incertitudes mondiales
    • La PSF appelle ses membres, donateurs et sponsors d’entreprise à poursuivre leur soutien et à accroître leur participation
    • Les particuliers peuvent soutenir la mission et les activités de la PSF via l’adhésion, les dons et la participation aux programmes de sponsoring

Conclusion

  • La PSF a choisi de préserver les valeurs de l’organisation et les principes de sa communauté plutôt que d’éviter une perte financière
  • Cette affaire est considérée comme un précédent important illustrant l’impact des conditions attachées aux subventions publiques sur l’autonomie et les valeurs des organisations open source
  • La PSF prévoit de poursuivre ses activités en continuant à renforcer la sécurité de l’écosystème Python tout en favorisant la diversité

À lire aussi

1 commentaires

 
GN⁺ 2025-10-28
Commentaire Hacker News

  • Beaucoup de commentaires affirment que la « DEI nuit à la méritocratie », mais ils comprennent mal la manière dont les initiatives DEI fonctionnent réellement
    Selon un tweet partagé par la responsable diversité de la PyCon 2016, la part de femmes parmi les intervenants est passée de 1 % à 40 %
    Cela a été possible non pas malgré un processus d’évaluation à l’aveugle, mais grâce à une démarche proactive d’outreach pour diversifier le vivier de candidats
    Le monde ne fonctionne pas uniquement sur le mérite pur. Le « sentiment d’appartenance » ou d’« avoir été invité » a un impact majeur sur les résultats
    Le PSF pourrait abandonner ce type d’outreach et se contenter du statu quo, mais j’espère qu’il continuera d’évoluer vers une communauté plus diverse et inclusive

    • Je pense que c’est ainsi que la DEI devrait idéalement fonctionner
      Mais dans la réalité, des politiques DEI centrées sur les indicateurs sont parfois utilisées à mauvais escient, du type « ce trimestre, on ne peut embaucher que des candidats divers »
      L’auteur cite des documents judiciaires montrant que ce type de cas existe réellement
    • Je ne suis pas d’accord avec l’idée que « le monde ne fonctionne pas uniquement au mérite »
      Les systèmes importants finissent par être pilotés par la compétence
    • Un traitement discriminatoire fondé sur des caractéristiques immuables comme la race ou le sexe est illégal
      Aucun raisonnement ne peut changer ce fait
    • Je suis un opposant résolu aux programmes DEI
      Pour moi, la DEI est en soi une forme de discrimination
      J’ai moi-même été privé d’opportunités éducatives à cause de mon sexe, et cela ne peut jamais être justifié
      Je suis également sceptique face à l’idée que des groupes divers produisent toujours de meilleurs résultats

  • Au lycée, je dirigeais une équipe de robotique et menais des actions d’outreach dans la communauté pour favoriser l’équité dans l’éducation STEM
    Mais avec la politique DEI de l’administration actuelle, ce type d’initiative pourrait désormais être exposé à un risque de contentieux
    Il est regrettable que le gouvernement décide arbitrairement « qui est du bon côté »

    • Je me souviens qu’en 2019, Guido avait déclaré qu’il ne mentorait « plus les hommes blancs »
      Ce type d’approche binaire ne fait qu’alimenter les réactions de rejet et les divisions
      Il faut des programmes de soutien axés sur les besoins individuels et le désir de progresser, pas sur le sexe ou l’origine ethnique
      Une université suédoise a atteint ses objectifs de parité dans les disciplines techniques et cherche désormais à corriger les déséquilibres en biologie et en chimie
      J’espère que ce type d’évolution conduira à un véritable courage moral
    • Des programmes comme « girls who code » paraissent discriminatoires jusque dans leur nom
      Pourquoi n’existe-t-il pas davantage d’aides pour les personnes qui ne peuvent pas apprendre à coder à cause de leur situation économique ?
    • Au final, tout cela ressemble à un retour du copinage (cronyism)

  • D’un point de vue juridique, cette clause semble ne pas interdire la DEI en soi, mais seulement les activités DEI qui violeraient le droit fédéral
    En pratique, il est toutefois difficile de faire confiance à l’État, car il a déjà tenté de faire pression sur des organisations liées à la DEI ou de récupérer des financements, même en l’absence de violation de la loi

    • La structure grammaticale de la clause est ambiguë quant à savoir à quoi se rattache exactement « en violation du droit fédéral »
      La ponctuation est mal utilisée, ce qui autorise une lecture selon laquelle le gouvernement chercherait délibérément à interdire toute la DEI
      De fait, l’administration actuelle considère la DEI elle-même comme illégale
    • Le vrai problème, c’est la clause de récupération des fonds (clawback)
      Si 1,5 million de dollars ont déjà été dépensés en recherche et qu’on exige ensuite leur remboursement, cela peut conduire à la ruine financière
      Cette clause risque donc de transformer une subvention en dette
    • L’EO 14151 qualifie la DEI de pratique discriminatoire illégale
      L’expression « discriminatory equity ideology » ressemble à un néologisme destiné à masquer cette contradiction
    • L’administration actuelle considère la DEI comme illégale et annule aussi des subventions de recherche sur des sujets liés à la diversité
    • Le sens peut changer selon l’interprétation du mot « or » dans la phrase

  • Je pense que le refus de ces conditions par le PSF est une décision qui met ses convictions en pratique
    J’aimerais que de grands groupes comme Google, AWS ou Microsoft saisissent l’occasion pour apporter un soutien via des matching funds

    • Mais les grandes entreprises ne soutiendront probablement pas publiquement le PSF à cause de considérations politiques
      Elles ont déjà supprimé leurs programmes DEI afin de préserver leurs relations avec l’administration
    • Si ces entreprises soutiennent des « organisations pro-DEI », leurs contrats publics pourraient être mis en danger
      On comprend donc très bien pourquoi elles préfèrent ne pas contrarier l’administration
    • En réalité, accepter cet argent revient à passer soi-même la corde au cou
      Il y a de fortes chances qu’une récupération des fonds intervienne plus tard
      C’est dommage que des mois de travail de rédaction d’une proposition NSF aient été réduits à néant

  • Cette affaire est un signal d’alarme pour la recherche scientifique dans son ensemble, pas seulement pour le PSF
    Des financements de recherche assortis de conditions politiques nuisent à long terme à tout le monde

    • Les vents politiques peuvent tourner à tout moment
      Une organisation comme le PSF ne peut pas assumer un tel risque politique indéfini
      La politisation du financement de la recherche aux États-Unis est un problème grave
    • Le budget du PSF est d’environ 5 millions de dollars, mais son impact génère des milliers de milliards de valeur industrielle
    • Les anciennes aides centrées sur la DEI imposaient elles aussi des conditions politiques ; ce n’est donc que l’autre extrémité du balancier
    • L’influence politique sur le financement de la recherche scientifique augmentait déjà auparavant
      Les dossiers de demande au DOE comportaient eux aussi des exigences DEI, et j’espère voir diminuer toutes ces formes d’ingérence politique
    • C’est la même chose dans la recherche médicale
      Les chercheurs ont dû modifier leurs propositions en remplaçant « sexe » par « différences », par exemple
      La plupart s’en sortent en se conformant formellement puis en menant leurs travaux comme prévu
      De toute façon, le gouvernement n’a pas les effectifs pour tout surveiller

  • Le conseil d’administration du PSF a indiqué avoir refusé la subvention en raison du risque de récupération des fonds
    J’exprime mon respect et mon soutien au conseil pour cette décision

  • 1,5 million de dollars, c’est très peu au regard de la valeur que PyPI apporte au secteur financier
    Une faible contribution des grandes entreprises pourrait déjà faire une grande différence

    • Le PSF et plusieurs autres organisations open source ont publié une déclaration commune sur la construction d’une infrastructure durable
      Je suis curieux de voir la suite
    • Les « fonds open source » des grandes entreprises ne sont le plus souvent que des gestes symboliques destinés à satisfaire les employés
      Le volume réel d’aide reste minime, et les fonds sont souvent alloués uniquement à des projets qui cochent une checklist DEI
      Sans intérêt économique, les entreprises ne s’intéressent pas au soutien d’intérêt général
      Dans un système où le profit prime sur l’éthique, ce résultat n’a rien de surprenant

  • L’interprétation juridique de la formule « ne pas promouvoir la DEI ou une idéologie d’équité discriminatoire en violation du droit fédéral » est ambiguë
    En pratique, on ne sait pas clairement à quelle partie s’applique « en violation »

    • Du point de vue de la syntaxe, il est naturel de considérer que « en violation du droit fédéral » s’applique à l’ensemble
      Mais comme l’EO 14151 qualifie la DEI elle-même d’illégale, l’intention politique compte davantage que la grammaire
    • Franchement, nous sommes dans une époque où l’interprétation juridique a perdu beaucoup de sens
      Si l’administration le décide, n’importe quelle clause peut être instrumentalisée politiquement
    • Au final, le gouvernement l’interprétera comme cela l’arrange
    • Nous vivons une période où l’intention du pouvoir passe avant l’État de droit
      Si le PSF avait accepté l’argent, il aurait peut-être fallu en verser la moitié à Trump pour être tranquille
    • Tout cela relève d’une stratégie visant à présenter le soutien aux minorités comme une “discrimination inversée”
      Le gouvernement prétend défendre la liberté d’expression tout en renforçant la censure, ce qui est profondément contradictoire

  • L’enjeu, dans la formulation de la clause, est de savoir si « en violation du droit fédéral » s’applique à l’ensemble
    Si c’est le cas, il n’y aurait peut-être pas de problème tant que la DEI elle-même n’est pas jugée illégale
    Mais en pratique, le risque juridique est trop élevé pour rendre cette condition acceptable

    • La clause de récupération des fonds de la NSF est très précise
      En cas de violation du droit fédéral ou de boycott interdit — en particulier en lien avec Israël —, la totalité des fonds peut être récupérée
      Ce serait regrettable si le PSF avait pris sa décision sans conseil juridique
    • S’il s’agissait simplement de promettre « de ne pas violer la loi », il n’y aurait pas besoin de l’écrire explicitement
      Cela se lit donc comme une demande d’adhésion à l’interprétation selon laquelle la DEI constitue une violation de la loi

  • Le blog du PSF détaille à quel projet devait servir la subvention refusée
    Si vous souhaitez soutenir directement le renforcement de la sécurité de l’écosystème Python, vous pouvez consulter la page de dons ou la demande de sponsoring