PSF, ABD hükümetinin hibe programındaki 1,5 milyon dolarlık teklifini geri çekti

 (pyfound.blogspot.com)
1 puan yazan GN⁺ 2025-10-28 | 1 yorum | WhatsApp'ta paylaş
  • Python Software Foundation (PSF), Python ve PyPI'daki güvenlik açıklarını iyileştirmeyi hedefleyen ve ABD Ulusal Bilim Vakfı'na (NSF) sunduğu 1,5 milyon dolarlık teklifi geri çekti
  • PSF, ilk kez NSF'nin 'Açık kaynak ekosisteminin emniyet, güvenlik ve gizliliği (SAFE OSE)' programına başvurdu, ancak hibenin kabul koşulları arasındaki DEI (çeşitlilik, eşitlik ve kapsayıcılık) faaliyetlerini sınırlayan madde sorun yarattı
  • Söz konusu madde PSF'nin yalnızca proje kapsamına değil, kurumun tüm faaliyetlerine uygulanıyordu; ihlal durumunda daha önce ödenmiş fonların geri alınabilmesi (claw back) nedeniyle mali risk büyüktü
  • PSF, misyonunda DEI'yi temel değer olarak tanımladığı için bu koşulu kabul etmeyi reddetti ve yönetim kurulu oybirliğiyle geri çekme kararı aldı
  • Bu karar PSF'nin mali durumuna yük getirse de, değerleri ve topluluk ilkelerini koruyan bir tercih olarak değerlendiriliyor

Teklifin sunulma arka planı ve hedefi

  • Ocak 2025'te PSF, NSF'nin SAFE OSE programına bir teklif sundu ve Python ile PyPI'daki yapısal güvenlik açıklarını gidermeyi hedefledi
    • Bu, PSF'nin ilk kez bir devlet hibesine başvurması anlamına geliyordu; küçük bir ekip karmaşık idari süreci öğrenerek bu başvuruyu yürüttü
    • Teklif yazımına Seth Larson (güvenlik geliştiricisi) liderlik etti, Loren Crary (yardımcı icra direktörü) ise ortak sorumlu olarak yer aldı
  • PSF, teklifin programın amacına uygun olduğuna ve kabul edilmesi halinde topluluğa büyük fayda sağlayacağına inandığı için buna ciddi zaman ve emek harcadı

Teklifin onaylanması ve sorunun ortaya çıkması

  • Aylar süren değerlendirme sonunda teklif fonlama için tavsiye edilenler (recommended for funding) arasına girdi; bu, yeni başvuranlar arasında ilk denemede yalnızca %36'sının başardığı nadir bir durumdu
  • Ancak hibenin kabul koşullarında sorun ortaya çıktı
    • Koşullar arasında, "DEI (çeşitlilik, eşitlik ve kapsayıcılık) ya da ayrımcı eşitlik ideolojisini teşvik eden programlar yürütülmeyecektir" ifadesi yer alıyordu
    • Bu madde, hibe ile yürütülecek güvenlik projesiyle sınırlı kalmayıp PSF'nin tüm faaliyetlerine uygulanıyordu
    • İhlal halinde NSF'nin önceden ödenmiş fonları geri alabilmesi (claw back), sınırsız mali risk yaratabilirdi

PSF'nin değerleri ve misyonu

  • PSF, DEI'yi temel değer olarak açıkça tanımlıyor ve bunu resmi misyon bildiriminde net biçimde ifade ediyor
    • PSF'nin misyonu, "Python dilini geliştirmek ve korumak, ayrıca çeşitli ve uluslararası bir topluluğun büyümesini desteklemek" olarak tanımlanıyor
  • PSF, koşulların yorumunu netleştirmek için NSF ile görüştü ve benzer bir durum yaşayan The Carpentries gibi örnekleri inceledi; ancak değerleriyle çelişen koşulları kabul edemeyeceği sonucuna vardı
  • Sonuç olarak PSF, DEI faaliyetlerini durdurmayacağı yönündeki tutumunu koruyarak hibe teklifini geri çekti

Önerilen projenin teknik içeriği

  • Önerilen proje, PyPI'da tedarik zinciri saldırılarını önlemek için otomatik ön inceleme araçları geliştirmeyi hedefliyordu
    • PyPI şu anda yalnızca olay sonrasında yapılan inceleme sistemi kullanıyor; önerilen sistem ise yüklenen tüm paketleri önceden analiz edecek şekilde tasarlandı
    • Kötü amaçlı yazılım veri kümesine dayalı yetenek analizi (capability analysis) kullanılarak potansiyel tehditlerin erken tespit edilmesi planlanıyordu
  • Bu teknoloji yalnızca PyPI için değil, NPM, Crates.io gibi diğer açık kaynak paket kayıtlarında da uygulanabilir nitelikte olduğundan, açık kaynak ekosisteminin genel güvenliğini güçlendirme potansiyeline sahipti

Mali etki ve bundan sonraki görevler

  • PSF, yıllık yaklaşık 5 milyon dolarlık bütçeyle faaliyet gösteren ve 14 çalışanı bulunan küçük bir kuruluş
    • İki yıla yayılacak 1,5 milyon dolar, PSF tarihindeki en büyük hibe olacaktı
  • Ancak PSF, mali kazançtan çok değerlerini hayata geçirmeyi ve topluluğu özgürce desteklemeyi önceliklendirdi
    • Yönetim kurulu geri çekme kararını oybirliğiyle onayladı
  • Bu geri çekme kararı, PSF'nin enflasyon, azalan sponsorluklar, teknoloji sektöründeki yavaşlama ve küresel belirsizlik ile birlikte mali baskı yaşamasına yol açıyor
    • PSF, üyelerden, bağışçılardan ve kurumsal sponsorlardan sürekli destek ve daha fazla katılım talep ediyor
    • Bireyler üye olarak, bağış yaparak ve sponsorluklara katılarak PSF'nin misyonunu ve çalışmalarını destekleyebilir

Sonuç

  • PSF, mali kayıptan ziyade kurumsal değerlerini ve topluluk ilkelerini korumayı seçti
  • Bu olay, devlet hibesi koşullarının açık kaynak kuruluşlarının özerkliği ve değerleri üzerindeki etkisini gösteren önemli bir emsal olarak değerlendiriliyor
  • PSF, bundan sonra da Python ekosisteminin güvenliğini güçlendirme ve çeşitliliği artırma yönündeki çalışmalarını birlikte sürdürmeyi planlıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-28
Hacker News yorumu

  • Birçok yorumda “DEI liyakati bozar” deniyor, ancak gerçekte DEI faaliyetlerinin nasıl işlediği yanlış anlaşılıyor
    2016 PyCon’da çeşitlilik sorumlusu tarafından paylaşılan tweet’e göre, kadın konuşmacı oranı %1’den %40’a çıktı
    Bunun nedeni, değerlendirme süreci körlemesine yürütülse bile, aday havuzunun kendisini çeşitlendiren aktif outreach çalışmaları yapılmış olmasıydı
    Dünya yalnızca saf yetenekle işlemiyor. “Ait olma hissi” ya da “davet edilmiş olma duygusu” sonuçları büyük ölçüde etkiliyor
    PSF bu outreach çalışmalarından vazgeçip mevcut durumu koruyabilir, ama ben daha çeşitli ve kapsayıcı bir topluluk haline gelmesini isterim

    • Bunun DEI’nin ideal olarak işlediği biçim olduğunu düşünüyorum
      Ama pratikte “bu çeyrekte yalnızca çeşitli adaylar işe alınabilir” gibi metrik odaklı DEI politikaları da kötüye kullanılabiliyor
      Gerçekten böyle örnekler bulunduğunu gösteren mahkeme belgesine atıf yapılıyor
    • “Dünya yalnızca liyakatle işlemiyor” sözüne katılmıyorum
      Önemli sistemler eninde sonunda liyakatla yürür
    • Irk ya da cinsiyet gibi değiştirilemez özelliklere göre farklı muamele göstermek hukuken yasa dışıdır
      Hiçbir mantıksal gerekçe bu gerçeği değiştiremez
    • DEI programlarının güçlü bir karşıtıyım
      DEI’nin özünde bir ayrımcılık biçimi olduğunu düşünüyorum
      Gerçekten de cinsiyetim yüzünden eğitim fırsatlarından mahrum bırakıldım ve bunun hiçbir şekilde meşrulaştırılamayacağını düşünüyorum
      Ayrıca farklı grupların her zaman daha iyi sonuç verdiği iddiasına da kuşkuyla bakıyorum

  • Lisede robotik takımını yönetirken STEM eğitiminde eşitlik hedefiyle topluma outreach çalışmaları yapmıştım
    Ancak mevcut yönetimin DEI politikaları altında bu tür faaliyetler dava riski ile karşı karşıya kalabilir
    Hükümetin keyfi biçimde “kimin doğru tarafta” olduğuna karar vermesi üzücü

    • Guido’nun 2019’da “artık beyaz erkeklere mentorluk yapmayacağım” dediğini hatırlıyorum
      Bu tür ikili yaklaşım tersine tepki ve bölünme yaratıyor
      Cinsiyet ya da ırk yerine bireyin ihtiyaçları ve gelişme isteği üzerine odaklanan destek programlarına ihtiyaç var
      İsveç’te bir üniversite teknoloji alanında cinsiyet eşitliği hedefine ulaştıktan sonra şimdi biyoloji ve kimya alanlarındaki dengesizliği düzeltmeye çalışıyor
      Umarım bu değişim gerçek bir ahlaki cesarete dönüşür
    • “girls who code” gibi programlar daha isminden itibaren ayrımcı geliyor
      Ekonomik koşullar yüzünden kodlama öğrenemeyen kişiler için neden benzer destekler olmadığını merak ediyorum
    • Sonuçta bu durum kayyırmacılığın (cronyism) geri dönüşü gibi görünüyor

  • Hukuki açıdan bakınca bu madde DEI’nin kendisini yasaklamaktan çok, yalnızca federal yasayı ihlal eden DEI faaliyetlerini yasaklıyor gibi görünüyor
    Ancak pratikte hükümetin, yasa ihlali olmayan durumlarda bile, DEI ile ilgili kuruluşlara baskı yapmaya veya fonları geri çekmeye çalıştığı örnekler olduğu için buna güvenmek zor

    • Maddenin dilbilgisel yapısı gereği “federal yasa ihlali” ifadesinin tam olarak nereye bağlandığı belirsiz
      Noktalama işaretleri yanlış kullanıldığı için, hükümetin kasıtlı olarak DEI’nin tamamını yasaklamak istediği yönünde bir yorum mümkün
      Nitekim mevcut yönetim DEI’nin kendisini yasa dışı sayıyor
    • Asıl sorun fon geri alma (clawback) maddesi
      1,5 milyon dolar araştırmaya harcanmışken sonradan bunun iadesi istenirse mali yıkım yaşanır
      Sonuçta bu madde hibe değil, borç haline gelme riski taşıyor
    • EO 14151 başkanlık kararnamesi DEI’yi yasa dışı ayrımcı uygulama olarak tanımlıyor
      “discriminatory equity ideology” ifadesi, bu çelişkiyi gizlemek için üretilmiş bir yeni terim gibi görünüyor
    • Mevcut yönetim DEI’yi yasa dışı sayıyor ve çeşitlilikle ilgili konulardaki araştırma hibelerini de iptal ediyor
    • Cümledeki “or” ifadesinin nasıl yorumlandığına göre anlam değişebilir

  • PSF’nin bu koşulları reddetmesi, bence inancı eyleme dönüştüren bir karar
    Umarım bu fırsatla Google, AWS ve Microsoft gibi büyük şirketler eşleme fonu ile destek verir

    • Ancak büyük şirketler, siyasi hesaplar nedeniyle PSF’yi kamuoyu önünde desteklemeyecektir diye düşünüyorum
      Zira yönetimle ilişkilerini korumak için DEI programlarını zaten kaldırdılar
    • Bu şirketler “DEI yanlısı kuruluşları” desteklerse kamu sözleşmeleri risk altına girebilir
      Sonuçta neden yönetime göre pozisyon aldıkları açık
    • Aslında böyle bir fonu kabul etmek kendi boynuna ilmik geçirmek gibi
      Nasıl olsa ileride fonun geri alınması ihtimali yüksek
      Aylar süren NSF teklif yazımı emeğinin boşa gitmiş olması üzücü

  • Bu olay yalnızca PSF için değil, bilimsel araştırmanın geneli için bir tehlike işareti
    Siyasi koşullara bağlanan araştırma desteği uzun vadede herkese zarar verir

    • Siyasi rüzgarlar her an değişebilir
      PSF gibi kuruluşlar böyle süresiz siyasi riskleri üstlenemez
      ABD’de araştırma fonlarının siyasallaşması ciddi bir sorun
    • PSF’nin bütçesi yaklaşık 5 milyon dolar, ama etkisi trilyonlarca dolarlık sektör değeri yaratıyor
    • Önceki DEI odaklı fonlar da siyasi koşullar dayattığı için bu sadece sarkacın öteki ucu
    • Geçmişte de bilimsel araştırma desteği üzerinde siyasi etki giderek artmıştı
      DOE başvurularında da DEI şartları vardı; umarım bu tür siyasi müdahalelerin tümü azalır
    • Tıp araştırmalarında da durum aynı
      Araştırmacılar tekliflerini ‘cinsiyet’ yerine ‘fark’ gibi sözcüklerle değiştirmek zorunda kaldı
      Çoğu kişi buna “biçimsel olarak uyup gerçekte araştırmayı eskisi gibi sürdürme” yoluyla karşılık veriyor
      Çünkü hükümetin her şeyi tek tek denetleyecek insan kaynağı da yok

  • PSF yönetim kurulu, fon geri alma riski nedeniyle hibeyi reddettiğini açıkladı
    Bu kararı alan yönetim kuruluna saygı ve destek duyuyorum

  • 1,5 milyon dolar, PyPI’nin finans sektörüne sağladığı değer düşünülünce fazlasıyla küçük bir miktar
    Büyük şirketler biraz katkı yapsa bile büyük fark yaratır

    • PSF’nin de aralarında bulunduğu çeşitli açık kaynak kuruluşları, sürdürülebilir altyapı oluşturulması için bir ortak bildiri yayımladı
      Sonraki gelişmeler merak konusu
    • Büyük şirketlerin “açık kaynak fonları” çoğu zaman yalnızca çalışan memnuniyetine yönelik bir jestten ibaret
      Gerçek destek miktarı çok küçük ve çoğu zaman yalnızca DEI kontrol listelerini dolduran projelere ayrılıyor
      Şirketler ekonomik çıkar yoksa kamusal fayda için destekle ilgilenmiyor
      Etiğin değil kârın öncelikli olduğu bir düzende bu sonuç şaşırtıcı değil

  • “DEI’yi ya da ayrımcı eşitlik ideolojisini federal yasayı ihlal edecek şekilde ilerletmeyeceğiz” ifadesinin hukuki yorumu belirsiz
    Pratikte “ihlal”in tam olarak hangi kısma bağlandığı açık değil

    • Cümle yapısı bakımından “federal yasayı ihlal” ifadesinin tamamına uygulandığını düşünmek daha doğal
      Ancak EO 14151, DEI’nin kendisini yasa dışı ilan ettiği için dilbilgisinden çok politika niyeti önem taşıyor
    • Açıkçası artık hukuki yorumun anlamsızlaştığı bir dönemdeyiz
      Yönetim isterse her türlü hükmü siyasi silaha dönüştürebilir
    • Sonuçta hükümet isterse kendi işine geldiği gibi yorumlayacaktır
    • Şu an hukuk devletinden çok iktidar sahibinin niyeti öne çıkıyor
      PSF bu parayı kabul etseydi, belki de güvende olmak için yarısını Trump’a haraç gibi vermesi gerekirdi
    • Bütün bunlar azınlıklara yönelik desteği ‘ters ayrımcılık’ diye damgalama stratejisinin parçası
      Hükümet ifade özgürlüğünü koruduğunu söylerken fiilen sansürü güçlendiren çelişkili bir tablo ortaya çıkıyor

  • Maddenin ifadesine bakıldığında, “federal yasayı ihlal” bölümünün tamamına uygulanıp uygulanmadığı asıl tartışma konusu
    Eğer öyleyse, DEI’nin kendisi hukuka aykırı değilse sorun olmayabilir
    Ancak pratikte hukuki risk kabul edilemeyecek kadar büyük

    • NSF’nin fon geri alma maddesi son derece açık
      Federal yasa ihlali ya da yasaklı boykotlar (özellikle İsrail ile ilgili olanlar) durumunda fonun tamamı geri alınabiliyor
      PSF bu kararı hukuki danışmanlık almadan verdiyse bu üzücü olurdu
    • Eğer mesele yalnızca “yasayı ihlal etmeyeceğiz” taahhüdüyse, bunu ayrıca yazmaya gerek olmazdı
      Bu yüzden metin, DEI’nin yasa ihlali sayıldığı yorumunu kabul etme talebi gibi okunuyor

  • Reddedilen hibenin aslında hangi projede kullanılmasının planlandığı PSF blogunda ayrıntılı biçimde anlatılıyor
    Python ekosisteminin güvenliğini güçlendirmeyi doğrudan desteklemek istiyorsanız bağış sayfasına ya da sponsor başvurusuna bakabilirsiniz