La PSF avait soumis un projet destiné à améliorer la sécurité de l’écosystème Python — notamment du dépôt de paquets PyPI — dans le but de mieux prévenir les attaques sur la chaîne d’approvisionnement. Selon un article publié par LWN.net, le montant envisagé atteignait 1,5 million $ et il était destiné à « address structural vulnerabilities in Python and PyPI ». Cependant, la proposition de financement comportait une clause selon laquelle la PSF ne devait pas poursuivre certains programmes de DEI (« diversity, equity, inclusion »). Trouvant que cette condition était contraire à sa mission, l’organisation a choisi de retirer sa proposition plutôt que d’accepter les modalités.Contexte
Le projet visait à passer d’un mode réactif de revue des paquets PyPI à un mode proactif, en automatisant la vérification de tous les paquets uploadés dans le dépôt, plutôt que d’attendre qu’un incident survienne.
Cette approche répond à une problématique bien réelle : dans un langage très répandu comme Python, avec des milliers de paquets tiers, les vulnérabilités de chaîne d’approvisionnement (supply-chain) représentent un risque majeur pour les entreprises, les infrastructures critiques et les développeurs individuels. En abandonnant ce financement, la PSF renonce donc potentiellement à un soutien significatif pour améliorer cette sécurité.
Du projet de financement à la rupture entre la Python Foundation et la NSF
L’origine du projet : sécuriser l’écosystème Python
Depuis plusieurs années, la PSF cherche à renforcer la sécurité de PyPI, le dépôt officiel des paquets Python. Avec plus de 500 000 packages et des milliards de téléchargements mensuels, PyPI est devenu une cible privilégiée pour les attaques de type supply-chain (insertion de code malveillant dans des dépendances).
La PSF élabore donc un projet ambitieux : automatiser la vérification des paquets, détecter les anomalies avant publication et réduire la dépendance à la surveillance manuelle. Pour financer cette modernisation, la fondation répond à un appel à projets de la National Science Foundation (NSF) américaine, une agence publique réputée pour soutenir des initiatives scientifiques et technologiques à fort impact.
La proposition de financement : 1,5 million $ pour PyPI
Au printemps 2025, la PSF soumet à la NSF une proposition budgétée à 1,5 million de dollars, centrée sur la résilience de PyPI et la sécurité de la chaîne logicielle Python.
Les premières discussions sont positives : le projet est techniquement solide, aligné avec les priorités fédérales en matière de cybersécurité. Des ingénieurs de la PSF et des mainteneurs de PyPI commencent même à planifier les premières étapes du programme, en imaginant des outils d’analyse automatisée et des audits continus.
Mais un détail administratif attire bientôt l’attention : le contrat de financement contient une clause limitant les activités de diversité, équité et inclusion (DEI) au sein de l’organisation bénéficiaire.
La découverte de la clause anti-DEI
La clause stipule que les fonds ne peuvent pas être utilisés ou mélangés avec des programmes promouvant la diversité, l’équité ou l’inclusion, et qu’aucune action institutionnelle ne doit « explicitement soutenir ou favoriser » ce type de programme. Autrement dit, accepter la subvention reviendrait pour la PSF à renoncer à une partie de ses activités DEI, ou à isoler strictement celles-ci des projets financés par la NSF.
Or, la diversité fait partie intégrante de la mission de la fondation, inscrite dans ses statuts : favoriser un écosystème ouvert à tous, indépendamment du genre, de la culture ou du niveau d’expertise.
Envoyé par NSF
En acceptant cette aide financière, les bénéficiaires certifient :
(i) qu'ils ne mènent pas et ne mèneront pas, pendant la durée de cette aide financière, de programmes visant à promouvoir la diversité, l'équité et l'inclusion (DEI) ou une idéologie discriminatoire en matière d'équité, en violation des lois fédérales anti-discrimination ; et
(ii) qu'ils ne participent pas et ne participeront pas, pendant la durée de cette aide, à un boycott discriminatoire interdit.
(3) La NSF se réserve le droit de mettre fin aux aides financières et de récupérer tous les fonds si les bénéficiaires, pendant la durée de cette aide, gèrent un programme en violation des lois fédérales anti-discrimination ou se livrent à un boycott interdit.
(i) qu'ils ne mènent pas et ne mèneront pas, pendant la durée de cette aide financière, de programmes visant à promouvoir la diversité, l'équité et l'inclusion (DEI) ou une idéologie discriminatoire en matière d'équité, en violation des lois fédérales anti-discrimination ; et
(ii) qu'ils ne participent pas et ne participeront pas, pendant la durée de cette aide, à un boycott discriminatoire interdit.
(3) La NSF se réserve le droit de mettre fin aux aides financières et de récupérer tous les fonds si les bénéficiaires, pendant la durée de cette aide, gèrent un programme en violation des lois fédérales anti-discrimination ou se livrent à un boycott interdit.
À partir de là, le conseil d’administration de la PSF se réunit à plusieurs reprises pour évaluer les implications.
Certains membres plaident pour une approche pragmatique : accepter le financement tout en garantissant que les activités DEI continuent via d’autres ressources. D’autres estiment qu’un tel compromis enverrait un message contradictoire à la communauté.
Des discussions sont également engagées avec la NSF pour tenter d’obtenir une clarification ou une levée partielle de la restriction. Les échanges restent cordiaux, mais la clause n’est pas modifiée.
Le retrait officiel de la proposition
En octobre 2025, la PSF publie une déclaration officielle : elle retire sa proposition de financement. Dans son communiqué, la fondation déclare être « profondément déçue » mais fidèle à ses principes. Elle précise que la décision n’est pas dirigée contre la NSF, mais qu’elle refuse toute condition « incompatible avec les valeurs d’ouverture et de diversité qui définissent la communauté Python ».
Pourquoi la PSF a-t-elle rejeté la subvention ?
Au cœur...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
