رفضت مؤسسة البرمجيات للغة بايثون، وهي جهة رائدة في مجال أمن المصادر المفتوحة، تمويلاً حكومياً بقيمة 1.5 مليون دولار أمريكي بسبب شروط تتعلق بالتنوع والإنصاف والشمول (DEI). يأتي هذا القرار ليؤثر على جهود البحث في الأمن السيبراني الوطني.
أعلنت مؤسسة البرمجيات للغة بايثون (PSF) عن انسحابها من منحة بحثية مقدمة من المؤسسة الوطنية للعلوم (NSF). كانت المنحة تهدف إلى تعزيز ممارسات الترميز الآمنة والتدقيق في مستودع PyPI، أكبر مستودع شفرات المصدر المفتوح للغة بايثون في العالم.
تأثير قيود التنوع والإنصاف والشمول على أبحاث الأمن السيبراني
أوضحت لورين كراري، النائبة التنفيذية للمدير في مؤسسة البرمجيات للغة بايثون، أن المنظمة شعرت بالفخر في البداية لاختيار مشروعها، الذي كان سيعالج نقاط الضعف الهيكلية في لغة بايثون ومنصة PyPI. وتُستخدم كلتاهما على نطاق واسع من قبل مطوري البرمجيات.
ومع ذلك، أشارت كراري إلى أن المؤسسة لم تتمكن من الموافقة على صياغة العقد المتعلقة بالتنوع والإنصاف والشمول. فقد تجاوزت هذه الشروط نطاق العمل المحدد الذي سيتم تنفيذه لصالح الحكومة، بل فرضت قيوداً شاملة على أنشطة المنظمة.
وفقاً لوصف كراري، تضمنت شروط العقد تأكيداً على أن المؤسسة “لا تقوم، ولن تقوم خلال مدة منحة المساعدة المالية هذه، بتشغيل أي برامج تعزز أو تشجع على مبادئ التنوع والإنصاف والشمول، أو أيديولوجيات إنصاف تمييزية تنتهك القوانين الفيدرالية المناهضة للتمييز.” وأوضحت أن هذا القيد كان سيطبق ليس فقط على العمل الأمني الممول مباشرة من المنحة، بل على كافة أنشطة المؤسسة.
وأضافت كراري أن العقد تضمن أيضاً بنداً يسمح للحكومة باستعادة الأموال التي تم تحويلها والموافقة عليها مسبقاً. وهذا البند، المعروف بـ “clawback provision”، قد يخلق وضعاً تضطر فيه المؤسسة إلى إعادة أموال تم إنفاقها بالفعل، ما يمثل مخاطرة مالية كبيرة وغير محددة.
أهداف المنحة البحثية وأهمية برمجيات المصدر المفتوح
هدفت المنحة البحثية (NSF-24-608) بشكل أساسي إلى تمويل مشاريع تركز على “سلامة وأمن وخصوصية منظومات المصدر المفتوح”. وكان غرضها المعلن هو “تحفيز تحسينات ملموسة في سلامة وأمن وخصوصية منظومات المصدر المفتوح المستهدفة التي لا تمتلك حالياً الموارد اللازمة لتنفيذها”.
تنص صفحة المنحة على أن الأموال المخصصة “يجب أن توجه نحو الجهود الرامية لتعزيز خصائص السلامة والأمن والخصوصية للمنتج مفتوح المصدر وسلسلة توريده، بالإضافة إلى تعزيز قدرات المنظومة في إدارة المخاطر والهجمات والاختراقات والاستجابات الحالية والمستقبلية.”
على الرغم من أن مؤسسة البرمجيات للغة بايثون بدت مستعدة مبدئياً للالتزام بمتطلبات الإدارة المناهضة لمبادئ التنوع والإنصاف والشمول المتعلقة بعمل المنحة، إلا أن كراري أشارت إلى أن المنظمة لم تكن مستعدة لتوسيع هذا الحظر ليشمل أعمالها الأوسع. وأكدت على التزام المؤسسة الدائم بتعزيز التنوع والإنصاف في هذا المجال.
في الواقع، تنص بيان مهمة المجموعة على “تعزيز وحماية وتطوير لغة البرمجة بايثون، ودعم وتسهيل نمو مجتمع متنوع ودولي من مبرمجي بايثون.”
بميزانية سنوية تبلغ 5 ملايين دولار، كانت المنحة البالغة 1.5 مليون دولار على مدى عامين ستكون “بكل سهولة” أكبر منحة تلقتها المنظمة على الإطلاق. لكن كراري اعتبرت أن الموافقة على صياغة العقد الحكومية ستكون “خيانة” لتلك المبادئ.
عبرت كراري عن خيبة أمل المنظمة لوضعها في هذا الموقف لاتخاذ هذا القرار، مؤكدةً أن المشروع المقترح كان سيقدم تطورات لا تقدر بثمن لمجتمع بايثون والمجتمع الأوسع للمصدر المفتوح، وحماية ملايين مستخدمي PyPI من محاولات هجمات سلسلة التوريد.
كان اقتراح مؤسسة البرمجيات للغة بايثون سيتضمن تطوير أدوات آلية لمراجعة حزم التعليمات البرمجية التي يتم تحميلها إلى PyPI، مما يحل محل عملية المراجعة الحالية التي وصفتها كراري بأنها “تفاعلية”.
وأوضحت كراري أن هذه الأدوات المبتكرة ستعتمد على تحليل القدرات، المصممة بناءً على مجموعة بيانات للبرمجيات الخبيثة المعروفة. وأضافت أن مخرجات هذا العمل، إلى جانب حماية مستخدمي PyPI، يمكن نقلها لتشمل جميع سجلات برامج المصدر المفتوح، مثل NPM و Crates.io، مما يحسن الأمان عبر منظومات المصدر المفتوح المتعددة.
عند التواصل مع المؤسسة الوطنية للعلوم للحصول على تعليق، تم تلقي رد آلي يفيد بأنه “بسبب وجود فجوة في التمويل الحكومي، فإن معظم موظفي المؤسسة الوطنية للعلوم لن يتلقوا رسائل البريد الإلكتروني ولن يستجيبوا لها حتى إشعار آخر.”