Python Software Foundation(PSF)は2025年10月27日、米国立科学財団(NSF)のオープンソース・エコシステムの安全・セキュリティ・プライバシー計画で内定していた150万ドル(約2億2,000万円)の助成金を辞退したと発表しました。
背景には、助成受領の条件として提示された多様性・公平性・包摂(DEI)を「推進しない」ことを誓約させる条項があり、PSFの使命・価値観と相容れないうえ、違反時の資金返還(クローバック)が組織全体に及ぶ無限定の財務リスクを生む点が決定打となりました。
目次
申請から内定まで:PyPIの構造的脆弱性に挑む計画
PSFは2025年1月、NSFの「Safety, Security, and Privacy of Open Source Ecosystems」プログラムに初めて応募。Seth Larson氏(PSF Security Developer in Residence)が主任研究者(PI)、Loren Crary氏(PSF副専務理事)が副PIとして、Python本体とPython Package Index(PyPI)の構造的脆弱性に対処する提案を取りまとめました。
複数ラウンドの審査を経て助成は内定(初回応募での採択率は36%)し、コミュニティに大きな恩恵をもたらす計画として期待されていました。
条件条項の問題:DEI不推進の誓約とクローバック
内定後に提示された条件には、「助成期間中、連邦の反差別法に反する形でDEIや『差別的な平等イデオロギー』を推進しない」との文言が含まれていました。
しかもこの制約は助成対象の個別プロジェクトにとどまらず、PSF全体の活動に及ぶ内容で、違反時には既に受領・執行した資金についても返還請求(クローバック)が可能とされ、オープンエンドな財務リスクが生じます。
PSFは、「多様で国際的なPythonコミュニティの成長を支援する」という使命に照らし、条項の解釈や代替案を含めて関係先と協議したものの、価値観の根幹を損なう妥協はできないとして、理事会の全会一致で辞退を決定しました。
失われたセキュリティ強化
辞退によって、当初計画していたPyPIへの「事前・自動」審査の導入は白紙に戻りました。構想は、既知マルウェアの能力分析に基づく自動的なプロアクティブ審査でアップロード全件をチェックし、これまで中心だった事後的・反応的レビューを補完するもの。
成果はnpmやCrates.ioなど他のOSSレジストリにも展開可能とされ、サプライチェーン攻撃対策の底上げが期待されていました。
財務への影響とコミュニティへの呼びかけ
PSFは年次予算約500万ドル/スタッフ14名という小規模体制で運営しており、150万ドル(2年間)は過去最大級の助成でした。インフレやスポンサー縮小、業界全体の逆風も重なるなか、PSFは会員・寄付・企業スポンサーによる支援を広く呼びかけています。
資金的メリットよりもコミュニティの価値観を優先した決断である一方、組織の持続性には外部支援が不可欠です。
セキュリティ的な注意点
本件は政治・価値観に起因する資金調達の問題ですが、PyPIの予防的審査が見送られた影響として、パッケージ・サプライチェーンのリスク低減は引き続き利用者側の実装・運用に依存します。開発者・組織は次の基本策を徹底してください。
-
依存関係の固定・検証:ロックファイル活用、
pipのハッシュ検証(–require-hashes)、信頼できる内部ミラーでの配布。 -
最小権限と分離:仮想環境(venv/virtualenv)やコンテナでの環境分離、CI/CDの最小トークン権限、署名済み成果物のみを取り込む運用。
-
メンテナ不在・乗っ取り対策:依存パッケージのメンテ状況・リリース頻度・メタデータ変化を監視し、急な所有者変更や名称類似(タイポスクワッティング)に警戒。
-
開発者アカウントの保護:PyPI・VCS・CIなど二要素認証(フィッシング耐性方式推奨)を強制。秘密情報は専用の秘匿保管を使用。
-
ビルド安全性:ビルドフックや動的依存解決を最小化し、サプライチェーンの実行時スクリプト(setupスクリプト等)に注意。
-
監査と検知:SBOMや依存分析ツールで既知脆弱性・マルウェア検知を定期実行。挙動監視で不審なネットワーク/ファイル操作を検出。








