PSF rút đề xuất 1,5 triệu USD khỏi chương trình trợ cấp của chính phủ Mỹ

 (pyfound.blogspot.com)
1 điểm bởi GN⁺ 2025-10-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Python Software Foundation (PSF) đã rút đề xuất trị giá 1,5 triệu USD đã nộp lên Quỹ Khoa học Quốc gia Mỹ (NSF), vốn nhằm cải thiện các lỗ hổng bảo mật của Python và PyPI
  • Đây là lần đầu PSF nộp đơn vào chương trình ‘SAFE Open Source Ecosystem’ (SAFE OSE) của NSF, nhưng điều kiện chấp nhận trợ cấp có điều khoản hạn chế các hoạt động DEI (đa dạng, công bằng và hòa nhập) đã trở thành vấn đề
  • Điều khoản này áp dụng cho toàn bộ hoạt động của PSF, và nếu vi phạm có thể dẫn tới việc thu hồi (claw back) số tiền đã giải ngân, tạo ra rủi ro tài chính lớn
  • PSF, theo sứ mệnh xác định DEI là giá trị cốt lõi, đã từ chối chấp nhận các điều kiện này và đưa ra quyết định rút lui với sự nhất trí tuyệt đối của hội đồng quản trị
  • Quyết định này gây áp lực lên tài chính của PSF, nhưng được đánh giá là lựa chọn để bảo vệ các giá trị và nguyên tắc cộng đồng

Bối cảnh và mục tiêu của đề xuất

  • Vào tháng 1 năm 2025, PSF đã nộp đề xuất cho chương trình SAFE OSE của NSF với mục tiêu giải quyết các lỗ hổng bảo mật mang tính cấu trúc của Python và PyPI
    • Đây là trường hợp đầu tiên PSF xin trợ cấp từ chính phủ, và là quá trình một đội ngũ nhỏ vừa thực hiện vừa học cách xử lý các thủ tục hành chính phức tạp
    • Việc soạn đề xuất do Seth Larson (nhà phát triển bảo mật) dẫn dắt, với Loren Crary (phó giám đốc điều hành) tham gia với vai trò đồng phụ trách
  • PSF cho rằng đề xuất này phù hợp với mục tiêu của chương trình và nếu được chấp nhận sẽ mang lại lợi ích lớn cho cộng đồng, nên đã đầu tư đáng kể về thời gian và công sức

Đề xuất được chấp thuận và vấn đề phát sinh

  • Sau nhiều tháng thẩm định, đề xuất đã nhận được trạng thái recommended for funding và đây là trường hợp hiếm khi chỉ 36% ứng viên mới thành công ngay ở lần nộp đầu tiên
  • Tuy nhiên, vấn đề phát sinh ở các điều kiện chấp nhận trợ cấp
    • Trong điều kiện có câu: “không vận hành các chương trình thúc đẩy DEI (đa dạng, công bằng và hòa nhập) hoặc hệ tư tưởng bình đẳng mang tính phân biệt đối xử
    • Điều khoản này không chỉ áp dụng cho dự án bảo mật được tài trợ mà còn áp dụng với toàn bộ hoạt động của PSF
    • Nếu vi phạm, NSF có thể thu hồi (claw back) các khoản đã giải ngân, dẫn đến rủi ro tài chính không giới hạn

Giá trị và sứ mệnh của PSF

  • PSF xác định DEI là giá trị cốt lõi, và nêu rõ điều này trong tuyên bố sứ mệnh chính thức
    • Sứ mệnh của PSF được xác định là “thúc đẩy và bảo vệ ngôn ngữ Python, đồng thời hỗ trợ sự phát triển của một cộng đồng đa dạng và mang tính quốc tế
  • PSF đã cố gắng làm rõ cách diễn giải các điều kiện thông qua trao đổi với NSF, đồng thời xem xét các trường hợp như The Carpentries cũng từng gặp tình huống tương tự, nhưng cuối cùng kết luận rằng họ không thể chấp nhận các điều kiện xung đột với giá trị của mình
  • Kết quả là PSF giữ vững lập trường không dừng các hoạt động DEIrút lại đề xuất trợ cấp

Nội dung kỹ thuật của dự án được đề xuất

  • Dự án được đề xuất nhằm phát triển công cụ kiểm duyệt tự động trước khi phát hành để ngăn chặn các cuộc tấn công chuỗi cung ứng trên PyPI
    • Hiện tại PyPI chỉ vận hành cơ chế rà soát sau khi phát hành, nhưng hệ thống được đề xuất sẽ phân tích trước mọi gói được tải lên
    • Hệ thống được thiết kế để phát hiện sớm các mối đe dọa tiềm ẩn bằng cách sử dụng phân tích năng lực (capability analysis) dựa trên bộ dữ liệu mã độc
  • Công nghệ này không chỉ áp dụng cho PyPI mà còn có thể áp dụng cho các kho đăng ký gói nguồn mở khác như NPM, Crates.io, qua đó có tiềm năng tăng cường bảo mật cho toàn bộ hệ sinh thái nguồn mở

Tác động tài chính và các thách thức phía trước

  • PSF vận hành với ngân sách khoảng 5 triệu USD mỗi năm và là một tổ chức nhỏ với 14 nhân viên
    • Khoản 1,5 triệu USD trong 2 năm lẽ ra sẽ là khoản trợ cấp lớn nhất trong lịch sử PSF
  • Tuy nhiên, PSF đã ưu tiên thực hành giá trị và hỗ trợ cộng đồng một cách tự do hơn lợi ích tài chính
    • Hội đồng quản trị đã nhất trí thông qua quyết định rút lui
  • Việc rút lui này khiến PSF đang phải chịu áp lực tài chính trong bối cảnh lạm phát, tài trợ sụt giảm, ngành công nghệ chững lại và bất ổn toàn cầu
    • PSF kêu gọi các thành viên, nhà tài trợ và doanh nghiệp tài trợ tiếp tục hỗ trợ và tăng cường tham gia
    • Cá nhân có thể hỗ trợ sứ mệnh và hoạt động của PSF thông qua đăng ký thành viên, quyên góptham gia tài trợ

Kết luận

  • PSF đã chọn bảo vệ giá trị tổ chức và nguyên tắc cộng đồng thay vì chấp nhận tổn thất tài chính
  • Trường hợp này được xem là tiền lệ quan trọng cho thấy điều kiện trợ cấp của chính phủ có thể ảnh hưởng thế nào đến tính tự chủ và giá trị của các tổ chức nguồn mở
  • PSF dự kiến sẽ tiếp tục hoạt động theo hướng vừa tăng cường bảo mật cho hệ sinh thái Python vừa thúc đẩy sự đa dạng trong thời gian tới

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-28
Ý kiến Hacker News

  • Nhiều bình luận cho rằng “DEI làm tổn hại chế độ trọng dụng nhân tài”, nhưng thực ra họ đang hiểu sai cách hoạt động của các hoạt động DEI
    Theo tweet mà phụ trách đa dạng của PyCon năm 2016 chia sẻ, tỷ lệ diễn giả nữ đã tăng từ 1% lên 40%
    Điều này là nhờ có hoạt động tiếp cận chủ động để đa dạng hóa chính tập ứng viên, dù quy trình xét duyệt được tiến hành theo hình thức ẩn danh
    Thế giới không vận hành chỉ bằng năng lực thuần túy. “Cảm giác thuộc về” hay “cảm giác được mời gọi” có ảnh hưởng rất lớn đến kết quả
    PSF có thể từ bỏ kiểu tiếp cận này và giữ nguyên hiện trạng, nhưng tôi mong cộng đồng sẽ phát triển theo hướng đa dạng và bao trùm hơn

    • Tôi nghĩ đây là hình thức DEI vận hành lý tưởng
      Nhưng ngoài thực tế, các chính sách DEI chạy theo chỉ số kiểu như “quý này chỉ được tuyển ứng viên đa dạng” cũng bị lạm dụng
      Có trích dẫn tài liệu tòa án cho thấy những trường hợp như vậy thực sự tồn tại
    • Tôi không đồng ý với câu “thế giới không vận hành chỉ bằng năng lực”
      Các hệ thống quan trọng rốt cuộc vẫn được vận hành bằng năng lực
    • Đối xử phân biệt dựa trên các đặc tính bất biến như chủng tộc hay giới tính là trái pháp luật
      Không có lời biện hộ logic nào có thể thay đổi sự thật đó
    • Tôi là người phản đối mạnh mẽ các chương trình DEI
      Tôi cho rằng DEI về bản chất là một dạng phân biệt đối xử
      Tôi từng thực sự bị tước mất cơ hội giáo dục vì giới tính của mình, và điều đó tuyệt đối không thể được biện minh
      Tôi cũng hoài nghi trước tuyên bố rằng các nhóm đa dạng lúc nào cũng tạo ra kết quả tốt hơn

  • Khi học trung học, tôi từng điều hành một đội robotics và làm outreach trong cộng đồng địa phương với mục tiêu công bằng trong giáo dục STEM
    Nhưng dưới chính sách DEI của chính quyền hiện tại, những hoạt động như vậy có thể đối mặt với rủi ro bị kiện tụng
    Thật đáng buồn khi chính phủ tùy tiện quyết định “ai mới là phe đúng”

    • Tôi nhớ năm 2019 Guido từng nói rằng “sẽ không còn cố vấn cho đàn ông da trắng nữa”
      Cách tiếp cận nhị nguyên như vậy chỉ càng gây phản ứng ngược và chia rẽ
      Cần có các chương trình hỗ trợ tập trung vào nhu cầu và khát vọng phát triển của từng cá nhân, thay vì giới tính hay chủng tộc
      Một trường đại học ở Thụy Điển đã đạt được mục tiêu bình đẳng giới trong lĩnh vực kỹ thuật, và giờ đang cố cải thiện mất cân bằng trong sinh học và hóa học
      Tôi hy vọng những thay đổi như vậy sẽ dẫn đến dũng khí đạo đức thực sự
    • Những chương trình như “girls who code” ngay từ tên gọi đã nghe có vẻ mang tính phân biệt
      Tôi tự hỏi vì sao không có hỗ trợ cho những người không thể học lập trình vì điều kiện kinh tế
    • Rốt cuộc tình hình này trông giống như sự tái xuất của chủ nghĩa thân hữu (cronyism)

  • Xét về mặt pháp lý, điều khoản lần này có vẻ không cấm bản thân DEI, mà chỉ cấm các hoạt động DEI vi phạm luật liên bang
    Nhưng trên thực tế, chính phủ đã từng có tiền lệ gây sức ép hoặc tìm cách thu hồi vốn với các tổ chức liên quan đến DEI ngay cả khi không có vi phạm pháp luật, nên khó mà tin tưởng được

    • Về mặt ngữ pháp, việc cụm “vi phạm luật liên bang” bổ nghĩa cho phần nào là mơ hồ
      Dấu câu được dùng sai, nên có thể diễn giải rằng chính phủ đang cố tình cấm toàn bộ DEI
      Trên thực tế, chính quyền hiện tại coi bản thân DEI là bất hợp pháp
    • Vấn đề thực sự là điều khoản thu hồi vốn (clawback)
      Nếu đã chi 1,5 triệu USD vào nghiên cứu rồi sau đó bị yêu cầu hoàn trả, tổ chức sẽ rơi vào khủng hoảng tài chính
      Cuối cùng điều khoản này có nguy cơ biến khoản hỗ trợ thành một món nợ chứ không phải tài trợ
    • Sắc lệnh hành pháp EO 14151 quy định DEI là hành vi phân biệt đối xử bất hợp pháp
      Cụm từ “discriminatory equity ideology” có vẻ là một từ ngữ mới nhằm che đậy sự mâu thuẫn đó
    • Chính quyền hiện tại coi DEI là bất hợp pháp, đồng thời cũng đang hủy các khoản tài trợ nghiên cứu về chủ đề đa dạng
    • Tùy cách hiểu từ “or” trong câu mà ý nghĩa có thể thay đổi

  • Tôi cho rằng việc PSF từ chối điều kiện này là một quyết định biến niềm tin thành hành động
    Hy vọng nhân cơ hội này các tập đoàn lớn như Google, AWS, Microsoft có thể hỗ trợ bằng matching fund

    • Nhưng có vẻ các tập đoàn lớn sẽ không công khai ủng hộ PSF vì tính toán chính trị được mất
      Họ đã xóa bỏ các chương trình DEI để duy trì quan hệ với chính quyền rồi
    • Nếu các công ty như vậy hỗ trợ những tổ chức thân DEI thì hợp đồng với chính phủ của họ có thể gặp rủi ro
      Rốt cuộc lý do họ phải nhìn sắc mặt chính quyền là quá rõ ràng
    • Thực ra nhận loại tiền này chẳng khác nào tự choàng thòng lọng vào cổ
      Dù sao sau này khả năng cao vẫn sẽ có thu hồi vốn
      Thật tiếc khi mấy tháng công sức viết đề xuất cho NSF đã đổ sông đổ biển

  • Vụ việc lần này là tín hiệu cảnh báo không chỉ với PSF mà còn với toàn bộ nghiên cứu khoa học
    Tài trợ nghiên cứu kèm điều kiện chính trị về lâu dài sẽ gây hại cho tất cả mọi người

    • Gió chính trị có thể đổi chiều bất cứ lúc nào
      Những tổ chức như PSF không thể gánh kiểu rủi ro chính trị vô thời hạn này
      Việc nguồn tài trợ nghiên cứu ở Mỹ bị chính trị hóa là một vấn đề nghiêm trọng
    • Ngân sách của PSF ở mức khoảng 5 triệu USD, nhưng ảnh hưởng của họ lại tạo ra giá trị ngành công nghiệp ở quy mô hàng nghìn tỷ
    • Các khoản hỗ trợ trước đây thiên về DEI cũng chỉ là đầu bên kia của con lắc vì chúng cũng áp đặt điều kiện chính trị
    • Trước đây, ảnh hưởng chính trị lên tài trợ nghiên cứu khoa học cũng đã ngày càng lớn
      Hồ sơ xin tài trợ của DOE cũng từng có yêu cầu DEI, và tôi hy vọng mọi sự can thiệp chính trị kiểu này đều sẽ giảm đi
    • Trong nghiên cứu y khoa cũng vậy
      Các nhà nghiên cứu phải sửa đề xuất bằng những từ như ‘khác biệt’ thay cho ‘giới tính’
      Hầu hết chỉ phản ứng theo kiểu “chỉnh cho đúng hình thức rồi vẫn làm nghiên cứu như cũ”
      Vì chính phủ cũng không có đủ nhân lực để giám sát từng trường hợp

  • Hội đồng quản trị PSF cho biết họ đã từ chối khoản tài trợ vì rủi ro bị thu hồi vốn
    Tôi gửi sự tôn trọng và ủng hộ đến hội đồng đã đưa ra quyết định này

  • 1,5 triệu USD là quá nhỏ so với giá trị mà PyPI mang lại cho ngành tài chính
    Chỉ cần các doanh nghiệp lớn đóng góp một chút cũng sẽ giúp ích rất nhiều

    • Nhiều tổ chức mã nguồn mở, bao gồm cả PSF, đã công bố tuyên bố chung về xây dựng hạ tầng bền vững
      Tôi tò mò xem mọi việc sẽ diễn biến ra sao
    • “Quỹ mã nguồn mở” của các tập đoàn lớn phần lớn chỉ là cử chỉ mang tính làm hài lòng nhân viên
      Quy mô hỗ trợ thực tế rất nhỏ, và thường chỉ được phân cho các dự án giúp đánh dấu vào checklist DEI
      Nếu không có lợi ích kinh tế, các công ty không quan tâm đến hỗ trợ vì lợi ích công
      Trong một cấu trúc nơi lợi nhuận được đặt cao hơn đạo đức, kết quả như vậy là điều dễ hiểu

  • Cách diễn giải pháp lý của câu “sẽ không thúc đẩy DEI hay hệ tư tưởng bình đẳng mang tính phân biệt đối xử theo cách vi phạm luật liên bang” là mơ hồ
    Trên thực tế không rõ phần nào trong câu mới là đối tượng được gắn với cụm “vi phạm”

    • Xét về cấu trúc câu thì tự nhiên nhất là hiểu rằng “vi phạm luật liên bang” áp dụng cho toàn bộ mệnh đề
      Nhưng vì EO 14151 quy định bản thân DEI là bất hợp pháp nên ý đồ chính sách còn quan trọng hơn ngữ pháp
    • Thành thật mà nói, đây là thời đại mà diễn giải pháp lý trở nên vô nghĩa
      Nếu chính quyền muốn, bất kỳ điều khoản nào cũng có thể bị vũ khí hóa vì mục đích chính trị
    • Cuối cùng nếu chính phủ muốn, họ sẽ diễn giải theo ý mình
    • Đây là thời kỳ mà ý đồ của người nắm quyền được ưu tiên hơn pháp quyền
      Nếu PSF nhận tiền, có lẽ an toàn hơn nếu họ phải dâng một nửa số đó cho Trump
    • Tất cả chuyện này là một chiến lược nhằm đóng dấu hỗ trợ người thiểu số là ‘phân biệt đối xử ngược’
      Một tình huống mâu thuẫn khi chính phủ nói rằng họ bảo vệ tự do ngôn luận nhưng lại siết chặt kiểm duyệt

  • Nhìn vào câu chữ của điều khoản, điểm gây tranh cãi là liệu “vi phạm luật liên bang” có áp dụng cho toàn bộ mệnh đề hay không
    Nếu đúng như vậy thì miễn DEI tự thân không trái luật, có thể sẽ không có vấn đề
    Nhưng trên thực tế rủi ro pháp lý là quá lớn nên khó có thể chấp nhận

    • Điều khoản thu hồi vốn của NSF rất cụ thể
      Nếu có vi phạm luật liên bang hoặc tham gia tẩy chay bị cấm (đặc biệt liên quan đến Israel) thì có thể bị thu hồi toàn bộ
      Nếu PSF ra quyết định mà không có tư vấn pháp lý thì thật đáng tiếc
    • Nếu chỉ đơn thuần là lời hứa “sẽ không vi phạm pháp luật” thì không cần phải ghi rõ như vậy
      Vì thế, câu này được hiểu là yêu cầu phải đồng ý với cách diễn giải rằng DEI là hành vi vi phạm pháp luật

  • Blog của PSF có mô tả chi tiết về dự án mà khoản tài trợ bị từ chối ban đầu dự định dùng cho việc gì
    Nếu muốn trực tiếp tài trợ cho việc tăng cường bảo mật của hệ sinh thái Python, bạn có thể tham khảo trang quyên góp hoặc đơn đăng ký tài trợ