デレク・B・ジョンソン著
トランプ政権による多様性、公平性、包括性(DEI)プログラムの排除への熱意が、国家のサイバーセキュリティ研究にも影響を及ぼしている。主要なオープンソースセキュリティ財団が、連邦助成金の受け取りを拒否すると発表した。
安全でセキュアなPythonコーディングの実践を推進し、世界最大のPythonオープンソースコードリポジトリであるPyPIの運営にも関わるPython Software Foundation(PSF)は、水曜日、米国国立科学財団(NSF)からの150万ドルの研究助成金を辞退することを明らかにした。
PSFの副事務局長であるローレン・クラリー氏は、当初、自身の組織のプロジェクトが選ばれたことを光栄に思ったと述べた。このプロジェクトは、PythonおよびPyPIにおける構造的な脆弱性に対処するもので、どちらも現在ソフトウェア開発者によって広く使用されている。
しかし、彼女は、組織として多様性、公平性、包括性に関する契約文言には同意できなかったと述べた。その内容は、政府のために実施される具体的な業務をはるかに超えるものだったという。
「これらの[契約]条件には、『当財団は、また本助成金の期間中も、DEIや連邦反差別法に違反する差別的な公平性イデオロギーを推進・促進するいかなるプログラムも運営していないし、今後も運営しない』という声明に同意することが含まれていました」とクラリー氏は月曜日、財団のウェブサイトに記した。「この制限は、助成金で直接資金提供されるセキュリティ業務だけでなく、PSF全体のあらゆる活動に適用されます。」
クラリー氏はさらに、契約には「クローバック」条項も含まれており、政府が既に承認・送金された資金を取り戻すことができると付け加えた。
「これは、すでに使った資金が取り戻される可能性があるという状況を生み出し、非常に大きく、かつ終わりの見えない財政的リスクとなります」と彼女は記した。
問題となっているNSF助成金(NSF-24-608)の主な目的は、「オープンソースエコシステムの安全性、セキュリティ、プライバシー」に焦点を当てたプロジェクトへの資金提供である。その明記された目標は、「対象となる[オープンソースエコシステム]が現在実施するリソースを持たない安全性、セキュリティ、プライバシーにおける意義ある改善を促進すること」だ。
このプログラムからの資金は、「オープンソース製品およびそのサプライチェーンの安全性、セキュリティ、プライバシー特性を強化する取り組み、ならびに現在および将来のリスク、攻撃、侵害、対応を管理するためのエコシステムの能力を強化する取り組みに充てられるべきである」と、助成金のNSFページには記されている。
PSFは助成金業務に関して政権の反DEI要件を受け入れる姿勢を見せていたが、クラリー氏は、組織全体の活動にまでその禁止を拡大することには同意できないと示唆し、PSFが常にこの分野で多様性と公平性の促進に尽力してきたことを指摘した。
実際、同団体のミッションステートメントは「Pythonプログラミング言語の推進、保護、発展、そして多様で国際的なPythonプログラマーコミュニティの成長を支援・促進すること」である。
年間予算が500万ドルの同団体にとって、2年間で150万ドルの資金注入は「間違いなく」これまでで最大の助成金となるはずだった。しかしクラリー氏は、政府の契約文言に同意することは、これらの原則への「裏切り」になると述べた。
「この決断を下さざるを得なかったことは残念です。なぜなら、私たちの提案したプロジェクトは、Pythonおよびより広いオープンソースコミュニティにとって非常に貴重な進歩をもたらし、数百万のPyPIユーザーをサプライチェーン攻撃から守るものだと信じているからです」とクラリー氏は記した。
PSFの提案には、PyPIにアップロードされるコードパッケージを審査する自動化ツールの作成も含まれていた。クラリー氏は、現行の審査プロセスを「受動的」と呼び、提案されたプロジェクトでは、PyPIにアップロードされたすべてのパッケージを自動的かつ積極的に審査する新たなツールが作られる予定だった。
「これらの新しいツールは、既知のマルウェアのデータセットに基づいて設計された能力分析に依拠します」とクラリー氏は述べた。「PyPIユーザーを守るだけでなく、この成果はNPMやCrates.ioなど、すべてのオープンソースソフトウェアパッケージレジストリにも転用可能であり、複数のオープンソースエコシステム全体のセキュリティ向上につながります。」
CyberScoopがNSFにコメントを求めたところ、「政府資金の停止により、国立科学財団のほとんどの職員は当面の間、メールを受信・返信しない」との自動返信が返ってきた。
