La Python Software Foundation refuse 1,5 million de dollars du gouvernement américain

Qui dirait non à 1,5 million de dollars ? À une époque où l'open-source peine à financer sa propre sécurité, le choix de la Python Software Foundation (PSF) a de quoi surprendre.

Pourtant, son conseil d'administration a voté à l'unanimité pour rejeter une aide cruciale de la part du gouvernement américain. La raison : une seule ligne dans le contrat, en opposition directe avec l'ADN de la fondation.

La Fondation nationale pour la science est une agence américaine qui gère des programmes d'attribution de fonds publics, comme le Safe-OSE destiné à l'écosystème open source. Ce programme soutient les efforts pour améliorer la sûreté, la sécurité et la confidentialité dans les logiciels libres (Safety, Security, and Privacy of Open-Source Ecosystems).

En janvier 2025, la PSF a déposé une demande de financement au gouvernement américain dans le cadre de ce programme, les fonds devant servir à corriger des vulnérabilités dans le langage Python et le dépôt officiel des paquets Python PyPI.

Une approche relativement inédite pour la fondation Python, qui a pour habitude de reposer sur les dons et les sponsors. Après plusieurs mois de travail, leur dossier a porté ses fruits : leur proposition a été retenue, ce qui n’arrive qu’à 36% des premières tentatives de demandes auprès de l'organisme en question.

Suite à cette validation, l'agence américaine a communiqué les conditions nécessaires pour débloquer les fonds — et c'est là que les choses se gâtent. 👀

Parmi ces exigences figurait en effet une clause particulièrement surprenante : la fondation devait s'engager à ne pas mener, pendant toute la durée du financement, de programmes promouvant la diversité, l'équité et l'inclusion (DEI) ou toute "idéologie discriminatoire en matière d'équité", au nom du respect des lois fédérales anti-discrimination.

Autrement dit, accepter l'aide aurait contraint la PSF à mettre entre parenthèses une partie de ses actions communautaires. Et le plus problématique, c’est que ces restrictions ne concernaient pas uniquement les projets financés, mais bien l’ensemble des activités de la fondation. En cas d’infraction, celle-ci aurait même été tenue de rembourser la totalité des fonds.

Un choix difficile, car cette subvention de 1,5 million de dollars sur deux ans représentait une véritable bouffée d’oxygène pour l’organisation, à une période marquée par l’inflation, la baisse des sponsors et une pression financière croissante.

Mais la clause allait à l’encontre même de la mission fondatrice de la PSF : "promouvoir, protéger et faire progresser le langage Python, et soutenir et faciliter la croissance d’une communauté diversifiée et internationale de programmeurs".

Face à ce dilemme, le conseil d’administration a tranché sans hésitation : à l’unanimité, il a voté le retrait de la candidature.

Un geste fort, presque symbolique, car en refusant ces conditions, la PSF réaffirme que l’intégrité de sa mission communautaire passe avant tout, même un financement crucial. Reste désormais une question : qui prendra le relais pour financer ces améliorations de sécurité pourtant vitales pour Python et PyPI ?

Au-delà du cas Python, cet épisode illustre une tension grandissante dans l’écosystème open source : celle entre la nécessité de financer la sécurité des projets et la volonté de préserver l’indépendance des fondations face aux exigences parfois politiques ou idéologiques de leurs bailleurs.

Source : Communiqué de la Python Software Foundation