拒绝美国政府150万美元拨款！Python基金会“硬刚”：这些条件我们

PSF把150万美元的“救命钱”退了回去，就因为NSF在最后一页加了一句：想拿钱，先砍掉你们所有DEI（多元、平等、包容）项目。

这件事听起来像拍桌子斗气，却在一周内像石头砸进池塘，涟漪一圈比一圈大。

先把镜头拉近——PyPI每天吃掉全球30亿次包请求，是Python生态的主动脉。

它一旦被投毒，整个“pip install”都是裸奔。150万美元原本准备干两件事：给PyPI装上更敏锐的眼睛（恶意代码扫描），再给背后管道打上补丁（供应链监控）。

现在钱没了，谁来替Python守好前门？

社区很快给出了第一个答案：我们不缺人，只缺一句“算我一个”。

Google Cloud直接甩出50万美元云资源，相当于把扫描器搬到超大功率服务器群；Microsoft工程师在 GitHub 上发起了 PR，帮忙适配自家云上的同类工具。48小时，众筹平台像被魔法棒点过——20万美元哗啦啦流进来。

一个在德国做量子计算的工程师留言，“捐了半个月工资，怕我的孩子将来pip 被坑。

”

科技公司撒钱很爽，但开源真正的肌肉是志愿者。

于是有了“星期六安全马拉松”——全球190名程序员在线结对，像拼乐高一样把OpenSSF的Package Analysis工具拆成可复用的PyPI插件。

两周后，第一个原型在推特上传，有人回帖：“这玩意今天就把我库的恶意依赖抓出来了”。

大洋这一边，美国国会山也被吵醒。

三名民主党议员给NSF写信：“附加条款涉嫌违宪，科研经费不该变成文化战的筹码。

”NSF回应会在90天内重审条款适用范围。

另一边，得州州长发推力挺NSF，“纳税人的钱不该推进左翼议程。

”于是本来只是技术圈的事，彻底被卷进美国2024大选前哨战。

欧洲人看热闹不嫌事大，干脆直接打钱。

NLnet基金会30万欧元到账那天，PSF的人笑说：“总算体验到不受DEI条款的货币有多香。

”欧元项目规定只能做供应链安全研究，但没人限制你招聘女性核心开发者或在非洲办黑客松——规则漏洞让PSF用欧洲钱继续撑DEI，左手退美元，右手进欧元。

蝴蝶效应还在蔓延。

Mozilla基金会连夜召集合规小组：我们也要翻账本看看有没有“地雷条款”。

Rust和Node.js社区各自开了issue帖标题写着：“若我们遇到NSF同款条款咋办？

”底下留言最多的是“复制PSF解法，众筹＋跨国赞助”。

PSF董事会最近开的闭门会议被内部人士形容成“把账本摊在桌上玩大富翁”。

新出炉的三年路线图写了四条生钱道：

1. 把PyPI关键功能包装成企业级SaaS安全服务，签五年长约，客户付钱换SLA和专属补丁通道；

2. 仿照OpenSSF，推出分级赞助商：白金、黄金、白银三档，一年最低只要2万美元，可在官网挂Logo；

3. 申请欧盟“数字欧洲计划”下一批拨款——这条财路不受美国条款影响；

4. 把PyPI数据接口做成API卖给数据科学平台赚小钱，积少成多。

一句话总结：技术目标不变，但时间轴被现实拉长了6到12个月。

PSF在官网写了一句话置顶：“我们宁愿走得慢，也不带着脚链跑。

”

如果你是一名普通Python开发者，现在能做的其实不多——至少保证自己发的下一版库里，requirements.txt里别带可疑包；如果你手痒，去GitHub给PyPI安全马拉松递两行PR；实在不想写代码，众筹页面还能继续填零头。

这场风波最终会写进开源教科书，标题大概是：“当价值观遇上天量现金，怎么选？

”PSF选了最慢最艰难的一条路，却意外让全世界的键盘声为它鼓掌。