Python Foundation rifiuta $1.5 milioni per la DEI - Buongiorno 290

Stavo navigando, stavo sorfando il web, come si diceva ai miei tempi. Stavo eh raccogliendo le fonti, i link, stavo leggendo un po' di roba per completare la puntata di oggi che sarà sull'open source e mi sono imbattuto nell'annuncio di Mozilla che ha presentato una nuova mascot, la nuova mascot di Firefox. Guardate qua che carina. Si chiama Kit, eh puccettosa, una volpe stilizzata. C'è sempre questo problemino che il Firefox del logo è una volpe, ma il Firefox vero in natura sarebbe un panda, cioè un panda rosso. Insomma, c'è questa dissonanza, ma chi se ne frega. Ecco, Kit è il nuovo la nuova mascot, la nuova mascottina di Firefox e ci piace e ho voluto citare questa cosa in apertura perché secondo me si lega anche bene al tema di cui voglio parlare oggi che è un tema che riguarda l'open source e quindi Mozilla ci rientra perfettamente, ma riguarda tanto anche l'identità. E cos'è più identitario di un logo? beh, per esempio, i valori fondativi di un progetto, di una comunità, di un'organizzazione. E quindi oggi vi parlo dei valori fondativi della Python Software Foundation che combattono, che resistono anche al profumo del Vildenar. Stai ascoltando Buongiorno da Edo, un podcast che parla di tecnologia, informatica, programmazione e anche di Red Panda che in realtà sono volpi. [Musica] Allora, se io vi dico open source, molti di voi penseranno al codice, penseranno ai repository, pull request, agitab, però in realtà dietro dietro questi progetti, progetti critici che usiamo ogni giorno e ci sono delle entità che forse sono invisibili, ma sono fondamentali, appunto, le fondazioni, le foundation che sono proprio l'impalcatura su cui si regge tutto il carrozzone. E per introdurvi al cuore della puntata, secondo me è interessante vedere e capire che cosa fanno queste benedette foundation, perché a volte non è molto chiaro. L'open source ha una storia lunga, complicata, interessante. l'ho narrata in un tok che ho fatto, magari poi ne parleremo in profondità, oggi non è il caso, però insomma è una storia che nasce più o meno a cavallo dagli anni 2000, quando nel 1998 appunto nasce Mozilla, nasce il nome open source, nasce l'openource initiative e poi iniziano a cascata a nascere altre organizzazioni, altre foundation ed è il caso anche della Python Software Foundation di cui parliamo oggi che nasce nel 2001. Python era un linguaggio che già aveva 10 anni perché Guidovan Rossum lo creò nel 1991, però nel 2001, appunto, sull'onda di queste foundation viene creata la PSF e Guidovar Rossum è appunto tra i fondatori. A che cosa serve una foundation? Beh, deve innanzitutto proteggere le proprietà intellettuali del del progetto, quindi il nome, i brand, sono cose importanti perché poi difendono proprio il lavoro della community. E poi gli altri aspetti legali importanti che sono appunto legati alle licenze. Sapete l'open source ha un tema di licenze e quindi ci sono questi aspetti legali da vedere, c'è da vedere chi è che sta utilizzando questo software o questi progetti senza però rispettare le licenze. Quindi c'è ci sono questi aspetti illegali. Poi cos'altro fa? Beh, per esempio, deve mantenere l'infrastruttura dei server su cui stanno i pacchetti, le librerie, quelle che noi scarichiamo. Nel caso di Python c'è PPI, no? Python Package Index e quelli sono costi vivi, sono server che vanno tenuti in piedi oppure hosting che vanno pagati e ci sono persone che poi devono occuparsi proprio della manutenzione di questi server, quindi sono dei costi. Poi c'è un'attività di fundraising e di community. Diciamo che possiamo metterli insieme perché ci sono queste attività che la foundation deve fare per raccogliere i fondi che gli servono per le attività suscitate e poi di coinvolgere la propria community, di farle partecipare ad eventi, di farla crescere. Quindi, insomma, dentro ci possiamo mettere le sponsorizzazioni, la creazione di eventi come nel nostro caso la Python o la Python US che è l'evento più grande in Python, che servono appunto anche per mantenere un rapporto con le aziende che sono i principali finanziatori. Quindi vedete in progetti chiave, importanti, cruciali come Python, le fondazioni sono fondamentali perché altrimenti si tratterebbe di insomma un manipolo di volontari che cerca di fare un lavoro che però in realtà è molto impegnativo. E se voi guardate i bilanci di una fondazione come la Python Foundation, scoprite che in realtà, ecco, c'è molta più spesa che ricavo e il più o meno le spese del 2023, perché ho guardato quello del 2023, perché poi quello 2024 verrà presentato nel corso di questo mese, quindi non ce li abbiamo, però insomma si tratta di un bilancio attorno ai 5 milioni e qualcosa di dollari che vengono spesi per la maggior parte nello stipendio del dello staff, appunto. che sono circa 15 persone, lo staff pagato, stipendiato della della Foundation, poi naturalmente in costi di infrastrutture e poi nell'organizzazione degli eventi come la Python. Ma un'altra voce di spesa non indifferente e molto importante sono i grants, cioè le sovvenzioni che la Python Software Foundation dà alla propria community per due motivi principali. uno per mantenere il codice, cioè ad ci sono alcune attività cruciali che vanno fatte sul codice, vengono pagate alcuni manutentori per svolgerle, patch di sicurezza, feature importanti, queste cose qua. E poi c'è un budget destinato all'inclusività, cioè destinato a tutte quelle attività che permettono a delle persone che non potrebbero permetterselo di partecipare alle attività della community, della fondazione, per esempio borse di studio, viaggi per andare alla PON, a tutte quelle minoranze o quelle community, ecco, che non potrebbero permettersi questi costi. Quindi questo è il quadro e si inserisce in generale in un momento del mercato in cui la sostenibilità economica dei progetti open source è insomma è in discussione, è un tema molto importante anche perché c'è un filo molto diretto tra sostenibilità e sicurezza dei progetti. Quante volte abbiamo parlato qua del problema della supply chain? Quante volte abbiamo parlato di NPM, dei problemi che ha avuto? Beh, PPI è un'altra catena di approvvigionamento che ha dei problemi che la Foundation sta cercando di affrontare. E qui arriviamo al tema centrale della puntata di oggi di questa di questa notizia. [Musica] La Python Software Foundation ha provato a ottenere dei finanziamenti pubblici dal governo americano per un programma che mirava proprio al consolidamento della security di PI. Questa attività di consolidamento passa o passerebbe proprio dalla creazione di software automatici che controllino ecco le potenziali vulnerabilità ai pacchetti e ai nuovi maintainer che arrivano e vogliono ecco scrivere pubblicare sulla sul registry e per creare per finanziare un'attività di questo tipo aveva bisogno di un finanziamento pubblico, aveva ecco richiesto l'accesso a un finanziamento pubblico di 1,5 milioni di dollari. Ora, il finanziamento era stato accettato. La National Software Foundation, che è unentità governativa americana statunitense, ha accettato di donare questi soldi, cioè di sovvenzionare la PSF. Ma attenzione, tra le condizioni, tra le clausoline del contratto che la NSF voleva far firmare alla PSF, c'era una in particolare che riguarda la Day. La Day è il programma Diversity Equity and Inclusion. Ora, se siete stati attenti, da quando Trump è ritornato alla guida della Casa Bianca, c'è stato un piccolo cambiamento nel vento politico americano e i programmi che cercano di favorire l'inclusività, come appunto i programmi dei e hanno cambiato un po' faccia. Siccome non sono graditi all'amministrazione, molti grandi big tech che devono accedere a contratti pubblici, soldi pubblici, li hanno cancellati o li hanno molto ridotti o sono stati incorporati nelle HR. Alcuni hanno cambiato proprio gli statuti per togliere riferimenti diretti a dei molti programmi di sovvenzionamento pubblici hanno previsto che questi fondi fossero erogati a condizione che non ci fossero riferimenti a appunto programmi e lo stesso è accaduto con il finanziamento alla Python Software Foundation. La clausola diceva io vi do questi soldi, però voi in cambio eliminate riferimenti a diversity e inclusion da tutti i vostri programmi, non solo da quello per cui vi sto pagando in questo momento, ma proprio in generale da tutte le attività della fondazione. Ripeto, parliamo di 1,5 milioni di dollari. Ricordatevi il budget complessivo di 5 milioni della PSF, insomma è una fetta molto importante, però appunto arriva anche con questa clausola. A questo punto si tratta di decidere, decidere tra la sicurezza e quindi garantirsi questi fondi per poter poi garantire la sicurezza di PI oppure rispettare i valori fondanti della community. Certo, ve l'ho messa così perché già sapete dove si va a parare. Il board della PSF ha votato e il voto è stato unanime. Il Grant è stato rifiutato, le sovvenzioni sono state rifiutate, niente 1,5 milioni di dollari. Poi il board si è espresso su questa decisione, ha scritto dei comunicati e ha ottenuto un grandissimo supporto dalla propria community. Addirittura il fondatore originale Guido Rossum li ha supportati dicendo appunto che anche per lui questi sono valori fondativi ed è importante che la PSF abbia rinunciato a questi soldi. Leggevo anche sul blog di Simon Willison, una figura importante anche nel panorama dell'AI che è membro del board e che ha partecipato con entusiasmo a questa votazione. E questi post della Foundation hanno ottenuto grande trazioni sui social media, su Reddit, su Hacker News e così hanno provocato una reazione da parte della community che immediatamente è andata a donare alla Foundation e in poco tempo e sono stati già raccolti $17.000 000 che certo sono pochi rispetto al totale della sovvenzione che doveva arrivare, però sono un forte segnale che la community è pronta a partecipare e siccome ho visto anche già segnali di sostegno di incoraggiamento da parte di nomi grossi come Google Open Source, quindi la parte open source di Google, penso che potrebbe potremmo assistere nei prossimi giorni anche a qualcosa di più, magari a un intervento più diretto da parte delle aziende sponsor. Questo secondo me è un vero segnale fortissimo perché la PSF ha deciso che i valori della sua community, del suo progetto, sono più importanti rispetto al pragmatismo, cioè all'ottenere dei fondi. E questo è un segnale a tutto il mondo open source, ma anche a tutto il mondo tech in generale, visto come si stanno comportando le aziende americane, soprattutto della Silicon Valley, nei confronti dell'andamento dell'andazzo della politica americana. Però naturalmente questo ci mette di fronte a un grosso problema. Adesso quei soldi erano destinati al sicurezza di PI. questi soldi non ci sono più, quindi quel programma per ora è bloccato, è accantonato e questo lascia PI con una certa vulnerabilità come insomma altre catene supply chain, però queste catene, questi package registry in generale, questi repository software sono cruciali nel mondo informatico e quindi nel mondo tutto moderno e quindi noi dobbiamo farci delle domande sulla sostenibilità, su quanto sia importante la sostenibilità di questi progetti e apre anche ad altri interrogativi, perché questi che sono di fatto beni pubblici e però dipendono da finanziamenti, appunto, pubblici, governativi che dipendono però tanto dall'amministrazione, in questo caso l'amministrazione Trump, ecco, però dipendono un po' dal vento che tira in quel momento, da che aria tira e quindi questo potrebbe forse spingere più fondazioni a dipendere un po' di meno, ecco, dalla dalla politica, da come è il vento politico del certo di un certo momento e affidarsi magari di più alla propria community, cioè mettere in piedi dei programmi che assicurino, si assicurino dei fondi che vengono dal basso per un tempo più lungo, per poter portare avanti dei programmi a più lungo termine. E guardate, è un tema fondamentale di cui si discute molto ultimamente. Vi do anche un'altra notizia, già che l'ho letta ultimamente. la Rust Foundation, quindi un'altra fondazione sempre attorno a un linguaggio, il linguaggio Rust, ha deciso di creare un manteners fund, cioè un fondo che non sii ancora ben capito come sarà rimpinguato, però insomma si parla di sempre donazioni, sponsor, insomma un tentativo di creare questo fondo che poi la foundation destinerà al pagamento, quindi quasi a uno stipendio per i mantiner, quindi cercando di dipendere meno da uno o due grossi sponsor. che arrivano o escono, ma insomma creare dei fondi che rimangano lì a disposizione per creare dei programmi a lungo termine, perché poi il problema è se il tuo bilancio dipende da uno o due grossi finanziatori che possono essere pubblici o privati, nel momento in cui uno di questi viene a mancare tu ti ritrovi in pragela. E se vi ricordate, anche qualche puntata fa abbiamo parlato della vicenda attorno a Ruby, Ruby Central, Shopify, eccetera, insomma, andatevi a rivedere anche quell'episodio. Insomma, questo tema della sostenibilità è un tema importante. Allora, qui arrivo un po' a delle conclusioni che vi lascio. Vi lascio anche con delle riflessioni, mi piacerebbe anche sentire la vostra. Qui secondo me, Python Software Foundation, ma anche Rust Foundation. metto insieme queste due queste due cose, queste due notizie perché sono un po' due facce della stessa medaglia. Da un lato la Python Software Foundation ha deciso e ha dichiarato che i propri valori fondativi sono più importanti dei soldi. Quindi questo è proprio un atto di resistenza, no? un atto quasi eroico, una difesa dei propri valori. Eh i valori che poi sono fondativi dell'open source, cioè la partecipazione, la collaborazione, l'apertura, sono eh valori fondativi dell'open source e questi vincono anche a costo, appunto, del rischio finanziario enorme. Quindi il messaggio dice ci sono cose che non sono in vendita, che è un messaggio potentissimo, però dall'altra parte c'è la necessità di garantire appunto un sostentamento a lungo termine e quindi c'è la Rust Foundation che dice bene noi creiamo un fondo per i nostri maintainer quindi c'è bisogno di entrambi le cose, no? c'è bisogno di eh progetti open source che mettano i valori e la propria community al primo posto, ma c'è anche bisogno di trovare un modo per sostenere questi progetti e quindi bisogna chiedersi il modello dell'open source così com'è oggi funziona o non funziona più? Perché il modello basato sul volontariato, sulle contribuzioni volontarie, individuali può funzionare. Chiaramente è una domanda un po' retorica perché è chiaro che non funziona più, però insomma vi butto lì anche questo in forma di domanda se vogliamo un po' rifletterci. E poi le donazioni, quindi proprio la raccolta di fondi, quelle della community, quindi quelle che vengono dal basso, sono sufficienti, cioè possono garantire un sostegno a lungo termine dei progetti. E poi c'è anche questa domanda un po' di principio, cioè cos'è più importante? la difesa dei valori fondativi del progetto della community oppure la sopravvivenza di un progetto domani, cioè l'accaparrarsi dei fondi che permettono al progetto di resistere e comunque non è facile prendere una decisione del genere. Eh, secondo me, e lo ripeto, l'open source non è solamente codice, l'open source è fatto di persone, l'open source è fatto di comunità e per difendere queste persone, per difendere i valori delle comunità, eh ci sono dei prezzi da pagare, c'è un costo da pagare. La Python Software Foundation ha deciso di pagare questo costo e in questo caso e siamo contenti di notare che la community ha risposto presente con prontezza, però succederà di nuovo in futuro e dobbiamo porci questo problema. Basta, ho finito. Fatemi sapere cosa ne pensate. Eh eh mi sono assentato un po' la scorsa settimana, ho fatto solo un episodio, in realtà ne ho fatto ne ho fatti due nelle ultime due settimane, sto facendo poco perché sono sempre in giro. La settimana scorsa ero in Svezia a una conferenza che si chiama Orev, eh, guardatela, eh, so che è lontana, però non è neanche troppo costoso andare fino a Malmo. OREDEv è una bella conferenza, ho conosciuto un sacco di persone un po' fuori dai circuiti normali, diciamo così, delle Confa europee. È una bella Confa sul software e insomma, basta, andatevi a vedere. Poi, tra l'altro, Malmo è una città particolare, fuori un po' dai circuiti turistici, quindi merita anche farci un giretto. Si atterra Copenhagen, si supera il ponte sul mare con il trenino, tutto molto bellino. Insomma, qua ve lo volevo dire, non so perché, mi piace dirvi anche un po' di cose che potete scoprire in giro. Segnatevi ore dev, segnatevelo a Malmo. L'anno prossimo, magari ci fate un giretto. Basta, ho finito. Ci vediamo al prossimo puntatone. Ciao [Musica]