Python ve PyPI ekosisteminin güvenliğini artırmayı amaçlayan iki yıllık dev bir ortaklık duyuruldu. Son yıllarda Python'un, modern yapay zeka geliştirmelerinin omurgası haline geldiğine şahit olduk. TensorFlow ve PyTorch dahil olmak üzere çoğu makine öğrenimi çatısı (framework), büyük ölçüde Python'a dayanıyor.
Dilin erişilebilir doğası ve geniş kütüphane ekosistemi, onu dünya çapındaki veri bilimcileri ve yapay zeka araştırmacıları için varsayılan tercih haline getirdi. Şimdi ise bu programlama dilinin koruyucusu olan Python Software Foundation (PSF), Claude'un arkasındaki şirket Anthropic'in vakfa önümüzdeki iki yıl içinde 1.5 milyon dolar yatırım yapacağını duyurdu.
Python Vakfı, ABD Hükümeti Fonunu Neden Reddetti?
Geçtiğimiz yıl Python Software Foundation (PSF), Ulusal Bilim Vakfı'ndan (NSF) gelecek olan 1.5 milyon dolarlık bir devlet hibesini geri çevirdi. Anlaşmazlığın temel sebebi, ABD hükümetinin dayattığı anti-DEI (Çeşitlilik, Eşitlik ve Kapsayıcılık karşıtı) şartlarıydı. Eğer PSF'nin bu kuralları ihlal ettiği tespit edilirse, NSF daha önce ödenen fonları geri alma hakkını saklı tutuyordu.
PSF'den Loren Crary, bu durumu şöyle açıkladı:
"Bu şartlar, 'Federal ayrımcılık karşıtı yasaları ihlal edecek şekilde DEI [çeşitlilik, eşitlik ve kapsayıcılık] veya ayrımcı eşitlik ideolojisini ilerleten veya teşvik eden herhangi bir program yürütmemeyi ve yürütmeyeceğimizi' teyit etmeyi içeriyordu."
Claude AI'ın Yaratıcısı Anthropic Devreye Girdi
Bu aşamalı fonlamanın temel amacı, Python ekosisteminde güvenliği artırmak. Öncelikli hedef ise Python Package Index (PyPI) deposunu tedarik zinciri saldırılarına karşı korumak.
Bilmiyorsanız hatırlatalım; PyPI yüz binlerce pakete ev sahipliği yapıyor ve dünya genelinde milyonlarca geliştiriciye hizmet veriyor. Ancak ne yazık ki, kötü amaçlı açık kaynak paketlerinin akınına uğramaya oldukça müsait.
Python ekibi bu nakit girişiyle, platforma yüklenen paketlerin otomatik incelenmesi için yeni araçlar geliştirmeyi hedefliyor. Mevcut "sorun bulunduğunda tepki verme" yaklaşımından, proaktif bir yaklaşıma geçiş yapılıyor.
Yeni Güvenlik Araçları Geliyor
Bunu başarmak için, bilinen zararlı yazılımları kataloglayan yeni bir veri seti oluşturacaklar. Bu veri seti, şüpheli kalıpları ve davranışları otomatik olarak tanımlayabilen tespit araçları tasarlamalarına yardımcı olacak. PSF, buradaki yaklaşımlarının diğer açık kaynak paket depolarına da (npm, Maven vb.) fayda sağlayabileceğini belirtiyor.
Bilgi: Diğer popüler paket depoları arasında npm, Crates.io ve Maven Central gibi isimler yer alıyor.
Bu 1.5 milyon dolar sadece güvenlik çalışmalarına gitmeyecek. Aynı zamanda PyPI'nin işletilmesi, CPython katkıları için "Developers in Residence" programının desteklenmesi ve hibe yoluyla topluluk girişimlerinin fonlanması gibi PSF'nin günlük operasyonlarına da katkı sağlayacak.
Sonuç
Anthropic gibi bir organizasyonun böyle bir bağış yapması oldukça mantıklı. Altyapıyı kullanan bu "yüksek hacimli" kullanıcıların çoğu, işleri bittikten sonra geriye dönüp bakmıyor. Genellikle açık kaynak projelerden değer elde edip, anlamlı bir şekilde geri katkıda bulunmuyorlar.
Anthropic'in bu çabası, en azından BT altyapısının bu kadar kritik bir parçasının refahını sağlamak için para ayırmayı önemsediklerini gösteriyor. Sistemlerinin Python'a ne kadar bağımlı olduğu düşünüldüğünde, bu yatırım topluluğu desteklemek kadar kendi operasyonlarını korumakla da ilgili.