NHS 发起‘反开源战争’，拟关闭绝大多数开源仓库NHS Goes To War Against Open Source

NHS 正准备关闭其几乎所有开源代码库。

在我为英国政府工作的整个过程中——无论是在 GDS、NHSX、i.AI 等机构——我都积极倡导开源。我曾与数十个部门就此进行过交流，撰写过至今仍被沿用的指导文件，并向部长们阐述开源对英国医疗体系的重要性。

正因如此，我对英格兰 NHS 近期试图推翻此前关于开源价值的所有承诺感到极度失望。

罕见的是，有不止一个人向我透露同一则消息，而这正说明 NHS 内部许多人对此事深感震惊。

几天前，我收到一段引述自英格兰 NHS 高层技术人员的发言。

我们显然正在关注像 Mythos 这样更先进的漏洞发现工具。未来一周左右，我们将调整策略，暂停公开代码，直到我们完全掌控相关风险为止。出于安全考虑，除非是核心系统，否则大多数代码库将被移除。

正如我之前所写，这并非应对 Mythos 所谓威胁的正确回应。AI 安全研究所（AI Safety Institute）和国家网络安全中心（NCSC）均未建议采取此类措施。虽然 AI 安全扫描器可能带来一定风险上升，但全面关闭所有项目显然是一种过度反应。

然而，这正是 NHS 准备采取的行动。

4 月 29 日发布的 SDLC-8 号指导文件中有如下内容：

NHS 发布的大多数代码库并未因新型安全扫描技术而真正受到实质性影响。它们大多是数据集、内部工具、指导文档、研究工具或前端设计等，其中并不包含可能导致实际安全事件的敏感信息。

在新冠疫情高峰期担任 NHSX 职务时，我们对开源的安全性和必要性充满信心，因此确保新冠接触追踪应用一经向公众开放就立即开源。这是全国强制安装的应用，覆盖数百万手机，并受到敌对势力的严密审查；即便如此，尽管我们公开了代码、架构和完整文档，开源后也从未发生任何安全事件。

此外，这份新指南直接违背了《英国科技行为准则》第 3 条“保持开放并使用开源”的规定，该条款明确要求代码应保持开放。

同样，服务标准中也明确指出：

极少存在不应公开的代码示例。代码闭源的主要理由仅适用于尚未公布的政策相关内容，一旦政策发布，必须尽快将相关代码开源。当然，出于安全考量（例如防止欺诈），也可能需要保留部分代码不公开，此时应遵循关于应保密代码的指导以及开放代码的安全注意事项。

还有 DHSC 发布的《数据拯救生命：用数据重塑健康与社会照护》政策文件：

承诺 601 – 已于 2022 年 5 月完成 我们将为卫生与照护机构发布一份数字手册，指导如何将其代码开源。

此外，NHS Digital 在其软件工程质量框架中明确表示：

上述三份文件的立场一致：默认情况下应采用开放源代码的方式开发。

这一原则也体现在 NHS 服务标准之中：

公共服务是用公共资金建设的。因此，除非有充分的理由不这样做，否则其背后的代码应该开放给其他人重用和在此基础上继续开发。

总而言之——到如今，开源精神应该已经融入 NHS 的 DNA 之中了。GitHub 上有数千个 NHS 仓库。评估所有这些仓库并关闭它们的工作量将是巨大的。可这又是为了什么呢？

即使我们忽略关闭所有代码的不切实际性——也已经太晚了！所有这些代码都已经被“吸走”了。如果 Mythos 真的是终极黑客，现在隐藏代码也无济于事。很可能已经有人保留了这些仓库的副本。

而且，即便隐藏源代码在实践上可行且有效——那也无关紧要。这些 AI 工具对闭源项目同样有效。它们可以分析二进制文件，轻松探测网站。

NHS 网站上有数万个页面引用了其 GitHub 仓库——难道所有这些页面都需要更新吗？这会产生多少成本？

我不知道 NHS England 做出这个倒退决定的原因是什么——所以我提交了一份信息公开申请来了解详情。

我坚信，关闭他们出色的开源工作是 NHS 的错误举措。我希望他们能看清形势，改变这一做法。

在此期间，我已经确保每一个 NHS 仓库都已被备份，并且由于软件许可证允许，如果原始仓库被关闭，还可以重新发布。

同时，你应该给你的议员发邮件，告诉他们 NHS 关闭其世界领先的开源仓库是错误的。

别让他们夺走你查看支撑我们国家医疗保健体系代码的权利。

延伸阅读