GDS就NHS退出开源发表 frosty 回应GDS weighs in on the NHS's decision to retreat from Open Source

在英国公务员体系中，偶尔会听到“被邀请开会却连饼干都没有”这种说法。它暗示的是一场毫无礼貌客套的冰冷讨论——与正常会议应有的礼节相去甚远。总体而言，即使存在严重分歧，也很少出现情绪失控的情况；更罕见的是，这些内部争执会演变为公开冲突。

正因如此，英国数字服务署（GDS）最新发布的指导意见才显得格外令人震惊。月初时，英格兰国家医疗服务体系（NHS England）做出了一个离奇且不负责任的决定：因毫无根据的AI黑客恐惧，关闭其所有开源代码仓库。此举引发 NHS 内部人士的强烈愤慨，外界也纷纷表示不满——反对该举措的请愿书已征集到超过2000个签名。

政府其他部门同样感到不安。虽然我早已不在政府数字服务署（Government Digital Service）任职，但仍有几位关心此事的同仁联系我，他们记得我曾参与开源项目的工作。如今，位于怀特查佩尔（Whitechapel）的这支优秀团队已发布题为《公共部门中的AI、开放代码与漏洞风险》的指导文件。

这份文件毫不留情。

它彻底否定了 NHS 的立场，并对其进行了细致入微的批判。你可以通读全文，以下是其中几段关键摘录：

近期有公开报道指出，一些组织因担心AI驱动代码分析而限制对公共代码库的访问，这反映出领导层在面对不确定性时可能迅速采取一刀切的封闭策略。

简而言之，非技术背景的管理者需要停止过度反应。

私有代码库可能会让人产生虚假的安全感。

我认为这才是核心论点所在：关闭代码并不能解决根本问题。

将代码设为私有，并不能有效弥补缺乏所有权归属、补丁更新能力或运维保障等问题，因此那些无法安全维护的系统应予以修复或退役。

如果你真的担忧系统安全状况堪忧，那就应该彻底关停这些系统以消除威胁。

关闭操作往往成为一扇单向门。

正如我对《英国医学杂志》（BMJ）所说：“没有任何临时措施能比得过一个持久的解决方案。”

若代码原本就是公开开发的，之后将其转为私有状态，未必能阻止具备能力的攻击者获取访问权限——因为热门代码库常被镜像复制或分叉使用。

确实如此。我的朋友已经归档了 NHS 所有的代码仓库，你甚至可以看到他们试图隐藏的部分。

但我认为最具杀伤力的一句话是：

将代码从公开转为私有的做法，本质上是将投资不足转嫁给安全设计、责任归属和漏洞修复——这种做法会削弱协作审查，减缓政府和供应商之间的协同改进速度，同时也不会消除运行服务中存在的潜在弱点。

没错！实践反复证明，开放编码能够产出高质量且安全的成果。AI漏洞扫描工具带来的威胁并不会改变这一事实——安全本就是共同责任。技术团队必须获得足够资源来构建安全可靠的系统；而隐藏代码的做法，就像用纸糊住结构性裂缝一样不可靠。

GDS 成立的初衷是建立一个拥有强大技术专长的中心，用以纠正其他部门在科技应用上的敷衍态度。当时，服务评估（Service Assessment）是各部门证明自己有能力设计、上线并管理复杂IT项目的关键手段。

大多数部门在开发和运行这类项目方面已经变得相当熟练，因此 GDS 存在的理由在一定程度上有所减弱。各部门更自信地独立运作。我通常会为此感到高兴——GDS 不应成为瓶颈，且人才应遍布整个公务员体系，这一点至关重要。

但英格兰 NHS 一直有些特殊。NHSX 成立的其中一个原因是为了确保卫生服务体系拥有强大的技术和部署专业知识。作为开放技术负责人，我曾参与制定将开源和开放标准嵌入其中的政策。

我不知道 NHS England 内部进行了哪些讨论——尽管我很期待收到我对信息公开请求的回复。在我看来，NHS England 内部一小部分人收到了一份由 Mythos 发现的潜在漏洞报告。他们没有遵循自身的内部指导方针，而是反应过度，全面禁止公开编码。

我热切希望这份新指南能促使 DHSC 将 NHS England 纳入最佳实践轨道。否则，也许 GDS 应该重新确立其作为技术权威的地位，并有权否决某个部门那些难以理解的决定？