Offener Brief mit der Bitte an NHS England, den Code öffentlich zugänglich zu halten
(keepthingsopen.com)- Widerspricht der Entscheidung der technischen Führung von NHS England, den Quellcode ihrer Repositories privat zu machen, und bekräftigt den Grundsatz, dass mit öffentlichen Mitteln entwickelter Code der Öffentlichkeit zugänglich sein sollte
- Von NHS England wird gefordert, die SDLC-8 red line zurückzunehmen und die Verpflichtung zu NHS Service Standard Principle 12 „Make new source code open“ erneut zu bekräftigen
- Die Veröffentlichung als Open Source erfordert mehr Arbeit als das Beibehalten von nicht öffentlichem Code, macht aber höhere Qualitätsstandards, das frühzeitige Finden und Beheben von Schwachstellen sowie den Aufbau von Schutzbarrieren zur Schadensbegrenzung erforderlich
- Nicht öffentlicher Quellcode kann dazu führen, dass notwendige Sicherheitsarbeit übersprungen wird, verlässt sich statt auf Defense in Depth auf Unklarheit, und der Vorteil gegenüber ausreichend motivierten Angreifern scheint sehr gering zu sein
- Seit dem 1. Mai 2026 haben 402 Personen unterzeichnet; Unterzeichnende können Name, E-Mail und Angaben dazu einreichen, ob sie zur Software des britischen öffentlichen Sektors beigetragen haben, und bei anonymen Unterschriften werden personenbezogene Daten nach der Verifizierung innerhalb von 24 Stunden gelöscht
Zentrale Forderungen des offenen Briefs
- Widerspricht der Entscheidung der technischen Führung von NHS England, den Quellcode aller Repositories zu verbergen, und bekräftigt den Grundsatz, dass mit öffentlichen Mitteln entwickelter Code der Öffentlichkeit zugänglich sein sollte
- Dieser Grundsatz ist in den UK Government Design Principles und im NHS Service Standard verankert; nach Ansicht des Briefs findet derzeit ein Rückschritt statt
- Von NHS England wird gefordert, die SDLC-8 red line zurückzunehmen und die Verpflichtung zu NHS Service Standard Principle 12 „Make new source code open“ erneut zu bekräftigen
- Seit dem 1. Mai 2026 haben 402 Personen unterzeichnet; Unterschriften werden nach manueller Prüfung auf der Seite angezeigt
Warum Open Source strengere Qualitätsstandards schafft
- Quellcode als Open Source zu veröffentlichen erfordert mehr Arbeit, als ihn nicht öffentlich zu halten
- Gerade diese schwierige Arbeit ist der Kernpunkt
- Die Veröffentlichung als Open Source verlangt höhere Qualitätsstandards und erfordert Verfahren, um Schwachstellen frühzeitig zu finden, zu beheben und zu überwachen
- Risiken müssen identifiziert und Schutzbarrieren eingerichtet werden, um Schäden zu begrenzen, wenn Probleme auftreten
- Dies wird mit dem menschlichen Immunsystem verglichen: Die Auseinandersetzung mit Bedrohungen härtet die Angriffsfläche stärker ab
Kritik an nicht öffentlichem Quellcode
- Nicht öffentlicher Quellcode kann dazu führen, dass notwendige Sicherheitsarbeit übersprungen wird
- Der nicht öffentliche Ansatz verlässt sich nach Ansicht des Briefs statt auf Defense in Depth auf Unklarheit
- Wenn ein ausreichend motivierter Angreifer vorhanden ist, scheint der durch Unklarheit entstehende Vorteil sehr gering zu sein
Art der Unterzeichnung und Umgang mit personenbezogenen Daten
- Unterzeichnende können Name, E-Mail-Adresse, Angaben dazu, ob sie zur Software des britischen öffentlichen Sektors beigetragen haben, sowie optional Rolle und Organisation einreichen
- Beiträge zur Software des britischen öffentlichen Sektors können sowohl technische als auch nicht technische Beiträge sowie öffentliche und nicht öffentliche Beiträge umfassen
- Falls ein Beitrag vorliegt, reicht etwa ein Commit oder ein Profil-Link aus; diese Informationen werden nicht veröffentlicht
- Wer eine anonyme Unterschrift wählt, wird als „Anonymous“ angezeigt; falls Rolle und Organisation angegeben wurden, können diese mit angezeigt werden
- Bei anonymen Unterschriften werden personenbezogene Daten nach der Verifizierung innerhalb von 24 Stunden gelöscht
- E-Mail-Adressen werden nur verwendet, wenn im Zusammenhang mit der Unterschrift Kontakt aufgenommen werden muss, und nicht veröffentlicht
- Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Einwilligung; diese kann widerrufen werden
- Für Datenanfragen kann signatures@keepthingsopen.com kontaktiert werden
- Beschwerden zur Verarbeitung personenbezogener Daten können beim Information Commissioner’s Office eingereicht werden
Referenzen und Unterstützungslinks
- NHS Goes To War Against Open Source
- NHS England rushes to hide software over AI hacking fears
- NHS Service Standard — Principle 12: Make new source code open
- NHS England quietly removes open source policy web pages (Digital Health)
- Don’t be afraid to code in the open: how to do it securely (GOV.UK)
- Does Mythos mean shutting down your open source repos? (shkspr.mobi)
- Discourse is not going closed source (Discourse)
- View on GitHub
- Sign
- Email signatures@keepthingsopen.com
- Der Quellcode wird unter der MIT licence bereitgestellt
Noch keine Kommentare.