NHS Englandにコードを公開状態に保つよう求める公開書簡

 (keepthingsopen.com)
1 ポイント 投稿者 GN⁺ 2 시간 전 | まだコメントはありません。 | WhatsAppで共有
  • NHS Englandの技術リーダーシップによるリポジトリのソースコード非公開化の決定に反対し、公的資金で作られたコードは一般公開されるべきだという原則を再確認している
  • NHS Englandには、SDLC-8 red line の撤回と、NHS Service Standard Principle 12「Make new source code open」へのコミットメントの再確認が求められている
  • オープンソースでの公開は非公開維持よりも多くの作業を要するが、より高い品質基準と、脆弱性の事前発見・修正、被害を限定する障壁の整備が必要だとしている
  • 非公開ソースは必要なセキュリティ作業を飛ばしやすくし、深層防御ではなく曖昧さに依存させる可能性があり、十分に動機づけられた攻撃者に対する利点はごく小さいように見える
  • 2026年5月1日以降、402人が署名しており、署名者は氏名・メールアドレス・英国公共部門ソフトウェアへの貢献有無などを提出でき、匿名署名では検証後24時間以内に個人情報が削除される

公開書簡の主要な要求

  • NHS Englandの技術リーダーシップがすべてのリポジトリのソースコードを隠すとした決定に反対し、公的資金で作られたコードは一般公開されるべきだという原則を再確認している
  • この原則は UK Government Design PrinciplesNHS Service Standard に盛り込まれており、現在は後退しているとみている
  • NHS Englandには、SDLC-8 red line の撤回と、NHS Service Standard Principle 12「Make new source code open」へのコミットメントの再確認が求められている
  • 2026年5月1日以降、402人が署名しており、署名は手作業での確認後にページへ表示される

オープンソースがより厳格な品質基準を生むという論理

  • コードをオープンソースとして公開することは、非公開に保つよりも多くの作業を要する
  • その難しい作業そのものが重要だと考えている
  • オープンソース公開は、より高い品質基準を求め、脆弱性を事前に見つけて修正し監視する手順を必要とする
  • リスクを特定し、問題が発生したときに被害を限定するための障壁を整えなければならない
  • これを人間の免疫システムになぞらえ、脅威にさらされることが攻撃面をより強固にするとみている

非公開ソースへの批判

  • 非公開ソースは、必要なセキュリティ作業を省けるようにしてしまう
  • 非公開方式は、深層防御ではなく曖昧さに依存しているとみている
  • 十分に動機づけられた攻撃者がいる場合、曖昧さがもたらす利点は非常に小さいように見える

署名方法と個人情報の取り扱い

  • 署名者は、氏名、メールアドレス、英国公共部門ソフトウェアへの貢献有無、任意項目として役職と組織を提出できる
  • 英国公共部門ソフトウェアへの貢献には、技術的・非技術的な貢献、公開・非公開の貢献のいずれも含まれうる
  • 貢献がある場合は、コミットやプロフィールへのリンク程度で十分であり、その情報は公開されない
  • 匿名署名を選ぶと、署名は「Anonymous」と表示され、役職と組織を提供した場合はそれらも併記されることがある
  • 匿名署名の場合、検証後 24時間以内 に個人情報が削除される
  • メールアドレスは署名に関する連絡が必要なときにのみ使われ、公開されない
  • 個人情報処理の法的根拠は同意であり、同意は撤回可能である
  • データに関する連絡は signatures@keepthingsopen.com に送ることができる
  • 個人情報処理に対する苦情は Information Commissioner’s Office に申し立てることができる

参考資料と支援リンク

関連記事

まだコメントはありません。

まだコメントはありません。