Lettre ouverte demandant à NHS England de maintenir son code public

(keepthingsopen.com)

1 points par GN⁺ 2 시간 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp

S’oppose à la décision de la direction technologique de NHS England de rendre le code source de ses dépôts privé, et réaffirme le principe selon lequel le code financé par des fonds publics doit être accessible au public
Il est demandé à NHS England de retirer la ligne rouge SDLC-8 et de réaffirmer son engagement envers le principe 12 du NHS Service Standard, « Make new source code open »
Publier en open source demande plus de travail que de garder le code privé, mais cela impose des standards de qualité plus élevés, la détection et la correction préalables des vulnérabilités, ainsi que la mise en place de barrières pour limiter les dégâts
Le code source fermé peut conduire à sauter des tâches de sécurité nécessaires, s’appuie sur l’obscurité plutôt que sur une défense en profondeur, et semble offrir très peu d’avantages face à des attaquants suffisamment motivés
402 personnes ont signé depuis le 1er mai 2026 ; les signataires peuvent fournir leur nom, leur e-mail et indiquer s’ils ont contribué à des logiciels du secteur public britannique, et pour les signatures anonymes les données personnelles sont supprimées dans les 24 heures après vérification

Exigences clés de la lettre ouverte

S’oppose à la décision de la direction technologique de NHS England de masquer le code source de tous les dépôts, et réaffirme le principe selon lequel le code financé par des fonds publics doit être accessible au public
Ce principe figure dans les UK Government Design Principles et le NHS Service Standard, et il est considéré comme étant actuellement remis en cause
Il est demandé à NHS England de retirer la ligne rouge SDLC-8 et de réaffirmer son engagement envers le principe 12 du NHS Service Standard, « Make new source code open »
402 personnes ont signé depuis le 1er mai 2026, et les signatures sont affichées sur la page après vérification manuelle

Rendre le code open source demande plus de travail que de le garder privé
Cette difficulté même est considérée comme essentielle
La publication en open source impose des standards de qualité plus élevés et nécessite des processus pour détecter, corriger et surveiller les vulnérabilités en amont
Il faut identifier les risques et mettre en place des barrières pour limiter les dégâts en cas de problème
Cela est comparé au système immunitaire humain : l’exposition aux menaces renforcerait la surface d’attaque

Le code source fermé permet de passer à côté de travaux de sécurité nécessaires
Cette approche privée est considérée comme s’appuyant sur l’obscurité plutôt que sur une défense en profondeur
Lorsqu’il existe des attaquants suffisamment motivés, les avantages apportés par cette obscurité semblent très faibles

Les signataires peuvent fournir leur nom, leur adresse e-mail, indiquer s’ils ont contribué à des logiciels du secteur public britannique, ainsi que, de manière facultative, leur rôle et leur organisation
Les contributions à des logiciels du secteur public britannique peuvent inclure des contributions techniques ou non techniques, publiques ou privées
En cas de contribution, un commit ou un lien de profil suffit, et ces informations ne sont pas rendues publiques
Si la signature anonyme est choisie, la signature est affichée comme « Anonymous » et, si un rôle et une organisation sont fournis, ils peuvent être affichés avec elle
Dans le cas des signatures anonymes, les données personnelles sont supprimées dans les 24 heures après vérification
L’adresse e-mail n’est utilisée que si un contact est nécessaire au sujet de la signature et n’est pas rendue publique
La base légale du traitement des données personnelles est le consentement, qui peut être retiré
Pour toute question liée aux données, il est possible de contacter signatures@keepthingsopen.com
Une plainte concernant le traitement des données personnelles peut être déposée auprès de l’Information Commissioner’s Office