Привет, друзья! Сегодня — горячая новость из мира кибербезопасности и открытого ПО. NHS England (Национальная служба здравоохранения Англии) планирует перевести большинство своих публичных репозиториев с исходным кодом в приватный режим. Разберёмся, почему это вызвало волну критики со стороны Free Software Foundation Europe (FSFE) и чем это грозит принципам открытого ПО.
В чём суть плана NHS?
NHS England разработала внутреннюю политику под названием SDLC‑8. Согласно ей, публичные репозитории с исходным кодом должны стать приватными — если только для конкретного проекта не будет сделано специальное исключение.
Причина: опасения, что публично доступный код могут сканировать с помощью ИИ‑моделей для поиска уязвимостей. Проще говоря, злоумышленники могут автоматизировать поиск слабых мест в системах здравоохранения.
Позиция FSFE: почему это плохая идея?
Free Software Foundation Europe резко выступила против этого решения. Вот их основные аргументы:
- «Безопасность через неясность» не работает. Это давно опровергнутый подход. Закрытие кода не защитит системы NHS, потому что злоумышленники всё равно могут анализировать:
уже развёрнутые системы;
зависимости (библиотеки, фреймворки);
интерфейсы;
бинарные файлы;
ранее скопированный исходный код. - Исчезает независимая проверка. Открытые репозитории позволяют:
независимым IT‑экспертам изучать код;
исследователям безопасности находить и сообщать об уязвимостях;
государственным учреждениям улучшать и повторно использовать ПО. - Нарушение принципов открытого ПО. Программное обеспечение, финансируемое из государственных средств, должно оставаться открытым и доступным для общества.
«Перевод публичного кода в приватный режим — это не стратегия безопасности. Он не защищает системы NHS, а лишь ограничивает круг тех, кто может помочь найти и устранить проблемы», — заявил Йоханнес Нэдер (Johannes Näder), старший менеджер проектов FSFE.
Ответ NHS: это временно!
В разговоре с изданием The Register представители NHS England пояснили, что мера временная. Её цель — усилить кибербезопасность на фоне стремительного развития ИИ‑моделей, пока организация оценивает масштабы риска.
При этом в NHS подчеркнули: код продолжат публиковать там, где в этом есть явная необходимость.
Почему это важно для всех нас?
Ситуация с NHS — это не просто спор между организацией и фондом. Это ключевой вопрос для всей экосистемы открытого ПО:
- Баланс безопасности и прозрачности. Как реагировать на новые угрозы (например, ИИ‑сканирование кода), не подрывая принципы открытости?
- Роль сообщества. Независимые эксперты часто находят уязвимости быстрее, чем внутренние команды. Закрытие кода лишает систему этого «коллективного разума».
- Доверие к государственным системам. Если код закрыт, пользователи не могут проверить, насколько безопасны и надёжны сервисы, за которые они платят налоги.
- Будущее государственного ПО. Должны ли госорганизации использовать открытое ПО по умолчанию? Или приоритет — максимальная защита любой ценой?
Практические последствия
Если NHS реализует план, это может привести к:
- замедлению исправления уязвимостей — меньше глаз проверяют код;
- росту затрат — внутренние команды будут вынуждены самостоятельно искать все проблемы;
- снижению доверия к цифровым сервисам NHS;
- созданию прецедента — другие госорганизации могут последовать примеру NHS.
Что говорят эксперты и сообщество?
Реакция на план NHS была бурной:
- Более 682 человек подписали открытое письмо против политики (платформа Keep Things Open), включая бывшего министра здравоохранения Великобритании Мэтта Хэнкока, назвавшего решение «большой ошибкой».
- Критики отмечают: если мощная ИИ‑модель (например, Anthropic Mythos) уже «просканировала» код до закрытия репозиториев, то сам запрет доступа сейчас ничего не даст.
- Политика NHS противоречит Технологическому кодексу практики Кабинета министров Великобритании, который предписывает использовать открытое ПО в госсекторе.
Вывод: что дальше?
Спор между NHS и FSFE — это не конфликт двух сторон, а поиск баланса между безопасностью и открытостью. Пока NHS называет меры временными, но важно следить, чтобы «временное» не стало постоянным.
Открытый исходный код — не слабость, а сила. Он позволяет миллионам глаз проверять системы, находить проблемы и делать их надёжнее. Закрытие кода ради мнимой безопасности может привести к обратным результатам — уязвимости останутся незамеченными, а доверие к государственным сервисам упадёт.
Друзья, если материал был полезен, поддержите развитие блога! Ваши донаты помогают готовить ещё больше разборов о кибербезопасности, открытом ПО и технологиях, меняющих мир.
Как вы можете помочь:
- Поставьте лайк — это помогает алгоритму Дзена показывать статью другим.
- Поделитесь в соцсетях — пусть больше людей узнают о рисках закрытия кода!
- Подпишитесь на канал — впереди ещё много кейсов о принципах открытого ПО, кибербезопасности и этичном использовании ИИ.
- Сделайте донат (кнопка ниже) — даже небольшая сумма приближает выход новых материалов и улучшает качество контента.
А что думаете вы?
- Должны ли государственные организации публиковать исходный код своих систем?
- Можно ли найти компромисс между безопасностью и открытостью?
- Какие меры защиты от ИИ‑сканирования кода вы считаете эффективными?
- Сталкивались ли вы с ситуациями, когда открытый код помог найти критическую уязвимость?
Пишите в комментариях — обсудим!
До новых встреч!