Ruby CentralによるRubyGemsへの攻撃

 (pup-e.com)
1 ポイント 投稿者 GN⁺ 2025-09-20 | 1件のコメント | WhatsAppで共有
  • Ruby Central が最近、RubyGemsプロジェクト の管理権を強制的に奪おうとする動きを見せた
  • 2025年9月、事前通知なしにRubyGemsの GitHub権限 と所有者が変更された
  • これに対して一時的に権限の復元はあったものの、核心的な所有権の変更は維持された
  • 再びチーム全員の権限が剥奪され、Ruby Central がすべての制御権を握った
  • 筆者はこの行為を 敵対的買収 と位置づけ、Ruby Centralを正式に辞任した

序論

  • 本文の筆者は Ellen Dash で、Rubyコミュニティでは duckinator または puppy として知られている人物である
  • RubyコミュニティとRubyGemsで10年間メンテナーとして活動してきた
  • 最近起きた事態により、コミュニティに真実を知らせる必要を感じた

2025年9月に起きた出来事の概要

  • 2025年9月9日、何の警告も事前のコミュニケーションもないまま、RubyGemsメンテナーの一人が単独で
    • GitHub の「RubyGems」エンタープライズ名を「Ruby Central」に変更
    • Ruby Central の Marty Haught(非メンテナー)を追加
    • そのほかのRubyGemsプロジェクト管理者を全員削除
  • 当該メンテナーはこの変更を元に戻さないとし、Marty の許可が必要だと主張した
  • 9月15日、対話の後に以前の権限復旧があったと明かされたが
    • Marty の説明によればそれは「ミス」であり、「決して起きてはならない」ことだと強調された
    • 復旧の過程でも、Marty がオーナーとして残るという重要な変更はそのまま維持された
  • RubyGemsチームはこれに対応して、Homebrew に着想を得た公式なガバナンスポリシーの導入を開始した
  • 9月18日、Marty Haught は RubyGems、Bundler、RubyGems.org のすべての管理者のGitHub組織メンバーシップを特段の説明なく剥奪した
    • その結果、Ruby Central とその正規職員がすべての制御権を持つことになった
    • 同日、bundler、rubygems-update gem へのアクセス権も Ruby Central によって追加で回収された

事態の性格と筆者の立場

  • 筆者はこれらの出来事を 敵対的買収 だと明確に位置づけている
  • 長年 RubyGems および Bundler を保守してきた人々に対する強制的な権限剥奪は、本質的に敵対的であると強調している
  • 最初の指摘の後にも同じ措置が再び行われたことから、Ruby Central の行動は善意に基づくものではないと主張している
  • これについて沈黙することはできないと表明し、直ちに Ruby Central におけるすべての役職を辞任すると宣言した

結論とメッセージ

  • Ruby Central は何の説明もなく、筆者および RubyGems チームの意思に反して、RubyGems へのすべてのアクセス権を一方的に剥奪した

  • 最終的に、Ruby Central のこのような措置と組織運営方針に公然と異議を唱え、辞職の意思を明らかにした

  • Ellen Dash (@duckinator)

  • 2025年9月19日

関連記事

1件のコメント

 
GN⁺ 2025-09-20
Hacker Newsのコメント

  • /r/ruby に投稿された内容を見ると、つい最近まで Ruby Central 内部で公式な組織ガバナンス構造の提案が議論されていたことがわかる。リンク: reddit リンク および 具体的な提案書 が共有されている。Homebrew プロジェクトのガバナンス構造に着想を得た Mike McQuaid の関与にも触れられている

    • 私は仲裁を通じてこの状況の助けになりたい。今もこの件に関する電話会議の最中で、過去24時間で当事者双方と4回も話し合った。私が関わっている理由は、ひとえに Ruby への愛情からだ

    • DHH の反応も注目に値する: "Ruby Central は当初から RubyGems の保守と運営を担っており、契約者を含む管理者や開発者に報酬を支払ってきた。彼らは手続きとプロトコルを改善しようとしており、これは良い動きだ" DHH のツイート

  • Ruby Central の公式見解の更新が出た。RubyGems と Bundler の管理体制強化に関する内容だ ニュースリンク

    • "過去20年間にわたり Bundler と RubyGems に貢献してきたすべてのメンテナーに深く感謝する。彼らの努力なくして現在の Ruby エコシステムはあり得なかった。その遺産をオープンさと協力の精神で引き継いでいく" という強調部分は、実質的にすべてのチームを事前通知なしに追い出したことと整合しない。"お疲れさま、あとは大人たちに任せて" 的なやり方がうまくいった例はほとんどない

    • "メンテナーに感謝と敬意を表する" と言いながら、実際には説明もなく彼らをプロジェクトから外し、質問にも応じなかった。10年以上守ってきたプロジェクトから排除されたメンテナーたちを思うと胸が痛む。こんな扱いを受けるべきではない

    • 実態としては、法的またはセキュリティ上の理由を口実に、長年活動してきた多数のメンテナーを恣意的かつ突然に締め出したように見える。もし本当に緊急に対応すべき実質的な理由があったのなら、企業的な PR メッセージではなく具体的な情報を示すべきだ

    • セキュリティを強化する意図なのだとしたら、本当に奇妙なやり方だ。進められている GitHub の所有権変更や、経験豊富な人員を何の引き継ぎもなく突然追い出すことは、(元の記事の内容に基づけば)リスクを増やし、運営への信頼を損なうだけの方法に見える

    • 後付けの言い訳のように読める。こうした重要な変更は、こんなふうに突然の衝撃を与えるのではなく、メンテナーに事前に内部で伝えるべきだった

  • RubyGems コミュニティのことを思うと心が痛むし、感謝と共感を伝えたい。Ruby は私のキャリアに大きな飛躍をもたらしてくれたし、この言語とコミュニティに愛着がある。ひとまず Ruby Central の説明を待つつもりだが、今出ている内容を見る限り、透明性も善意も感じられない。Ruby Central が何か立場表明をしているのか気になる。Ruby コミュニティには頑張ってほしいし、どのような形であれコミュニティ所有の組織への移行が実現してほしい。(NPM、WordPress に続いて今度は Ruby まで、パッケージリポジトリが企業買収の主戦場になりつつあるように感じる)

  • Ruby Central が最近行った措置――長年活動してきた RubyGems および Bundler のメンテナーを事前警告なしに追い出し、管理権限を一方的に少数へ集中させた行為――は、Ruby エコシステム内の信頼に深刻なひびを入れた。これは単なる誤解ではなく、主要インフラに対する敵対的買収であり、長年の運営陣と、これらのツールに依存するコミュニティ全体を弱体化させた。Ruby エコシステムの核にあるのは協力、公開、相互尊重だ。しかしこの1週間に見られた一連の行動は、一方的なアクセス、経験者の排除、非公開の意思決定など、そうした原則を真っ向から否定している。こうした権力集中には明確に反対する。さらに、貢献者のアクセスが雇用状況やイデオロギーによって左右されるのではないかという懸念もある。オープンソースは経歴、献身、信頼を基盤とすべきだ。もし Ruby Central が本当にコミュニティを支える意思があるなら、次の対応を取るべきだ - 今回の事態で外されたすべての管理者の権限を即時回復すること - コミュニティ中心の透明なガバナンスモデルを公開で約束すること(RubyGems チームが準備していたものに近い形で) - Ruby Central 所属かどうかに関係なく、オープンソースメンテナーの自律性を尊重すること - この被害を認め、信頼回復のための公開対話を始めること Ruby コミュニティの力は人にあり、多様性と情熱、この言語を愛する気持ちから生まれている。今こそ、私たちを代表すると名乗る組織にも、それにふさわしい行動を求めるべき時だ。もし Ruby Central がこれに応じないなら、スポンサーが支援停止の圧力をかけるべきであり、最終的にはこうした混乱を離れた独自のインフラを築いていくべきだと思う。信頼回復のためには、この件の責任者の解任も必要だ。Ruby-Level(Top)スポンサー: Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • 公式発表では "私たちはオープンさと協力を重視する" とあるが、そのオープンさが何を意味するのかさえ明示されておらず、誰が書いたのかも示されていない

    • "私たちが見た1週間" ...の "私たち" とは誰のことなのか、また正確に何を目撃したのか気になる。現時点では片側の主張しか出ていない。こうした変化があったのなら、すぐに公表があるべきだったが、RubyGems を長年立ち上げて運営してきたのは Ruby Central なのだから、これを事実上の「買収」と呼ぶのもしっくりこない。もし本当に悪意ある動きなら私も批判に加わるが、その前に相手側の話も見ておきたい。35分後に出た Ruby Central の公式発表へのリンクを添えておく 公式ニュース

    • コメントに末尾のスポンサー一覧をわざわざ含めた理由が気になる。雇用状況やイデオロギーによってアクセス権が変わるという懸念はどこから出てきたのか、本文のどこにも見当たらない。コメント作成に LLM ツールを使ったのかどうかも気になる

  • 関連がありそうなのでリンクだけ置いておく。実際にはこの件を追っているわけではない 関連投稿

    • "具体的な理由は、最近複数の RubyGems 管理者(唯一のフルタイムエンジニアを含む)が DHH との関係継続の問題で辞任したことだ" という記述がある。ここでいう関係とは Ruby Central と DHH のことなのか、それとも管理陣と DHH のことなのか。どちらにせよ、誰がなぜこの点を問題視しているのか、さらに説明が必要だ。修正: 投稿が明確に整理された。RC と DHH の件だ。管理者たちがなぜそれを問題と感じるのか気になる。元々の問題は、RC が警告なしに大半を締め出したことではなかったのだろうか

  • Ruby Central は長年にわたって資金を確保し、自前のプロジェクトを運営してきたのだから、自分のプロジェクトを自ら「攻撃」しているという主張には根拠が乏しい。GitHub Enterprise 上で何が起きているのかは知らないが、公開 GitHub 上ではかなり透明だ。Orgs 機能まわりでは Marty が最近多くの貢献をしている。私は毎日 rubygems.org と、自分が fork した rubygems.org を積極的に使っている。このプロジェクトは明らかに公共財だ。元従業員を含め、誰かが個人的感情に巻き込まれてプロジェクト全体を傷つけようとしているのだとしたら残念だ。非常に多くの DAU がこのプラットフォームを安定して使ってきた。契約社員は常に入れ替わるものだ。問題提起者(元従業員)の直近24か月の commit log には目立った貢献が見当たらない。見落としているだけかもしれないので、間違っていれば指摘してほしい 貢献履歴

  • Ruby Central の意思決定にもっと詳しい人が状況を説明してくれるといいのだが。以前のカンファレンス運営に関する問題も重なっていて混乱している。最近はポッドキャストの立ち上げ、資金集め、メールキャンペーンで忙しそうだった。リーダーシップに変化があったのだろうか

    • そう、最近 Executive Director が新たに採用された

    • RailsConf をなぜやめたのか、いまだにはっきりわからない。おそらく主要スポンサーが Rails World の方を後押ししたのではないかと推測している

  • Shopify で最初に RubyGems(そして間接的に Ruby Central)に資金提供すべきだと提案したのは私だった。なのにこんな事態になり、結果的にそれを可能にしてしまったことを恥ずかしく思う

    • Shopify には今、Ruby Central との対話の窓口を開かせる力がありそうだ。"状況を説明しなければ資金提供を止める" といった形で圧力をかけられるかもしれない

  • Ruby コミュニティが、些細な内紛や善意の運営体制の乗っ取りのようなものから奇跡的に無縁でいられたことに慰めを感じていたが、もうそうではなくなってしまった。メンテナーたちには本当に気の毒だと言いたい

    • "Matz が優しいから、私たちも優しい" と言われていた時代が懐かしい

  • Ruby Central は今何をしているのか、明確に説明する必要がある。現状だけを見ると、かなり破壊的で、コミュニケーションもひどいように見える