Ruby CentralによるRubyGemsへの攻撃

• Ruby Central が最近、RubyGemsプロジェクト の管理権を強制的に奪おうとする動きを見せた
• 2025年9月、事前通知なしにRubyGemsの GitHub権限 と所有者が変更された
• これに対して一時的に権限の復元はあったものの、核心的な所有権の変更は維持された
• 再びチーム全員の権限が剥奪され、Ruby Central がすべての制御権を握った
• 筆者はこの行為を 敵対的買収 と位置づけ、Ruby Centralを正式に辞任した

序論

• 本文の筆者は Ellen Dash で、Rubyコミュニティでは duckinator または puppy として知られている人物である
• RubyコミュニティとRubyGemsで10年間メンテナーとして活動してきた
• 最近起きた事態により、コミュニティに真実を知らせる必要を感じた

2025年9月に起きた出来事の概要

• 2025年9月9日、何の警告も事前のコミュニケーションもないまま、RubyGemsメンテナーの一人が単独で
  • GitHub の「RubyGems」エンタープライズ名を「Ruby Central」に変更
  • Ruby Central の Marty Haught（非メンテナー）を追加
  • そのほかのRubyGemsプロジェクト管理者を全員削除
• 当該メンテナーはこの変更を元に戻さないとし、Marty の許可が必要だと主張した
• 9月15日、対話の後に以前の権限復旧があったと明かされたが
  • Marty の説明によればそれは「ミス」であり、「決して起きてはならない」ことだと強調された
  • 復旧の過程でも、Marty がオーナーとして残るという重要な変更はそのまま維持された
• RubyGemsチームはこれに対応して、Homebrew に着想を得た公式なガバナンスポリシーの導入を開始した
• 9月18日、Marty Haught は RubyGems、Bundler、RubyGems.org のすべての管理者のGitHub組織メンバーシップを特段の説明なく剥奪した
  • その結果、Ruby Central とその正規職員がすべての制御権を持つことになった
  • 同日、bundler、rubygems-update gem へのアクセス権も Ruby Central によって追加で回収された

事態の性格と筆者の立場

• 筆者はこれらの出来事を 敵対的買収 だと明確に位置づけている
• 長年 RubyGems および Bundler を保守してきた人々に対する強制的な権限剥奪は、本質的に敵対的であると強調している
• 最初の指摘の後にも同じ措置が再び行われたことから、Ruby Central の行動は善意に基づくものではないと主張している
• これについて沈黙することはできないと表明し、直ちに Ruby Central におけるすべての役職を辞任すると宣言した

結論とメッセージ

• Ruby Central は何の説明もなく、筆者および RubyGems チームの意思に反して、RubyGems へのすべてのアクセス権を一方的に剥奪した

• 最終的に、Ruby Central のこのような措置と組織運営方針に公然と異議を唱え、辞職の意思を明らかにした

• Ellen Dash (@duckinator)

• 2025年9月19日