近日,Ruby 社区爆发一场围绕 RubyGems 与 Bundler 的“控制权争夺”风波。
作为 Ruby 生态最重要的包管理与依赖工具,它们的控制权未经长期维护者同意突然被 Ruby Central 完全接管:包括将 RubyGems GitHub 企业组织被重命名为 “Ruby Central”,移除众多维护者的权限(停用他们邮件账号和撤销对 RubyGems 的所有权),此事引发了广泛关注。
-
RubyGems 和 Bundler 是 Ruby 生态系统中非常核心的开源工具,用于包管理与依赖解决。
-
Ruby Central 是一个非营利组织,负责维护 RubyGems / Bundler 等核心基础设施。
-
Shopify 是 Ruby 社区里的重要公司用户和资助者,在 Ruby 生态中有很大影响力。
报道指出,此事与资金问题密切相关。Ruby Central 在失去部分赞助后,对大型企业 Shopify 的支持依赖加深,而 Shopify 据称要求 Ruby Central 接管 RubyGems 相关 GitHub 组织及核心 gem 的管理权。9 月初以来,多个资深维护者被移出项目,GitHub 组织更名为 “Ruby Central”,权限结构被彻底调整。
时间线梳理
- Ruby Central 失去一个重要赞助商(Sidekiq),每年承诺 25 万美元被撤出。
- 在财政压力下,Ruby Central 对 Shopify 的资金支持产生依赖。
- Shopify 要求 Ruby Central 接管 RubyGems GitHub 组织及若干核心 gem(如 bundler、rubygems-update),否则威胁停止资金支持。
- 9 月 9 日起,一系列动作启动:RubyGems GitHub 企业组织被重命名为 “Ruby Central”,增加新拥有者 Marty Haught,降级其他维护者权限。
- 之后部分变更被回滚,但 Haught 仍保留拥有者身份。
- 到 9 月 18 日,多个维护者被完全移出、GitHub 组织访问被撤销,许多相关邮箱也被停用。核心 gem 的控制权被重新收归 Ruby Central。
- 被移除的维护者中包括 André Arko 等资深贡献者。
- 有指控称 Ruby Central 董事会在维护者反对下仍通过了这一变动。
Ruby Central 在声明中表示,此举是出于“软件供应链安全”考量,需要集中权限以制定新的安全策略。他们强调部分变更仅涉及 GitHub 仓库管理,而非生产系统。
不过,社区对这一 “突然接管” 颇感不满,一些维护者因此发起了 Spinel 项目,希望打造新的 Ruby 包管理工具,以维持社区的多样性和独立性。
(文/开源中国)