Der Angriff von Ruby Central auf RubyGems

 (pup-e.com)
1 Punkte von GN⁺ 2025-09-20 | 1 Kommentare | Auf WhatsApp teilen
  • Ruby Central hat kürzlich versucht, die Kontrolle über das RubyGems-Projekt gewaltsam an sich zu ziehen
  • Im September 2025 änderten sich ohne vorherige Ankündigung die GitHub-Berechtigungen und Eigentumsverhältnisse von RubyGems
  • Daraufhin wurden die Berechtigungen vorübergehend wiederhergestellt, die wesentliche Änderung der Eigentümerschaft blieb jedoch bestehen
  • Nachdem dem gesamten Team erneut die Rechte entzogen wurden, übernahm Ruby Central die vollständige Kontrolle
  • Die Autorin bezeichnet dieses Vorgehen als feindliche Übernahme und tritt offiziell von Ruby Central zurück

Einleitung

  • Die Autorin dieses Textes ist Ellen Dash, in der Ruby-Community auch als duckinator oder puppy bekannt
  • Sie ist seit 10 Jahren als Maintainerin in der Ruby-Community und bei RubyGems aktiv
  • Aufgrund der jüngsten Ereignisse sieht sie die Notwendigkeit, der Community die Wahrheit mitzuteilen

Überblick über die Ereignisse im September 2025

  • Am 9. September 2025 hat einer der RubyGems-Maintainer ohne jede Warnung oder vorherige Kommunikation eigenmächtig
    • den GitHub-Enterprise-Namen „RubyGems“ in „Ruby Central“ geändert
    • Marty Haught von Ruby Central (kein Maintainer) hinzugefügt
    • alle übrigen Projektadministratoren von RubyGems entfernt
  • Dieser Maintainer erklärte, er werde diese Änderungen nicht rückgängig machen, und behauptete, dafür sei Martys Zustimmung erforderlich
  • Am 15. September wurde nach Gesprächen mitgeteilt, dass die vorherigen Berechtigungen wiederhergestellt worden seien
    • laut Marty sei dies jedoch ein „Fehler“ gewesen und hätte „niemals passieren dürfen“
    • auch bei der Wiederherstellung blieb die entscheidende Änderung bestehen, dass Marty Eigentümer blieb
  • Das RubyGems-Team begann daraufhin als Reaktion mit der Einführung einer formellen Governance-Richtlinie, inspiriert von Homebrew
  • Am 18. September entzog Marty Haught ohne nähere Erklärung allen Administratoren von RubyGems, Bundler und RubyGems.org die GitHub-Organisationsmitgliedschaft
    • damit lagen sämtliche Kontrollrechte bei Ruby Central und dessen fest angestellten Mitarbeitenden
    • noch am selben Tag wurde durch Ruby Central zusätzlich der Zugriff auf die Gems bundler und rubygems-update entzogen

Charakter der Vorgänge und Position der Autorin

  • Die Autorin bezeichnet diese Ereignisse eindeutig als feindliche Übernahme
  • Sie betont, dass der erzwungene Entzug von Rechten gegenüber den Personen, die RubyGems und Bundler über Jahre hinweg gepflegt haben, seinem Wesen nach feindlich ist
  • Da dieselbe Maßnahme nach dem ersten Hinweis erneut durchgeführt wurde, argumentiert sie, dass das Verhalten von Ruby Central nicht auf gutem Willen beruht
  • Sie erklärt, dazu nicht schweigen zu können, und kündigt an, mit sofortiger Wirkung von allen Rollen bei Ruby Central zurückzutreten

Fazit und Botschaft

  • Ruby Central hat ohne jede Erklärung und gegen den Willen der Autorin sowie des RubyGems-Teams einseitig sämtliche Zugriffe auf RubyGems entzogen

  • Abschließend erhebt sie öffentlich Einspruch gegen diese Maßnahmen und die Organisationspraxis von Ruby Central und erklärt ihre Rücktrittsabsicht

  • Ellen Dash (@duckinator)

    1. September 2025

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-20
Hacker-News-Kommentare

  • Im Beitrag auf /r/ruby ist zu sehen, dass bei Ruby Central bis vor Kurzem noch ein Vorschlag für eine formale interne Governance-Struktur diskutiert wurde. Geteilt wurden ein Link: Reddit-Link sowie ein konkreter Vorschlag. Auch Mike McQuaids Beteiligung, inspiriert von der Governance-Struktur des Homebrew-Projekts, wird erwähnt.

    • Ich möchte helfen, die Situation durch Vermittlung zu verbessern. Ich bin auch jetzt noch in einem Telefonmeeting zu diesem Thema und habe in den letzten 24 Stunden bereits viermal mit beiden beteiligten Seiten gesprochen. Mein Engagement beruht ausschließlich auf meiner Liebe zu Ruby.

    • Auch DHHs Reaktion ist bemerkenswert: "Ruby Central war von Anfang an für Wartung und Betrieb von RubyGems zuständig und hat Administratoren und Entwickler, einschließlich Auftragnehmern, bezahlt. Sie verbessern derzeit Prozesse und Protokolle, und das ist eine gute Entwicklung." DHH-Tweet

  • Es gibt ein Update zur offiziellen Stellungnahme von Ruby Central: Es geht um die Stärkung der Verwaltung von RubyGems und Bundler. News-Link

    • "Wir sprechen allen Maintainern, die in den vergangenen 20 Jahren zu Bundler und RubyGems beigetragen haben, unseren tiefen Dank aus. Ohne ihre Arbeit wäre das heutige Ruby-Ökosystem nicht möglich gewesen. Dieses Vermächtnis wollen wir im Geist von Offenheit und Zusammenarbeit weiterführen." Der hervorgehobene Teil passt nicht dazu, dass faktisch alle Teams ohne Vorankündigung hinausgeworfen wurden. Ein Ansatz nach dem Motto "Danke für eure Arbeit, jetzt übernehmen die Erwachsenen" hat fast nie gut funktioniert.

    • Sie sagen zwar, sie "drücken den Maintainern Dank und Respekt aus", haben sie aber ohne Erklärung aus den Projekten entfernt oder auf Fragen nicht geantwortet. Wenn ich an die Maintainer denke, die nach mehr als zehn Jahren aus Projekten ausgeschlossen wurden, die sie beschützt haben, macht mich das traurig. So sollte niemand behandelt werden.

    • Tatsächlich wurden viele langjährige Maintainer offenbar aus rechtlichen oder Sicherheitsgründen willkürlich und plötzlich ausgesperrt. Falls es dafür wirklich einen dringenden und substanziellen Grund gab, der sofortiges Handeln erforderte, sollte man konkrete Informationen vorlegen statt PR-Botschaften im Unternehmensstil.

    • Wenn das der Sicherheit dienen sollte, ist es eine wirklich seltsame Vorgehensweise. Die geplante Änderung der Github-Eigentümerschaft und das abrupte Entfernen erfahrener Leute ohne irgendeine Übergabe vergrößern nur das Risiko und untergraben das Vertrauen in die Verwaltung (basierend auf dem ursprünglichen Artikel).

    • Das liest sich wie eine nachträgliche Rechtfertigung. Solche wichtigen Änderungen hätte man den Maintainern intern vorher mitteilen müssen, statt sie so plötzlich zu schockieren.

  • Es schmerzt mich, an die RubyGems-Community zu denken, und ich möchte Dank und Mitgefühl ausdrücken. Ruby war für meine Karriere ein großer Sprung, und ich hänge an dieser Sprache und Community. Ich werde zunächst auf Ruby Centrals Erklärung warten, aber nach dem, was bisher bekannt ist, wirkt das weder transparent noch gutwillig. Ich frage mich, ob Ruby Central dazu bereits Stellung genommen hat. Ich wünsche der Ruby-Community viel Kraft und hoffe auf einen Übergang zu einer community-eigenen Organisation, in welcher Form auch immer. (Nach NPM und WordPress jetzt also auch Ruby; es fühlt sich an, als würden Paket-Repositories zu Schauplätzen von Unternehmensübernahmen.)

  • Die jüngsten Maßnahmen von Ruby Central — langjährige Maintainer von RubyGems und Bundler ohne Vorwarnung zu entfernen und Verwaltungsrechte einseitig auf wenige zu konzentrieren — haben dem Vertrauen im Ruby-Ökosystem schweren Schaden zugefügt. Das ist kein bloßes Missverständnis, sondern eine feindliche Übernahme zentraler Infrastruktur, die die langjährige Verwaltung und die gesamte Community, die auf diese Tools angewiesen ist, geschwächt hat. Im Ruby-Ökosystem stehen Zusammenarbeit, Offenheit und gegenseitiger Respekt im Mittelpunkt. Doch die Reihe von Handlungen, die wir in der vergangenen Woche gesehen haben, widerspricht diesen Prinzipien frontal: einseitiger Zugriff, Ausschluss erfahrener Personen und nicht öffentliche Entscheidungen. Eine solche Machtkonzentration lehne ich klar ab. Hinzu kommen Sorgen, dass der Zugang von Beitragenden vom Beschäftigungsstatus oder von Ideologie abhängig gemacht wird. Open Source sollte auf Erfahrung, Engagement und Vertrauen basieren. Wenn Ruby Central die Community wirklich unterstützen will, muss Folgendes geschehen: - sofortige Wiederherstellung der Rechte aller durch diesen Vorfall entfernten Administratoren - öffentliche Zusage eines transparenten, community-zentrierten Governance-Modells (ähnlich dem, das das RubyGems-Team vorbereitet hatte) - Respekt vor der Autonomie von Open-Source-Maintainern unabhängig davon, ob sie zu Ruby Central gehören - Eingeständnis dieses Schadens und Beginn eines öffentlichen Dialogs zur Wiederherstellung von Vertrauen Die Stärke der Ruby-Community liegt in den Menschen, in ihrer Vielfalt, Leidenschaft und Liebe zur Sprache. Jetzt ist der Zeitpunkt gekommen, von den Institutionen, die behaupten, uns zu vertreten, ein entsprechend verantwortliches Handeln zu verlangen. Falls Ruby Central dazu nicht bereit ist, sollte man Sponsoren unter Druck setzen, ihre Unterstützung einzustellen, und letztlich unsere eigene Infrastruktur aufbauen, die frei von diesem Chaos ist. Zur Wiederherstellung des Vertrauens wäre auch die Entlassung der Verantwortlichen für diesen Vorfall nötig. Ruby-Level(Top)-Sponsoren: Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • In der offiziellen Ankündigung heißt es zwar: "Wir legen Wert auf Offenheit und Zusammenarbeit", aber es wird nicht einmal erklärt, was mit dieser Offenheit gemeint ist, und nicht einmal, wer den Text geschrieben hat.

    • In "was wir in der vergangenen Woche gesehen haben" ... wer ist "wir", und was genau wurde beobachtet? Bisher haben wir nur die Darstellung einer Seite gehört. Wenn es solche Änderungen gegeben hat, hätte es sofort eine öffentliche Ankündigung geben müssen. Da Ruby Central RubyGems über viele Jahre hinweg aufgebaut und betrieben hat, fällt es mir auch schwer, das überhaupt als "Übernahme" zu bezeichnen. Wenn sich herausstellt, dass wirklich böswillig gehandelt wurde, kritisiere ich das gerne mit, aber vorher möchte ich auch die andere Seite hören. Hier ist der 35 Minuten später veröffentlichte Link zur offiziellen Erklärung von Ruby Central: offizielle News

    • Ich frage mich, warum in dem Kommentar unbedingt die Sponsorenliste am Ende aufgenommen wurde. Woher kommt die Sorge, dass Zugriffsrechte je nach Beschäftigungsstatus oder Ideologie unterschiedlich vergeben würden? Das wurde im Haupttext nirgends erwähnt. Ich frage mich auch, ob beim Verfassen des Kommentars ein LLM-Tool verwendet wurde.

  • Es scheint relevant zu sein, daher lasse ich nur den folgenden Link hier; ich verfolge den Vorfall selbst nicht aktiv. Verwandter Beitrag

    • Es gibt die Aussage: "Ein konkreter Grund ist, dass kürzlich mehrere Rubygems-Administratoren (einschließlich des einzigen festangestellten Engineers) wegen des Problems einer fortgesetzten Beziehung zu DHH zurückgetreten sind." Ist mit dieser Beziehung die zwischen Ruby Central und DHH gemeint oder die zwischen den Maintainern und DHH? In jedem Fall braucht es mehr Erklärung dazu, wer warum darin ein Problem sieht. Bearbeitung: Der Beitrag wurde klarer formuliert. Es geht um die Situation zwischen RC und DHH. Ich frage mich, warum die Administratoren darin ein Problem sehen. War der ursprüngliche Grund nicht eher, dass RC ohne Vorwarnung die Mehrheit ausgesperrt hat?

  • Ruby Central hat über Jahre hinweg Mittel beschafft und eigene Projekte betrieben; für die Behauptung, die Organisation würde ihr eigenes Projekt "angreifen", sehe ich zu wenig Grundlage. Ich weiß nicht, was im Github Enterprise passiert ist, aber auf dem öffentlichen Github ist vieles ziemlich transparent. Marty leistet zuletzt viele Beiträge im Zusammenhang mit Orgs-Funktionen. Ich nutze rubygems.org und mein Fork von rubygems.org jeden Tag intensiv. Dieses Projekt ist eindeutig ein öffentliches Gut. Es ist bedauerlich, wenn jemand — einschließlich ehemaliger Mitarbeiter — sich von persönlichen Gefühlen mitreißen lässt und dabei versucht, dem gesamten Projekt zu schaden. Unzählige DAU haben diese Plattform stabil genutzt. Auftragnehmer kommen und gehen nun einmal. Im Commit-Log der letzten 24 Monate desjenigen, der hier den Vorwurf erhebt (ein ehemaliger Mitarbeiter), ist keine besondere Beitragstätigkeit zu erkennen. Vielleicht übersehe ich etwas; Korrekturen sind willkommen. Beitragsverlauf

  • Ich wünschte, jemand mit besserem Einblick in die Entscheidungsprozesse von Ruby Central würde die Lage erklären. Wegen früherer Probleme rund um den Konferenzbetrieb ist das zusätzlich verwirrend. Zuletzt schienen sie mit Podcast-Start, Fundraising und E-Mail-Kampagnen beschäftigt zu sein. Ich frage mich, ob es Veränderungen in der Führung gab.

    • Ja, vor Kurzem wurde ein neuer Executive Director eingestellt.

    • Ich weiß immer noch nicht genau, warum RailsConf eingestellt wurde. Ich vermute, die wichtigsten Sponsoren haben eher Rails World unterstützt.

  • Ich war bei Shopify der Erste, der vorgeschlagen hat, Geld für RubyGems (und indirekt Ruby Central) bereitzustellen. Dass es nun zu dieser Situation gekommen ist und ich dazu beigetragen habe, das möglich zu machen, ist mir peinlich.

    • Aus Sicht von Shopify dürfte es jetzt die Möglichkeit geben, einen Gesprächskanal mit Ruby Central zu öffnen. Man könnte womöglich Druck machen nach dem Motto: "Wenn ihr die Situation nicht erklärt, stellen wir die Finanzierung ein."

  • Ich fand es beruhigend, dass die Ruby-Community wie durch ein Wunder frei von kleinlichen Streitigkeiten oder gutmeinenden Übernahmen der Verwaltung geblieben war, aber das ist jetzt offenbar nicht mehr so. Den Maintainern möchte ich wirklich sagen, wie leid mir das für sie tut.

    • Ich ertappe mich dabei, wie ich die Zeit vermisse, in der man sagte: "Matz ist nett, also sind wir es auch."

  • Ruby Central muss klar erklären, was es gerade tut. So wie es derzeit aussieht, wirkt das ziemlich destruktiv und kommunikativ äußerst schwach.