Shopify übt Einfluss auf Ruby Central aus und erzwingt die Übernahme von Bundler und RubyGems

 (joel.drapper.me)
1 Punkte von GN⁺ 2025-09-24 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Ruby Central hat Open-Source-Projekte wie Bundler und RubyGems ohne Zustimmung der bisherigen Maintainer übernommen
  • Hintergründe sind vor allem der finanzielle Druck durch Shopify und die Geldnot von Ruby Central; dabei wurden bestimmte Maintainer aus den Projekten ausgeschlossen
  • Der Prozess der erzwungenen Übertragung von GitHub-Repositories und gem-Eigentum lief nicht öffentlich ab und führte zu Verwirrung und Widerstand in der Community
  • Ruby Central und Shopify rechtfertigten dies mit Verantwortung für Sicherheit und Infrastruktur, tatsächlich geht es im Kern jedoch um Eigentumsfragen und eine Vertrauenskrise in der Community
  • Einige frühere Maintainer konzentrieren sich nun auf die Konkurrenzprojekte Spinel und rv und suchen nach neuen Ansätzen für das Ruby-Ökosystem

Überblick

Ruby Central hat kürzlich Eigentum und Kontrolle über wichtige Open-Source-Projekte wie Bundler und RubyGems einseitig und ohne Zustimmung der bisherigen Maintainer übernommen. In diesen Vorgang verwoben sind finanzieller Druck durch Shopify, die Geldnot von Ruby Central, der Ausschluss zentraler Maintainer und Verwirrung in der Community.

Zusammenfassung der wichtigsten Ereignisse

  • Ruby Central hatte mit finanziellen Schwierigkeiten zu kämpfen; Sidekiq zog seine jährliche Förderung von 250.000 US-Dollar zurück, nachdem DHH zur RailsConf eingeladen worden war
  • Infolgedessen wurde Ruby Central stark von Shopify abhängig
  • Shopify verlangte von Ruby Central die vollständige Übernahme der GitHub-Repositories sowie des Eigentums an Bundler und dem Gem rubygems-update und setzte mit dem Entzug von Fördergeldern unter Druck, falls dies nicht umgesetzt würde
  • Beim Übernahmeprozess wurden zentrale Maintainer, insbesondere André Arko, ausgeschlossen, und die Umstellung wurde ohne Zustimmung der Community erzwungen
  • Der Ablauf des Vorfalls und die internen Diskussionen wurden nach außen hin schnell und nicht öffentlich abgewickelt, wodurch viele wichtige Mitglieder der Community ausgeschlossen wurden

Detaillierter Ablauf der Übernahme von Bundler und RubyGems

Ausgangslage

  • Am 9. September änderte Hiroshi Shibata (HSBT) den Namen des RubyGems-GitHub-Enterprise-Kontos in „Ruby Central“, fügte Marty Haught als neuen Owner hinzu und entzog den bisherigen Maintainers teilweise ihre Rechte
  • Nachdem diese Maßnahme problematisiert wurde, wurden einige Rechte wiederhergestellt; die Hinzufügung von Marty als Owner wurde jedoch nicht rückgängig gemacht

Diskussion über Eigentum und die Abgrenzung von Services

  • Das RubyGems-Sourcecode-Repository wird von der Community besessen und verwaltet
  • Der RubyGems Service ist ein von Ruby Central separat betriebener Infrastruktur-Service
  • Obwohl diese beiden Konzepte klar voneinander getrennt werden müssten, vermischte Ruby Central sie und nutzte dies als Grundlage für den Eigentumsanspruch

Entzug von Rechten und Vollzug der Übernahme

  • Um den 18. September herum verloren die bisherigen Maintainer erneut ihre Zugriffsrechte und wurden aus den Konten bei GitHub, Fastly und rubygems.org ausgeschlossen
  • Der Vorstand von Ruby Central beschloss in einer Abstimmung die erzwungene Übernahme der GitHub-Repositories und des gem-Eigentums; Marty setzte dies allein um

Vertiefte Abhängigkeit von Ruby Central von Shopify

  • Durch die Einladung von DHH zur RailsConf verlor Ruby Central bestehende Förderung durch Sidekiq, wodurch sich die Finanzstruktur auf Shopify konzentrierte
  • Während der Rails World wurden zwischen wichtigen Personen und Unternehmen wie Ruby Central, Rails Core, Shopify und GitHub Bedingungen für langfristige Förderung diskutiert; dabei wurden der Ausschluss bestimmter Maintainer und die Übertragung von Eigentum als Bedingungen eingefordert
  • Auch innerhalb des Vorstands herrschte die Einschätzung, dass „die einzige andere Option darin bestanden hätte, die Schließung von Ruby Central einzuleiten“

Umsetzung der Übernahme und Reaktion der Community

  • Der Vorstand von Ruby Central erteilte Marty die Befugnis, die Übernahme sofort umzusetzen; Shopify stellte Engineers bereit, um die On-Call-Struktur schnell umzustellen
  • Nachdem Ellen dies als Erste öffentlich gemacht hatte, veröffentlichte Ruby Central eine offizielle Stellungnahme mit der Begründung, die „Sicherheit der Supply Chain“ zu stärken
  • Intern wurden Sicherheits- und personelle Vertrauensprobleme betont; tatsächlich lag das Kernproblem jedoch in einem nicht legitimierten Eigentumsübergang und fehlendem Konsens in der Community

Aussagen zentraler Personen und Streitpunkte

  • DHH veröffentlichte einen Tweet zur Unterstützung der Übernahme von Bundler/Gems, hatte sich jedoch in der Vergangenheit bei einem Fall der erzwungenen Übernahme von WordPress-Plugins gegenteilig geäußert, was Kritik an fehlender Konsistenz auslöste
  • Der Vorstand von Ruby Central und einige Beteiligte sorgten für Verwirrung, indem sie Äußerungen machten, die den Betrieb der RubyGems.org-Infrastruktur mit dem Eigentum am Sourcecode-Repository vermischten
  • Shun Cureton und andere erklärten, die Abstimmung mit den Maintainers habe innerhalb der verfügbaren Zeit nicht stattfinden können, daher seien die Rechte nur vorübergehend eingeschränkt worden. Dennoch ist ein dauerhafter Ausschluss einiger früherer Maintainer wahrscheinlich

Das Auftreten von Spinel und rv

  • Frühere Maintainer von Bundler und RubyGems wie André Arko und Samuel Giddins gründeten die neue Genossenschaft Spinel und begannen mit der Entwicklung des neuen Ruby-Verwaltungstools rv
  • rv zielt darauf ab, umfangreiche Verwaltungsfunktionen für gems, Ruby-Versionen, Abhängigkeiten und binäre Vorpaketierung zu integrieren und will mehrere bestehende Tools wie rvm, rbenv, bundler und rubygems ersetzen
  • Teile von Shopify und Rails Core sehen in Spinel und rv eine potenzielle Bedrohung für ein zentralisiertes Ruby-Ökosystem

Fazit und Bedenken

  • Es ist unklar, ob Ruby Central das Eigentum an Bundler und RubyGems künftig wieder an die Community zurückgeben wird
  • Dass der Vorstand von Ruby Central die erzwungene Übernahme ohne Zustimmung trotz ausreichender Kenntnis der Folgen und Alternativen durchführte, hat dem Vertrauen der Community schweren Schaden zugefügt
  • Kritisiert wird zudem eine Governance-Struktur, die gegenüber dem Druck von Unternehmen wie Shopify anfällig ist; gleichzeitig wird die Notwendigkeit neuer Community-Alternativen wie Spinel hervorgehoben

Disclosure

  • Der Autor war von 2017 bis 2022 bei Shopify beschäftigt

Disclaimer

  • Diese Zusammenfassung ist die Einschätzung eines Nichtfachmanns und basiert auf Interviews mit mehreren Stakeholdern sowie auf Sitzungsprotokollen. Auslassungen und Fehler sind möglich.

Changelog

    1. September 2025: Einige Namen von Teilnehmenden der Rails World entfernt, Zitat von DHH zu WordPress ergänzt

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.