Ruby CentralがRubyGemsを乗っ取り!Rubyエコシステムに激震走る
引用元:https://news.ycombinator.com/item?id=45299170
/r/rubyの投稿[1]に詳細があるよ。昨日までメンテナーたちが組織のガバナンス構造について提案してたんだって。Mike McQuaidもHomebrewの構造に影響を受けた提案に関わってたみたい。
[1]: https://old.reddit.com/r/ruby/comments/1nkzszc/ruby_centrals…
[2]: https://github.com/rubygems/rfcs/pull/61
俺はできる限り仲裁に入ろうとしてるんだ。今も電話で話してるし、過去24時間で両サイドの関係者と4回も話したよ。Rubyが大好きなだけで、それ以上の関わりはないけどね。
Blueskyに更新を投稿したよ: https://bsky.app/profile/mikemcqua.id.com/post/3lz7klsyue22fTL;DR: 両サイドから色々聞いたけど、個人的な扱い方を見てもRuby Centralに責任があると言わざるを得ないね。俺はHomebrewのメンテナーを16年やってるから、メンテナー側の気持ちがよくわかる。何かあったらメンテナーを支持するよ。
もちろん、でもそれって別々の話だろ。メンテナーはプロジェクト、Ruby Centralはパッケージインデックスの責任者なんだ。それぞれ優先順位が違うのは当然。もし折り合いがつかないなら、別々の道を歩むべきなんじゃないか?
別々の道を?確かに。でも今回は、Ruby Centralがパッケージインデックスの責任者なのに、ほとんどのメンテナーをプロジェクトから追い出して、そこでも主導権を握ろうとしてるんだ。これは問題だよ。
どうやって自分たちのプロジェクトからメンテナーを追い出せるんだ?もし俺のプロジェクトがyawaramin/foobarだったら、Ruby Centralが俺をメンテナーから外すなんてできるのか?
このスレッドはもう終わりっぽいけど、役立つなら答えるね。プロジェクトは個人のアカウントじゃなくて、GitHubの組織アカウントだったんだ。一部のメンテナーがその組織の「オーナー」権限を持ってて、そのうちの一人が乗っ取りを始めたんだよ。詳しくは[2]を見てくれ。
[1]: Shopify, pulling strings at Ruby Central, forces Bundler and RubyGems takeover - https://news.ycombinator.com/item?id=45348390 - September 2025 (107+ comments)
[2]: https://joel.drapper.me/p/rubygems-takeover/#the-takeover
それってアホな行動じゃないか?元のメンテナーはプロジェクトを別の場所に移すだけだろうし、「公式」プロジェクトは実質的に死んだも同然だ。これはRubyエコシステムにとって自殺行為だよ。
彼らは、Ruby gemとそれがパッケージするオープンソースプロジェクトが別物だとするDebianみたいなやり方を考えてるのかな?
Rubyのエコシステムは知らんけど、この混乱を仲介しようとしてる人がいるのはすごいね。ありがとう!
DHHからの返信も注目だね。「Ruby Centralは最初からRubyGemsのメンテナーで、元契約者も含めてみんなに報酬を払ってたんだ。彼らは慣習を改善してるし、良いことだよ。」だってさ。URLも見てみてね。https://x.com/dhh/status/1969168477475786830
DHHのコメントには裏話があるんだ。彼は過去にメンテナーと揉めて、排除しようとしたことがあるらしい。André Arkoがオープンソースで報酬を得る方法を見つけたことに、DHHたちは不満だったみたいだね。多様な人材も雇用してたのに。彼ら自身もオープンソースで大金持ちになったくせに、皮肉な話だよね。Ruby Centralが財政難なのと、DHHが主要な資金提供者に影響力があることから、メンテナー排除と資金を絡めてるって噂も聞くよ。もしそうなら超セコいけど、DHHのこれまでの行動パターンには合うかもね。あくまで噂だけど、関わってる人たちの性格から自分で判断してみて。
前のコメントはあくまで意見表明で、ジャーナリズム基準じゃないよって補足だね。DHHの言動に同調する人たちには失望してる。Andréたちが悪いことをしたとは信じられないし、DHH一派は裏で色々画策してるみたい。Rubyistsは「ナイス」って言われるけど、倫理や親切は必須じゃないのかもね。一部の人はオープンソースはボランティアであるべきだと思ってるみたいだけど、それはボランティア労働で儲けた金持ちの偽善でしょ。もはや個人的な恨みに見えるよ。
Ruby Centralからの最新情報が出たよ。「RubyGemsとBundlerの管理体制強化について」だって。URLはここだよ。https://rubycentral.org/news/strengthening-the-stewardship-o…
サプライチェーン攻撃ってメンテナーのアカウント乗っ取りが原因だよね?パッケージリポジトリの鍵を持ってる人が多すぎるのも問題だけど、アカウント乗っ取られは起きてないし。
最後の文がちょっと皮肉っぽいね。僕が知る限り、これに文化的な争いみたいな側面はないと思うけど?
昔のBasecamp騒動ってさ、経営者が気に食わない政治運動を社員が組織しようとしたから、オフトピックSlackチャンネルでの政治の話を一方的に禁止したんだよな。それで会社の1/3が辞めたはず。
これってRubyCentralが弁護士と監査人に乗っ取られちゃったみたいに読めるよな。
Ruby Centralはさ、オープンに話すとメンテナーが乗っ取って、法的責任を負うのを恐れたのかもな。でも、そういう決断をしたなら、後で『ごめん、法的な問題でロックせざるを得なかったんだ。信頼の問題じゃない、またメンテナーとして引っ張ってほしい』って、もっと敬意を示すべきだったよ。
まぁ、法的責任じゃなかったのか、あるいは今頃謝罪メールを送ってる最中なのかもだけど。
完全に後付けの自己保身じゃん。メンテナーには事前に伝えられたはずなのに、不意打ちにするなんてさ。
要するに、曖昧な法的・セキュリティ上の理由で、長年のメンテナーたちをいきなり切り捨てたってことだろ。もし本当に緊急の理由があったなら、こんな企業PRじゃなくて、その理由を見せるべきだよ。
『今後はRuby CentralのエンジニアだけがRubyGems.orgの管理者権限を持つ』って言うけど、削除された人の中にはRuby Centralの社員や契約者もいるじゃん。これ、おかしいよ。誰にも伝えず、全部済ませてから発表するなんて、後付けだろ。
まずは理由が何であれ、全員を組織からロックアウトする。そして、すぐさま状況をメールで説明する。これがそういう場合のやり方だよ。不意打ちにして反応を待ったり、アクセスを戻して(これじゃ「乗っ取りを防ぐ」って主張が台無しじゃん)、コソコソしたりせず、オープンにすべきだ。
職場で政治の話をするのは不適切だと感じるのって、俺だけ?政治に関心がないわけじゃないけど、絶えず政治が流れてくる中で、仕事に集中できる空間があるって、ありがたいことだよ。
NPMの侵害の件は、開発者にMFAを翌日までに更新しないとアクセスできなくなるってメールだったよな。もしRuby Centralがそうすべきだったって言うなら、それこそソーシャルエンジニアリング攻撃じゃん。
『削除された人の中にRuby Centralの社員や契約者がいる』って、誰のこと?それに、『通知する前に全部やった』って言うけど、アクセス制限する時は、まず権限を削除してから連絡するのが普通じゃないのか?
またプロの経営者層がやらかしたね。MozillaやNominet(なんとか回復したけど)みたいにさ。
反対意見が出たけど、やっぱり筋が通ってるんだよね。詳細はここを見てみろよ。https://apiguy.substack.com/p/a-board-members-perspective-of…
非営利団体の有給マネージャーに就任→弁護士に相談→「長年のメンテナーを契約なしで即刻クビにしろ。オープンソースとか知らん。組織を守れ」って言われたら、弁護士の助言通りすぐ実行。お見事!
まったく同感。良く言えば、長い間のコミュニケーション不足が問題だったってこと。長年貢献してきたチームが解散して「敵対的」と感じるなら、改善が必要な証拠だよ。結局何が目標だったのか?プレスリリースに謝罪もないってことは、計画通りだったのかもね。
もっとコメントを表示(1)
これがスレッドの主題とどう関係あるのか分かんないよ。でも DHH の政治的な考えは明らかに議論を呼ぶものだし、それを軽視したら良い議論にはならないよね。
Mozillaは終わってるよ。今じゃ Google の節税対策みたいなもんで、それ以上の意味はない。MBAホルダーがなんでまだ「ヒル」じゃないと思われてるのか、史上最高の PR キャンペーンだよ。彼らはただ搾取するだけで、宿主が死ぬまで搾い続けるし、死んだら次へ行くんだ。
はっきりしないんだけど、完全に切られたの?それとも GitHub org の管理者としての権限が減っただけ?後者だとしても、擁護はしないし侮辱されたと感じるのも分かるけど、組織が特権を持つ人を増やしたくない気持ちも分かるんだよな。
特に Ellen Dash だね。記事がリンクしてる PDF の著者だよ。
Jason Fried が開いた会議で、人種差別的な「面白い顧客名リスト」に懸念を示す人たちに対応したんだ。そこで Ryan Singer(以前右翼的な内容を投稿し、後に削除)が白人至上主義は存在しないと主張して辞任。その後 DHH は、リストについて以前文句を言わずに議論に参加していた人のログを掘り出して、「お前の今の文句は無効だ」って皆に見えるように投稿した。そして2021年4月26日に「職場での政治禁止」ポリシーを発表したんだ。興味があれば、この投稿の変更履歴を読んでみてくれよ。https://world.hey.com/jason/changes-at-basecamp-7f32afc5
全然合理的じゃないよ。Ruby Central は「サプライチェーン攻撃から RubyGems を守る」って名目で多額の資金を受け取ったのに、締め切り数日前まで何もしなかったんだ。コミュニティの合意形成や移行計画には間に合わなかったね。結局、実際にプロジェクトに貢献してたみんなを裏切ったわけ。それに、この機会に乗じて、締め切りとは関係ない GitHub org の名前変更とかで権力をさらに強化したみたいだよ。
人の銀行口座を凍結するのはおかしいって議論があったんだ。議論の対象はRuby Centralで、関係はここを見てね→https://www.mermaidchart.com/play#pako:eNqrVkrOT0lVslJKL0osy…
セキュリティを強化するにしても、このやり方は変だね。GitHubの所有権を突然変更したり、経験豊富な人たちを少ない告知で外したりするのは危険だし、信頼を失う行為だよ。
作者のPRによると、彼女はコミットする権限を失ったみたいだよ。詳細はここ→https://github.com/rubygems/rubygems/pull/8987
Ruby Centralが言ってる「オープンさと協力の精神」って、チーム全員を突然締め出す行動とは合わないよね。「感謝してるけど、これからは大人たちが引き継ぐよ」なんて、うまくいくわけないよ。
「仕事に政治は持ち込むな」って言いながら、Daveは会社のプラットフォームで政治的なブログ記事を投稿してたんだよ。僕は一連の出来事のタイムラインを記事にしたけど、Twitterのリンクはもう使えないものが多いね。記事はこちら→https://schneems.com/2021/05/12/the-room-where-it-happens-ho…
Ruby CentralがRubyGemsとBundlerのメンテナーを突然排除し、管理権限を奪ったのは、Rubyエコシステムへの深刻な信頼侵害だよ。これは敵対的買収であり、コミュニティの精神を脅かす。僕は権力奪取に反対する。彼らは全てのメンテナーのアクセスをすぐに戻し、透明なガバナンスを約束すべきだ。もししないなら、スポンサーに圧力をかけ、最終的には自分たちで新しいインフラを作る必要がある。この騒動の責任者はクビにするべきだね。Ruby-Level SponsorsはAlpha Omega, Shopify, Sidekiq、Gold-Level SponsorはFlagrant、Silver-Level SponsorsはCedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentryだよ。
コメントの最後にスポンサーリストを入れたのはなぜ?「雇用状況やイデオロギー的な考え方による」って部分は、どこにも書いてなかったけど、どういう意味?もしかして、このコメント全体、LLMに書かせた?
「我々」って誰のこと?何を「目撃した」って言うんだ?今は片方の話しか聞いてないよ。でも、Ruby CentralはRubyGemsを長い間設立・管理してきたんだから、「乗っ取り」って言えるのかどうか、まだはっきりしないね。驚くべきことに、こうした変更の後にすぐ公式発表がないのはおかしいけど、両方の話を聞くまで判断は保留するよ。あ、35分後に発表があったね!ここだよ→https://rubycentral.org/news/strengthening-the-stewardship-o…
片方の話しか聞けないのは、Ruby Centralがちゃんと説明しようとしないからだ。わざと黙ってる敵対的な相手に対して、俺は判断を保留するつもりはないね。
「clanky」ってユーザー名で5分前にアカウント作ったんだね、マジウケる。参考までに言うと、元になったコメントは「Slop.」だったよ。
組織ってのは個人より連絡が遅いもんなんだから、数日待ってあげなよ。そんな風に早とちりする前にみんな落ち着くべきだよ。
これらの特徴って何?
最近はアイデアを攻撃するのにこんな方法が流行ってんの?
内容と向き合わずにAIって決めつけて無視できるとか言うの、少なくとも不誠実じゃない?
投稿はすごく明確じゃない?
スポンサーにRuby Centralへの資金提供をやめるよう求めてるし、雇用状況に関する話もRuby Centralの乗っ取り疑惑からくる明確な懸念事項だよ。
LLM使用を疑う前に投稿をもっとちゃんと読みなよ。たとえLLMを使ってたとしても、LLMだと言って話を葬ろうとするんじゃなく、議論すべき正当な点だよ。
スポンサーリストを投稿の最後に含めたのは?
リストの直前の段落にスポンサーに言及する文があるじゃん、なんで見なかったの?
「雇用状況やイデオロギー的な一致による」って話は何?
他のどこにも出てないじゃん。
「他のどこにも出てない」は間違いだよ。この投稿にリンクされてるPDFを見れば、Ruby Centralのフルタイム従業員だけがGitHubアカウントへのアクセスを維持できたって書いてあるよ。
LLMについてたくさん書いてる君が、LLMが書いたものかを疑うのが早いのは皮肉だね。
LLM特有のヒント、例えば「XだけじゃなくYも」っていうパターンがテキストに見えるからこそ、すぐ疑問に思うんだよ。
LLM補助テキストでも、著者が伝えたいポイントがすべてレビューされて正確なら構わない。
でも、LLMが余計なものを入れて会話の邪魔をしたり、著者がレビューでそれに気づかなかったりしたらダメだ。
多分今回は僕の間違いだったと思う。著者はLLMを使ってないか、使うにしても軽微なスタイルの調整だけで、伝えたいポイントが確実に出るようにしてたんだろうね。
スポンサーリストを投稿の最後に含めたのは?
それは当たり前じゃん、この情報が読者が「Ruby Centralがこれに応じなければ、我々はスポンサーにRuby Centralへの資金提供をやめるよう圧力をかけるべきだ」っていう行動喚起を実行するのに直接役立つからだよ。
「雇用状況やイデオロギー的な一致による」って話は何?
他のどこにも出てないじゃん。
元のPDFとRuby Centralの声明で、管理者権限がRuby Centralのフルタイム従業員であることに依存すると明示的に言及してるよ。イデオロギー的な側面は推測できるから、問い詰めるのは変だよ。
LLMの使用について言及したのは、俺が指摘した2つの点が妙だったからだよ。LLMがそういう詳細を付け加えることがあるんだ。
もしそうなら、読者が混乱するから良くない。だからその点について質問したんだ。
もし作者が、俺が尋ねた部分に意図的な目的があると確認してくれたら、LLMを使ったかどうかは気にしない。LLMを使ってコメントを書くこと自体は問題じゃないんだ。俺の問題は、LLMが状況を正確に表さない内容や、LLMユーザー自身の見解と違うことを勝手に作り出すことなんだよ。
じゃあ、その「イデオロギー的整合性」って話はどこから出てきたの?
三段活用とか「これはXじゃなくてYだった」みたいな決まり文句の多用、必ず箇条書きがあるとか、全体的に大げさすぎるんだ。どれも決定的じゃないけど、なんか怪しい臭いがプンプンする。AI検出ツールも俺の疑念を裏付けてるよ。俺はRuby開発者じゃないから内容はどうでもいいけど、HNでAIが書いたコメントはマジで見たくないな。そんなに重要なら、自分で時間をかけてタイプしろよ。
君が返信してる投稿には、「会話を邪魔する余計な部分」なんてないよ。俺たちもそれを君に伝えようとしてるんだけど、君は全然聞いてないみたいだね。
何が捏造されたって言うの?
「今あるのは片方の言い分だけ」って言うけど、Ruby Centralのこれまでの行動全部見てるし、彼らがもっと公にしなかったことも含めて、彼らの行動そのものが彼らのストーリーだよ。もし行動で意図が伝わらないなら、プロとしてちゃんと説明して、この状況を打開すべきだね。
「たぶん俺が間違ってた」って言ったじゃん。これ以上何がほしいの?個人的には、作者がLLMを使ったかどうかは自分の勘を確かめるために知りたいだけなんだよね。
たぶん何もない?だから俺は質問したんだよ。
もっとコメントを表示(2)
これ読んでみて:https://world.hey.com/dhh/no-railsconf-faa7935e
DHHのキーノートがキャンセルされたのは完全に政治的な理由だよ。その時もRuby Centralの対応は同じように不透明で、説明もデタラメだった。これは初めてのことじゃないんだ。
https://rubycentral.org/news/strengthening-the-stewardship-o… からの引用だけど、”開かれた精神と協力のレガシーを継承する”ってあるのに、誰が書いたかすら書いてないってどういうこと?「開かれた」って一体何さ?
長年の貢献者に事前にメールもなしにコミット権を取り上げて変更するなんてありえない。
ふざけてる。
元記事によると、最初の変更は10日も前だったんでしょ?
それだけ時間があったなら、何か公に発表できたはずだよね。
なんでだよ?
組織は会議でこの決定を下したんだから、中の人たちは事前に知ってたはずでしょ。
情報伝達では有利だったはずなのに。
彼らが黙っているのは彼らの選択だよ。
これはアイデアへの攻撃じゃなくて、投稿者が自分で書く気がないって指摘だよ。
”コンテンツ”はプロンプトで、きっとありふれてるから共有されないんだ。
俺もRubyは書かないし、サプライチェーンの一般的な興味以外、この紛争には関心ない。
ただ、HNの投稿やコメントで露骨なLLMの文章が増えるのにうんざりしてるだけ。
組織はこんなことを事前にコミュニケーションなしですべきじゃない。
何をするか分かってたんだから、何故それをやるのか説明するブログ投稿を、遅くとも同時には公開すべきだったね。
こんなオフ・トピックな投稿は、君が望む効果はないと思うな。
もし効果が、もっと怒ってコメントが低評価され、自分が正義だと感じて行動を正当化することなら別だけどね。
そうでなければ、何も変わらない。
ぜひブログを書いてHNで共有してくれ。
RubyGemsコミュニティに同情するし、感謝と共感を送りたい。
Rubyは俺のキャリアの飛躍だったから、この言語とコミュニティには思い入れがあるんだ。
Ruby Central側の言い分を待つけど、書かれている限り、今回の行動は透明性も誠意もない。
Ruby Centralから何か発表された?
Rubyコミュニティに強さと、何らかの形でコミュニティ主導の組織への移行を願う。
(NPM、WordPress、そしてこれ…パッケージリポジトリは企業の乗っ取りの火種になってるみたいだね…)
Ruby Centralの意思決定について詳しい人、何が起きてるのか教えてくれない?
これと長年のカンファレンスでのいざこざのせいで、もう混乱してるよ。
彼らはポッドキャストを始めたり、資金集めやメールキャンペーンに忙しかったみたいだけど、リーダーシップに何か変化があったのかな?
うん、最近新しいエグゼクティブ・ディレクターを雇ったよ。
リンクだよ。Ruby CentralのRailsConf 2025に関する記事と、ShancuretonさんのLinkedInのURLだよ。
https://rubycentral.org/news/reflections-on-railsconf-2025-f…
https://www.linkedin.com/in/shancureton
全く技術的なバックグラウンドがない人なんて、それはもう大惨事へのレシピだよね。
RhiannonさんがRuby Centralで少し働いてたけど、数週間前に辞めて、この投稿をシェアしたみたい。
https://bsky.app/profile/rhiannon.io/post/3lz6zcflg2s26
うわー、あれを読んだらマジでビビったよ。正直、今年のPR大失敗の一部はRhiannonさんのせいかなって思ってたんだけど、どうやら根本的な問題はトップから来てるみたいだね。
Rhiannonさんのフォローアップ投稿だよ。Ruby Centralがブログで説明する前に公開した投稿は削除したって。何が起きてるか話したり推測したりするのは自分の立場じゃないって言ってる。
明らかにひどい展開だけど、コミュニティとちゃんとやってくれることを願ってるってさ。
Rhiannonさんの新しい投稿のURLだよ。
https://bsky.app/profile/rhiannon.io/post/3lz7dtyamt226
へー、数時間前は見れたのに。ごめん、テキストのコピー取っとけばよかった。
技術バックグラウンドはあっても、NPO運営の経験がない人を雇うのはどうなの?
技術的なマネジメント経験がある人がNPO運営を学ぶ方が、MBAの人がエンジニアになるより簡単だよ。
