Hacker News Digest

Команда Ruby во главе с Матцом берёт под свой контроль развитие RubyGems и Bundler, которые до сих пор управлялись независимо, хотя и являются ключевыми компонентами экосистемы Ruby. Это обеспечит долгосрочную стабильность и единство развития. Все существующие лицензии и права остаются в силе, включая авторские права контрибьюторов. Процесс остаётся открытым для сообщества, и разработка продолжится в тесном сотрудничестве с Ruby Central.

Этот шаг укрепляет инфраструктуру Ruby, объединяя ключевые инструменты под одной крышей, что обещает более согласованное и эффективное будущее для экосистемы.

• Ruby Core под руководством Matz официально взял на себя ответственность за RubyGems и Bundler, что стало возможным благодаря тому, что Ruby Central передала им контроль над этими проектами.
• Это решение было воспринято как консенсус в сообществе, поскольку Matz и Ruby Core пользуются большим уважением в сообществе.
• Тем не менее, некоторые участники обсуждения выразили обеспокоенность тем, что не было ясно, как именно произошла передача контроля над проектами, и почему это произошло.
• Некоторые участники также выразили обеспокоенность по поводу того, что Ruby Central может не иметь достаточного контроля над проектами, которые они, по сути, контролируют.
• В целом, однако, большинство участников обсуждения выразили облегчение по поводу того, что теперь Ruby будет иметь более централизованное и стабильное управление, и что Matz и Ruby Core будут обеспечивать надежное и устойчивое будущее для Ruby.

Представлен gem.coop — новый сервер для хранения гемов в экосистеме Ruby, созданный бывшими сопровождающими RubyGems.org. Он предлагает быстрый и простой хостинг, совместимый с Bundler, но оптимизированный для будущего. Все гемы с RubyGems.org доступны в реальном времени, а для использования достаточно заменить источник в Gemfile на https://gem.coop.

Управление проектом организовано по модели Homebrew при поддержке Mike McQuaid, с открытым участием сообщества. Цели — прозрачность, устойчивость и безопасность при общедоступном хостинге. Запуск включает поддержку установки публичных гемов, с планами по дальнейшему улучшению.

• Создана новая альтернативная платформа для пакетов Ruby (gem.coop) из-за конфликта между прежними сопровождающими RubyGems и Ruby Central.
• Обсуждаются технические и организационные аспекты форка: финансирование, необходимость подписи кода, доверие к сопровождающим и проблемы с доступностью из-за домена .coop.
• Часть сообщества поддерживает форк как способ сохранить независимость, другие видят в нём ненужное дробление экосистемы.
• Поднимаются вопросы о мотивах создания форка: является ли это реакцией на политические разногласия или стремлением улучшить техническую инфраструктуру.
• Проводятся параллели с другими инцидентами в open-source (например, переход с Freenode на Libera Chat).

Автор выражает сомнения в однозначности ситуации вокруг конфликта в RubyGems, подчёркивая, что публичная дискуссия сильно упрощена и сводится к нарративу «альтруисты против корпораций», хотя реальность сложнее. Он указывает на давний неразрешённый конфликт между сторонами, где одна активно высказывается публично, а другая хранит молчание, что оставляет рядовых разработчиков в неведении и тревоге.

Ключевая проблема — запутанное управление экосистемой Ruby, разделённое между разными группами: разработчиками языка Ruby, инструментами RubyGems/Bundler и хостингом RubyGems.org. Исторически эти части развивались отдельно, а recentние слияния (например, поглощение Ruby Together Ruby Central в 2022 году) усугубили неразбериху в правах доступа и ответственности, что теперь вылилось в публичный кризис доверия.

• Обсуждение касается конфликта вокруг RubyGems и Ruby Central, где ключевой фигурой является André Arko, чье поведение и профессиональные действия ставятся под сомнение.
• Участники отмечают предвзятость и неоднозначность представленных точек зрения, включая мнение Джастина Сёрлса, который, хотя и считается авторитетом, может быть необъективен из-за связей с Shopify.
• Поднимается вопрос финансирования open-source: должна ли работа оплачиваться пропорционально вкладу, и как действия спонсоров (как в случае с Shopify) влияют на проекты.
• Обсуждаются юридические и этические аспекты, включая обвинения в плагиате кода и потенциальные судебные разбирательства, что заставляет многих участников избегать публичных комментариев.
• В целом, дискуссия сводится к необходимости прозрачности и добросовестности со всех сторон для разрешения конфликта и обеспечения устойчивости open-source проектов.

Автор, известный как «парень из Bundler», рассказывает о 15-летней истории проекта, который он помогал развивать с 2010 года. Изначально созданный Yehuda и Carl, Bundler быстро стал стандартом управления зависимостями в Ruby, сохранив свою структуру до версии 2.7.2. После ухода основателей автор взял на себя ведущую роль в поддержке, сотрудничая с Terence Lee и позже основав Ruby Together для финансирования разработки.

Сейчас Ruby Central заявляет права на владение названием Bundler, что противоречит духу сообщества. В ответ автор зарегистрировал товарный знак, чтобы защитить репутацию проекта и его maintainers, подчеркивая, что код остаётся под MIT-лицензией, а название принадлежит сообществу. Ключевая цель — обеспечить, чтобы решения по проекту принимались самими пользователями и разработчиками, а не одной организацией.

• Финансирование Ruby Central от спонсоров вроде Shopify было условием захвата контроля над Bundler и RubyGems, что привело к корпоративному захвату инфраструктуры.
• В ответ на это был зарегистрирован товарный знак Bundler, чтобы предотвратить захват и передать его под управление нового, действительно сообщественного органа.
• Ключевой риск — потеря давних мейнтейнеров, раскол сообщества и форк ключевой инфраструктуры, что создаст хаос.
• Сообщество ожидает ответа от Ruby Central, включая возобновление запланированного Zoom-звонка, но пока ситуация в подвешенном состоянии.
• Под вопросом юридическая сила товарного знака, так как его долгое отсутствие enforcement может означать отказ от прав или генерализацию.

Ruby Central применила подход «deus ex machina», в одностороннем порядке взяв под контроль всю GitHub-организацию RubyGems — ресурс, исторически принадлежавший мейнтейнерам. Они оправдывали это необходимостью нейтрализовать «опасных операторов», но использовали ситуацию для удаления ключевых участников из проектов, включая RubyGems, Bundler и RubyGems.org, и присвоения прав собственности. Shopify, главный спонсор Ruby Central, оказался вовлечён в этот процесс, что вызвало вопросы о согласованности действий с интересами сообщества.

Попытки разрешить конфликт через диалог и восстановить доверие не увенчались успехом. Такое вмешательство подрывает принципы открытого исходного кода, где решения должны приниматься сообществом, а не навязываться сверху. Это создаёт прецедент, при котором спонсоры или организации могут игнорировать волю разработчиков, что опасно для экосистемы Ruby в долгосрочной перспективе.

• Ruby Central отменила запланированную встречу с сообществом, что вызвало недовольство.
• Shopify, используя финансовое давление на испытывающий нехватку средств Ruby Central, добилась контроля над ключевыми репозиториями (Bundler, RubyGems).
• Члены сообщества обвиняют Ruby Central в непрозрачном процессе принятия решений и отсутствии коммуникации.
• Противоречие также связано с реакцией на доклад о новом инструменте rv и последующей потерей спонсорства.
• Обсуждаются проблемы централизации управления в open-source и утраты первоначальных ценностей сообщества.

Ruby Central, испытывающая финансовые трудности после потери спонсорства Sidekiq ($250 тыс. в год), по требованию Shopify взяла под контроль ключевые проекты Ruby-сообщества — Bundler и RubyGems — без согласия их многолетних сопровождающих. Shopify пригрозила отозвать финансирование, если Ruby Central не обеспечит полный контроль над репозиториями и правами на gems, что привело к принудительному изменению прав доступа и исключению ведущих разработчиков, включая Андре Арко с 10-летним стажем.

Этот захват был преднамеренным: Shopify заранее организовала дежурство для замены прежних сопровождающих, а совет Ruby Central проигнорировал предупреждения о незаконности действий и альтернативы в виде форков. Инцидент подчеркивает риски зависимости open-source от корпоративного финансирования, где сообщество теряет автономию под давлением спонсоров.

• Sidekiq прекратил спонсорскую поддержку Ruby Central на $250 тыс. в год из-за участия DHH в RailsConf 2025, что вызвало споры о его политических взглядах.
• Shopify и Ruby Central взяли под контроль инфраструктуру RubyGems и Bundler, удалив ключевых мейнтейнеров, официально — для усиления безопасности supply chain.
• Сообщество раскололось: часть видит в действиях Shopify корпоративный захват, другие — необходимые меры после недавних атак на npm.
• Критики обвиняют Ruby Central в злоупотреблении властью и плохой коммуникации, особенно после передачи прав на репозитории без консенсуса.
• Наблюдатели отмечают, что конфликт усугубляется давними культурными разногласиями в сообществе Ruby, выходящими за рамки технических вопросов.

Долголетний мейнтейнер RubyGems Эллен Даш описывает враждебный захват инфраструктуры со стороны Ruby Central. 9 сентября один из мейнтейнеров в одностороннем порядке переименовал GitHub-организацию «RubyGems» в «Ruby Central», добавил сотрудника Ruby Central Марти Хоута и удалил всех остальных мейнтейнеров. После критики изменения частично откатили, но 18 марта Хоут снова отозвал права доступа у всей команды RubyGems, Bundler и RubyGems.org, а Ruby Central заблокировал доступ к ключевым гемам.

Эллен расценивает эти действия как угрозу для сообщества Ruby и заявляет о немедленной отставке из Ruby Central. Она подчёркивает, что захват произошёл без предупреждения и против воли всей команды мейнтейнеров, десятилетиями поддерживавших критически важные инструменты. Это ставит под вопрос надёжность инфраструктуры экосистемы Ruby.

• Ruby Central удалила давних мейнтейнеров RubyGems и Bundler без предупреждения и объяснений, что было воспринято как враждебный захват ключевой инфраструктуры.
• Сообщество выражает недоумение и требует прозрачных объяснений от Ruby Central, отмечая плохую коммуникацию и корпоративный тон их заявлений.
• Ruby Central опубликовала заявление о усилении безопасности и управления, ссылаясь на соответствие требованиям, но многие восприняли это как попытку оправдаться после факта.
• Некоторые участники предполагают, что за действиями Ruby Central стоят юристы и аудиторы, а не технические причины.
• Mike McQuaid и Homebrew выступают в роли медиаторов в попытке урегулировать конфликт между сторонами.