Hacker News Digest

Команда Ruby во главе с Матцом берёт под свой контроль развитие RubyGems и Bundler, которые до сих пор управлялись независимо, хотя и являются ключевыми компонентами экосистемы Ruby. Это обеспечит долгосрочную стабильность и единство развития. Все существующие лицензии и права остаются в силе, включая авторские права контрибьюторов. Процесс остаётся открытым для сообщества, и разработка продолжится в тесном сотрудничестве с Ruby Central.

Этот шаг укрепляет инфраструктуру Ruby, объединяя ключевые инструменты под одной крышей, что обещает более согласованное и эффективное будущее для экосистемы.

• Ruby Core под руководством Matz официально взял на себя ответственность за RubyGems и Bundler, что стало возможным благодаря тому, что Ruby Central передала им контроль над этими проектами.
• Это решение было воспринято как консенсус в сообществе, поскольку Matz и Ruby Core пользуются большим уважением в сообществе.
• Тем не менее, некоторые участники обсуждения выразили обеспокоенность тем, что не было ясно, как именно произошла передача контроля над проектами, и почему это произошло.
• Некоторые участники также выразили обеспокоенность по поводу того, что Ruby Central может не иметь достаточного контроля над проектами, которые они, по сути, контролируют.
• В целом, однако, большинство участников обсуждения выразили облегчение по поводу того, что теперь Ruby будет иметь более централизованное и стабильное управление, и что Matz и Ruby Core будут обеспечивать надежное и устойчивое будущее для Ruby.

Ruby Central сообщила о «событии безопасности» в RubyGems.org, но в действительности оно оказалось конфликтом между организацией и бывшим оператором Андре Арко, который вёл службу более 10 лет. Ruby Central утверждает, что он «не имел доступа» к продакшену, но не предоставляет никаких доказательств. Арко же утверждает, что у него оставался доступ к AWS и логам, и что он не мог бы их использовать без ведома. Он также утверждает, что его удалили из организации без объяснений, и что команда не отвечает на его письма. Он также утверждает, что Ruby Central не отвечает на его письма и не предоставляет никакой информации о «безопасности» RubyGems.

• В обсуждении поднимается вопрос о том, как именно было доведено до сведения Арко, что его доступ к продакшену отозван, и какие именно обстоятельства привели к этому решению.
• Участники обсуждения выражают обеспокоенность тем, что новые мейнтейнеры, возможно, не готовы обеспечить безопасность и надежность сервиса.
• Также поднимается вопрос о том, что, возможно, вся эта ситуация имеет большее отношение к политике, чем к техническим аспектам.

Краткий пересказ

30 сентября 2025 года бывший сотрудник Ruby Central Андре Арко сообщил, что у него остался доступ к продакшен-среде RubyGems.org. Почти одновременно блогер Джоэл Дрейпер опубликовал скриншоты, подтверждающие это. Внутреннее расследование показало, что 19 сентября неизвестный злоумышленник сменил пароль root-аккаунта AWS и в течение 11 дней имел возможность администрировать инфраструктуру. В результате Ruby Central отозвала все устаревшие ключи доступа, включила MFA для всех живых аккаунтов и перевела проект на изолированный AWS-аккаунт под единоличным контролем Ruby Central.

• Ruby Central обвиняет бывшего мейнтейнера Andre Arko в том, что он, будучи уволенным, сохранил доступ к корневой учетной записи AWS и изменил пароль, что фактически блокирует организацию от доступа к собственной инфраструктуре.
• Сообщение Ruby Central подчеркивает, что не было никаких доказательств компрометации, но не упоминает о том, что не было никаких доказательств и того, что доступа не было.
• Сообщение Ruby Central не упоминает о том, что они не отозвали доступа к корневой учетной записи, не изменили пароль и не отключили MFA, что, как утверждает Arko, оставляет сервис уязвимым для "незаконного доступа и потенциального утечки данных".
• Arko утверждает, что он не имел доступа к логам доступа, и что Ruby Central не предоставила никаких доказательств того, что кто-то еще имел доступ к этим логам.
• Обсуждение также затрагивает вопрос о том, каким образом Ruby Central может гарантировать, что никакие PII не была скомпрометирована, если они не могут доказать, что никто не имел доступа к логам доступа.

Представлен gem.coop — новый сервер для хранения гемов в экосистеме Ruby, созданный бывшими сопровождающими RubyGems.org. Он предлагает быстрый и простой хостинг, совместимый с Bundler, но оптимизированный для будущего. Все гемы с RubyGems.org доступны в реальном времени, а для использования достаточно заменить источник в Gemfile на https://gem.coop.

Управление проектом организовано по модели Homebrew при поддержке Mike McQuaid, с открытым участием сообщества. Цели — прозрачность, устойчивость и безопасность при общедоступном хостинге. Запуск включает поддержку установки публичных гемов, с планами по дальнейшему улучшению.

• Создана новая альтернативная платформа для пакетов Ruby (gem.coop) из-за конфликта между прежними сопровождающими RubyGems и Ruby Central.
• Обсуждаются технические и организационные аспекты форка: финансирование, необходимость подписи кода, доверие к сопровождающим и проблемы с доступностью из-за домена .coop.
• Часть сообщества поддерживает форк как способ сохранить независимость, другие видят в нём ненужное дробление экосистемы.
• Поднимаются вопросы о мотивах создания форка: является ли это реакцией на политические разногласия или стремлением улучшить техническую инфраструктуру.
• Проводятся параллели с другими инцидентами в open-source (например, переход с Freenode на Libera Chat).

Автор выражает сомнения в однозначности ситуации вокруг конфликта в RubyGems, подчёркивая, что публичная дискуссия сильно упрощена и сводится к нарративу «альтруисты против корпораций», хотя реальность сложнее. Он указывает на давний неразрешённый конфликт между сторонами, где одна активно высказывается публично, а другая хранит молчание, что оставляет рядовых разработчиков в неведении и тревоге.

Ключевая проблема — запутанное управление экосистемой Ruby, разделённое между разными группами: разработчиками языка Ruby, инструментами RubyGems/Bundler и хостингом RubyGems.org. Исторически эти части развивались отдельно, а recentние слияния (например, поглощение Ruby Together Ruby Central в 2022 году) усугубили неразбериху в правах доступа и ответственности, что теперь вылилось в публичный кризис доверия.

• Обсуждение касается конфликта вокруг RubyGems и Ruby Central, где ключевой фигурой является André Arko, чье поведение и профессиональные действия ставятся под сомнение.
• Участники отмечают предвзятость и неоднозначность представленных точек зрения, включая мнение Джастина Сёрлса, который, хотя и считается авторитетом, может быть необъективен из-за связей с Shopify.
• Поднимается вопрос финансирования open-source: должна ли работа оплачиваться пропорционально вкладу, и как действия спонсоров (как в случае с Shopify) влияют на проекты.
• Обсуждаются юридические и этические аспекты, включая обвинения в плагиате кода и потенциальные судебные разбирательства, что заставляет многих участников избегать публичных комментариев.
• В целом, дискуссия сводится к необходимости прозрачности и добросовестности со всех сторон для разрешения конфликта и обеспечения устойчивости open-source проектов.

Автор, известный как «парень из Bundler», рассказывает о 15-летней истории проекта, который он помогал развивать с 2010 года. Изначально созданный Yehuda и Carl, Bundler быстро стал стандартом управления зависимостями в Ruby, сохранив свою структуру до версии 2.7.2. После ухода основателей автор взял на себя ведущую роль в поддержке, сотрудничая с Terence Lee и позже основав Ruby Together для финансирования разработки.

Сейчас Ruby Central заявляет права на владение названием Bundler, что противоречит духу сообщества. В ответ автор зарегистрировал товарный знак, чтобы защитить репутацию проекта и его maintainers, подчеркивая, что код остаётся под MIT-лицензией, а название принадлежит сообществу. Ключевая цель — обеспечить, чтобы решения по проекту принимались самими пользователями и разработчиками, а не одной организацией.

• Финансирование Ruby Central от спонсоров вроде Shopify было условием захвата контроля над Bundler и RubyGems, что привело к корпоративному захвату инфраструктуры.
• В ответ на это был зарегистрирован товарный знак Bundler, чтобы предотвратить захват и передать его под управление нового, действительно сообщественного органа.
• Ключевой риск — потеря давних мейнтейнеров, раскол сообщества и форк ключевой инфраструктуры, что создаст хаос.
• Сообщество ожидает ответа от Ruby Central, включая возобновление запланированного Zoom-звонка, но пока ситуация в подвешенном состоянии.
• Под вопросом юридическая сила товарного знака, так как его долгое отсутствие enforcement может означать отказ от прав или генерализацию.

Ruby Central применила подход «deus ex machina», в одностороннем порядке взяв под контроль всю GitHub-организацию RubyGems — ресурс, исторически принадлежавший мейнтейнерам. Они оправдывали это необходимостью нейтрализовать «опасных операторов», но использовали ситуацию для удаления ключевых участников из проектов, включая RubyGems, Bundler и RubyGems.org, и присвоения прав собственности. Shopify, главный спонсор Ruby Central, оказался вовлечён в этот процесс, что вызвало вопросы о согласованности действий с интересами сообщества.

Попытки разрешить конфликт через диалог и восстановить доверие не увенчались успехом. Такое вмешательство подрывает принципы открытого исходного кода, где решения должны приниматься сообществом, а не навязываться сверху. Это создаёт прецедент, при котором спонсоры или организации могут игнорировать волю разработчиков, что опасно для экосистемы Ruby в долгосрочной перспективе.

• Ruby Central отменила запланированную встречу с сообществом, что вызвало недовольство.
• Shopify, используя финансовое давление на испытывающий нехватку средств Ruby Central, добилась контроля над ключевыми репозиториями (Bundler, RubyGems).
• Члены сообщества обвиняют Ruby Central в непрозрачном процессе принятия решений и отсутствии коммуникации.
• Противоречие также связано с реакцией на доклад о новом инструменте rv и последующей потерей спонсорства.
• Обсуждаются проблемы централизации управления в open-source и утраты первоначальных ценностей сообщества.

Ruby Central, испытывающая финансовые трудности после потери спонсорства Sidekiq ($250 тыс. в год), по требованию Shopify взяла под контроль ключевые проекты Ruby-сообщества — Bundler и RubyGems — без согласия их многолетних сопровождающих. Shopify пригрозила отозвать финансирование, если Ruby Central не обеспечит полный контроль над репозиториями и правами на gems, что привело к принудительному изменению прав доступа и исключению ведущих разработчиков, включая Андре Арко с 10-летним стажем.

Этот захват был преднамеренным: Shopify заранее организовала дежурство для замены прежних сопровождающих, а совет Ruby Central проигнорировал предупреждения о незаконности действий и альтернативы в виде форков. Инцидент подчеркивает риски зависимости open-source от корпоративного финансирования, где сообщество теряет автономию под давлением спонсоров.

• Sidekiq прекратил спонсорскую поддержку Ruby Central на $250 тыс. в год из-за участия DHH в RailsConf 2025, что вызвало споры о его политических взглядах.
• Shopify и Ruby Central взяли под контроль инфраструктуру RubyGems и Bundler, удалив ключевых мейнтейнеров, официально — для усиления безопасности supply chain.
• Сообщество раскололось: часть видит в действиях Shopify корпоративный захват, другие — необходимые меры после недавних атак на npm.
• Критики обвиняют Ruby Central в злоупотреблении властью и плохой коммуникации, особенно после передачи прав на репозитории без консенсуса.
• Наблюдатели отмечают, что конфликт усугубляется давними культурными разногласиями в сообществе Ruby, выходящими за рамки технических вопросов.

• Ruby Central предприняла резкие действия по ограничению доступа к инфраструктуре RubyGems из-за требований спонсора, угрожавшего отозвать финансирование из-за проблем с безопасностью цепочки поставок.
• Сообщество раскритиковало Ruby Central за катастрофически плохую коммуникацию, отсутствие предупреждения и прозрачности в процессе принятия решений, что привело к потере доверия.
• Действия были технически оправданы необходимостью безопасности, но метод исполнения (внезапный "переворот" без консультаций) признан неудачным и враждебным по отношению к добровольным maintainer'ам.
• Под вопросом остаётся независимость некоммерческой организации, которая оказалась под давлением крупных доноров, и её способность управлять критической инфраструкцией сообщества.
• Сообщество призывает к извинениям, восстановлению доверия через честный диалог и выработке более прозрачных процессов управления, чтобы избежать раскола в будущем.

Долголетний мейнтейнер RubyGems Эллен Даш описывает враждебный захват инфраструктуры со стороны Ruby Central. 9 сентября один из мейнтейнеров в одностороннем порядке переименовал GitHub-организацию «RubyGems» в «Ruby Central», добавил сотрудника Ruby Central Марти Хоута и удалил всех остальных мейнтейнеров. После критики изменения частично откатили, но 18 марта Хоут снова отозвал права доступа у всей команды RubyGems, Bundler и RubyGems.org, а Ruby Central заблокировал доступ к ключевым гемам.

Эллен расценивает эти действия как угрозу для сообщества Ruby и заявляет о немедленной отставке из Ruby Central. Она подчёркивает, что захват произошёл без предупреждения и против воли всей команды мейнтейнеров, десятилетиями поддерживавших критически важные инструменты. Это ставит под вопрос надёжность инфраструктуры экосистемы Ruby.

• Ruby Central удалила давних мейнтейнеров RubyGems и Bundler без предупреждения и объяснений, что было воспринято как враждебный захват ключевой инфраструктуры.
• Сообщество выражает недоумение и требует прозрачных объяснений от Ruby Central, отмечая плохую коммуникацию и корпоративный тон их заявлений.
• Ruby Central опубликовала заявление о усилении безопасности и управления, ссылаясь на соответствие требованиям, но многие восприняли это как попытку оправдаться после факта.
• Некоторые участники предполагают, что за действиями Ruby Central стоят юристы и аудиторы, а не технические причины.
• Mike McQuaid и Homebrew выступают в роли медиаторов в попытке урегулировать конфликт между сторонами.

Как RubyGems.org защищает инфраструктуру сообщества

RubyGems.org применяет многослойную защиту:

1. Автоматика – каждый gem сканируется статическими и динамическими анализаторами (инструменты Mend.io, созданные мейнтейнером Maciej Mensfeld).
2. Оценка риска – высоко-рисковые пакеты переходят на ручную проверку.
3. Ретро-скан – старые версии перепроверяются при улучшении детекторов.
4. Внешние источники – данные от партнёров и других реестров.
   Таким образом 70–80 % вредоносных пакетов ловят до публикации.

Что происходит после флага
Инженер безопасности подтверждает вредоносность (≈ 5 % оказываются ложными срабатываниями), затем gem удаляется, действия логируются, а похожие имена блокируются.

Инцидент Socket.dev

• 20 июля 2025 – система отметила подозрительные гемы, подтверждена кража учётных данных.
• 23–28 июля – удалены почти все пакеты и аккаунты.
• 7 августа – после публикации Socket.dev удалили ещё 16 связанных гемов.
  Всего убрали все пакеты злоумышленника; популярные библиотеки не пострадали.

Сообщество
Сообщайте о проблемах: security@rubygems.org или Slack Bundler. Команда быстро реагирует и благодарит за помощь.

Реальность безопасности цепочки поставок
В среднем еженедельно удаляется один вредоносный или спам-пакет. Работа ресурсоёмка и держится на спонсорах (Mend.io, Alpha-Omega) и волонтёрах. Поддержите RubyGems через RubyGems Supporter Program.

Инцидент показал: системы сработали, угроза была локализована. Безопасность OSS – общее дело.

• Один из мейнтейнеров gem-ов сознательно обходит MFA-ограничения RubyGems, чтобы казаться «ненадёжным» и избежать ответственности.
• Участники хвалят Ruby/Rails как «скучный», но надёжный и продуктивный инструмент, противоположный эншиттификации.
• Критикуют отсутствие обязательной подписи гемов и вспоминают, что старая система подписей так и не прижилась из-за нехватки инфраструктуры.
• Мейнтейнер unicorn считается эксцентричным: отказывается от JavaScript и GitHub, а в README сам проект называют «нанёсшим вред экосистеме».
• Сообщество обсуждает, что отсутствие коммерческого давления помогает Rails оставаться стабильным и «не-эншиттифицированным».