O ataque da Ruby Central ao RubyGems

 (pup-e.com)
1 pontos por GN⁺ 2025-09-20 | 1 comentários | Compartilhar no WhatsApp
  • A Ruby Central demonstrou recentemente uma tentativa de tomar à força o controle do projeto RubyGems
  • Em setembro de 2025, sem aviso prévio, os permissões no GitHub e a propriedade do RubyGems foram alterados
  • Depois disso, houve uma restauração temporária das permissões, mas a mudança central de propriedade foi mantida
  • Mais uma vez, as permissões de toda a equipe foram revogadas, e a Ruby Central assumiu controle total
  • A autora define esse ato como uma aquisição hostil e renuncia oficialmente à Ruby Central

Introdução

  • A autora deste texto é Ellen Dash, conhecida na comunidade Ruby como duckinator ou puppy
  • Atua há 10 anos como mantenedora da comunidade Ruby e do RubyGems
  • Diante dos acontecimentos recentes, sentiu a necessidade de informar a verdade à comunidade

Visão geral dos acontecimentos de setembro de 2025

  • Em 9 de setembro de 2025, sem qualquer aviso ou comunicação prévia, um dos mantenedores do RubyGems, agindo sozinho,
    • alterou o nome da enterprise RubyGems no GitHub para Ruby Central
    • adicionou Marty Haught, da Ruby Central, que não era mantenedor
    • removeu todos os demais administradores do projeto RubyGems
  • Esse mantenedor afirmou que não reverteria essas mudanças e alegou que era necessária a permissão de Marty
  • Em 15 de setembro, após conversas, foi informado que as permissões anteriores haviam sido restauradas, porém
    • segundo Marty, isso foi um “erro” e “nunca deveria ter acontecido”
    • mesmo durante a restauração, a mudança crucial de Marty permanecer como proprietário foi mantida
  • Em resposta, a equipe do RubyGems começou a adotar uma política formal de governança inspirada no Homebrew
  • Em 18 de setembro, Marty Haught removeu, sem maiores explicações, a associação de todos os administradores às organizações GitHub de RubyGems, Bundler e RubyGems.org
    • como resultado, a Ruby Central e seus funcionários efetivos passaram a ter controle total
    • no mesmo dia, o acesso aos gems bundler e rubygems-update também foi adicionalmente retirado pela Ruby Central

Natureza da situação e posição da autora

  • A autora classifica claramente esses acontecimentos como uma aquisição hostil
  • Enfatiza que a remoção forçada de permissões de pessoas que mantiveram RubyGems e Bundler por anos é, por natureza, hostil
  • Argumenta que, como a mesma medida foi repetida mesmo após o primeiro questionamento, as ações da Ruby Central não se baseiam em boa-fé
  • Afirma que não pode permanecer em silêncio diante disso e declara sua renúncia imediata de todas as funções na Ruby Central

Conclusão e mensagem

  • A Ruby Central retirou unilateralmente todo o acesso ao RubyGems, sem explicação e apesar da posição da autora e da equipe do RubyGems

  • Por fim, manifesta publicamente sua objeção a essas medidas da Ruby Central e às diretrizes de operação da organização, além de anunciar sua saída

  • Ellen Dash (@duckinator)

  • 19 de setembro de 2025

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-20
Comentários do Hacker News

  • Uma postagem no /r/ruby mostra que, até muito recentemente, ainda estavam discutindo internamente na Ruby Central uma proposta formal de estrutura de governança organizacional. Compartilharam o link: link do Reddit e a proposta concreta. Também foi mencionada a participação de Mike McQuaid, inspirada na estrutura de governança do projeto Homebrew.

    • Quero ajudar a situação por meio de mediação. Estou em uma ligação sobre isso neste exato momento e conversei quatro vezes com as partes envolvidas nas últimas 24 horas. Meu envolvimento é motivado apenas pelo meu carinho por Ruby.

    • A reação do DHH também é digna de nota: "A Ruby Central tem sido responsável pela manutenção e operação do RubyGems desde o começo e vem pagando mantenedores, administradores e desenvolvedores, incluindo contratados. Eles estão melhorando processos e protocolos, e isso é um movimento positivo." tweet do DHH

  • Saiu uma atualização com a posição oficial da Ruby Central: trata do fortalecimento da gestão do RubyGems e do Bundler. link da notícia

    • "Expressamos profunda gratidão a todos os mantenedores que contribuíram para o Bundler e o RubyGems nos últimos 20 anos. Sem os esforços deles, o ecossistema Ruby atual não existiria. Vamos dar continuidade a esse legado com espírito de abertura e colaboração." A parte em destaque não combina com, na prática, expulsar equipes inteiras sem aviso prévio. Essa abordagem de "obrigado pelo trabalho, agora os adultos assumem" quase nunca termina bem.

    • Dizem que "transmitem agradecimento e respeito aos mantenedores", mas, na prática, os removeram do projeto sem explicação ou simplesmente ignoraram perguntas. Fico triste ao pensar nos mantenedores excluídos de um projeto que protegeram por mais de 10 anos. Eles não mereciam esse tratamento.

    • Na prática, parece que bloquearam de forma repentina e arbitrária vários mantenedores de longa data por motivos legais ou de segurança. Se realmente havia uma razão concreta e urgente para isso, então deveriam mostrar informações específicas, e não uma mensagem corporativa de PR.

    • Se a intenção era reforçar a segurança, é uma forma realmente estranha de fazer isso. A mudança de propriedade do Github em andamento e a remoção repentina de pessoas experientes sem qualquer transição de conhecimento (com base no artigo original) só aumentam o risco e reduzem a confiança na gestão.

    • Isso soa como desculpa dada depois do fato. Uma mudança tão importante deveria ter sido comunicada internamente aos mantenedores com antecedência, em vez de causar esse choque repentino.

  • Fico de coração partido pela comunidade RubyGems e quero expressar gratidão e empatia. Ruby foi um grande salto na minha carreira, e tenho muito apego a essa linguagem e comunidade. Vou esperar por uma explicação da Ruby Central, mas, pelo que saiu até agora, não parece haver transparência nem boa-fé. Gostaria de saber se existe uma posição declarada da Ruby Central. Espero que a comunidade Ruby encontre forças e que aconteça uma transição para uma organização controlada pela comunidade, seja qual for o formato. (Depois de NPM e WordPress, agora Ruby também; dá a sensação de que repositórios de pacotes estão virando campo de disputa para tomada de controle corporativa.)

  • As medidas recentes da Ruby Central — remover sem aviso prévio mantenedores de longa data do RubyGems e do Bundler e concentrar unilateralmente os poderes administrativos em poucas pessoas — abriram uma fratura séria na confiança dentro do ecossistema Ruby. Isso não foi um simples mal-entendido, mas uma tomada hostil de infraestrutura crítica, enfraquecendo uma equipe de administração histórica e toda a comunidade que depende dessas ferramentas. O ecossistema Ruby tem como base colaboração, abertura e respeito mútuo. No entanto, a sequência de ações da última semana nega frontalmente esses princípios: abordagem unilateral, exclusão de pessoas experientes e decisões não transparentes. Sou claramente contra essa concentração de poder. Além disso, há preocupações de que o acesso de contribuidores possa variar conforme vínculo empregatício ou ideologia. Open source deve se basear em experiência, dedicação e confiança. Se a Ruby Central realmente quer apoiar a comunidade, então precisa tomar as seguintes medidas: - restauração imediata dos acessos de todos os administradores removidos neste incidente - compromisso público com um modelo de governança transparente e centrado na comunidade (semelhante ao que a equipe do RubyGems estava preparando) - respeito à autonomia dos mantenedores de open source, independentemente de pertencerem ou não à Ruby Central - reconhecimento dos danos causados e início de um diálogo público para restaurar a confiança A força da comunidade Ruby está nas pessoas, em sua diversidade, paixão e amor pela linguagem. Agora é hora de exigir que a instituição que diz nos representar aja de acordo com isso. Se a Ruby Central não responder, então os patrocinadores devem ser pressionados a suspender apoio e, em última instância, acho que precisamos construir nossa própria infraestrutura, livre desse tipo de caos. Para restaurar a confiança, também seria necessário demitir os responsáveis pelo incidente. Patrocinadores Ruby-Level (Top): Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • No anúncio oficial, dizem "valorizamos abertura e colaboração", mas não definem nem mesmo o que essa abertura significa e nem informam quem escreveu isso.

    • Em "a semana que vimos"... quem é "nós" e exatamente o que foi testemunhado? Até agora só vimos alegações de um lado. Se houve mesmo essas mudanças, deveria ter saído um anúncio público imediatamente. E, como a Ruby Central foi quem de fato fundou e operou o RubyGems por tantos anos, também não entendo muito bem chamar isso de "tomada de controle". Se realmente houver má-fé, também me somarei às críticas, mas antes disso quero ver o lado da outra parte. Estou anexando o link do anúncio oficial da Ruby Central, publicado 35 minutos depois. notícia oficial

    • Gostaria de saber por que a lista de patrocinadores no final foi incluída de propósito no comentário. Também não está claro de onde vem a preocupação de que direitos de acesso variariam conforme vínculo empregatício ou ideologia; isso não apareceu em nenhuma parte do texto. Também fico curioso se foi usada alguma ferramenta de LLM para escrever o comentário.

  • Parece relacionado, então deixo apenas o link abaixo; na verdade eu não estou acompanhando esse caso de perto. texto relacionado

    • Há uma menção de que "a razão concreta é que vários administradores do Rubygems recentemente renunciaram por causa de questões envolvendo a continuidade da relação com DHH, incluindo o único engenheiro em tempo integral". Aqui, essa relação significa Ruby Central e DHH? Ou a equipe de manutenção e DHH? É preciso explicar melhor de qual dos dois se trata e quem levantou essa questão e por quê. Edit: o post foi esclarecido. É a situação entre a RC e o DHH. Quero entender por que os administradores veem isso como um problema. Minha impressão era de que a razão original era o fato de a RC ter bloqueado a maioria sem aviso.

  • A Ruby Central vem captando recursos há anos e tocando seus próprios projetos, então falta base para a alegação de que ela estaria "atacando" seu próprio projeto. Não sei o que está acontecendo no Github Enterprise, mas no Github público tudo parece bem transparente. O Marty tem feito muitas contribuições recentemente relacionadas ao recurso de Orgs. Eu uso rubygems.org todos os dias de forma intensa, assim como meu fork de rubygems.org. Esse projeto é claramente um bem público. É lamentável que alguém, incluindo ex-funcionários, esteja deixando questões pessoais contaminarem a ponto de tentar prejudicar o projeto como um todo. Inúmeros DAUs têm usado essa plataforma com estabilidade. Contratados sempre entram e saem. No commit log dos últimos 24 meses da pessoa que levantou a crítica (ex-funcionário), não há contribuições particularmente visíveis. Posso estar enganado, então correções são bem-vindas. histórico de contribuições

  • Gostaria que alguém mais familiarizado com a tomada de decisão na Ruby Central explicasse a situação. Também está tudo confuso por causa de questões anteriores ligadas à organização de conferências. Ultimamente eles pareciam ocupados com lançamento de podcast, arrecadação de fundos e campanhas de email. Fico me perguntando se houve alguma mudança de liderança.

    • Sim, um novo Executive Director foi contratado recentemente.

    • Ainda não entendo claramente por que a RailsConf foi encerrada. Minha suposição é que os principais patrocinadores passaram a apostar mais na Rails World.

  • Fui eu na Shopify que sugeri pela primeira vez que deveríamos dar apoio financeiro ao RubyGems (e, indiretamente, à Ruby Central). Então me envergonha que isso tenha acabado ajudando a tornar essa situação possível.

    • Do ponto de vista da Shopify, talvez agora eles tenham força para abrir um canal de conversa com a Ruby Central. Algo como: "se vocês não explicarem a situação, vamos suspender o apoio financeiro".

  • Eu me consolava com a ideia de que a comunidade Ruby tinha se mantido milagrosamente livre de disputas mesquinhas e tomadas de controle da gestão feitas em nome da boa intenção, mas isso já não parece mais ser o caso. Quero realmente dizer aos mantenedores que sinto muito por eles.

    • Sinto falta da época do "Matz é legal, então nós também somos".

  • A Ruby Central precisa explicar claramente o que está fazendo agora. Pelo estado atual das coisas, isso parece bastante destrutivo e a comunicação também parece muito ruim.