El ataque de Ruby Central contra RubyGems

 (pup-e.com)
1 puntos por GN⁺ 2025-09-20 | 1 comentarios | Compartir por WhatsApp
  • Ruby Central mostró recientemente intentos de tomar por la fuerza el control del proyecto RubyGems
  • En septiembre de 2025, sin aviso previo, cambiaron los permisos de GitHub y la propiedad de RubyGems
  • Después hubo una restauración temporal de permisos, pero se mantuvieron los cambios clave de propiedad
  • Una vez más, se le retiraron los permisos a todo el equipo y Ruby Central tomó el control total
  • La autora califica estas acciones como una adquisición hostil y renuncia oficialmente a Ruby Central

Introducción

  • La autora de este texto es Ellen Dash, conocida en la comunidad Ruby como duckinator o puppy
  • Ha trabajado durante 10 años como mantenedora en la comunidad Ruby y en RubyGems
  • Debido a lo ocurrido recientemente, sintió la necesidad de contarle la verdad a la comunidad

Resumen de lo ocurrido en septiembre de 2025

  • El 9 de septiembre de 2025, sin ninguna advertencia ni comunicación previa, una de las personas mantenedoras de RubyGems actuó por su cuenta para
    • cambiar el nombre de la empresa de GitHub RubyGems a Ruby Central
    • agregar a Marty Haught de Ruby Central, que no era mantenedor
    • eliminar a todas las demás personas administradoras del proyecto RubyGems
  • Esa persona mantenedora dijo que no revertiría estos cambios y afirmó que se necesitaba la autorización de Marty
  • El 15 de septiembre, tras conversar, se informó que se habían restaurado los permisos anteriores, pero
    • según Marty, había sido un “error” y recalcó que “nunca debió ocurrir”
    • incluso durante la restauración, se mantuvo el cambio importante de que Marty siguiera como propietario
  • En respuesta, el equipo de RubyGems comenzó a introducir una política formal de gobernanza inspirada en Homebrew
  • El 18 de septiembre, Marty Haught retiró sin mayor explicación la membresía en las organizaciones de GitHub de todas las personas administradoras de RubyGems, Bundler y RubyGems.org
    • como resultado, Ruby Central y su personal de tiempo completo quedaron con todo el control
    • ese mismo día, Ruby Central también revocó acceso adicional a las gems bundler y rubygems-update

Naturaleza de la situación y postura de la autora

  • La autora define claramente estos hechos como una adquisición hostil
  • Enfatiza que quitarles por la fuerza sus permisos a quienes han mantenido RubyGems y Bundler durante años es, en esencia, un acto hostil
  • Sostiene que, dado que la misma medida se repitió incluso después de que se señalara el problema la primera vez, las acciones de Ruby Central no están basadas en la buena fe
  • Expresa que no puede guardar silencio ante esto y declara su renuncia inmediata a todos sus cargos en Ruby Central

Conclusión y mensaje

  • Ruby Central retiró de manera unilateral todo el acceso a RubyGems de la autora y del equipo de RubyGems, sin explicación alguna y pese a su voluntad

  • Finalmente, manifiesta públicamente su objeción a estas medidas de Ruby Central y a su forma de operar la organización, y comunica su salida

  • Ellen Dash (@duckinator)

  • 19 de septiembre de 2025

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-20
Comentarios en Hacker News

  • En una publicación subida a /r/ruby se puede ver que hasta hace muy poco dentro de Ruby Central todavía estaban discutiendo una propuesta formal de estructura de gobernanza organizacional enlaces: enlace de reddit y propuesta concreta También se menciona la participación de Mike McQuaid, inspirada en la estructura de gobernanza del proyecto Homebrew

    • Quiero ayudar a la situación por medio de mediación; incluso ahora estoy en una llamada sobre este tema, y en las últimas 24 horas he hablado cuatro veces con ambas partes involucradas. Mi participación se debe únicamente al cariño que le tengo a Ruby.

    • También vale la pena prestar atención a la reacción de DHH: "Ruby Central ha sido responsable del mantenimiento y operación de RubyGems desde el principio, y ha estado pagando a admins y desarrolladores, incluidos contratistas. Están mejorando procesos y protocolos, y eso es un buen paso" tuit de DHH

  • Se publicó una actualización de la postura oficial de Ruby Central: trata sobre el fortalecimiento del sistema de administración de RubyGems y Bundler enlace de la noticia

    • "Expresamos nuestro profundo agradecimiento a todos los mantenedores que han contribuido a Bundler y RubyGems durante los últimos 20 años. Sin sus esfuerzos, el ecosistema de Ruby tal como existe hoy no sería posible. Continuaremos ese legado con un espíritu de apertura y colaboración". La parte destacada no cuadra con sacar a todo el equipo sin aviso previo. El enfoque de "gracias por su trabajo, ahora déjenselo a los adultos" casi nunca termina bien.

    • Dicen que "transmiten agradecimiento y respeto a los mantenedores", pero al mismo tiempo los sacaron del proyecto sin explicación o ignoraron sus preguntas. Da tristeza pensar en los mantenedores excluidos de un proyecto que cuidaron por más de 10 años. No merecen este trato.

    • En la práctica, esto equivale a bloquear de forma arbitraria y repentina a muchos mantenedores de larga trayectoria por supuestas razones legales o de seguridad. Si de verdad había una razón concreta y urgente para actuar así, deberían mostrar información específica, no un mensaje de PR corporativo.

    • Si la intención era reforzar la seguridad, es una manera realmente extraña de hacerlo. El cambio de propiedad de GitHub que están impulsando y expulsar de golpe a gente con experiencia sin ningún traspaso de conocimiento (según el artículo original) solo aumenta el riesgo y reduce la confianza en la gestión.

    • Suena a justificación posterior. Un cambio tan importante debió comunicarse primero internamente a los mantenedores, no soltarse así de golpe.

  • Me duele pensar en la comunidad de RubyGems y les expreso mi gratitud y empatía. Ruby fue un gran impulso en mi carrera y le tengo cariño a este lenguaje y a su comunidad. Por ahora esperaré la explicación de Ruby Central, pero por lo que ha salido hasta ahora no parece haber transparencia ni buena fe. Me pregunto si Ruby Central ya ha dado alguna postura al respecto. Ojalá la comunidad Ruby salga adelante y logre una transición hacia una organización propiedad de la comunidad, en la forma que sea. (Después de NPM y WordPress, ahora Ruby también da la sensación de que los repositorios de paquetes se están volviendo terreno de disputa para adquisiciones corporativas).

  • Las medidas recientes de Ruby Central —expulsar sin previo aviso a mantenedores de larga trayectoria de RubyGems y Bundler, y concentrar unilateralmente la autoridad administrativa en unas pocas personas— han agrietado seriamente la confianza dentro del ecosistema Ruby. Esto no fue un simple malentendido, sino una toma hostil de infraestructura clave, y debilitó tanto a un grupo de stewardship con larga tradición como a toda la comunidad que depende de estas herramientas. El ecosistema Ruby se basa en la colaboración, la apertura y el respeto mutuo. Pero la serie de acciones que vimos en la última semana —acceso unilateral, exclusión de gente con experiencia, decisiones opacas— niega de frente esos principios. Me opongo claramente a esta concentración de poder. Además, hay preocupación de que el acceso de los contribuidores esté cambiando según su situación laboral o su ideología. El open source debe basarse en trayectoria, compromiso y confianza. Si Ruby Central realmente quiere apoyar a la comunidad, debe tomar las siguientes medidas: - restaurar de inmediato los permisos de todos los admins removidos en este incidente - comprometerse públicamente a un modelo de gobernanza transparente y centrado en la comunidad (similar al que preparaba el equipo de RubyGems) - respetar la autonomía de los mantenedores de open source, sin importar si pertenecen o no a Ruby Central - reconocer este daño e iniciar un diálogo público para reconstruir la confianza La fuerza de la comunidad Ruby está en su gente, y nace de su diversidad, su pasión y su amor por el lenguaje. Ya es momento de exigir que las instituciones que dicen representarnos actúen a la altura. Si Ruby Central no responde, creo que hay que presionar para que los patrocinadores retiren su apoyo y, a la larga, construir nuestra propia infraestructura fuera de este caos. Para recuperar la confianza también haría falta despedir a los responsables de este incidente. Patrocinadores Ruby-Level(Top): Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • En el anuncio oficial dicen "valoramos la apertura y la colaboración", pero ni siquiera especifican qué significa esa apertura, y tampoco aparece quién escribió el texto.

    • En "lo que vimos esta semana"... ¿quiénes son "nosotros" y qué fue exactamente lo que vieron? Hasta ahora solo hemos oído la versión de una parte. Si realmente ocurrió un cambio así, debería haber habido un anuncio público de inmediato, pero como Ruby Central es quien en la práctica fundó y operó RubyGems durante todos estos años, también me cuesta entender que se le llame una "toma". Si de verdad hubo mala intención, yo también me sumaré a la crítica, pero antes quiero ver la versión de la otra parte. Adjunto el enlace al anuncio oficial de Ruby Central, publicado 35 minutos después noticia oficial

    • Me pregunto por qué incluyeron deliberadamente la lista de patrocinadores al final del comentario. Tampoco sé de dónde sale la preocupación de que los permisos de acceso estén cambiando según la situación laboral o la ideología; eso no ha aparecido en ninguna parte del texto. Incluso me pregunto si se usó una herramienta LLM para redactar el comentario.

  • Como parece relacionado, dejo solo el siguiente enlace; en realidad no he estado siguiendo este caso texto relacionado

    • Se menciona que "la razón concreta es que varios administradores de Rubygems recientemente renunciaron por problemas para seguir vinculados con DHH (incluido el único ingeniero de planta)". Aquí hace falta más explicación: ¿esa relación se refiere a Ruby Central y DHH?, ¿o a los mantenedores y DHH? También quién lo ve problemático y por qué. Edit: la publicación ya quedó aclarada. Se trata de la situación entre RC y DHH. Me pregunto por qué a los administradores les molesta eso. ¿No era que la razón original era que RC bloqueó a la mayoría sin advertencia?

  • Ruby Central lleva años consiguiendo fondos y operando sus propios proyectos, así que la afirmación de que se está "atacando" a sí misma tiene poca base. No sé qué estará pasando en GitHub Enterprise, pero en el GitHub público todo se ve bastante transparente. Marty ha estado haciendo muchas contribuciones últimamente en relación con las funciones de Orgs. Yo uso rubygems.org todos los días, y también mi fork de rubygems.org, de forma intensiva. Este proyecto es claramente un bien público. Es lamentable que alguien —incluyendo ex empleados— quede atrapado en rencillas personales e intente dañar el proyecto completo. Muchísimos DAU han usado esta plataforma de forma estable. Los contratistas siempre van y vienen. En el commit log de los últimos 24 meses de la persona que hizo la denuncia (ex empleado) no se ve una contribución particularmente destacable. Puede que yo lo esté viendo mal, así que agradezco correcciones historial de contribuciones

  • Ojalá alguien más familiarizado con la toma de decisiones en Ruby Central pudiera explicar la situación. También sigue la confusión por problemas previos relacionados con la organización de conferencias. Últimamente parecían ocupados con el lanzamiento de un podcast, recaudación de fondos y campañas de correo. Me pregunto si hubo cambios de liderazgo.

    • Sí, recientemente contrataron a una nueva Executive Director.

    • Todavía no entiendo con claridad por qué dejaron de hacer RailsConf. Supongo que quizá los patrocinadores principales decidieron apoyar más a Rails World.

  • Yo fui quien por primera vez propuso en Shopify que debíamos aportar dinero para RubyGems (y de forma indirecta para Ruby Central). Por eso me avergüenza que haya pasado algo así y que yo haya ayudado a hacerlo posible.

    • Desde la posición de Shopify, parece que ahora sí podrían tener fuerza para abrir un canal de conversación con Ruby Central. Podrían presionar con algo como "si no explican la situación, vamos a suspender el financiamiento".

  • Me consolaba pensar que la comunidad Ruby había estado milagrosamente libre de disputas mezquinas y de tomas bienintencionadas por parte de entidades gestoras, pero ya no parece ser así. De verdad quiero decirles a los mantenedores que lo siento mucho.

    • Extraño la época de "Matz es buena gente, así que nosotros también lo somos".

  • Ruby Central necesita explicar claramente qué está haciendo ahora mismo. Viéndolo solo desde fuera, todo esto se ve bastante destructivo y con una comunicación pésima.