Ruby Central'ın RubyGems'e saldırısı

 (pup-e.com)
1 puan yazan GN⁺ 2025-09-20 | 1 yorum | WhatsApp'ta paylaş
  • Ruby Central, kısa süre önce RubyGems projesinin yönetimini zorla devralmaya yönelik adımlar attı
  • 2025 Eylül'ünde, önceden herhangi bir bildirim yapılmadan RubyGems'in GitHub yetkileri ve sahipliği değiştirildi
  • Buna karşılık yetkiler geçici olarak geri verilse de temel sahiplik değişikliği korundu
  • Ardından bir kez daha tüm ekibin yetkileri kaldırılarak Ruby Central tüm kontrolü ele aldı
  • Yazar bu davranışı düşmanca bir devralma olarak tanımlıyor ve Ruby Central'daki görevlerinden resmen istifa ediyor

Giriş

  • Bu yazının yazarı, Ruby topluluğunda duckinator veya puppy olarak bilinen Ellen Dash'tir
  • Ruby topluluğunda ve RubyGems'te 10 yıllık deneyime sahip bir bakımcı olarak görev yaptı
  • Yakın zamanda yaşananlar nedeniyle, topluluğa gerçeği anlatma ihtiyacı hissetti

2025 Eylül'ünde yaşanan olayların özeti

  • 9 Eylül 2025'te, hiçbir uyarı veya önceden iletişim olmadan RubyGems bakımcılarından biri tek başına
    • GitHub'daki RubyGems enterprise adını Ruby Central olarak değiştirdi
    • Ruby Central'dan Marty Haught'u (bakımcı olmayan) ekledi
    • RubyGems projesinin diğer tüm yöneticilerini çıkardı
  • Söz konusu bakımcı bu değişikliği geri almayacağını söyledi ve bunun için Marty'nin izninin gerektiğini öne sürdü
  • 15 Eylül'de, yapılan görüşmelerin ardından önceki yetkilerin geri verildiği açıklandı
    • Ancak Marty'nin ifadesine göre bu bir “hata”ydı ve “asla yaşanmaması gerekirdi” vurgusu yapıldı
    • Geri yükleme sürecinde de Marty'nin sahip olarak kalması gibi kritik değişiklik aynen korundu
    Reklam
  • RubyGems ekibi buna karşılık, Homebrew'den ilham alan resmi bir yönetişim politikası oluşturmaya başladı
  • 18 Eylül'de Marty Haught, RubyGems, Bundler ve RubyGems.org için tüm yönetici GitHub organizasyonu üyeliklerini herhangi bir açıklama yapmadan kaldırdı
    • Sonuç olarak Ruby Central ve kadrolu çalışanları tüm kontrolü eline aldı
    • Aynı gün bundler ve rubygems-update gem'ine erişim yetkileri de Ruby Central tarafından ayrıca geri çekildi

Olayın niteliği ve yazarın tutumu

  • Yazar bu olayları açık biçimde düşmanca bir devralma olarak tanımlıyor
  • Yıllardır RubyGems ve Bundler bakımını yapan kişilerin yetkilerinin zorla alınmasının özünde düşmanca olduğunu vurguluyor
  • İlk itirazdan sonra aynı adımların yeniden atılmış olmasının, Ruby Central'ın iyi niyetle hareket etmediğini gösterdiğini savunuyor
  • Bu konuda sessiz kalamayacağını belirterek, Ruby Central'daki tüm görevlerinden derhal istifa ettiğini açıklıyor

Sonuç ve mesaj

  • Ruby Central'ın hiçbir açıklama yapmadan, yazarın ve RubyGems ekibinin iradesine rağmen RubyGems'e ilişkin tüm erişim yetkilerini tek taraflı olarak kaldırdığı belirtiliyor

    Reklam

  • Son olarak, Ruby Central'ın bu adımlarına ve kurumu yönetme biçimine kamuoyu önünde itiraz ettiğini ve ayrılma kararını duyurduğunu ifade ediyor

  • Ellen Dash (@duckinator)

  • 19 Eylül 2025

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-20
Hacker News görüşleri

  • /r/ruby'de paylaşılan gönderi, daha düne kadar bile Ruby Central içinde resmî bir kurumsal yönetişim yapısı önerisinin tartışıldığını gösteriyor bağlantılar: reddit bağlantısı ve somut öneri metni paylaşılmış Homebrew projesinin yönetişim yapısından ilham alan Mike McQuaid'in sürece dahil olduğundan da bahsediliyor

    • Arabuluculuk yaparak duruma yardımcı olmak istiyorum şu anda da bununla ilgili bir telefon toplantısındayım ve son 24 saat içinde her iki tarafla da 4 kez görüştüm benim dahil olmamın tek nedeni Ruby'ye duyduğum sevgi

    • DHH'nin tepkisi de dikkat çekici: "Ruby Central, en başından beri RubyGems'in bakım ve operasyonundan sorumluydu ve yükleniciler dahil yönetici ve geliştiricilere ödeme yapıyordu prosedürleri ve protokolleri iyileştiriyorlar, bu da iyi bir adım" DHH tweet'i

  • Ruby Central'ın resmî pozisyonuna dair bir güncelleme yayınlandı: RubyGems ve Bundler'ın yönetimini güçlendirmeye ilişkin haber bağlantısı

    • "Son 20 yılda Bundler ve RubyGems'e katkıda bulunan tüm bakımcılara derin minnettarlığımızı sunuyoruz onların emeği olmadan bugünkü Ruby ekosistemi mümkün olmazdı bu mirası açıklık ve işbirliği ruhuyla sürdüreceğiz" vurgusu, pratikte bütün takımı önceden haber vermeden kapının önüne koymalarıyla uyuşmuyor "emeğiniz için teşekkürler, artık yetişkinler devralsın" yaklaşımı neredeyse hiç iyi sonuç vermedi

    • "Bakımcılara teşekkür ve saygı sunuyoruz" diyorlar ama gerçekte hiçbir açıklama yapmadan onları projeden çıkardılar ya da sorularını yanıtsız bıraktılar 10 yıldan uzun süredir emek verdikleri projeden dışlanan bakımcıları düşününce insanın içi acıyor böyle bir muameleyi hak etmiyorlardı

    • Gerçekte olan şey, hukuki ya da güvenlik gerekçeleriyle uzun süredir görev yapan birçok bakımcının keyfi biçimde ve aniden engellenmesi gibi görünüyor eğer bunda acil müdahale gerektiren gerçek bir sebep varsa kurumsal PR mesajları yerine somut bilgi göstermeleri gerekir

    • Amaç güvenliği artırmaksa bu gerçekten çok tuhaf bir yöntem yürütülen Github sahiplik değişikliği, deneyimli insanları hiçbir devir teslim olmadan aniden dışarı atmak (ilk haberde anlatıldığı kadarıyla) yalnızca riskleri büyütür ve yönetime duyulan güveni azaltır

    • Sonradan uydurulmuş bir mazeret gibi okunuyor bu tür büyük değişiklikler bakımcılara önceden kurum içinde iletilmeliydi, böyle ansızın bir şok olarak değil

  • RubyGems topluluğu için gerçekten üzülüyorum, minnettarlığımı ve empati duygumu iletiyorum Ruby kariyerimde büyük bir sıçrama olmuştu ve bu dile ve topluluğa bağlılık hissediyorum şimdilik RubyCentral'ın açıklamasını bekleyeceğim ama şu ana kadar ortaya çıkanlardan şeffaflık ya da iyi niyet görmüyorum RubyCentral'ın bu konuda açıkladığı bir pozisyon olup olmadığını merak ediyorum Ruby topluluğunun güçlü kalmasını diliyorum ve biçimi ne olursa olsun topluluğun sahip olduğu bir yapıya geçilmesini umuyorum (NPM ve WordPress'ten sonra şimdi de Ruby; paket depoları sanki kurumsal ele geçirmelerin çekişme alanına dönüşüyor)

  • Ruby Central'ın yakın zamanda attığı adımlar — uzun yıllardır görev yapan RubyGems ve Bundler bakımcılarını önceden uyarı yapmadan çıkarması ve idari yetkileri tek taraflı olarak küçük bir grupta toplaması — Ruby ekosistemindeki güveni ciddi biçimde sarstı bu basit bir yanlış anlama değil, temel altyapıya yönelik düşmanca bir ele geçirme girişimiydi ve hem köklü bakım ekibini hem de bu araçlara bağımlı tüm topluluğu zayıflattı Ruby ekosisteminin özü işbirliği, açıklık ve karşılıklı saygıdır ancak son bir haftada gördüklerimiz tek taraflı erişim, deneyimli kişilerin dışlanması ve kapalı kapılar ardında alınan kararlarla bu ilkeleri bütünüyle reddediyor böyle bir güç yoğunlaşmasına açıkça karşı çıkıyorum ayrıca katkıcı erişiminin istihdam durumuna ya da ideolojiye göre değiştiğine dair kaygılar da var açık kaynak kariyer, adanmışlık ve güven üzerine kurulmalı eğer Ruby Central gerçekten topluluğu desteklemek istiyorsa şunları yapmalı - bu olayda görevden alınan tüm yöneticilerin yetkilerini derhal geri vermeli - topluluk merkezli, şeffaf bir yönetişim modelini yayımlamayı taahhüt etmeli (RubyGems ekibinin hazırlamakta olduğuna benzer şekilde) - Ruby Central'a bağlı olsun ya da olmasın açık kaynak bakımcılarının özerkliğine saygı duymalı - verilen zararı kabul edip güveni yeniden inşa etmek için kamuya açık bir diyalog başlatmalı Ruby topluluğunun gücü insanlarında yatıyor; çeşitlilikten, tutkudan ve bu dili sevme duygusundan geliyor şimdi bizi temsil ettiğini söyleyen kurumların da buna uygun davranmasını talep etme zamanı geldi Ruby Central bunu yapmazsa sponsorlar üzerindeki baskı artırılarak desteklerini çekmeleri sağlanmalı ve nihayetinde bu kargaşadan bağımsız kendi altyapımızı inşa etmeliyiz güvenin yeniden tesis edilmesi için bu olayın sorumlularının görevden alınması da gerekli Ruby-Level(Top) sponsorlar: Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • Resmî açıklamada "açıklık ve işbirliğine önem veriyoruz" deniyor ama bu açıklığın ne olduğu bile belirtilmiyor, metnin kim tarafından yazıldığı da belli değil

    • "Geçen hafta gördüklerimiz"... derken kimden söz ediliyor, bu "biz" kim ve tam olarak neye tanık oldu merak ediyorum şu ana kadar yalnızca tek tarafın anlatımını gördük böyle bir değişiklik olduysa hemen ardından kamuya açık bir açıklama gelmeliydi ayrıca RubyGems'i yıllardır fiilen kuran ve işleten taraf Ruby Central olduğu için buna bir tür "ele geçirme" denmesini de tam anlayamıyorum gerçekten kötü niyetli bir hamleyse ben de eleştirilere katılırım ama önce diğer tarafın ne dediğini görmek istiyorum 35 dakika sonra yayınlanan RubyCentral resmî açıklamasının bağlantısını ekliyorum resmî haber

    • Yorumun altına sponsor listesinin özellikle neden eklendiğini merak ediyorum istihdam durumu ya da ideolojiye göre erişimin değiştiğine dair kaygı nereden çıkıyor, metinde böyle bir şey görmedim yorum yazılırken LLM araçlarından yararlanılmış olabilir mi diye de düşünüyorum

  • Bununla ilgili olabileceğini düşündüğüm için sadece şu bağlantıyı bırakıyorum, aslında olayı yakından takip etmiyorum ilgili yazı

    • "Somut neden olarak, yakın dönemde birkaç Rubygems yöneticisi (tek tam zamanlı mühendis dahil) DHH ile ilişkinin sürdürülmesi meselesi nedeniyle istifa etti" deniyor buradaki ilişkinin Ruby Central ile DHH arasındaki ilişki mi, yoksa bakımcılarla DHH arasındaki ilişki mi olduğu net değil ayrıca bunun neden sorun görüldüğüne dair daha fazla açıklama gerekiyor düzeltme: gönderi netleştirilmiş durum RC ile DHH arasındaki meseleymiş bakımcıların bunu neden sorun gördüğünü merak ediyorum asıl mesele RC'nin çoğu kişiyi uyarısız biçimde engellemesi değil miydi

  • Ruby Central yıllardır fon toplayıp kendi projelerini yürütüyor, dolayısıyla kendi projesine "saldırdığı" iddiası için yeterli dayanak yok Github Enterprise tarafında neler olduğunu bilmiyorum ama herkese açık Github oldukça şeffaf görünüyor Orgs özellikleriyle ilgili olarak Marty son dönemde çok sayıda katkı yaptı ben her gün rubygems.org'u ve çatalladığım rubygems.org sürümünü yoğun şekilde kullanıyorum bu proje açıkça bir kamusal değer eski çalışanlar dahil, herhangi birinin kişisel duygular yüzünden tüm projeye zarar vermeye çalışması üzücü bu platform çok sayıda günlük aktif kullanıcı tarafından istikrarlı biçimde kullanıldı yükleniciler gelir gider sorun çıkaran kişinin (eski çalışan) son 24 aydaki commit kayıtlarında da kayda değer bir katkı göremedim yanlış bakıyor olabilirim, düzeltme memnuniyetle karşılanır katkı geçmişi

  • Keşke Ruby Central'daki karar alma süreçlerini daha iyi bilen biri olup biteni anlatsa eski konferans organizasyonu sorunları da işin içine girince tablo daha da karmaşık görünüyor son zamanlarda podcast başlatma, bağış toplama ve e-posta kampanyalarıyla meşgul gibiydiler acaba liderlikte bir değişim mi oldu merak ediyorum

    • Evet, kısa süre önce yeni bir Executive Director işe alındı

    • RailsConf'u neden durdurdukları hâlâ bana net değil muhtemelen büyük sponsorlar ağırlıklarını Rails World tarafına verdi

  • Shopify'da ilk kez RubyGems'e (ve dolaylı olarak Ruby Central'a) maddi destek verilmesini öneren kişi bendim şimdi bunun yaşanmış olması ve buna imkân sağlayanlardan biri olmam beni utandırıyor

    • Shopify açısından bakınca şu anda Ruby Central ile görüşme kanalı açabilecek güce sahip olabilirler "durumu açıklamazsanız finansmanı keseriz" türü bir baskı kurmaları mümkün olabilir

  • Ruby topluluğunun küçük çekişmelerden, iyi niyetli yönetim devralmalarından mucizevi biçimde uzak kalmış olması teselli vericiydi ama artık bunun böyle olmadığı görülüyor bakımcılara gerçekten çok üzüldüğümü söylemek isterim

    • "Matz iyi biri, o halde biz de iyiyiz" denilen zamanları özlüyorum

  • Ruby Central'ın ne yaptığını açıkça anlatması gerekiyor şu anki haliyle oldukça yıkıcı ve iletişim açısından da çok kötü görünüyor