Shopify, Ruby Central üzerinde etkisini kullanarak Bundler ve RubyGems’i zorla devraldı

 (joel.drapper.me)
1 puan yazan GN⁺ 2025-09-24 | 2 yorum | WhatsApp'ta paylaş
  • Ruby Central, Bundler ve RubyGems gibi açık kaynak projeleri mevcut bakımcıların onayı olmadan devraldı
  • Başlıca arka planda Shopify’ın mali baskısı ve Ruby Central’ın finansman sıkıntısı bulunuyor; bu süreçte belirli bakımcılar projeden dışlandı
  • GitHub deposu ve gem sahipliğinin zorla devri süreci kamuya açık olmadan yürütüldü; toplulukta karışıklık ve tepki doğdu
  • Ruby Central ve Shopify bunu güvenlik ve altyapı sorumluluğunu vurgulayarak meşrulaştırdı; ancak özünde mesele sahiplik sorunu ve topluluk güveni krizi
  • Bazı eski bakımcılar rakip projeler Spinel ve rv geliştirmeye odaklanırken, Ruby ekosistemi için yeni bir yanıt arıyor

Genel Bakış

Ruby Central, kısa süre önce Bundler ve RubyGems gibi başlıca açık kaynak projelerin sahiplik ve yönetim yetkisini mevcut bakımcıların onayı olmadan tek taraflı olarak devraldı. Bu süreçte Shopify’ın mali baskısı, Ruby Central’ın finansman sıkıntısı, önemli bakımcıların dışlanması ve topluluk içindeki karışıklık birbirine geçti.

Başlıca Olayların Özeti

  • Ruby Central mali zorluklar yaşıyordu ve Sidekiq, RailsConf’ta DHH’nin davet edilmesini gerekçe göstererek yıllık 250.000 dolarlık sponsorluğunu çekti
  • Bunun sonucunda Ruby Central büyük ölçüde Shopify’a bağımlı hale geldi
  • Shopify, Ruby Central’dan GitHub deposu ile Bundler ve rubygems-update gem sahipliğinin tamamen devralınmasını talep etti; kabul edilmezse sponsorluğu çekme baskısı yaptı
  • Devir sürecinde başlıca bakımcılar (özellikle André Arko) dışlandı ve topluluk onayı olmadan zorunlu bir geçiş gerçekleştirildi
  • Olayların ilerleyişi ve iç tartışmalar dışarıya karşı hızla ve kapalı biçimde yürütüldü; bu nedenle birçok önemli topluluk üyesi süreç dışında bırakıldı

Bundler ve RubyGems Devrinin Ayrıntılı Süreci

İlk durum

  • 9 Eylül’de Hiroshi Shibata (HSBT), RubyGems GitHub Enterprise adını 'Ruby Central' olarak değiştirdi, yeni sahip olarak Marty Haught’ı ekledi ve mevcut bakımcıların bazı yetkilerini kaldırdı
  • Bu adım sorun olarak gündeme gelince bazı yetkiler geri verildi, ancak Marty’nin sahip olarak eklenmesi geri alınmadı

Sahiplik ve hizmet ayrımı üzerine tartışma

  • RubyGems kaynak kod deposu topluluğa ait ve topluluk tarafından yönetiliyor
  • RubyGems Service ise Ruby Central tarafından ayrı işletilen bir altyapı hizmeti
  • Bu iki kavramın açıkça ayrılması gerekiyordu; ancak Ruby Central bunları birbirine karıştırarak sahiplik iddiasına dayanak olarak kullandı
Reklam

Yetki kaldırma ve devralmanın uygulanması

  • 18 Eylül civarında mevcut bakımcılar yeniden erişim haklarını kaybetti ve GitHub, Fastly ile rubygems.org hesaplarından çıkarıldı
  • Ruby Central yönetim kurulu, GitHub deposu ile gem sahipliğinin zorla devralınmasına dair oylama kararı aldı ve Marty bunu tek başına uyguladı

Ruby Central’ın Shopify’a Bağımlılığının Derinleşmesi

  • RailsConf’ta DHH’nin davet edilmesiyle mevcut sponsorluk (Sidekiq) kaybedildi ve finansman yapısı Shopify üzerinde yoğunlaştı
  • Rails World sırasında Ruby Central, Rails Core, Shopify, GitHub ve diğer önemli kişi ve şirketler arasında uzun vadeli sponsorluk koşulları görüşüldü; bu sırada belirli bakımcıların dışlanması ve sahiplik devri şartları öne sürüldü
  • Yönetim kurulu içinde bile, "başka seçenek Ruby Central’ın kapanış sürecini başlatmakla aynıydı" şeklinde bir algı vardı

Devirin Uygulanması ve Topluluk Tepkisi

  • Ruby Central yönetim kurulu, Marty’ye devri derhal uygulama yetkisi verdi; Shopify da mühendis görevlendirerek nöbetçi sistemi hızla dönüştürdü
  • Ellen bunu ilk kez kamuya açıkladıktan sonra Ruby Central, "tedarik zinciri güvenliğini güçlendirme" gerekçesine dayanan resmi bir açıklama yayımladı
  • İçeride güvenlik ve kişisel güvenilirlik sorunları vurgulansa da, özünde mesele meşru bir sahiplik devri sürecinin ve topluluk mutabakatının eksikliği oldu

Başlıca Kişilerin Açıklamaları ve Tartışma Konuları

  • DHH, Bundler/Gems devrini destekleyen bir tweet attı; ancak geçmişte WordPress’te eklentilerin zorla devralınması olayında karşı çıkmış olması nedeniyle tutarsızlık eleştirileri aldı
  • Ruby Central yönetim kurulu ve bazı ilgili kişiler, RubyGems.org altyapısının işletilmesi ile kaynak kod deposunun sahipliğini karıştıran açıklamalar yaparak kafa karışıklığı yarattı
  • Shun Cureton ve diğerleri, bakımcılarla zamanında uzlaşma sağlanamadığı için bunun geçici bir yetki kısıtlaması olduğunu söyledi. Ancak bazı eski bakımcıların kalıcı biçimde dışlanma ihtimali yüksek
Reklam

Spinel ve rv’nin Ortaya Çıkışı

  • Eski Bundler ve RubyGems bakımcıları André Arko, Samuel Giddins ve diğerleri yeni kooperatif Spinel’i kurdu ve yeni Ruby yönetim aracı rv’nin geliştirilmesine başladı
  • rv; gem’ler, Ruby sürümleri, bağımlılıklar ve binary ön paketleme dahil geniş yönetim işlevlerini birleştirmeyi hedefliyor ve rvm, rbenv, bundler, rubygems gibi mevcut araçların yerine geçmeyi amaçlıyor
  • Shopify ve Rails Core içindeki bazı kesimler, Spinel ve rv’yi Ruby’nin merkezileşmiş ekosistemi için potansiyel bir tehdit olarak görüyor

Sonuç ve Endişeler

  • Ruby Central’ın gelecekte Bundler ve RubyGems sahipliğini topluluğa geri verip vermeyeceği belirsiz
  • Ruby Central yönetim kurulunun, sonuçların ve alternatiflerin yeterince farkında olarak rıza olmadan zorla devir gerçekleştirmesi topluluk güvenine ciddi darbe vurdu
  • Shopify gibi şirketlerin baskısına açık bir yönetişim yapısı eleştiriliyor ve Spinel gibi yeni topluluk alternatiflerine ihtiyaç olduğu savunuluyor

Disclosure

  • Yazarın 2017–2022 arasında Shopify’da çalışma geçmişi bulunuyor

Disclaimer

  • Bu özet, çok sayıda paydaşla yapılan röportajlar ve toplantı notlarına dayanarak hazırlanmış uzman olmayan bir görüştür. Eksikler ve hatalar olabilir.

Changelog

  • 23 Eylül 2025: Rails World katılımcılarının bazı isimleri silindi, DHH’nin WordPress ile ilgili alıntısı eklendi

İlgili okumalar

2 yorum

 
click 2025-09-24

Sonuçta temel neden DHH mi?
 
GN⁺ 2025-09-24
Hacker News yorumu
  • Sidekiq'in Ruby Central'a yaptığı yıllık 250.000 dolarlık sponsorluğu geri çektiğini öğrenince şaşkınlığımı gizleyemedim; çünkü Sidekiq (aslında ContribSys) Mike Perham'ın tek başına yürüttüğü bir şirket. Mike birkaç yıl önceki bir röportajda, çalışan olmadan yılda 1 milyon dolar kazandığını ve ayrıca sunucu işletme gibi bir ihtiyacı olmayan bir yapısı olduğunu söylemişti. Yakın tarihli bir 2023 podcast'ine göre ise bugün tek başına yılda 10 milyon dolara yaklaşan gelir elde ediyor; tek kişilik geliştirici girişimci için gerçekten harika bir hayat.
    • Mike gerçekten harika biri ve topluluk onun varlığıyla bile çok şanslı. Sponsorluk miktarının ne kadar olduğunu bilmiyordum ama bağışı da geri çekmesini de ayrıca duyurmamış olmasından, ilkelerine bağlı biri olduğu anlaşılıyor.
  • Bağlam iyi açıklanmış ama yine de bunun 'neden' yaşandığını hâlâ tam anlayamıyorum. Shopify her zaman Ruby ve Rails'e çok katkı yaptı ve sponsor oldu; bu yüzden geçmişte buna olumsuz bakmıyordum.
    • Yorumları okuyunca, Shopify'ın daha büyük bir rol üstlenmesinden neden korkulduğunu anlayamıyorum. Uzun süredir Ruby'nin çekirdek katkıcılarından biri oldular. Bu olaydaki davranışlarına katılmıyorum ama bu yazıda kötü niyet çıkarmak zor.
    • İyi niyet, yanlış anlama ve iletişim eksikliğinin birleşimi gibi görünüyor. Shopify, tedarik zinciri saldırısı riskini azaltmak ve yönetişim iyileştirmeleri için daha iyi erişim kontrolü istiyordu, bu yüzden bir son tarih koydu. Yarı zamanlı bakımcılar bunu son ana kadar erteledi; düzgün iletişim kurmadan ve gerçekten uzlaşmadan nüfuz kullanılarak bakım sorumluluğu alındı. Mevcut bakımcılar buna şaşırınca karmaşa daha da büyüdü. Rakip araç meselesi ve DHH tartışmaları bazı sert hamleleri etkilemiş olabilir ama bu olayın doğrudan nedeni değildi.
    • Satır aralarını okuyup kendi tahminimi yaparsam akış şöyle: 1) RubyGems üzerinde kısmi kontrolü olan bazı kişiler DHH'yi dışlamaya çalıştı 2) DHH'ye yakın taraflar bu kişileri RubyGems'ten uzaklaştırdı 3) Herkes kendi davranışını 'iyi mühendislik' gerekçesiyle meşrulaştırıyor. Sonuçta durum tam bir taht oyunu gibi: "ya kazanırsın ya kaybedersin".
    • Bazı kuruluşların DHH'nin tavır sorunları ve tedarik zinciri güvenliği endişeleri gibi nedenlerle fonlarını çektiğini duydum. Shopify da kritik bağımlılığı için doğrudan devreye girip kontrolü ele aldı.
  • Tedarik zinciri güvenliğini güçlendirme gerekçesiyle RubyGems.org, RubyGems ve Bundler için yönetici erişimini güvenli şekilde yöneteceğini iddia etti ama bana göre gerçekte bu, iç bölünmenin istenmeyen biçimde kötü niyetli bir tedarik zinciri saldırısına kadar uzanabileceği bir durumdu.
    • Tam olarak hangi kötü niyetli eylemlerin yaşandığını merak ediyorum. Örneğin gerçekten kötü amaçlı kod eklenip eklenmediği gibi olgusal ayrıntıları bilmek isterim.
  • Bu kadar iyi derlenmiş bir yazı beklemiyordum. Ruby topluluğunda eskiden beri iç gerilimler vardı ama bu olayda güvenin ve bağların yıkılması gibi kısa vadeli yıkıcılık üzücü.
    • Eğer bugünkü Ruby "kendi kendini kemiren" bir durumdaysa, bırakın gelecekte de kendini kemirmeye devam etsin.
    • Neden "kendi kendini kemiren" bir duruma geldiğini merak ediyorum.
    • Ruby topluluğunun en başından beri çok çatışmalı olduğu iddiasına katılmak zor; ilk dönem Ruby topluluğu harikaydı.
    • Yazı fazla dağınık; bazı bölümlerde gereğinden fazla ayrıntı var, bazılarında ise önemli bilgiler eksik, bu yüzden genel bağlamı takip etmek zor. Ruby Central olayının büyük bir karmaşa olduğu ve bakımcıların daha iyi muamele görmesi gerektiği konusunda katılıyorum ama yazarın kültür savaşı gibi önemli meseleleri araştırmamış olması üzücü.
  • Samuel Giddins ve André Arko'nun neden hedef alındığını, ne sorun olduğunu merak ediyorum. Yazıdan sanki Shopify bunu istediği için olmuş gibi görünüyor ama asıl sebebi öğrenmek isterim.
    • Yazıda bununla ilgili bölüm burada açıklanmış.
  • Ruby Central'ın RubyGems kod deposunu ve gem'leri kontrol etmeye çalıştığı kısmı anlamıyorum. Ruby Central'ın benim GitHub'ım üzerinde keyfine göre yetki kullanabildiği bir yapı olmaması gerekmez mi? Yoksa bunlar Ruby Central hesabı ya da organizasyon hesabı altında mıydı?
    • Yazıda da açıkça belirtildiği gibi, bir bakımcı (HSBT) Marty'yi GitHub hesap sahibi olarak davet etti ve bu mevcut mutabakat olmadan gerçekleşti.
    • "9 Eylül'de, HSBT..." kısmında mevcut bir RubyGems bakımcısı yeni bir kullanıcıyı owner olarak ekleyip sonra bunun çoğunu geri aldı. Ancak bir yeni kullanıcı RubyGems GitHub organizasyonunda owner olarak kaldı ve bu sayede Ruby Central daha sonra çeşitli şeyler yapabildi.
    • Duyduğuma göre RubyGems organizasyonunun adı Ruby Central olarak değiştirildi.
  • GitHub organizasyonu düzeyindeki riskler istenmiyorsa, en baştan böyle bir yapıya girilmemesi daha akıllıca olur. Bir bakımcı organizasyona katılsa bile, kendi depom üzerinde nihai tam kontrolün bende kalmasını ve gerekirse istediğim zaman çıkarabilmemi sağlayacak bir özelliğin GitHub'da kesinlikle olması gerektiğini düşünüyorum.
  • Konuyla ilgili yakın tarihli başka tartışmalar da var
  • Bildiğim kadarıyla Ruby Central kaynak kodun sahibi değil, sadece hizmeti işletiyor. Öyleyse GitHub hesabı ya da depolar kime aitti, bunları ilk kim oluşturdu merak ediyorum.
    • Hatırladığım kadarıyla Ruby Central'ı kuran kişiler ilk RubyGems'i de oluşturmuştu (David Black, Chad Fowler vb.). Üzerinden çok zaman geçtiği için bugünkü tartışmayla doğrudan çok ilgili olmayabilir.
  • Umarım tüm bu tartışma iyi şekilde çözülür. Oracle'ın Sun Microsystems'i satın almasının topluluk ve bakımcılar üzerindeki etkisini hatırlatıyor