L’attaque de Ruby Central contre RubyGems

 (pup-e.com)
1 points par GN⁺ 2025-09-20 | 1 commentaires | Partager sur WhatsApp
  • Ruby Central a récemment tenté de prendre de force le contrôle du projet RubyGems
  • En septembre 2025, les autorisations GitHub et la propriété de RubyGems ont été modifiées sans préavis
  • Une restauration temporaire des droits a ensuite eu lieu, mais le changement central de propriété a été maintenu
  • Une nouvelle révocation des droits de toute l’équipe a ensuite permis à Ruby Central de reprendre l’ensemble du contrôle
  • L’autrice qualifie ces agissements de prise de contrôle hostile et annonce sa démission officielle de Ruby Central

Introduction

  • L’autrice de ce texte est Ellen Dash, connue dans la communauté Ruby sous les pseudonymes duckinator ou puppy
  • Elle a travaillé comme mainteneuse de longue date au sein de la communauté Ruby et de RubyGems pendant 10 ans
  • Face aux événements récents, elle a estimé nécessaire de faire connaître la vérité à la communauté

Aperçu des événements survenus en septembre 2025

  • Le 9 septembre 2025, sans aucun avertissement ni échange préalable, l’un des mainteneurs de RubyGems a agi seul pour
    • renommer l’entreprise GitHub « RubyGems » en « Ruby Central »
    • ajouter Marty Haught de Ruby Central, qui n’était pas mainteneur
    • retirer tous les autres responsables du projet RubyGems
  • Ce mainteneur a déclaré qu’il ne reviendrait pas sur ces changements et a affirmé que l’autorisation de Marty était nécessaire
  • Le 15 septembre, il a été indiqué qu’une restauration des droits précédents avait eu lieu après discussion, mais
    • selon Marty, il s’agissait d’une « erreur » qui « n’aurait jamais dû se produire »
    • même lors de cette restauration, le changement essentiel a été maintenu, Marty restant propriétaire
  • En réponse, l’équipe RubyGems a commencé à mettre en place une politique de gouvernance officielle inspirée de Homebrew
  • Le 18 septembre, Marty Haught a retiré sans explication les adhésions aux organisations GitHub de tous les administrateurs de RubyGems, Bundler et RubyGems.org
    • Ruby Central et ses employés permanents ont ainsi obtenu l’intégralité du contrôle
    • le même jour, Ruby Central a également révoqué des accès aux gems bundler et rubygems-update

Nature de la situation et position de l’autrice

  • L’autrice qualifie explicitement ces événements de prise de contrôle hostile
  • Elle souligne que le retrait forcé des droits de personnes qui maintenaient RubyGems et Bundler depuis des années est, par essence, un acte hostile
  • Elle affirme que, puisque la même mesure a été répétée après un premier signalement, l’attitude de Ruby Central ne peut pas être considérée comme de bonne foi
  • Elle déclare ne pas pouvoir rester silencieuse à ce sujet et annonce sa démission immédiate de toutes ses fonctions chez Ruby Central

Conclusion et message

  • Ruby Central a unilatéralement retiré tous les accès à RubyGems à l’autrice et à l’équipe RubyGems, sans explication et contre leur volonté

  • Elle exprime finalement son opposition publique à ces mesures et au mode de gouvernance de l’organisation, et annonce son départ

  • Ellen Dash (@duckinator)

  • 19 septembre 2025

À lire aussi

1 commentaires

 
GN⁺ 2025-09-20
Réactions sur Hacker News

  • Un post publié sur /r/ruby montre qu’une proposition formelle de structure de gouvernance organisationnelle était encore en discussion en interne chez Ruby Central jusqu’à tout récemment. Liens partagés : lien Reddit et proposition détaillée. L’implication de Mike McQuaid, inspirée de la structure de gouvernance du projet Homebrew, y est également mentionnée.

    • J’aimerais aider à débloquer la situation par la médiation. Je suis encore en appel à ce sujet en ce moment même, et j’ai déjà discuté à quatre reprises avec les deux parties au cours des dernières 24 heures. Mon implication est uniquement motivée par mon attachement à Ruby.

    • La réaction de DHH mérite aussi l’attention : « Ruby Central a été responsable de la maintenance et de l’exploitation de RubyGems depuis le début, et a rémunéré les administrateurs et développeurs, y compris des prestataires. Ils sont en train d’améliorer les procédures et les protocoles, et c’est une bonne chose. » Tweet de DHH

  • Une mise à jour de la position officielle de Ruby Central a été publiée : elle porte sur le renforcement de la gouvernance de RubyGems et Bundler. Lien vers l’actualité

    • « Nous exprimons notre profonde gratitude à tous les mainteneurs qui ont contribué à Bundler et RubyGems au cours des 20 dernières années. Sans leurs efforts, l’écosystème Ruby tel qu’il existe aujourd’hui aurait été impossible. Nous poursuivrons cet héritage dans un esprit d’ouverture et de collaboration. » Cette emphase ne cadre pas avec le fait d’avoir évincé pratiquement toutes les équipes sans préavis. L’approche du type « merci pour votre travail, maintenant les adultes vont reprendre la main » se passe rarement bien.

    • Ils disent « exprimer leur gratitude et leur respect aux mainteneurs », mais dans les faits ils les ont écartés du projet sans explication, ou ont laissé leurs questions sans réponse. Quand on pense aux mainteneurs exclus d’un projet qu’ils ont protégé pendant plus de dix ans, c’est profondément triste. Ils ne méritaient pas ce traitement.

    • En réalité, cela revient à avoir bloqué arbitrairement et soudainement un grand nombre de mainteneurs de longue date, pour des raisons juridiques ou de sécurité. S’il y avait réellement une raison concrète exigeant une action urgente, il faudrait montrer des informations précises, pas un message de RP d’entreprise.

    • Si l’objectif était de renforcer la sécurité, c’est une manière vraiment étrange de s’y prendre. Le changement de propriété GitHub en cours, combiné à l’éviction soudaine de personnes expérimentées sans aucune passation, ne fait qu’augmenter les risques (d’après l’article original) et miner la confiance dans la gouvernance.

    • Cela ressemble à une justification a posteriori. Des changements d’une telle importance auraient dû être communiqués aux mainteneurs en interne à l’avance, au lieu de les frapper aussi brutalement.

  • J’ai le cœur lourd pour la communauté Ruby, et je lui adresse ma gratitude et mon empathie. Ruby a été un immense tremplin dans ma carrière, et je suis profondément attaché à ce langage et à cette communauté. J’attendrai pour l’instant les explications de Ruby Central, mais au vu de ce qui a été publié jusqu’ici, cela ne respire ni la transparence ni la bonne foi. Je me demande si Ruby Central a déjà pris la parole officiellement. J’espère que la communauté Ruby tiendra bon, et qu’une transition vers une organisation détenue par la communauté, sous une forme ou une autre, pourra avoir lieu. (Après NPM et WordPress, voici donc Ruby : on a l’impression que les registres de paquets deviennent des terrains de lutte pour des prises de contrôle par des entités.)

  • Les mesures récemment prises par Ruby Central — évincer sans avertissement préalable des mainteneurs de longue date de RubyGems et Bundler, puis concentrer unilatéralement les droits d’administration entre les mains d’un petit nombre — ont gravement fissuré la confiance au sein de l’écosystème Ruby. Il ne s’agit pas d’un simple malentendu, mais d’une prise de contrôle hostile d’une infrastructure essentielle, qui a affaibli à la fois une équipe de gouvernance de longue date et l’ensemble de la communauté qui dépend de ces outils. L’écosystème Ruby repose sur la collaboration, l’ouverture et le respect mutuel. Pourtant, la série d’actions observée cette dernière semaine — approche unilatérale, exclusion de personnes expérimentées, décisions opaques — contredit frontalement ces principes. Je m’oppose clairement à cette concentration du pouvoir. De plus, des inquiétudes existent sur le fait que l’accès des contributeurs puisse varier selon leur statut d’emploi ou leurs convictions. L’open source devrait reposer sur l’expérience, l’engagement et la confiance. Si Ruby Central veut réellement soutenir la communauté, elle doit prendre les mesures suivantes : - rétablissement immédiat des droits de tous les administrateurs évincés dans cette affaire - engagement public à publier un modèle de gouvernance transparent centré sur la communauté (semblable à celui que l’équipe RubyGems préparait) - respect de l’autonomie des mainteneurs open source, qu’ils appartiennent ou non à Ruby Central - reconnaissance du préjudice causé et ouverture d’un dialogue public pour restaurer la confiance La force de la communauté Ruby réside dans ses membres, dans sa diversité, dans sa passion et dans l’amour qu’ils portent au langage. Le moment est venu d’exiger que les institutions qui prétendent nous représenter soient à la hauteur. Si Ruby Central refuse, il faudra faire pression pour que les sponsors suspendent leur soutien et, à terme, construire notre propre infrastructure à l’abri de ce type de chaos. Pour restaurer la confiance, il faudrait aussi licencier les responsables de cette affaire. Sponsors Ruby-Level (Top) : Alpha Omega, Shopify, Sidekiq Gold : Flagrant Silver : Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • L’annonce officielle dit « nous accordons de l’importance à l’ouverture et à la collaboration », mais elle ne précise même pas ce que signifie cette ouverture, ni qui a rédigé le texte.

    • « Ce que nous avons vu cette semaine »... qui est ce « nous », et qu’a-t-il exactement observé ? Jusqu’ici, nous n’avons entendu qu’une seule version des faits. Si de tels changements ont eu lieu, une annonce publique immédiate aurait dû suivre. Mais comme Ruby Central a fondé et exploité RubyGems pendant de longues années, j’ai du mal à comprendre l’usage du terme « prise de contrôle ». S’il s’agit réellement d’une manœuvre malveillante, je participerai aussi aux critiques, mais avant cela j’aimerais entendre l’autre camp. J’ajoute le lien vers la déclaration officielle de Ruby Central, publiée 35 minutes plus tard. Actualité officielle

    • Je me demande pourquoi la liste des sponsors a été incluse à la fin du commentaire. D’où vient l’inquiétude selon laquelle les droits d’accès varieraient selon le statut d’emploi ou les convictions idéologiques ? Rien de tel n’apparaît dans le corps du message. Je me demande aussi si un outil LLM a été utilisé pour rédiger ce commentaire.

  • Cela semble lié, donc je laisse simplement ce lien ci-dessous ; je ne suis pas personnellement cette affaire de près. Article connexe

    • On y lit : « La raison concrète est que plusieurs administrateurs de Rubygems récemment, y compris le seul ingénieur salarié à plein temps, ont démissionné à cause de la poursuite de la relation avec DHH. » Ici, de quelle relation parle-t-on exactement ? Celle entre Ruby Central et DHH, ou entre l’équipe de maintenance et DHH ? Il faudrait aussi expliquer davantage qui considère cela comme un problème, et pourquoi. Édition : le post a été clarifié. Il s’agit de la situation entre RC et DHH. Je me demande pourquoi les mainteneurs y voient un problème. N’était-ce pas plutôt, au départ, le fait que RC ait bloqué la majorité d’entre eux sans avertissement ?

  • Ruby Central lève des fonds depuis des années et exploite ses propres projets, donc l’idée qu’il « attaque » son propre projet manque de fondement. Je ne sais pas ce qui se passe sur GitHub Enterprise, mais sur le GitHub public, tout est plutôt transparent. Marty contribue beaucoup en ce moment sur les fonctionnalités liées aux orgs. J’utilise activement rubygems.org tous les jours, ainsi que mon fork de rubygems.org. Ce projet est clairement un bien public. C’est regrettable que quelqu’un — y compris un ancien employé — se laisse emporter par des ressentiments personnels au point d’endommager l’ensemble du projet. Un très grand nombre de DAU utilisent cette plateforme de manière stable depuis longtemps. Les prestataires vont et viennent, c’est normal. Et dans les logs de commit des 24 derniers mois de la personne qui lance ces accusations (un ancien employé), je ne vois pas de contribution particulièrement notable. J’ai peut-être mal regardé, donc toute correction est bienvenue. Historique des contributions

  • J’aimerais qu’une personne mieux informée sur la prise de décision chez Ruby Central explique la situation. Avec les problèmes passés liés à l’organisation des conférences, tout cela devient encore plus confus. Récemment, ils avaient l’air très occupés avec le lancement d’un podcast, la collecte de fonds et les campagnes e-mail. Je me demande s’il y a eu des changements dans la direction.

    • Oui, un nouvel Executive Director a récemment été recruté.

    • Je ne comprends toujours pas clairement pourquoi RailsConf a été arrêté. J’imagine que les principaux sponsors ont peut-être préféré soutenir Rails World.

  • Chez Shopify, c’est moi qui ai proposé pour la première fois qu’on finance RubyGems (et indirectement Ruby Central). Je suis donc honteux que cette situation ait pu se produire alors que j’ai contribué à la rendre possible.

    • Shopify semble en position d’ouvrir un canal de discussion avec Ruby Central dès maintenant. Ils pourraient probablement faire pression du genre : « Si vous n’expliquez pas la situation, nous couperons le financement. »

  • Je trouvais réconfortant que la communauté Ruby ait miraculeusement échappé jusqu’ici aux querelles mesquines et aux prises de contrôle “bien intentionnées” de structures de gouvernance, mais ce n’est désormais plus le cas. Je veux simplement dire aux mainteneurs que je suis vraiment désolé pour eux.

    • L’époque du « Matz est gentil, donc nous aussi » me manque.

  • Ruby Central doit expliquer clairement ce qu’il est en train de faire. En l’état, cela paraît assez destructeur et la communication semble franchement mauvaise.