ネットサービス

「RubyGems」のGitHub Enterpriseが勝手に「Ruby Central」に改名されて既存のメンテナが追放される事態が発生


Ruby言語用のパッケージ管理システムであるRubyGemsGitHub Enterpriseの名称が勝手に変更され、既存のメンテナが追放されるという事態が発生しました。背景には、Rubyエコシステムのイノベーションを推進する団体「Ruby Central」とのいざこざがあったと伝えられています。

Ruby Central’s Attack on RubyGems - goodbye-rubygems.pdf
(PDFファイル)https://pup-e.com/goodbye-rubygems.pdf

Ruby Central's Attack on RubyGems [pdf] | Hacker News
https://news.ycombinator.com/item?id=45299170

RubyGemsに関する騒動についてエレン・ダッシュ氏というメンテナが記したPDFの内容を、Hacker Newsユーザーがコピー&ペーストしたものが以下。


13歳からRubyコミュニティの一員であり、過去10年にわたってRubyGemsのメンテナとして活動してきたエレン氏によると、あるメンテナが2025年9月9日、事前警告もなくGitHub Enterpriseの名前を「Ruby Central」に変更し、Ruby Centralの非メンテナであるマーティ・ホート氏を管理者に追加したとのこと。そして、RubyGemsプロジェクトの他のすべてのメンテナを削除したそうです。

当然ながらRubyGemsコミュニティは変更を元に戻すように要望しましたが、このメンテナはホート氏の許可がなければ復元できないとして拒否。メンテナはホート氏と話し合った後、9月15日にメンテナの権限を戻し、ホート氏も削除は間違いだったと認めました。しかし、依然としてホート氏はGitHubエンタープライズのオーナーに指定されており、RubyGemsチームはこれに対応して公式ガバナンスポリシーを導入しました。


ホート氏は9月18日に、何の説明もなくRubyGemsやBundler、およびRubyGems.orgメンテナチームのすべての管理者について、GitHubエンタープライズのメンバーシップを取り消しました。こうすることでホート氏は、RubyGemsの権限を掌握したと伝えられています。

エレン氏は、「はっきり言います。これは敵対的な乗っ取りでした」「私は、Ruby Centralの行動がRubyコミュニティ全体への脅威だと考えています。10年以上にわたりRubyGemsとBundlerを保守してきた人々を強制的に排除することは、本質的に敵対的な行為です。Ruby Centralは、この行為によって一線を越えてしまいました」と述べました。Ruby Centralによる一連の行為については、「Rubyエコシステムの原則に反するものである」というコメントも寄せられています。


これに対しRubyCentralは、公式サイト上で声明を発表しました。

Strengthening the Stewardship of RubyGems and Bundler
https://rubycentral.org/news/strengthening-the-stewardship-of-rubygems-and-bundler/


声明でRuby Centralは「Ruby Centralの使命の中核は、Rubyエコシステムを支えるオープンソースツールを管理する責任です。このコミットメントの強さは、それを支える人材とプロセスによって決まります。過去数ヶ月にわたり、RubyGems.org、RubyGems、Bundlerのガバナンス体制を慎重に見直し、これらの重要なサービスが持続可能で透明性が高く、安全な方法でサポートされるよう、変更を加えてきました」と述べています。

Ruby Centralは、昨今のソフトウェアサプライチェーン攻撃の増加を受け、RubyGemsエコシステムをエンドツーエンドで保護するための積極的な対策として、管理者アクセスを安全に保つ措置が必要だったと主張しています。

なお、Ruby Centralのオープンソース責任者兼RubyGemsプロジェクトの調整役であったアンドレ・アルコ氏は自身のブログで、「チームメイトのエレンが記録している通り、 RubyGemsチームはもう存在しません 。パッケージ管理を機能的に維持し、Rubyコミュニティ全体に貢献するという途方もない任務を担う皆様の幸運を祈っています。その間、私は新しい自由時間を、本当にワクワクするプロジェクトに集中して過ごすことを楽しみにしています」と述べ、RubyGemsプロジェクトから離れたことを報告しました。

Goodbye, RubyGems
https://andre.arko.net/2025/09/19/goodbye-rubygems/


・つづき
ShopifyがRuby Centralを操りBundlerとRubyGemsの乗っ取りを強制したという調査結果が公表される - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
Rubyの基礎を子ども向けに解説した絵本「Hello Ruby」 - GIGAZINE

「人間様が気分よくプログラミングするための言語」Rubyは何を目指すのか - GIGAZINE

プログラミングの考え方が対象年齢5歳の絵本で身につく「ルビィのぼうけん」レビュー - GIGAZINE

オープンソースソフトウェアの保守を職業として成立させるために必要なアイデアとは? - GIGAZINE

全世界を揺るがした「Log4j」のようなオープンソースソフトウェアを無償でメンテし続けるという難題を解決すべくGoogleが立ちあがる - GIGAZINE

GitHubがうまくいった理由を共同創設者が解説 - GIGAZINE

XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ - GIGAZINE

毎週200万回以上ダウンロードされる人気の@ctrl/tinycolorパッケージが高度なサプライチェーン攻撃「Shai-Hulud」によって40以上のNPMパッケージとともに侵害を受けていると発覚 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ネットサービス, Posted by log1h_ik

You can read the machine translated English article RubyGems' GitHub Enterprise was rena….