Ruby Central의 RubyGems 공격

 (pup-e.com)
1P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • Ruby Central이 최근 RubyGems 프로젝트의 관리권을 강제로 가져가려는 행동을 보임
  • 2025년 9월, 사전 통보 없이 RubyGems의 GitHub 권한 및 소유자가 변화함
  • 이에 대해 일시적으로 권한 복원이 있었으나 핵심적인 소유권 변화는 유지됨
  • 다시 한 번 팀 전원 권한이 박탈되면서 Ruby Central이 모든 제어권을 가져감
  • 저자는 이러한 행위를 적대적 인수로 규정하며, Ruby Central에서 공식적으로 사임함

서론

  • 본 글의 저자는 Ellen Dash로, Ruby 커뮤니티에서 duckinator 또는 puppy로 알려진 인물임
  • Ruby 커뮤니티와 RubyGems의 10년 경력 유지관리자로 활동해옴
  • 최근 일어난 사태로 인해, 커뮤니티에 진실을 알릴 필요성을 느낌

2025년 9월에 일어난 사건 개요

  • 2025년 9월 9일, 아무런 경고나 사전 소통 없이 RubyGems 유지관리자 중 한 명이 단독으로
    • GitHub ‘RubyGems’ 엔터프라이즈명을 ‘Ruby Central’로 변경
    • Ruby Central의 Marty Haught(비유지관리자)를 추가
    • 나머지 RubyGems 프로젝트 관리자를 모두 제거
  • 해당 유지관리자는 이 변경을 되돌리지 않겠다고 하였고, Marty의 허가가 필요하다고 주장함
  • 9월 15일, 대화 후 이전 권한 복구가 있었다고 밝혔으나
    • Marty의 말에 따르면 “실수”였고 “절대 일어나면 안 됨”임을 강조
    • 복구 과정에서도 Marty가 소유자로 남는 중요한 변화는 그대로 유지
  • RubyGems 팀은 이에 대응하여 Homebrew에서 영감을 받은 공식적인 거버넌스 정책 도입을 시작함
  • 9월 18일, Marty Haught가 RubyGems, Bundler, RubyGems.org의 모든 관리자 GitHub 조직 회원권을 별다른 설명 없이 박탈
    • 그 결과, Ruby Central과 그 정규 직원들이 모든 제어권을 가짐
    • 같은 날 bundler, rubygems-update gem에 대한 접근 권한도 Ruby Central에서 추가적으로 회수

사태 성격 및 저자의 입장

  • 저자는 이러한 사건을 적대적 인수로 명확히 규정
  • 수년간 RubyGems 및 Bundler를 유지관리해온 인력들에 대한 강제적인 권한 제거가 본질적으로 적대적임을 강조
  • 첫 번째 지적 후에도 같은 조치가 재차 이루어졌다는 점에서, Ruby Central의 행동이 선의에 기반하지 않음을 주장
  • 이에 대해 침묵할 수 없음을 표명하며, 즉시 Ruby Central에서의 모든 역할에서 사임한다고 선언

결론 및 메시지

  • Ruby Central이 아무런 설명 없이, 저자 및 RubyGems 팀의 의사에도 불구하고 모든 RubyGems 접근 권한을 일방적으로 박탈했음

  • 최종적으로 Ruby Central의 이러한 조치와 조직운영 방침에 공개적으로 이의를 제기하고 퇴직 의사를 밝힘

  • Ellen Dash (@duckinator)

  • 2025년 9월 19일

GN⁺ 2일전  [-]
Hacker News 의견

  • /r/ruby에 올라온 게시물에서는 이제 막까지도 Ruby Central 내부에서 공식적인 조직 거버넌스 구조 제안을 논의하던 중이었음을 알 수 있음 링크: reddit 링크구체적 제안서 공유함 Homebrew 프로젝트 거버넌스 구조에서 영감을 받은 Mike McQuaid의 관여도 언급됨

    • 나는 중재를 통해 상황을 돕고 싶음 지금도 이 건과 관련된 전화 미팅 중이며, 지난 24시간 동안 양측 당사자들과 4번이나 논의함 내 관여는 오로지 Ruby에 대한 애정 때문임

    • DHH의 반응도 주목할 만함: "Ruby Central은 초기부터 RubyGems의 유지보수 및 운영 담당이었고, 계약자를 포함해 관리 및 개발자들에게 보수를 지급해 왔음 그들은 절차와 프로토콜을 개선 중이며, 이는 좋은 움직임임" DHH 트윗

  • Ruby Central의 공식 입장 업데이트가 올라옴: RubyGems와 Bundler의 관리 체계 강화에 관한 내용임 뉴스 링크

    • "지난 20년간 Bundler와 RubyGems에 기여한 모든 유지보수자들에게 깊은 감사를 표함 이들의 노력 없이는 현재의 Ruby 생태계가 불가능했음 그 유산을 개방성과 협력 정신으로 계승하겠음" 강조 부분이 실질적으로 모든 팀을 사전 고지 없이 내보내는 것과 맞지 않음 "수고했으니 이제 어른들이 맡겠음" 식의 접근법은 잘 풀린 적이 거의 없었음

    • "유지보수자들에게 감사와 존중을 전함"이라고 하지만, 정작 설명도 없이 이들을 프로젝트에서 제거하거나 질문엔 무응답이었음 10년 넘게 지켜온 프로젝트에서 배제된 유지보수자들을 생각하면 안타까운 심정임 이런 대우는 받아선 안 됨

    • 실상은 법적 또는 보안적 이유로 오랜 기간 활동한 유지보수자 다수를 임의로 갑자기 차단한 셈임 이런 게 시급히 조치해야 할 실질적 이유가 있었다면 기업식 PR 메시지가 아니라 구체적 정보를 보여줘야 함

    • 보안을 강화하려는 의도라면 정말 이상한 방식임 추진 중인 Github 소유권 변경, 경험 많은 인력을 아무런 인수인계 없이 갑작스럽게 내보내는 것은 (원래 기사 내용 기반) 위험 부담만 키우고 관리 신뢰만 떨어뜨리는 방법임

    • 사후 변명처럼 읽힘 이런 주요 변경은 유지보수자들에게 미리 내부적으로 전달했어야 함, 이렇게 갑작스럽게 충격을 주는 게 아니라

  • RubyGems 커뮤니티를 생각하면 마음이 아프고, 감사와 공감을 전함 Ruby는 내 커리어에 큰 도약이었고, 이 언어와 커뮤니티에 애착이 있음 일단 RubyCentral의 설명을 기다리겠지만, 지금 나온 내용으로 봐선 투명성이나 선의가 없어 보임 RubyCentral이 밝힌 입장이 있는지 궁금함 Ruby 커뮤니티가 힘을 내길 원하며, 형태를 막론하고 커뮤니티 소유 조직으로의 전환이 이루어지길 바람 (NPM, WordPress에 이어 이제는 Ruby까지, 패키지 저장소가 기업 인수의 각축장이 되어 가는 듯한 느낌임)

  • Ruby Central이 최근 단행한 조치—오랜 기간 활동한 RubyGems 및 Bundler 유지보수자들을 사전 경고 없이 내보내고, 관리 권한을 일방적으로 소수에게 집중시킨 행위—는 Ruby 생태계 내 신뢰에 심각한 금이 감 이것은 단순 오해가 아니고, 주요 인프라에 대한 적대적 인수였으며, 오랜 전통의 관리진과 이 툴에 의존하는 커뮤니티 전체를 약화시켰음 Ruby 생태계는 협력, 공개, 상호존중이 핵심임 그러나 최근 일주일간 본 일련의 행동은 일방적인 접근·경험자 배제·비공개 결정 등 그런 원칙을 전면으로 부정함 이런 권력 집중은 명백히 반대함 게다가 기여자 접근이 고용 상태나 이념에 따라 달라진다는 우려도 있음 오픈소스는 경력, 헌신, 신뢰가 기반이어야 함 만약 Ruby Central이 진정 커뮤니티 지지 의지가 있다면 다음을 조치해야 함 - 이번 사태로 제거된 모든 관리자의 즉각적 권한 회복 - 커뮤니티 중심의 투명한 거버넌스 모델 공개 약속 (RubyGems 팀이 준비하던 것과 유사하게) - Ruby Central 소속 여부와 무관하게 오픈소스 관리자의 자율성 존중 - 이러한 피해에 대한 인정 및 신뢰 회복 위한 공개 대화 착수 Ruby 커뮤니티의 힘은 사람에게 있으며, 다양성과 열정, 언어를 사랑하는 마음에서 비롯됨 이제 우리를 대표한다는 기관도 그에 걸맞게 행동하길 요구해야 할 때임 만일 Ruby Central이 이에 응하지 않는다면 스폰서가 지원을 중단하도록 압박해야 하고, 궁극적으로는 이런 혼란을 벗어난 우리만의 인프라를 만들어 가야 한다고 생각함 신뢰 회복 위해 사건 책임자 해고도 필요 Ruby-Level(Top) 스폰서: Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • 공식 발표에서 "우린 개방성과 협력을 중요시한다"고 하지만, 그 개방성이 무엇인지조차 명시되어 있지 않고, 누가 썼는지조차 안 나와 있음

    • "우리가 본 일주일"...에서 누가 "우리"며, 정확히 뭘 목격한 건지 궁금함 지금까진 일방의 주장밖엔 없었음 이런 변화가 있었으면 곧바로 공개 발표가 있었어야 하는데, RubyGems를 그간 오랜 세월 설립, 운영해온 쪽이 Ruby Central이라 사실상 '인수'라고 부르는 것도 이해가 잘 안 됨 만약 진짜 악의성 있는 움직임이라면 나도 비판에 동참하겠지만, 그 전엔 상대 측 의견도 지켜보고 싶음 35분 뒤 올라온 RubyCentral 공식 발표 링크 첨부함 공식 뉴스

    • 댓글에 하단 스폰서 목록을 굳이 포함한 이유가 궁금함 고용 상태나 이념에 따라 접근 권한이 달라진다는 우려는 어디서 나온 건지, 본문 어딘가에 나온 적이 없음 혹시 댓글 작성에 LLM 도구를 활용한 것인지도 궁금함

  • 관련 있는 것 같아 아래 링크만 남김, 실제로 이 사건을 내가 쫓고 있진 않음 관련 글

    • "구체적 이유는 최근 여러 Rubygems 관리자(유일한 정규직 엔지니어 포함)가 DHH와의 관계 지속 문제로 사임했다"라는 언급이 있음 여기서 말하는 관계가 Ruby Central과 DHH?, 아니면 관리진과 DHH? 어느 쪽인지, 또 누가 왜 이 점을 문제 삼는지 더 설명이 필요함 수정: 게시물이 명확히 정리됨 RC와 DHH 상황임 관리자들은 왜 이에 문제를 느끼는지 궁금함 원래 이유는 RC가 경고 없이 대다수를 차단한 부분이 아니었나 싶은데

  • Ruby Central이 수년간 자금 확보하며 자체 프로젝트를 운영해온 건데, 자신의 프로젝트를 스스로 '공격'한다는 주장에는 근거가 부족함 Github Enterprise 상에서 무슨 일이 있는지는 모르겠지만, 공개 Github에서는 꽤 투명함 Orgs 기능 관련으로 Marty가 최근 많은 기여를 하고 있음 나는 매일 rubygems.org, 그리고 내가 포크한 rubygems.org를 적극적으로 사용 중임 이 프로젝트는 명백한 공공재임 전 직원을 비롯해, 누군가 개인 감정에 휘말려 프로젝트 전체를 훼손하려는 시도는 유감임 수많은 DAU가 이 플랫폼을 안정적으로 써왔음 계약직은 늘 오가게 마련임 문제 제기자(전 직원)의 최근 24개월 commit log에서는 별다른 기여도 눈에 띄지 않음 내가 잘못 봤을 수도 있으니 지적 환영함 기여 내역

  • Ruby Central 의사결정에 좀 더 정통한 분이 상황 설명해줬으면 좋겠음 예전 컨퍼런스 운영 관련 문제도 겹쳐 혼란스러움 최근엔 팟캐스트 런칭, 모금, 이메일 캠페인으로 바빠 보였음 혹시 리더십 변동이 있었는지 궁금함

    • 맞음, 최근 Executive Director가 새로 채용됨

    • RailsConf를 왜 중단했는지 아직도 명확히 모르겠음 아마 주요 스폰서들이 Rails World 쪽에 힘을 실어준 게 아닐까 추정함

  • Shopify에서 내가 처음으로 RubyGems(그리고 간접적으로 Ruby Central)를 위해 돈을 지원해야 한다고 제안했었음 그런데 이런 상황이 벌어지게 되어 내가 이를 가능케 했다는 점이 부끄러움

    • Shopify 입장에서는 지금 Ruby Central과 대화 채널을 열 힘이 있을 듯 "상황 설명 안 하면 자금 지원 중단하겠다" 식으로 압박 가능성 있음

  • Ruby 커뮤니티가 사소한 분쟁, 선의의 관리체 인수 등에서 기적적으로 자유로웠다는 점에서 위안받았는데, 이제 더 이상 그렇지가 않게 됨 유지보수자들에게 정말 안됐다는 말을 전하고 싶음

    • "Matz가 착하니 우리도 착하다"던 시절이 그립다고 느껴짐

  • Ruby Central은 지금 무엇을 하는지 명확히 설명할 필요가 있음 지금 상태만 놓고 보면 상당히 파괴적이고 소통도 형편없어 보임

답변달기