Báo cáo của Ruby Central tái mở vết thương về việc chiếm lấy RubyGems repo

Ruby Central, tổ chức phi lợi nhuận bảo trợ hệ sinh thái ngôn ngữ lập trình Ruby, vừa công bố một báo cáo chi tiết về sự kiện "phá vỡ" RubyGems vào tháng 9 năm 2025, khi quyền sở hữu kho lưu trữ GitHub của trình quản lý gói RubyGems bị tước khỏi các nhà bảo trì hiện tại.

Theo một bài đăng từ hội đồng quản trị của Ruby Central, mục đích của báo cáo là giải thích ai đã tham gia và cách các quyết định được đưa ra. Hội đồng cũng hứa sẽ thực hiện các bước để "củng cố quản trị, cải thiện tính minh bạch và mở rộng sự tham gia của cộng đồng trong việc bảo vệ RubyGems".

Báo cáo do Richard Schneeman, kỹ sư trưởng tại Salesforce (người duy trì Heroku Ruby Buildpack và gia nhập hội đồng Ruby Central một tháng sau sự kiện RubyGems), viết. Schneeman cho rằng vấn đề này là "cực kỳ chủ quan" và tài liệu này được viết sau "nhiều nỗ lực thất bại... do cố gắng đạt được tính khách quan".

Nguyên nhân cốt lõi

Theo Schneeman, nguyên nhân chính là André Arko, cựu nhà bảo trì RubyGems, cố vấn của Ruby Central và được trả lương cho công việc on-call, đã phát hành công cụ quản lý rv và thiết lập tổ chức Spinel mà không tham khảo Ruby Central. Arko từng tạo ra RubyTogether, tổ chức đã sáp nhập với Ruby Central vào năm 2022.

Schneeman trích dẫn tin nhắn Slack từ Marty Haught, giám đốc nguồn mở của Ruby Central, nơi Haught viết về việc "tiến hành xóa bỏ André", có lẽ vì ông ta giờ đây được coi là đối thủ cạnh tranh. Giddins, đối tác của Arko, đã rời Ruby Central tự nguyện vào đầu tháng 9.

Sự kiện "chiếm đoạt"

Những gì xảy ra vào tháng 9 sau đó là sự hỗn loạn và thiếu sự giao tiếp giữa Ruby Central và các nhà bảo trì RubyGems. Theo thông tin cũ, RubyGems GitHub được đổi tên thành Ruby Central, Haught trở thành nhà bảo trì duy nhất và tất cả các nhà bảo trì khác bị loại bỏ.

"Việc tước bỏ những người đã duy trì RubyGems và Bundler hơn một thập kỷ là hành động thù địch, cho Ellen Dash, một trong những nhà bảo trì bị ảnh hưởng. Bundler là trình quản lý phụ thuộc của Ruby. Các thay đổi này được thực hiện nhờ Hiroshi Shibata, thành viên cốt lõi của Ruby Core, người có các quyền cần thiết và đã hành động theo chỉ đạo của Ruby Central."

Hậu quả và phản ứng

Kết quả là, sau nhiều cuộc tranh luận phức tạp và tình cảm tiêu cực, Ruby Central vẫn kiểm soát kho lưu trữ GitHub RubyGems, trong khi một số nhà bảo trì cũ tạo ra phiên bản nhánh (fork) RubyGems để tạo ra Gem Cooperative. Vào tháng 10, người sáng tạo Ruby Yukihiro Matsumoto (Matz) tuyên bố quyền sở hữu kho RubyGems sẽ chuyển sang đội Ruby Core trong khi vẫn được Ruby Central quản lý.

Schneeman kết thúc báo cáo bằng lời nhận ra những thiếu sót của Ruby Central: "Đây là những sai lầm của chúng tôi, cùng nhau." Ông hy vọng cung cấp một chút sự kết thúc cho cộng đồng và hứa sẽ thực hiện quy trình thay đổi cấu trúc hơn nữa.

Josef Šimánek, một cựu nhà bảo trì RubyGems, phản ứng trên Reddit. Ông nói rằng những gì nên xảy ra là Ruby Central "tin tưởng và giao tiếp với tất cả các nhà bảo trì để giải quyết các vấn đề của dự án". Šimánek nói rằng không cần Ruby Central sở hữu kho mã nguồn để vận hành dịch vụ RubyGems. Ông vẫn không hài lòng khi "Ruby Central quyết định loại bỏ hầu hết đội ngũ gốc RubyGems/Bundler/RubyGems.org và đặt toàn bộ dịch vụ vào nguy hiểm thực sự".

Schneeman đáp lại rằng một phần vấn đề nằm ở việc các nhà bảo trì đã rời đi. "Khi phía bên kia rời đi... nó để Ruby Central nắm giữ (và sở hữu) hỗn loạn," ông nói.

Mike McQuaid, người dẫn dắt dự án Homebrew và đã cố gắng hòa giải một giải pháp hòa bình vào thời điểm đó, đã nói về sự kiện này tại FOSDEM tháng 1. McQuaid nhấn mạnh rằng RubyGems là "không phải một công cụ hẹp hòi... chúng ta đang nói về cơ sở hạ tầng quan trọng trên internet." McQuaid nhắc lại rằng "cả hai bên đã nói về việc họ đã nắm quyền với bên kia", điều mà ông thấy là fatal (fatal) cho cơ hội hòa giải.

Thay vì lặp lại chi tiết ai đã làm gì và nói gì, McQuaid tập trung vào bài học cho cộng đồng nguồn mở. "Sự bền vững, đóng vai trò một phần trong sự kiện RubyGems do các vai trò có lương và các lợi ích thương mại khác, là một phần, và quản trị là một phần khác. Nếu dự án của bạn chưa tranh luận về quản trị hay tiền bạc, thì có lẽ nó sẽ một ngày nào đó. Hãy chuẩn bị và cố gắng làm những việc này trước khi nó trở thành vấn đề," ông nói.

McQuaid nói với The Register: "Báo cáo này là một kết quả tích cực vì cho thấy Ruby Central học được bài học và công bố thông tin cụ thể hơn trước đây. Tôi vẫn nghĩ Ruby Central chưa nhận được hoặc đang nhận được tất cả mọi thứ đúng, nhưng tôi vui mừng thấy nhiều hơn trách nhiệm và sự phản chiếu hơn trước đây."