Ruby Central , tổ chức phi lợi nhuận đứng sau hệ thống quản lý gói của ngôn ngữ lập trình Ruby , đã gây ra tranh cãi lớn sau khi đột ngột loại bỏ quyền truy cập của các maintainer lâu năm của RubyGems . Thủ quỹ của tổ chức hiện đã đưa ra quan điểm của họ về các sự kiện này, tiết lộ rằng áp lực tài chính và lo ngại về bảo mật đã thúc đẩy quyết định gây tranh cãi này.
Tình huống bắt đầu vào ngày 9 tháng 9 năm 2025, khi Ruby Central đổi tên tổ chức GitHub RubyGems thành Ruby Central và loại bỏ tất cả các maintainer hiện tại khỏi dự án. Quyền truy cập được khôi phục trong thời gian ngắn, sau đó bị thu hồi lại vào ngày 18 tháng 9 mà không có lời giải thích rõ ràng cho các contributor bị ảnh hưởng. Trong số những người bị khóa quyền truy cập có David Rodriguez , contributor tích cực nhất của RubyGems với hơn 7.800 commit kể từ năm 2018.
Dòng thời gian chính của các sự kiện:
- 9 tháng 9 năm 2025: Tổ chức GitHub RubyGems được đổi tên thành " Ruby Central ", tất cả người bảo trì bị loại bỏ
- 18 tháng 9 năm 2025: Quyền truy cập bị thu hồi lại sau khi được khôi phục trong thời gian ngắn
- Phản ứng dữ dội từ cộng đồng và các tuyên bố công khai từ những người bảo trì bị ảnh hưởng
- Thành viên hội đồng quản trị Ruby Central đưa ra lời giải thích về áp lực thời hạn tài trợ
Lo ngại về bảo mật và áp lực tài chính thúc đẩy hành động quyết liệt
Theo tuyên bố của thành viên hội đồng quản trị Ruby Central , tổ chức đối mặt với áp lực ngày càng tăng từ các nhà tài trợ doanh nghiệp trả tiền để đảm bảo an ninh xung quanh hệ sinh thái gói Ruby . Các công ty này phát hiện ra rằng những cá nhân không có thỏa thuận chính thức có quyền truy cập quản trị vào cơ sở hạ tầng quan trọng, làm dấy lên lo ngại về bảo mật chuỗi cung ứng. Thành viên hội đồng quản trị giải thích rằng Ruby Central đã đồng ý với một hợp đồng tài trợ có hạn chót cụ thể để triển khai các biện pháp kiểm soát bảo mật, và việc không đáp ứng các yêu cầu này sẽ dẫn đến mất nguồn tài trợ thiết yếu cần thiết để duy trì hoạt động của RubyGems .
Thời điểm này tỏ ra có vấn đề. Với ít hơn 24 giờ trước hạn chót, các cuộc đàm phán với các maintainer vẫn chưa đạt được giải pháp. Một số maintainer được cho là đã đe dọa sẽ từ chức hoặc khôi phục quyền truy cập nếu những người khác bị loại bỏ, tạo ra bế tắc. Đối mặt với lựa chọn giữa mất nguồn tài trợ quan trọng hoặc hành động đơn phương, hội đồng quản trị đã bỏ phiếu tạm thời khóa quyền truy cập và triển khai các thỏa thuận contributor chính thức.
Thất bại trong giao tiếp làm gia tăng sự phẫn nộ của cộng đồng
Tranh cãi đã trở nên tồi tệ hơn đáng kể do cách Ruby Central xử lý giao tiếp trong suốt quá trình này. Tổ chức không đưa ra lời giải thích công khai nào khi những thay đổi xảy ra, khiến cộng đồng phải suy đoán về lý do. Thành viên hội đồng quản trị thừa nhận đây là một sai lầm nghiêm trọng, thừa nhận rằng Ruby Central thiếu cơ sở hạ tầng giao tiếp phù hợp và chủ yếu hoạt động như một nhóm kỹ sư tình nguyện mà không có hỗ trợ quan hệ công chúng chuyên dụng.
Các thành viên cộng đồng đã bày tỏ sự thất vọng không chỉ với chính quyết định này, mà còn với việc hoàn toàn thiếu minh bạch. Nhiều người cho rằng một email đơn giản giải thích về lo ngại bảo mật và thời gian có thể đã ngăn chặn phần lớn phản ứng dữ dội. Việc thiếu giao tiếp đã khiến một số người đặt câu hỏi liệu lời giải thích về hạn chót tài trợ có thực sự chân thành hay chỉ là lý do biện minh sau sự kiện cho những gì có vẻ như là một cuộc tiếp quản thù địch.
Cách bạn có thể biết tất cả những điều này từ hội đồng quản trị đều là dối trá rất đơn giản: Điều đầu tiên là họ không nói với họ. Phần thứ hai thì đơn giản: 'Chào [x], tôi chắc bạn đã thấy tin tức về npm . Với các cuộc tấn công chuỗi cung ứng nhắm vào họ và cuộc tấn công gần đây bị ngăn chặn chống lại những người python , chúng tôi đang [làm điền vào đây], bao gồm việc giảm quyền hạn.'
Vẫn còn câu hỏi về quản trị và tính độc lập
Sự cố này đã đặt ra những câu hỏi rộng hơn về cấu trúc quản trị và tính độc lập của Ruby Central . Các nhà phê bình chỉ ra rằng nếu một hoặc hai công ty có thể buộc những thay đổi quyết liệt như vậy bằng cách đe dọa rút tài trợ, khả năng hành động vì lợi ích tốt nhất của cộng đồng của tổ chức trở nên đáng ngờ. Tuyên bố của thành viên hội đồng quản trị tiết lộ rằng Ruby Central về cơ bản đã bị bắt làm con tin bởi các yêu cầu tài trợ, làm dấy lên lo ngại về tính bền vững của mô hình quản trị này.
Ngoài ra, các câu hỏi đã nổi lên về cấu trúc nội bộ của Ruby Central . Trong khi thành viên hội đồng quản trị mô tả tổ chức như một nhóm nhỏ các kỹ sư tình nguyện, trang web của Ruby Central cho thấy một số nhân viên phi kỹ thuật, bao gồm một Giám đốc điều hành có kinh nghiệm giao tiếp. Sự vắng mặt của những nhân viên này trong quá trình ra quyết định và giao tiếp vẫn chưa được giải thích.
Cộng đồng Ruby hiện đối mặt với sự không chắc chắn về tương lai của cơ sở hạ tầng quan trọng của mình. Trong khi Ruby Central đã cho biết sẵn sàng phục hồi các maintainer ký thỏa thuận contributor, thiệt hại đối với lòng tin có thể khó sửa chữa hơn. Sự cố này làm nổi bật những thách thức đang diễn ra mà các dự án mã nguồn mở phải đối mặt khi chuyển đổi từ những nỗ lực cộng đồng không chính thức sang cơ sở hạ tầng quan trọng đòi hỏi bảo mật và tiêu chuẩn quản trị cấp doanh nghiệp.
Tham khảo: A board member's perspective of the RubyGems controversy