Ruby Central องค์กรที่จัดการระบบนิเวศ RubyGems ได้สร้างความขัดแย้งอย่างมีนัยสำคัญหลังจากเพิกถอนสิทธิ์การเข้าถึงผู้ดูแลหลักของ repository RubyGems และ Bundler อย่างกะทันหัน การดำเนินการดังกล่าวทำให้ชุมชน Ruby ตั้งคำถามเกี่ยวกับแรงจูงใจและความโปร่งใสขององค์กร
สถานการณ์เริ่มต้นขึ้นเมื่อ Ruby Central ดำเนินการสิ่งที่พวกเขาเรียกว่าการเปลี่ยนแปลงชั่วคราวตามขั้นตอนสำหรับสิทธิ์การเข้าถึงพิเศษทั่วทั้งโครงสร้างพื้นฐาน RubyGems ซึ่งรวมถึงการเอาสิทธิ์ commit ออกจากผู้ดูแลที่มีประสบการณ์ยาวนานหลายคน รวมทั้ง André Arko และ David Rodríguez ที่เคยมีส่วนร่วมในโครงการอย่างแข็งขัน องค์กรอ้างถึงความกังวลด้านความปลอดภัยและความจำเป็นในการมีข้อตกลงอย่างเป็นทางการเป็นเหตุผลสำหรับการดำเนินการของพวกเขา
ผู้เล่นหลักและบทบาท:
- Ruby Central : องค์กรที่จัดการโครงสร้างพื้นฐานของระบบนิเวศ RubyGems
- André Arko : อดีตผู้ดูแลระบบ ผู้ร่วมก่อตั้ง Spinel Coop ที่กำลังพัฒนา rv (ทางเลือกของ RubyGems ที่สร้างด้วย Rust)
- David Rodríguez : ผู้ดูแลระบบที่ยังคงทำงานอยู่และเป็นผู้ทำงานพัฒนาล่าสุด
- Shopify : ผู้สนับสนุนรายใหญ่ที่ถูกกล่าวหาว่าออกแรงกดดันให้เปลี่ยนแปลงด้านความปลอดภัย
- Shan Cureton : ผู้อำนวยการบริหารของ Ruby Central
ชุมชนตั้งคำถามเหตุผลของ Ruby Central
ชุมชน Ruby ได้แสดงข้อสงสัยอย่างจริงจังเกี่ยวกับเหตุผลที่ Ruby Central ให้ไว้สำหรับการเพิกถอนสิทธิ์การเข้าถึง นักพัฒนาหลายคนชี้ให้เห็นความขัดแย้งในคำอธิบายขององค์กร โดยเฉพาะเรื่องการรับประกันและภาระผูกพันทางกฎหมาย Ruby Central อ้างว่าการดำเนินการของพวกเขาจำเป็นเพราะ codebase เป็นพื้นฐานของบริการที่ดำเนินการโดย Ruby Central และต้องการการจัดการที่แตกต่างจากโครงการโอเพนซอร์สทั่วไปที่แจกจ่ายแบบ as-is
อย่างไรก็ตาม สมาชิกชุมชนค้นพบอย่างรวดเร็วว่า RubyGems ดำเนินการภายใต้ลิขสิทธิ์ MIT มาตรฐานที่ไม่มีการรับประกัน และเงื่อนไขของบริการระบุอย่างชัดเจนว่าให้บริการแบบ AS IS โดยไม่มีการรับประกันใดๆ สิ่งนี้ทำให้เกิดความสับสนเกี่ยวกับการป้องกันทางกฎหมายเพิ่มเติมที่ Ruby Central เชื่อว่าพวกเขาจำเป็นต้องให้
องค์ประกอบโครงสร้างพื้นฐานทางเทคนิค:
- ซอร์สโค้ดของ RubyGems client และ Bundler: ตั้งอยู่ใน GitHub repository rubygems/rubygems
- ซอร์สโค้ดของบริการ RubyGems.org: ตั้งอยู่ใน GitHub repository rubygems/rubygems.org
- บริการในระบบจริง: ทำงานบนเซิร์ฟเวอร์ AWS ที่ดำเนินการโดย Ruby Central
- ใบอนุญาต: ใบอนุญาต MIT มาตรฐานโดยไม่มีการรับประกัน
- เงื่อนไขการบริการ: ระบุอย่างชัดเจนว่า "AS IS" โดยไม่มีการรับประกันใดๆ
ข้อกล่าวหาเรื่องอิทธิพลของบริษัท
บางทีแง่มุมที่สร้างความเสียหายมากที่สุดของความขัดแย้งนี้คือความเชื่อที่แพร่หลายว่า Shopify ผู้สนับสนุนหลักของ Ruby Central กดดันให้องค์กรดำเนินการเหล่านี้ สมาชิกชุมชนและอนุรักษ์เก่าหลายคนชี้ไปที่บัญชีรายละเอียดของ Joel Drapper ที่บอกว่า Shopify กำหนดกำหนดเวลาสำหรับการปรับปรุงความปลอดภัยที่เชื่อมโยงกับเงินทุนของพวกเขา
แม้ว่า Shan Cureton ผู้อำนวยการบริหารของ Ruby Central จะปฏิเสธอย่างชัดเจนว่าการสนับสนุนทางการเงินไม่ได้มีเงื่อนไขในการดำเนินการเหล่านี้ แต่ชุมชนยังคงสงสัย ระยะเวลาและความเร่งด่วนของการเปลี่ยนแปลง รวมกับรายงานเกี่ยวกับการมีส่วนร่วมของ Shopify ได้เพิ่มความสงสัยเกี่ยวกับการแทรกแซงของบริษัทในการกำกับดูแลโอเพนซอร์ส
ความกังวลด้านเทคนิคและการสื่อสารที่ไม่ดี
นอกเหนือจากผลกระทบทางการเมือง ชุมชนเทคนิคได้วิพากษ์วิจารณ์การจัดการสถานการณ์ของ Ruby Central องค์กรยอมรับว่ามีการสื่อสารที่ไม่ดี โดยรับทราบว่าพวกเขาเคลื่อนไหวอย่างรวดเร็วโดยไม่ให้รายละเอียดล่วงหน้าเพียงพอและล้มเหลวในการเผยแพร่เหตุผลของพวกเขาพร้อมกับการเปลี่ยนแปลง
การเอาผู้ดูแลที่ทำงานอยู่อย่าง David Rodríguez ที่ทำงานพัฒนาส่วนใหญ่เมื่อเร็วๆ นี้ออกไปนั้นเป็นที่ถกเถียงกันโดยเฉพาะ สมาชิกชุมชนมองว่านี่เป็นแนวทางที่สร้างความเสียหายสูงสุดที่ให้ความสำคัญกับการควบคุมแบบราชการมากกว่าสุขภาพของโครงการจริงและความเร็วในการพัฒนา
ไทม์ไลน์และการดำเนินการ:
- การเพิกถอนสิทธิ์การเข้าถึงดำเนินการโดยไม่มีการแจ้งล่วงหน้าแก่ผู้ดูแลที่ได้รับผลกระทบ
- Ruby Central สัญญาว่าจะคืนสิทธิ์ภายในสองสัปดาห์หลังจากมีข้อตกลงผู้ดำเนินการ/ผู้ร่วมพัฒนา
- กำหนดการอัปเดตรายสัปดาห์ในวันศุกร์
- อ้างถึงการตรวจสอบความปลอดภัยเป็นตัวกระตุ้น โดยกล่าวถึงความเสี่ยงจากการควบคุมโดย "บุคคลเดียว"
- อ้างการปฏิบัติตามกฎหมายความเป็นส่วนตัวใหม่เป็นเหตุผลเพิ่มเติม
ผลกระทบที่กว้างขึ้นสำหรับการกำกับดูแลโอเพนซอร์ส
เหตุการณ์นี้ได้ทำให้เกิดคำถามพื้นฐานเกี่ยวกับวิธีการกำกับดูแลโครงสร้างพื้นฐานโอเพนซอร์สที่สำคัญ ปฏิกิริยาของชุมชน Ruby บ่งบอกถึงความกังวลที่เพิ่มขึ้นเกี่ยวกับอิทธิพลของบริษัทต่อเครื่องมือพัฒนาที่จำเป็นและความสมดุลระหว่างความต้องการด้านความปลอดภัยและความเป็นอิสระของชุมชน
Ruby Central ได้สัญญาว่าจะคืนสิทธิ์การเข้าถึงภายในสองสัปดาห์หลังจากสรุปข้อตกลงผู้ดำเนินการและผู้มีส่วนร่วม แต่ความเสียหายต่อความไว้วางใจของชุมชนอาจใช้เวลานานกว่ามากในการซ่อมแซม ท่าทีป้องกันตัวขององค์กรและความล้มเหลวในการตอบสนองความกังวลของชุมชนโดยตรงได้ทำให้ความสงสัยเกี่ยวกับแรงจูงใจที่แท้จริงและความมุ่งมั่นต่อการกำกับดูแลที่โปร่งใสลึกซึ้งยิ่งขึ้น
อ้างอิง: Our Stewardship: Where We Are, What's Changing and How We'll Engage