Serangan Ruby Central terhadap RubyGems

 (pup-e.com)
1 poin oleh GN⁺ 2025-09-20 | 1 komentar | Bagikan ke WhatsApp
  • Ruby Central baru-baru ini menunjukkan tindakan untuk secara paksa mengambil alih pengelolaan proyek RubyGems
  • Pada September 2025, izin GitHub dan kepemilikan RubyGems berubah tanpa pemberitahuan sebelumnya
  • Sebagai tanggapan, sempat ada pemulihan izin untuk sementara, tetapi perubahan kepemilikan inti tetap dipertahankan
  • Sekali lagi, seluruh hak akses tim dicabut sehingga Ruby Central mengambil seluruh kendali
  • Penulis menyebut tindakan ini sebagai pengambilalihan yang bermusuhan dan resmi mengundurkan diri dari Ruby Central

Pendahuluan

  • Penulis tulisan ini adalah Ellen Dash, sosok yang dikenal di komunitas Ruby sebagai duckinator atau puppy
  • Telah berkiprah sebagai maintainer berpengalaman selama 10 tahun di komunitas Ruby dan RubyGems
  • Karena situasi yang baru-baru ini terjadi, ia merasa perlu menyampaikan kebenaran kepada komunitas

Ringkasan kejadian pada September 2025

  • Pada 9 September 2025, tanpa peringatan atau komunikasi sebelumnya, salah satu maintainer RubyGems secara sepihak
    • mengubah nama enterprise GitHub 'RubyGems' menjadi 'Ruby Central'
    • menambahkan Marty Haught dari Ruby Central (bukan maintainer)
    • menghapus semua pengelola proyek RubyGems lainnya
  • Maintainer tersebut menyatakan bahwa perubahan ini tidak akan dibatalkan dan mengklaim bahwa izin dari Marty diperlukan
  • Pada 15 September, setelah percakapan, disebutkan bahwa hak akses sebelumnya sempat dipulihkan
    • menurut Marty, itu adalah “kesalahan” dan “seharusnya tidak pernah terjadi”
    • bahkan dalam proses pemulihan itu pun, perubahan penting berupa Marty tetap sebagai pemilik tidak diubah
  • Tim RubyGems kemudian mulai menerapkan kebijakan tata kelola resmi yang terinspirasi dari Homebrew sebagai respons
  • Pada 18 September, Marty Haught mencabut keanggotaan organisasi GitHub seluruh administrator RubyGems, Bundler, dan RubyGems.org tanpa penjelasan berarti
    • akibatnya, Ruby Central dan para pegawai tetapnya memegang seluruh kendali
    • pada hari yang sama, akses ke gem bundler dan rubygems-update juga tambahan dicabut oleh Ruby Central

Sifat insiden dan posisi penulis

  • Penulis dengan tegas menyebut kejadian ini sebagai pengambilalihan yang bermusuhan
  • Ditekankan bahwa pencabutan paksa hak akses terhadap orang-orang yang selama bertahun-tahun memelihara RubyGems dan Bundler pada dasarnya bersifat bermusuhan
  • Karena tindakan yang sama dilakukan lagi bahkan setelah peringatan pertama, penulis berpendapat bahwa tindakan Ruby Central tidak didasari itikad baik
  • Ia menyatakan tidak bisa diam terhadap hal ini dan mengumumkan pengunduran diri segera dari semua perannya di Ruby Central

Kesimpulan dan pesan

  • Ruby Central secara sepihak mencabut seluruh akses ke RubyGems tanpa penjelasan, meskipun bertentangan dengan kehendak penulis dan tim RubyGems

  • Pada akhirnya, penulis secara terbuka menyatakan keberatan terhadap tindakan Ruby Central dan kebijakan operasional organisasinya, serta menyampaikan niat untuk mundur

  • Ellen Dash (@duckinator)

  • 19 September 2025

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-20
Komentar Hacker News

  • Dari postingan di /r/ruby terlihat bahwa hingga baru-baru ini masih ada diskusi internal di Ruby Central mengenai usulan struktur tata kelola organisasi resmi. Tautan: tautan reddit dan proposal rinci. Disebut juga keterlibatan Mike McQuaid yang terinspirasi dari struktur tata kelola proyek Homebrew.

    • Saya ingin membantu situasi ini lewat mediasi. Bahkan sekarang saya sedang berada dalam rapat telepon terkait hal ini, dan dalam 24 jam terakhir sudah empat kali berdiskusi dengan kedua pihak. Keterlibatan saya murni karena kecintaan saya pada Ruby.

    • Respons DHH juga patut diperhatikan: "Ruby Central sejak awal bertanggung jawab atas pemeliharaan dan operasional RubyGems, dan telah membayar para pengelola serta pengembang, termasuk kontraktor. Mereka sedang memperbaiki proses dan protokol, dan itu adalah langkah yang baik." Tweet DHH

  • Ada pembaruan pernyataan resmi dari Ruby Central: isinya tentang penguatan tata kelola RubyGems dan Bundler. tautan berita

    • Penekanan pada "Kami menyampaikan rasa terima kasih yang mendalam kepada semua maintainer yang telah berkontribusi pada Bundler dan RubyGems selama 20 tahun terakhir. Tanpa upaya mereka, ekosistem Ruby saat ini tidak akan mungkin ada. Kami akan melanjutkan warisan itu dengan semangat keterbukaan dan kolaborasi" tidak cocok dengan kenyataan bahwa pada praktiknya seluruh tim dikeluarkan tanpa pemberitahuan sebelumnya. Pendekatan ala "terima kasih, sekarang biar orang dewasa yang menangani" hampir tidak pernah berakhir baik.

    • Mereka bilang "menyampaikan terima kasih dan rasa hormat kepada para maintainer", tetapi pada kenyataannya mereka justru menyingkirkan mereka dari proyek tanpa penjelasan, atau tidak menjawab pertanyaan. Memikirkan para maintainer yang disingkirkan dari proyek yang sudah mereka jaga lebih dari 10 tahun membuat saya sedih. Mereka tidak pantas diperlakukan seperti ini.

    • Kenyataannya, ini berarti banyak maintainer lama diblokir secara mendadak dan sewenang-wenang dengan alasan hukum atau keamanan. Jika memang ada alasan nyata yang mendesak dan perlu segera ditangani seperti ini, mereka seharusnya menunjukkan informasi konkret, bukan pesan PR bergaya korporat.

    • Jika tujuannya memperkuat keamanan, ini benar-benar cara yang aneh. Perubahan kepemilikan GitHub yang sedang didorong, lalu menyingkirkan orang-orang berpengalaman secara mendadak tanpa serah terima apa pun, justru hanya menambah risiko dan menurunkan kepercayaan terhadap tata kelola (berdasarkan isi artikel asli).

    • Ini terbaca seperti pembenaran setelah kejadian. Perubahan sebesar ini seharusnya lebih dulu disampaikan secara internal kepada para maintainer, bukan mengejutkan mereka secara tiba-tiba seperti ini.

  • Saya ikut sedih memikirkan komunitas RubyGems, dan ingin menyampaikan terima kasih serta empati. Ruby adalah lompatan besar dalam karier saya, dan saya punya keterikatan dengan bahasa ini serta komunitasnya. Untuk sementara saya akan menunggu penjelasan dari RubyCentral, tetapi dari yang muncul sejauh ini, saya tidak melihat transparansi maupun itikad baik. Saya penasaran apakah ada posisi resmi yang sudah dijelaskan oleh RubyCentral. Saya berharap komunitas Ruby tetap kuat, dan semoga terjadi transisi menuju organisasi yang dimiliki komunitas, dalam bentuk apa pun. (Setelah NPM, WordPress, dan sekarang Ruby, rasanya repositori paket makin menjadi arena perebutan oleh entitas korporat.)

  • Tindakan terbaru Ruby Central—mengeluarkan maintainer RubyGems dan Bundler yang sudah lama berkontribusi tanpa peringatan sebelumnya, lalu memusatkan kewenangan pengelolaan secara sepihak pada segelintir orang—telah merusak kepercayaan di ekosistem Ruby secara serius. Ini bukan sekadar salah paham, melainkan pengambilalihan bermusuhan atas infrastruktur penting, dan telah melemahkan tim pengelola yang punya sejarah panjang serta seluruh komunitas yang bergantung pada alat-alat ini. Ekosistem Ruby dibangun di atas kolaborasi, keterbukaan, dan saling menghormati. Namun rangkaian tindakan yang kita lihat selama sepekan terakhir—pendekatan sepihak, penyingkiran orang berpengalaman, keputusan tertutup—secara frontal menolak prinsip-prinsip itu. Konsentrasi kekuasaan seperti ini jelas saya tolak. Selain itu ada kekhawatiran bahwa akses kontributor bisa dipengaruhi oleh status pekerjaan atau ideologi. Open source seharusnya bertumpu pada rekam jejak, dedikasi, dan kepercayaan. Jika Ruby Central benar-benar ingin menunjukkan dukungan pada komunitas, mereka harus melakukan hal-hal berikut: - segera memulihkan hak semua pengelola yang dicabut dalam insiden ini - berkomitmen secara terbuka pada model tata kelola yang transparan dan berpusat pada komunitas (mirip dengan yang sedang disiapkan tim RubyGems) - menghormati otonomi maintainer open source terlepas dari apakah mereka berafiliasi dengan Ruby Central atau tidak - mengakui kerusakan yang telah terjadi dan memulai dialog publik untuk memulihkan kepercayaan Kekuatan komunitas Ruby ada pada orang-orangnya, pada keberagaman, semangat, dan kecintaan mereka pada bahasa ini. Sekarang saatnya menuntut agar lembaga yang mengaku mewakili kita juga bertindak sesuai nilai-nilai itu. Jika Ruby Central tidak menanggapi, saya rasa sponsor perlu didorong untuk menghentikan dukungan, dan pada akhirnya kita mungkin harus membangun infrastruktur sendiri yang bebas dari kekacauan seperti ini. Untuk memulihkan kepercayaan, pemecatan pihak yang bertanggung jawab atas insiden ini juga perlu. Sponsor Ruby-Level(Top): Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

    • Dalam pengumuman resminya mereka berkata, "kami menghargai keterbukaan dan kolaborasi", tetapi mereka bahkan tidak menjelaskan apa yang dimaksud dengan keterbukaan itu, dan tidak disebutkan juga siapa yang menulisnya.

    • Soal "sepekan terakhir yang kami lihat"... siapa sebenarnya "kami", dan persisnya apa yang disaksikan? Sampai sekarang yang ada baru klaim dari satu pihak. Kalau memang perubahan seperti ini terjadi, seharusnya langsung ada pengumuman publik. Karena Ruby Central memang selama bertahun-tahun menjadi pihak yang mendirikan dan mengoperasikan RubyGems, saya juga kurang paham kenapa ini disebut sebagai "pengambilalihan". Kalau ternyata memang ada niat buruk, saya juga akan ikut mengkritik, tetapi sebelum itu saya ingin melihat dulu penjelasan dari pihak satunya. Saya sertakan tautan ke pengumuman resmi RubyCentral yang terbit 35 menit kemudian: berita resmi

    • Saya penasaran kenapa daftar sponsor di bagian bawah komentar itu sengaja dicantumkan. Kekhawatiran bahwa hak akses berubah berdasarkan status pekerjaan atau ideologi juga datang dari mana, karena tidak terlihat dibahas di bagian mana pun dalam tulisan utama. Saya juga bertanya-tanya apakah penulis komentar memakai alat LLM saat menulisnya.

  • Sepertinya terkait, jadi saya tinggalkan tautan di bawah ini saja; saya sendiri sebenarnya tidak mengikuti kasus ini secara langsung. Tulisan terkait

    • Ada pernyataan, "alasan konkretnya adalah beberapa admin Rubygems baru-baru ini (termasuk satu-satunya engineer full-time) mengundurkan diri karena masalah kelanjutan hubungan dengan DHH". Yang dimaksud hubungan di sini itu Ruby Central dengan DHH, atau tim maintainer dengan DHH? Dan siapa yang mempermasalahkan hal ini, serta kenapa, rasanya perlu dijelaskan lebih lanjut. Edit: postingannya sekarang sudah lebih jelas. Ini soal situasi RC dan DHH. Saya penasaran kenapa para maintainer menganggap ini masalah. Bukankah alasan awalnya justru karena RC memblokir mayoritas orang tanpa peringatan?

  • Ruby Central selama bertahun-tahun mengumpulkan dana dan menjalankan proyeknya sendiri, jadi tuduhan bahwa mereka "menyerang" proyek miliknya sendiri terasa kurang berdasar. Saya tidak tahu apa yang terjadi di GitHub Enterprise, tetapi di GitHub publik semuanya terlihat cukup transparan. Marty belakangan juga banyak berkontribusi terkait fungsi Orgs. Saya setiap hari aktif menggunakan rubygems.org, dan juga fork rubygems.org milik saya sendiri. Proyek ini jelas merupakan barang publik. Sangat disayangkan jika mantan karyawan, atau siapa pun yang sedang terbawa emosi pribadi, mencoba merusak keseluruhan proyek. Platform ini telah digunakan secara stabil oleh sangat banyak DAU. Kontraktor memang selalu datang dan pergi. Dalam commit log 24 bulan terakhir milik pihak yang mengangkat masalah ini (mantan karyawan), saya juga tidak melihat kontribusi yang menonjol. Bisa jadi saya keliru, jadi koreksi sangat diterima. riwayat kontribusi

  • Saya berharap ada orang yang lebih paham proses pengambilan keputusan di Ruby Central yang bisa menjelaskan situasinya. Saya juga bingung karena ini bertumpuk dengan masalah lama terkait penyelenggaraan konferensi. Belakangan mereka tampak sibuk meluncurkan podcast, menggalang dana, dan menjalankan kampanye email. Saya penasaran apakah ada perubahan kepemimpinan.

    • Ya, baru-baru ini memang ada Executive Director baru yang direkrut.

    • Saya masih belum paham kenapa RailsConf dihentikan. Dugaan saya mungkin sponsor-sponsor utama lebih memilih mendukung Rails World.

  • Di Shopify, saya dulu orang pertama yang mengusulkan agar kami mendanai RubyGems (dan secara tidak langsung Ruby Central). Karena itu, saya malu situasi seperti ini bisa terjadi dan saya ikut memungkinkan hal tersebut.

    • Dari posisi Shopify, sepertinya mereka punya daya untuk membuka saluran dialog dengan Ruby Central. Mungkin mereka bisa menekan dengan sikap seperti, "kalau tidak menjelaskan situasinya, kami akan menghentikan pendanaan".

  • Saya dulu merasa terhibur karena komunitas Ruby secara ajaib relatif bebas dari pertikaian kecil dan pengambilalihan pengelolaan yang katanya demi kebaikan, tetapi sekarang tampaknya itu tak lagi benar. Saya benar-benar merasa kasihan pada para maintainer.

    • Saya merasa rindu pada masa ketika orang berkata, "Matz itu baik, jadi kita juga baik."

  • Ruby Central perlu menjelaskan dengan jelas apa yang sedang mereka lakukan sekarang. Dari keadaan saat ini, semuanya terlihat cukup destruktif dan komunikasinya juga sangat buruk.