Shopify Mempengaruhi Ruby Central, Memaksa Pengambilalihan Bundler dan RubyGems

 (joel.drapper.me)
1 poin oleh GN⁺ 2025-09-24 | 2 komentar | Bagikan ke WhatsApp
  • Ruby Central mengambil alih proyek open source seperti Bundler dan RubyGems tanpa persetujuan maintainer yang ada
  • Latar belakang utamanya mencakup tekanan finansial dari Shopify dan kesulitan pendanaan Ruby Central, sambil menyingkirkan maintainer tertentu dari proyek
  • Proses pemindahan paksa repositori GitHub dan kepemilikan gem dilakukan secara tertutup, memicu kebingungan dan penolakan di komunitas
  • Ruby Central dan Shopify membenarkannya dengan menekankan tanggung jawab keamanan dan infrastruktur, tetapi inti masalahnya adalah kepemilikan yang sebenarnya dan krisis kepercayaan komunitas
  • Sejumlah maintainer lama kini fokus pada pengembangan proyek pesaing Spinel dan rv, sambil mencari respons baru bagi ekosistem Ruby

Ringkasan

Ruby Central baru-baru ini secara sepihak mengambil alih kepemilikan dan kendali atas proyek open source utama seperti Bundler dan RubyGems tanpa persetujuan maintainer yang ada. Dalam proses ini, tekanan finansial dari Shopify, kesulitan pendanaan Ruby Central, penyingkiran maintainer utama, dan kekacauan komunitas saling terkait.

Ringkasan kejadian utama

  • Ruby Central sedang mengalami kesulitan keuangan, dan Sidekiq mencabut sponsor tahunan sebesar $250.000 dari RailsConf dengan alasan undangan terhadap DHH
  • Akibatnya, Ruby Central menjadi sangat bergantung pada Shopify
  • Shopify menuntut Ruby Central untuk mengambil alih sepenuhnya repositori GitHub serta kepemilikan gem Bundler dan rubygems-update, sambil menekan bahwa sponsor akan dicabut jika tidak dipenuhi
  • Dalam proses pengambilalihan, maintainer utama (terutama André Arko) disingkirkan, dan perpindahan paksa dilakukan tanpa persetujuan komunitas
  • Jalannya insiden dan diskusi internal ditangani dengan cepat dan tertutup dari publik, sehingga banyak anggota penting komunitas tersisih

Rincian proses pengambilalihan Bundler dan RubyGems

Situasi awal

  • Pada 9 September, Hiroshi Shibata (HSBT) mengubah nama enterprise GitHub RubyGems menjadi 'Ruby Central', menambahkan Marty Haught sebagai owner baru, dan mencabut sebagian hak maintainer yang ada
  • Setelah tindakan ini dipermasalahkan, sebagian hak dipulihkan, tetapi penambahan Marty sebagai owner tidak dibatalkan

Diskusi tentang perbedaan kepemilikan dan layanan

  • Repositori source code RubyGems dimiliki dan dikelola oleh komunitas
  • RubyGems Service adalah layanan infrastruktur yang dijalankan secara terpisah oleh Ruby Central
  • Meskipun dua konsep ini seharusnya dibedakan dengan jelas, Ruby Central mencampuradukkannya dan menggunakannya sebagai dasar klaim kepemilikan

Pencabutan hak dan pelaksanaan pengambilalihan

  • Sekitar 18 September, maintainer lama kembali kehilangan hak akses dan dikeluarkan dari akun GitHub, Fastly, dan rubygems.org
  • Dewan Ruby Central memutuskan lewat pemungutan suara untuk melakukan pengambilalihan paksa atas repositori GitHub dan kepemilikan gem, lalu Marty mengeksekusinya sendiri

Ketergantungan Ruby Central pada Shopify makin dalam

  • Setelah mengundang DHH di RailsConf, Ruby Central kehilangan sponsor yang ada sebelumnya (Sidekiq), sehingga struktur pendanaannya makin terpusat pada Shopify
  • Selama Rails World, ada pembahasan syarat sponsor jangka panjang antara tokoh dan perusahaan utama seperti Ruby Central, Rails Core, Shopify, dan GitHub; pada saat itulah diminta syarat penyingkiran maintainer tertentu dan pemindahan kepemilikan
  • Bahkan di internal dewan ada pandangan bahwa "pilihan lain sama saja dengan mulai menutup Ruby Central"

Pelaksanaan pengambilalihan dan reaksi komunitas

  • Dewan Ruby Central memberi Marty wewenang untuk segera mengeksekusi pengambilalihan, dan Shopify mengerahkan engineer untuk dengan cepat memindahkan sistem on-call
  • Setelah Ellen pertama kali mengungkap fakta ini, Ruby Central merilis pernyataan resmi yang menjadikan "penguatan keamanan supply chain" sebagai alasannya
  • Secara internal mereka menekankan isu keamanan dan kepercayaan terhadap personel, tetapi inti persoalannya sebenarnya adalah kurangnya proses perpindahan kepemilikan yang sah dan minimnya konsensus komunitas

Pernyataan tokoh utama dan isu yang diperdebatkan

  • DHH menulis tweet yang mendukung pengambilalihan Bundler/Gems, tetapi sebelumnya pernah menyatakan penolakan terhadap kasus pengambilalihan paksa plugin WordPress, sehingga dikritik karena tidak konsisten
  • Dewan Ruby Central dan sejumlah pihak terkait memicu kebingungan lewat pernyataan yang mencampuradukkan operasional infrastruktur RubyGems.org dengan kepemilikan repositori source code
  • Shun Cureton dan lainnya menyatakan bahwa pembatasan hak maintainer bersifat sementara karena tidak sempat dilakukan koordinasi dalam waktu yang tersedia. Namun, kemungkinan besar beberapa maintainer lama akan tetap disingkirkan secara permanen

Munculnya Spinel dan rv

  • Mantan maintainer Bundler dan RubyGems seperti André Arko dan Samuel Giddins mendirikan koperasi baru bernama Spinel, serta mulai mengembangkan alat manajemen Ruby baru bernama rv
  • rv menargetkan integrasi fungsi manajemen yang luas seperti gems, versi Ruby, dependensi, dan prepackaging biner, dengan tujuan menggantikan berbagai alat yang ada seperti rvm, rbenv, bundler, dan rubygems
  • Sebagian pihak di Shopify dan Rails Core memandang Spinel dan rv sebagai ancaman potensial terhadap ekosistem Ruby yang terpusat

Kesimpulan dan kekhawatiran

  • Belum jelas apakah Ruby Central nantinya akan mengembalikan kepemilikan Bundler dan RubyGems kepada komunitas
  • Tindakan dewan Ruby Central yang tetap melakukan pengambilalihan paksa tanpa persetujuan, meski memahami konsekuensi dan alternatifnya, menjadi pukulan serius bagi kepercayaan komunitas
  • Struktur tata kelola yang rentan terhadap tekanan perusahaan seperti Shopify kembali dipersoalkan, sekaligus memunculkan kebutuhan akan alternatif komunitas baru seperti Spinel

Disclosure

  • Penulis pernah bekerja di Shopify pada 2017–2022

Disclaimer

  • Ringkasan ini merupakan opini non-ahli yang disusun berdasarkan wawancara dengan banyak pemangku kepentingan dan notulen rapat. Bisa saja ada bagian yang terlewat atau keliru.

Changelog

  • 23 September 2025: Menghapus sebagian nama peserta Rails World, menambahkan kutipan DHH terkait WordPress

Bacaan terkait

2 komentar

 
click 2025-09-24

Jadi, pada akhirnya penyebab mendasarnya adalah DHH?
 
GN⁺ 2025-09-24
Komentar Hacker News
  • Sulit menyembunyikan keterkejutan saat mendengar bahwa Sidekiq menarik sponsor tahunan sebesar $250.000 untuk Ruby Central, karena Sidekiq(sebenarnya ContribSys) adalah perusahaan satu orang yang dijalankan sendiri oleh Mike Perham, dan dalam wawancara beberapa tahun lalu Mike mengatakan ia menghasilkan $1 juta per tahun tanpa karyawan, dengan struktur yang bahkan tidak memerlukan pengelolaan server tersendiri, lalu menurut podcast 2023 terbaru, sekarang ia disebut menghasilkan pendapatan mendekati $10 juta per tahun sendirian, dan menurut saya itu kehidupan yang sangat keren bagi seorang developer founder solo
    • Mike benar-benar orang yang luar biasa, dan komunitas sangat beruntung hanya dengan fakta bahwa ia ada, saya tidak tahu jumlah sponsornya, tetapi dari fakta bahwa ia tidak mempromosikan donasi maupun penarikannya secara terpisah, terlihat bahwa ia orang yang memegang prinsip
  • Penjelasan konteksnya cukup baik, tetapi tetap saja saya masih belum benar-benar paham 'mengapa' ini terjadi, Shopify selama ini selalu banyak berkontribusi dan memberi sponsor pada Ruby dan Rails, jadi dulu saya tidak melihatnya secara negatif
    • Kalau membaca komentar-komentar lain, saya tidak mengerti kenapa orang takut Shopify mengambil peran yang lebih besar, mereka sudah lama menjadi kontributor inti Ruby, dan meski saya tidak setuju dengan tindakan mereka dalam insiden ini, sulit menemukan niat jahat dalam artikel ini
    • Tampaknya ini kombinasi dari niat baik, kesalahpahaman, dan kurangnya komunikasi, Shopify menetapkan tenggat waktu karena menginginkan kontrol akses yang lebih baik demi mengurangi risiko serangan supply chain dan memperbaiki tata kelola, para maintainer paruh waktu menunda sampai menit terakhir, lalu mengambil alih maintenance dengan menggunakan pengaruh tanpa komunikasi dan tanpa kesepakatan yang layak, sehingga maintainer yang ada terkejut dan kebingungan makin besar, isu tool pesaing dan kontroversi DHH mungkin memengaruhi beberapa tindakan keras, tetapi itu bukan penyebab langsung insiden ini
    • Setelah membaca beberapa bagian dan menebak-nebak, alurnya kira-kira seperti ini: 1) orang-orang yang memiliki sebagian kendali atas RubyGems mencoba menyingkirkan DHH 2) kubu yang dekat dengan DHH mendorong mereka keluar dari RubyGems 3) semua pihak membenarkan tindakan masing-masing atas nama 'rekayasa yang baik', pada akhirnya situasinya seperti Game of Thrones: "menang, atau kalah"
    • Saya dengar beberapa organisasi menarik pendanaan karena masalah sikap DHH dan kekhawatiran keamanan supply chain, sementara Shopify turun tangan langsung untuk mengambil inisiatif atas dependensi intinya
  • Dengan alasan memperkuat keamanan supply chain, mereka mengklaim akan mengelola akses admin ke RubyGems.org, RubyGems, dan Bundler dengan aman, tetapi pada kenyataannya saya melihat ini sebagai situasi yang tidak diinginkan, di mana perpecahan internal justru nyaris berkembang menjadi serangan supply chain yang bersifat jahat
    • Saya penasaran tindakan jahat konkret apa yang sebenarnya terjadi, saya ingin tahu fakta-faktanya, misalnya apakah benar ada kode berbahaya yang disisipkan
  • Saya tidak menyangka akan ada tulisan yang dirangkum sebaik ini, komunitas Ruby memang sudah lama punya konflik internal, tetapi dalam insiden ini saya menyesalkan perusakan yang picik terhadap kepercayaan dan keterhubungan
    • Jika Ruby saat ini sedang dalam keadaan “menggerogoti dirinya sendiri”, maka saya harap ia akan terus menggerogoti dirinya sendiri di masa depan juga
    • Saya penasaran kenapa ini menjadi situasi "menggerogoti dirinya sendiri"
    • Saya sulit setuju dengan klaim bahwa komunitas Ruby sejak awal dipenuhi konflik internal, komunitas Ruby pada masa awal itu hebat
    • Isi artikelnya terlalu berantakan, sebagian terlalu detail, sebagian lain justru kehilangan hal-hal penting, sehingga sulit mengikuti konteks keseluruhannya, saya setuju bahwa situasi Ruby Central sangat kacau dan para maintainer seharusnya diperlakukan lebih baik, tetapi saya menyesalkan penulis tidak menyelidiki isu-isu penting seperti perang budaya
  • Saya penasaran kenapa Samuel Giddins dan André Arko ditandai sebagai target yang harus disingkirkan, masalah apa yang sebenarnya ada, dari isi artikel terlihat seolah-olah itu terjadi karena Shopify menginginkannya, tetapi saya ingin tahu alasannya yang tepat
    • Artikel itu menjelaskan bagian terkait di sini
  • Saya tidak paham bagian yang mengatakan Ruby Central mencoba mengendalikan repo kode dan gem RubyGems, bukankah Ruby Central tidak berada dalam posisi yang bisa seenaknya menjalankan wewenang atas GitHub saya, apakah itu berada di bawah akun Ruby Central atau akun organisasi?
    • Seperti yang juga disebut jelas di tulisan itu, seorang maintainer(HSBT) mengundang Marty sebagai pemilik akun GitHub, dan itu terjadi tanpa kesepakatan yang sudah ada
    • Pada bagian "9 September, HSBT...", maintainer RubyGems yang ada menambahkan pengguna baru sebagai owner lalu membatalkan sebagian besar perubahan itu, tetapi satu pengguna baru tetap menjadi owner organisasi GitHub RubyGems, dan berkat itu Ruby Central kemudian bisa melakukan berbagai hal
    • Saya dengar organisasi RubyGems mengganti namanya menjadi Ruby Central
  • Jika tidak suka risiko di level organisasi GitHub, maka bijak untuk sejak awal tidak masuk ke struktur seperti itu, bahkan jika maintainer masuk ke dalam organisasi, saya merasa GitHub benar-benar perlu menyediakan fitur agar repo saya pada akhirnya tetap sepenuhnya berada dalam kendali saya dan bisa saya tarik keluar kapan saja bila perlu
  • Ada juga diskusi-diskusi terkait yang terbaru
  • Setahu saya Ruby Central tidak memiliki source code dan hanya mengoperasikan layanannya, jadi kalau begitu siapa yang memiliki akun GitHub atau repo tersebut, dan siapa yang pertama membuatnya?
    • Seingat saya orang-orang yang mendirikan Ruby Central juga membuat RubyGems pada masa awal(David Black, Chad Fowler, dan lainnya), tetapi karena sudah sangat lama, mungkin itu tidak terlalu relevan dengan kontroversi saat ini
  • Saya harap semua kontroversi ini bisa diselesaikan dengan baik, ini mengingatkan saya pada dampak yang ditimbulkan Oracle terhadap komunitas dan para maintainer ketika mengakuisisi Sun Microsystems