ハクソク

世界を動かす技術を、日本語で。

Ruby CentralによるRubyGemsへの攻撃 [pdf]

248日前原文(pup-e.com)

概要

  • このリクエストは PDFファイル の生データを含んでいます。
  • 内容の解読や要約 は、PDFデータがテキスト化されていないため困難です。
  • テキストや画像情報は、 バイナリデータ としてエンコードされています。
  • 直接的な 内容抽出や要約 はできません。
  • 必要に応じて、 PDFをテキスト化または画像化 して再度ご提出ください。

PDFデータの取り扱いについて

  • PDFファイルは バイナリ形式 で保存されており、直接テキストとして閲覧できない仕様。
  • バイナリデータには、 テキスト・画像・レイアウト情報 が圧縮・エンコードされて格納。
  • 通常、 PDFリーダーや専用ツール を用いて内容を表示・抽出する必要。
  • テキスト抽出には、 OCR(光学文字認識)やPDF解析ツール の利用が推奨。
    • Adobe AcrobatやGoogle DriveのPDF変換機能
    • 無料のオンラインPDF to Text変換サービス
  • もしPDFの 具体的な内容や要約 が必要な場合、ファイルを テキスト化して再投稿 することが最適解。

PDFから情報を取り出す方法

  • PDFリーダー で開き、内容をコピー&ペーストする方法
  • オンライン変換ツール を利用して、PDFをテキスト・Word・画像に変換
  • OCRソフトウェア で画像PDFから文字情報を抽出
  • プログラム(Pythonなど) でPDFを解析しテキストを抽出
    • PyPDF2やpdfplumberなどのライブラリ活用

注意点

  • セキュリティ上、 機密情報や個人情報 を含むPDFは慎重に取り扱う必要
  • オンラインツール利用時は、 データ流出リスク に留意
  • 内容の正確な要約や解説には、 テキスト化されたデータの提供 が必須

ご希望の内容要約や解説を行うには、PDFのテキスト化データをご提出ください。

Hackerたちの意見

Ruby Centralは、ここで何をしているのか説明する必要があるよ。少なくとも、これは非常に破壊的で、コミュニケーションが不十分な動きに見える。

Ruby Centralの役割は、bundlerやruby gemsの維持、開発、セキュリティを担当することだよ。マーティは以前、Ruby Centralのリーダーだったけど、最近オープンソースリードとして戻ってきたんだ。リポジトリの切り替えで混乱があったみたいだけど、これがRuby gemsへの攻撃だとは思えないな。何か見落としてる?

あなたのコメント、これを思い出させるな: https://youtu.be/R3gef1Wn9BE

ここで欠けているのは、RubyGemsの開発に公に関わっていたほとんどの人が最近プロジェクトを離れたことだと思う。特別な情報は持ってないけど、外から見ると、Ruby Centralが以前の「ホスト」関係を「コントロール」関係に変えようとしているように見える。

Ruby Centralの意思決定について詳しい人、ここで何が起こっているのか教えてくれない?これと過去のカンファレンスのドラマのせいで、混乱してるんだ。ポッドキャストを立ち上げたり、資金調達やメールキャンペーンをやったり忙しそうだったけど、リーダーシップに変化があったのかな?

そうだね、最近新しいエグゼクティブディレクターを雇ったみたい。

なんでRailsConfを辞めたのか、まだよくわからない。最大のスポンサーがRails Worldに力を入れたのかな?

Homebrewが何らかの形で仲介しているみたいだね: https://bsky.app/profile/mikemcquaid.com/post/3lz6pkabzwk2o

なんでHomebrewが関わってるの?

Ruby Centralの最近の行動、つまり長年のRubyGemsやBundlerのメンテナを警告なしに排除したり、管理アクセスを奪ったり、小さな中央集権的なグループに権限を集中させたりすることは、Rubyエコシステム内での信頼の重大な違反を示している。これは誤解ではなく、重要なインフラの敵対的な乗っ取りであり、長年のメンテナやRubyGemsやBundlerに依存するコミュニティ全体を損なうものだ。Rubyエコシステムは、協力、オープンさ、相互尊重に基づいて成り立っている。過去一週間で見たことは、その原則に反している。Ruby Centralの行動、つまり一方的なアクセスの取り消し、経験豊富なボランティアの排除、透明な対話を拒否することは、単なる組織の失敗ではない。これは、数十年にわたってRubyを支えてきた分散型でコミュニティ主導の精神への脅威だ。私はこの権力の奪取に反対する。さらに懸念すべきは、貢献者のアクセスが雇用状況やイデオロギーの一致に依存する可能性があることだ。Ruby Centralに雇われているかどうか、または左寄り、右寄り、あるいは無党派の見解を持っているかは、オープンソースに貢献する能力には関係ないはずだ。実力、献身、コミュニティの信頼が基盤でなければならない。もしRuby CentralがRubyコミュニティを本気で支援するつもりなら、以下を実行すべきだ。 - この事件で排除されたすべてのメンテナのアクセスを即座に復元すること。 - RubyGemsチームが草案を作成し始めたような、透明でコミュニティ主導のガバナンスモデルを公に約束すること。 - Ruby Centralに雇われているかどうかに関わらず、オープンソースのメンテナの自律性を尊重すること。 - これらの行動によって引き起こされた害を認め、信頼を再構築するために意味のある対話を行うこと。Rubyコミュニティは常に人々についてのもので、多様で情熱的、そして美しい言語への愛で団結している。私たちを代表すると主張する機関がそれに応じて行動することを求める時だ。そして、もしRuby Centralがこれを行わないなら、スポンサーにRuby Centralへの資金提供をやめるよう圧力をかけなければならない。そして、最終的には、すべてが失敗した場合、これらの混乱に邪魔されない自分たちのインフラを構築し維持しなければならない。また、コミュニティの信頼を再構築するためには、この騒動を引き起こした責任者を解雇すべきだ。 Rubyレベルのスポンサー(トップティア):Alpha Omega、Shopify、Sidekiq ゴールドレベルスポンサー:Flagrant シルバーレベルスポンサー:Cedarcode、DNSimple、Fastly、Gusto、Honeybadger、Sentry

さらに懸念すべきは、貢献者のアクセスが雇用状況やイデオロギーの一致に依存する可能性があることだよね。Ruby Centralに雇われているかどうか、左寄り、右寄り、または無関心な見解を持っているかは、オープンソースに貢献する能力には関係ないはず。実力、献身、コミュニティの信頼が基盤であるべきだよね。これに関する証拠はあるの?PDFには載ってないし。このコメントは明らかにAIのものだし、何より質に影響が出るよね。例えば、「私たちを代表すると主張する機関に、行動を求める時が来た」って言ってるけど、「その機関」は今までちゃんと代表してたじゃん、なんで「時が来た」なの?「これは誤解ではなかった。敵対的な買収だった」...「敵対的な買収だった」(または「今もそうだ」、まだ続いてるし)。「Ruby Centralが取った最近の行動 - [リスト]...Ruby Centralの行動 - [別のリスト]」...コメントはRuby Centralが何をしたか、メンテナが何を要求しているかを説明しようとしてるけど、曖昧で整理されてない。リンクされたPDFの方がいいよ。

この一週間で私たちが目撃したこと。誰が「私たち」なの?何を目撃したの?今のところ、片側の話しか聞いてないよね。こんな変化がすぐに公表されないのは驚きだけど、RubyGemsを長い間設立・管理してきたから、これが「買収」だとは私には明確じゃない。もしこれが本当に悪意のある動きだと判明したら、喜んで私も参加するけど、彼らの話を読むまでは様子を見たいな。編集:35分後、こちらです:https://rubycentral.org/news/strengthening-the-stewardship-o...

なんで投稿の最後にスポンサーのリストを入れたの?「雇用状況やイデオロギーの一致に依存する」ってどういうこと?今までどこにもそんなこと言ってなかったよね。あの部分(もしくは君のコメント全体)はLLMの助けを借りて書かれたの?

https://rubycentral.org/news/strengthening-the-stewardship-o... > 「彼らの仕事は、私たちが今築いている基盤の多くを作り上げており、その遺産をオープンさと協力の精神で引き継ぐことを約束します。」オープンさって何を意味してるの?誰が書いたのかも書いてないし。

RubyGemsコミュニティに同情するよ、感謝と共感を送るね。Rubyは私のキャリアにとって大きな飛躍だったし、この言語とコミュニティには特別な思い入れがある。RubyCentralの意見を待ってるけど、今のところ書かれている内容を見る限り、これらの行動は透明性がないし、誠実とは思えない。RubyCentralから何か発表されてる?Rubyコミュニティの力を願ってるし、どんな形でもコミュニティ所有の組織に移行できることを願ってる。(NPM、WordPress、そして今これ - パッケージリポジトリが企業の買収の焦点になってる気がする...)

Ruby Centralからのアップデート:RubyGemsとBundlerの管理強化 https://rubycentral.org/news/strengthening-the-stewardship-o...

完全に事後対応のCYAに見える。彼らは事前にメンテナに内部でこれを伝えることができたはずなのに、いきなりやられた感じだよね。

そのコミュニケーションを、あんなドラマを作る前にやっておくべきだったかもね。

セキュリティを強化しようとしてるなら、これはちょっと変なやり方だよね。GitHubの所有権を予告なしに変更して、経験豊富な人たちを急に外すのはリスクが高いし、ガバナンスへの信頼を高める方法としては良くないと思う。

要するに、法律的な理由やセキュリティの理由で、長年のメンテナーをランダムに切り捨てたってことだよね。本当に急いでやらなきゃいけない理由があったなら、それを見せてほしい。企業のPRメッセージなんていらないよ。

まるで弁護士と監査人がRubyCentralを乗っ取ったみたいだね。

「私たちは、過去20年間にBundlerやRubyGemsに貢献してくれた多くのメンテナーに深い感謝の意を表したいと思います。彼らの献身とリーダーシップがなければ、Rubyのツールは今のようにはなっていません。彼らの仕事が今日私たちが築いている基盤の多くを作りました。私たちはその遺産をオープンさと協力の精神で引き継ぐことを約束します。」 - 太字の部分は、全チームを予告なしにロックアウトすることとは合わないよね。「頑張ってくれてありがとう、大人たちがここからはやるから」なんて、うまくいくことはまずないよ。

「敵対的買収をしました」って言うのに、こんなに言葉を使う必要ある?

Ruby Centralが恐れていたのは、もしオープンにコミュニケーションを取っていたら、管理者アクセスを持つメンテナーやコミュニティメンバーが自分たちで敵対的な乗っ取りをする可能性があって、それがRuby Centralに法的な責任を負わせることになるかもしれないってことだと思う。私はこんな決断をする立場じゃないし、全ての情報も持ってないけど、もし私がこんな決断をしていたら、その後にもう少し敬意を示すと思う。「本当にひどいことをしてしまった、ごめんなさい。突然法的なリスクの深刻さに直面して、すぐにすべてをロックダウンしなければならなかった。これは信頼の問題ではなく、法的にやらなきゃいけなかったことなんです。今、状況を整理して、しっかりした管理フレームワークを作る必要があります。あなたに謝罪し、正しい形にして、再びメンテナーとしてリードしてもらえるようにしたいと思っています。」…でも、これが法的なリスクに関することじゃなかったのかもしれないし、もしかしたら元の貢献者やメンテナーには謝罪のメールが届いているのかも。

パッケージメンテナーのアカウントが侵害されることでサプライチェーン攻撃が起こるんじゃないの?パッケージリポジトリ自体にアクセスできる人が多すぎるのもリスクだけど、アカウントが侵害されるってのは実際には起こってないよね。

メンテナーたちに感謝し、その遺産を尊重します。彼らを説明もなく外し、10年以上も維持してきたプロジェクトから切り離し、復帰や対話を求めたときには無視するなんて。メンテナーたちがかわいそうです。こんな扱いを受けるべきじゃないよね。

次の火曜日にサインアップするためのQ&Aがここにありますね。 (https://us06web.zoom.us/meeting/register/auIbrbS9RSS7Eukzj7b...)

関連がありそうな情報: https://ruby.social/@getajobmike/115231677684734669 ただのリポストですけどね。自分はこれについては何も追ってないです。

この変更の明言されていない理由は、多くの既存のRubygemsのメンテナーが最近辞めてしまったこと(唯一のフルタイムエンジニアも含む)で、DHHとの関係が続いているためです。これが何を意味するのか詳しく教えてもらえますか?Ruby CentralとDHHの関係が続いているのか、それともメンテナーとDHHの関係なのか?他の当事者がそれに問題を持っているのはなぜですか? EDIT: この投稿は、私がコピー&ペーストした後に明確にされたようで、RCとDHHのことみたいです。メンテナーたちはこれに問題を持っているのはなぜですか?発表された理由は、RCが誰のアクセスも警告なしに取り上げたことについてだったと思ったのに。

Shopifyでは、RubyGems(そして暗にRuby Central)のためにお金を出す必要があると最初に提案した人間でした。これが私が考えていたことではなく、今はそれを可能にしたことに恥ずかしさを感じています。