ハクソク

世界を動かす技術を、日本語で。

ShopifyがRuby Centralで主導権を握り、BundlerとRubyGemsの買収を強行

244日前原文(joel.drapper.me)

概要

  • Ruby Central が主要なオープンソースプロジェクトの管理権を 無断で取得
  • 背景には 資金難Shopifyによる圧力
  • メンテナーの権限剥奪 と、組織内外での混乱
  • 所有権の誤認 や説明責任の欠如が問題視
  • コミュニティの信頼問題 と今後の運営体制への影響

Ruby CentralによるRubyGems等のプロジェクト乗っ取り事件

  • 2024年9月、 Ruby Central が複数のオープンソースプロジェクトの管理権限を メンテナーの同意なく取得
  • Ellen による報道で事件が明るみに
  • 約12名の関係者や、RubyGemsメンテナーとRuby Centralの会議記録を確認

背景:資金難とスポンサーの動向

  • Sidekiq がDHHのRailsConf登壇を理由に 年間25万ドルのスポンサー契約を撤回
  • Shopify がRuby Centralに対し、 RubyGems関連リポジトリの完全管理権限移譲 を要求
    • 従わなければ資金援助を打ち切ると通告

乗っ取りの経緯

  • HSBT (Hiroshi Shibata)が2024年9月9日、 RubyGems GitHubエンタープライズ名を「Ruby Central」に変更
    • 新たなオーナーとして Marty Haught を追加
    • 既存メンテナーの権限を一方的にダウングレード
  • 一部変更は「誤り」として一部のみ元に戻されるが、 Martyのオーナー権限は維持
  • 9月17日、MartyがメンテナーとZoom会議を実施
    • RubyGemsの ソースコードとサービス運用の区別 を説明
    • 運用計画の不備とHSBTのフライングを認める
  • 9月18日、再びメンテナーが GitHub組織から排除
    • Andre Arko を含む複数人のアクセスが停止
    • Ruby Central理事会が リポジトリとgemの掌握を決議

所有権と貢献の問題

  • RubyGemsの ソースコードはコミュニティ所有 であり、Ruby Centralの運営するサービスとは別物
  • Ruby Centralによる 資金提供や運営委託 は所有権移転を意味しない
  • 長年の無償貢献とコミュニティによる管理体制

Shopifyの影響力と資金圧力

  • DHH の登壇でSidekiqの資金が消滅し、Ruby Centralは Shopifyへの依存度が急上昇
  • Rails WorldでShopifyが 特定メンテナーの排除を条件とした支援提案
  • Ruby Central理事の一人が「反対票を投じれば組織の存続危機」と証言
  • Shopify主導のエンジニア交代体制 が事前に準備されていた

理事会の決断とタイミング

  • Marty がリスクや代替案(フォーク等)を提示するも、理事会は 乗っ取りを強行決定
  • EuRuKoカンファレンス開催中に実施され、ヨーロッパの有力開発者が不在

Ruby Centralの公式対応と説明責任

  • ニュース公開6時間後、Ruby Centralが「 RubyGemsおよびBundlerの管理強化」を発表
    • 署名のない無機質な声明
    • 「供給網の安全性強化」を名目に 管理権の一時集中 を正当化
  • DHHはこの声明を支持するツイート
    • 自身の他の主張と矛盾
  • Ruby CentralおよびShopify関係者が SNS等で事実を歪曲
    • サービス運用とソースコード管理の混同
    • 「供給網攻撃」への対策を強調

コミュニティへの影響と今後

  • コミュニティ所有の原則 が揺らぎ、 信頼喪失
  • 資金提供者による運営体制への介入 が顕在化
  • 今後の RubyGems開発体制オープンソースプロジェクトのガバナンス に重大な課題

まとめと今後の論点

  • Ruby Central によるプロジェクト管理権限の強制取得事件
  • 背景には 資金難Shopifyの資金圧力
  • 所有権と運営権の混同 が生んだ混乱
  • コミュニティの自律性資金依存のリスク が浮き彫り
  • 今後の RubyGems および Rubyコミュニティの運営体制 の議論が不可避

Hackerたちの意見

こんなに素敵な記事になるとは思ってなかったよ。読む価値あり!Rubyコミュニティはほぼ最初から自分たちを食い合ってきたけど、信頼やつながりの短絡的な破壊を見るのは悲しいね。

「自分自身を食い尽くしている」ってどういうこと?

うーん、この記事はちょっとごちゃごちゃしてるね。著者の考えが流れるように書かれてるから、読みづらい。あるところは詳細すぎるし、他のところは足りない。Ruby Centralは確かに大失敗だったし、メンテナーたちはもっと良い扱いを受けるべきだった。でも、著者の調査は「文化戦争」みたいな重要な要素を見落としてる気がする。それが関係者全員の主な動機になってるみたいだし、下のコメント欄で燃え上がってるのを見ればわかるよね。

Rubyコミュニティはほぼ最初から自滅してるって言うのは不公平な意見だよ。最初はRubyコミュニティは素晴らしかったんだから。

現在のRubyの状態が「自滅してる」なら、ずっと飢えててほしいな。

Ruby CentralがRubyGemsのオープンソースコードリポジトリやgemを管理することに問題があったけど、Ruby Centralはそれを所有してなかったんだよね。どうしてこんなことになったのか全然わからない。Ruby Centralが私のGitHubに手を突っ込んで、何かを所有してるって宣言できるわけないじゃん。Ruby Centralのアカウントの下にあったの?それとも「自分たちが所有してる」と決めた組織アカウント?

RubyGemsがRuby Centralに名前を変えたみたいだね。

それは「9月9日にHSBTが…」の段落に説明されてるよ。そこでは、既存のRubyGemsのメンテイナーが変更を行って、(ほとんど)元に戻したことが書かれてる。新しいユーザーがRubyGemsのGitHub組織のオーナーとして残っていて、それが後にRuby Centralが色々できるようにしたんだ。

投稿で言ったけど、メンテイナーだったHSBTがMartyをGitHubアカウントのオーナーとして招待したんだ。これは、新しいメンテイナーを追加するための慣習を確立していた他のメンテイナーの意向に反してたんだよね。

Sidekiqは、RailsConf 2025でDHHをプラットフォームにしたから、Ruby Centralへの年間25万ドルのスポンサーシップを撤回した。正直な質問だけど、DHHに何か問題があるの?彼がRailsConfでプラットフォームにされたから支援を引き上げたのは何が原因なの?

「RubyコミュニティにはDHHの問題がある」: https://tekin.co.uk/2025/09/the-ruby-community-has-a-dhh-pro...

おそらく、DHHがRailsにSolid Queueを導入したことが、Sidekiqの代わりになるからだろうね。もちろん、そんなことは言わないだろうけど、彼の生ぬるいヨーロッパの政治についての言い訳になるだろうね…

Rubyコミュニティには、Matzに似た本当にいい人たちと、DHHみたいなテックブロのクソ野郎の間に長い間亀裂があった。前者は後者をある程度許容してきたけど、そのせいでコミュニティは醜い毒性を持つようになってしまった。それが私がRubyを使う理由だけど、関わりたくはないんだ。ゼッド・ショーという有名なクソ野郎がこの件についてこう述べている: https://harmful.cat-v.org/software/ruby/rails/is-a-ghetto DHHは何年も前から過激な発言をしていて、今の政治的環境では彼を無視することができなくなっている。

彼のどんな原因にも支持を拒否する姿勢が嫌われてるんだ。DHHはその日の原因がどんなに関係ないものであっても、ソフトウェアとその能力に焦点を当てている。

そうだね、DHHは嫌われてるみたい。俺もあんまり好きじゃなかった(好みにはちょっと意見が強すぎるかな)。でもRailsは本当に良いもので、正直Rubyを世に広めた功績があるし、DHHにはその点で評価されるべきだと思う。でも、RailsConfでプラットフォームに載ったからって、資金を全部引き上げるのはちょっと過剰反応じゃない?Rubyコミュニティにとっては結局、依存度が高くなってしまうだけだし(Shopifyに)。追記:公平を期すために言うと、ここ10年くらいDHH/Rails/Rubyコミュニティを追ってなかったから(15年前くらいはすごく関わってたけど)、俺の意見は古いかもしれない。それでも、資金を引き上げるのはRubyには良くないと思う。

サミュエル・ギディンズとアンドレ・アルコがなぜ排除されたの? 彼らの何が問題だったの? 誰に対して? 書かれている内容からすると、Shopifyが彼らを追い出したいと思っていたみたいだけど、なんでだろう?

関連するかもしれない記事のセクションがあるよ: https://joel.drapper.me/p/rubygems-takeover/#rv

関連情報。他にも?(最近のものから順に)Ruby Centralからのアップデート - https://news.ycombinator.com/item?id=45344448 - 2025年9月(1コメント)RubyGemsの論争についてのボードメンバーの視点 - https://news.ycombinator.com/item?id=45325792 - 2025年9月(148コメント)さようなら、RubyGems - https://news.ycombinator.com/item?id=45306135 - 2025年9月(1コメント)RubyGemsの状況に対するRuby Centralの反応 - https://news.ycombinator.com/item?id=45301949 - 2025年9月(1コメント)Ruby CentralのRubyGemsへの攻撃 [pdf] - https://news.ycombinator.com/item?id=45299170 - 2025年9月(244コメント)

こういうドラマが起こると、必ず何かが揺れ動くのはわかる。何が起こったのか、なぜそうなったのかを知るのは、ある程度は価値があると思う。ただ、コミュニティが私たちのサプライチェーンが安全で信頼できるってことを知って、信じられるようになるところまで早く進んでほしいな。

Ruby Centralはソースコードを所有していないのはわかってる。オープンソースだし、サービスは彼らのものだけど、GitHubアカウントやリポジトリは誰が所有してたの? 元々誰が作ったの?

サプライチェーンのセキュリティを強化するために、RubyGems.org、RubyGems、Bundlerへの管理アクセスを安全に管理するための重要なステップを踏んでいます。ここで起こったことが文字通り悪意のあるサプライチェーン攻撃だったのに、こんな大胆なことを言うのはおかしい。

どういう意味で悪意があったの?悪意のあるコードが挿入されたの?真剣な質問だよ。

これは「何が起こったか」の素晴らしい説明だね。でも「なぜそうなったのか」はまだ理解できてない。この記事に対する暗黙の批判ではないけど、非常に中立的で事実に基づいているのは感謝してる。数年Rubyから離れてたけど、ShopifyはRubyやRailsに対して多くの価値ある仕事を支援してきたから、常にプラスの存在に見えた。Rubyコミュニティの出来事をあまり詳しく追ってなかったけど、過去に彼らのコミュニティの役割に対して否定的な感情があったとは知らないな。

プラスワン。これを読んでると、Shopifyがもっと大きな役割を果たすことに対する恐れが何なのかよくわからない。彼らは本当に長い間、Rubyに強く貢献してきたんだから。行動には賛成できないけど、この記事から彼らの悪意ある動機を読み取るのは難しいな。

いろいろと裏を読む必要があったけど、どうやらこんなことが起こったみたいだね。1) RubyGemsの一部をコントロールしている人たちがDHHを排除しようとした。2) それに対抗して、DHHに味方する人たちがその人たちをRubyGemsから追い出した。3) 関わったみんなが、自分たちの動機を「良いエンジニアリング」として正当化しようとしてる。つまり、「権力争いをすると、勝つか死ぬかだよ。」

どうやら、いくつかの組織がDHHを嫌って資金を引き上げたみたいだね。Shopifyは大人の対応をして、これらのコンポーネントに依存してるから、しっかりとコントロールを取ることにしたんだ。ビジネスがかかってるからね。