Ruby 生态核心开源项目 RubyGems 爆发“控制权争夺战”

近日，Ruby 社区爆发一场围绕 RubyGems 与 Bundler 的“控制权争夺”风波。

作为 Ruby 生态最重要的包管理与依赖工具，它们的控制权未经长期维护者同意突然被 Ruby Central 完全接管：包括将 RubyGems GitHub 企业组织被重命名为 “Ruby Central”，移除众多维护者的权限（停用他们邮件账号和撤销对 RubyGems 的所有权），此事引发了广泛关注。

• RubyGems 和 Bundler 是 Ruby 生态系统中非常核心的开源工具，用于包管理与依赖解决。

• Ruby Central 是一个非营利组织，负责维护 RubyGems / Bundler 等核心基础设施。

• Shopify 是 Ruby 社区里的重要公司用户和资助者，在 Ruby 生态中有很大影响力。

报道指出，此事与资金问题密切相关。Ruby Central 在失去部分赞助后，对大型企业 Shopify 的支持依赖加深，而 Shopify 据称要求 Ruby Central 接管 RubyGems 相关 GitHub 组织及核心 gem 的管理权。9 月初以来，多个资深维护者被移出项目，GitHub 组织更名为 “Ruby Central”，权限结构被彻底调整。

时间线梳理

• Ruby Central 失去一个重要赞助商（Sidekiq），每年承诺 25 万美元被撤出。
• 在财政压力下，Ruby Central 对 Shopify 的资金支持产生依赖。
• Shopify 要求 Ruby Central 接管 RubyGems GitHub 组织及若干核心 gem（如 bundler、rubygems-update），否则威胁停止资金支持。
• 9 月 9 日起，一系列动作启动：RubyGems GitHub 企业组织被重命名为 “Ruby Central”，增加新拥有者 Marty Haught，降级其他维护者权限。
• 之后部分变更被回滚，但 Haught 仍保留拥有者身份。
• 到 9 月 18 日，多个维护者被完全移出、GitHub 组织访问被撤销，许多相关邮箱也被停用。核心 gem 的控制权被重新收归 Ruby Central。
• 被移除的维护者中包括 André Arko 等资深贡献者。
• 有指控称 Ruby Central 董事会在维护者反对下仍通过了这一变动。

Ruby Central 在声明中表示，此举是出于“软件供应链安全”考量，需要集中权限以制定新的安全策略。他们强调部分变更仅涉及 GitHub 仓库管理，而非生产系统。

不过，社区对这一 “突然接管” 颇感不满，一些维护者因此发起了 Spinel 项目，希望打造新的 Ruby 包管理工具，以维持社区的多样性和独立性。