Ян Ленардт сказал лучше всего в сообщении Мастодона: «Что, черт возьми, происходит с Руби?»
Что происходит, так это то, что сообщество Rubygems расстроено после того, как сопровождающие были сняты с репозитория GitHub в конце прошлой недели. Rubygems — это пакеты многоразового рубинового кода и других компонентов, используемых для добавления функциональности к проекту Ruby. Они являются стандартным менеджером пакетов для Ruby Language.
Ранее в этом месяце Ruby Central заменила всех сопровождающих на своего директора с открытым исходным кодом Марти Хаут. Ruby Central-это некоммерческая организация, стремящаяся «водить инновации и создание сообщества в экосистеме программирования Ruby с 2001 года». Он также управляет как Rubyconf, крупнейшей в мире конференцией Ruby, так и Railsconf.
Сообщество защита или враждебное поглощение?
Если цель состоит в том, чтобы построить сообщество, Ruby Central, возможно, сделал серьезный ошибка. 9 сентября, без объяснения, анонимный анонимный содействие Rubygems переименовал в Rubygems Github Enterprise в Ruby Central, добавил директор Ruby Central по открытым исходным кодам Марти Хаут в качестве сопровождающего и удалил всех других сотрудников проекта Rubygems, по словам сопровождающего Эллен Даш, Aka Puppy или Datchinator.
15 сентября анонимный сопровождающий сказал, что он/она восстановил предыдущие разрешения после разговора с Хаутом, который, по словам Дэш, сказал, что удаление было ошибкой, которую «никогда не должно было случиться».
«« Восстановление »сохранила заметное изменение: Марти теперь был владельцем GitHub Enterprise», — написал Даш. «Команда Rubygems ответила сразу же начала внедрить просроченную официальную политику управления, вдохновленную Homebrew’s».
Но 18 сентября, без объяснения объяснений, она написала, что «Смейт» отменил членство в организации Github для всех администраторов на Rubygems, Bundler and Rubygems.org, составляющие команды.
«Сделав это, он взял под свой контроль за себя и других сотрудников штата Ruby Central»,-написал Дэш на прощании с Rubygems Post, разделенным в социальных сетях. «Позже в тот же день, после отказа восстановить разрешения GitHub, Ruby Central еще больше отозвал доступ к драгоценным камням Bundler и Rubygems-Update на Rubygems.org.
«Я не буду снимать слова здесь: это было враждебное поглощение».
Рубин некоммерческая деятельность цитирует фидуциарную обязанность
19 сентября Ruby Central опубликовал объяснение своих действий, сославшись на проблемы безопасности и связанную с этим фидуциарную обязанность в качестве водителя для этого решения.
«Будучи некоммерческим управляющим этой инфраструктуры, Ruby Central выполняет фидуциарную обязанность защищать цепочку поставок и защиту долгосрочной стабильности экосистемы»,-заявил Центральный пост Ruby, который не зачисляется на какое-либо лицо.
«В консультации с юрисконсультом и после недавнего аудита безопасности мы укрепляем наши процессы управления, формализацию соглашений операторов и ужесточание доступа к производственным системам», — продолжил он. «Движение вперед, только инженеры, занятые или заключив контракт с Ruby Central, будут иметь административные разрешения на услугу Rubygems.org».
Ruby Central также цитировал атаки цепочки поставок программного обеспечения как «проактивные шаги для защиты экосистемы Ruby Gem конец к концу».
Freedom Dumlao, член центрального совета Ruby и технический директор Vestmark, также объяснила, почему проблемы безопасности требовали действия.
«Ruby Central давно отвечала за Rubygems и Bundler. Это не новое развитие, и я, честно говоря, очень смущен в замешательстве», — написал он. «Что не смущает, так это то, что цепочки поставок подвергаются атаке. Мы можем видеть это в недавних атаках на Rubygems, а также в основных атаках на другие экосистемы, которые сделали глобальные новости. Компании, которые зависят от Ruby Central, чтобы гарантировать, что они не подвержены риску. Некоторые из этих компаний являются спонсорами Ruby Central, а некоторые не являются, но все, что они легтитивны, нуждаются в том, что они могут сказать, что они являются безопасными.
Но новости не были хорошо приняты, поскольку разработчики Ruby взяли в социальные сети и блоги, чтобы выразить свое разочарование, а иногда и возмущение движением Ruby Central.
Реакция сообщества на действия Руби Централ
«Фидуциарная ответственность»-это адский эвфемизм для «нам предложили миллионы долларов от враждебного донора в обмен на контроль над инфраструктурой Rubygems»,-», разработчика из чикаго, базирующейся в чикаго Сэм Стивенсон. Он не сказал, кем может быть этот враждебный донор.
Скриншот от Мастодона.
Он не был один в своем осуждении. Майк Перхам является самопровозглашенным рубийстом и создателем @SideKiq, популярной, с открытым исходным исходным рубиновым средством для работы с фоновыми заданиями, и Faktory, алкоголя-агентского стойкого фонового сервера. Он был среди тех, кто считал этот шаг как чрезмерный, со стороны Руби Централ.
«Ruby Central не владеет авторским правом источника Rubygems, и что репо существовало до Ruby Central. Роль Ruby Central состоит в том, чтобы управлять инфраструктурой Rubygems.org и оплатить постоянное поддержание Rubygems», — сказал он. «RC не контролирует, кто является сопровождающим, а кто разрешен в обслуживающем персонале. Как и любой проект OSS, это всегда было решением команды».
Ruby Central должен предоставить сообществу дополнительную информацию, добавил он.
«Мы можем только предположить о реальных причинах, пока не сообщите нам о спонсоре и их спросе. Это изменение требует солнечного света», — заявил он. «Rubygems/Rubygems не находились под контролем Ruby Central, пока HSBT не удалил всю существующую команду и не добавил Марти [Haught] как администратор в одностороннем порядке, без обсуждения. Это был нелегальный захват власти. Это действие должно было быть публичным процессом, а не сделка с задним помещением ».
Скриншот от Мастодона.
«Я не видел способа удержать его от ухудшения, поэтому я ушел в отставку и задокументировал то, что увидел», — сказал Дэш в ответе Блюзского инженеру Майку МакКуэйд, который пытался — и не смог — провести обсуждение между рубинцентралом и сопровождающими по этому вопросу. «Я дал этому проекту треть моей жизни, и мне пришлось объяснить, что я потерпел неудачу. Это больно, как я не могу описать».
Видео и обещание для получения дополнительной связи
В понедельник Ruby Central запланировал сессию вопросов и ответов для сообщества, но в конце дня объявил, что сессия будет перенесена из -за Рош Хашаны. Тем временем исполнительный директор Шан Кюретон, который присоединился к организации в мае, выпустил видеообращение на YouTube.
Она извинилась за плохие общения и путаницу, которую он создал. Она объяснила, почему это было необходимо с точки зрения Руби Центральной.
«Когда Bundler и Rubygems оказались под нашей ответственностью благодаря слиянию с Ruby вместе, это было с оперативным риском, юридической ответственностью и практическими обязательствами», — сказала она. «К сожалению, слияние оставило ответственность за управление и оперативные пробелы, которые мы сейчас закрываем».
Кюретон отметил, что в последние недели роли и обязанности изменились, и были спонсорские вопросы о риске цепочки поставок, которые прояснили одну вещь: Ruby Central, необходимый для закрытия управления и быстрого доступа к пробелам.
«С отъездом ведущего сопровождающего и перехода инженера по безопасности вопросы, касающиеся административного доступа к бундлер и Rubygems, стали срочными», — сказала она. «Мы уже начали эти дискуссии с нынешними сопровождающими о том, как укрепить управление и контроль доступа. Мы ценим их вклад, но стало ясно, что мы не можем достичь соглашения о шагах, необходимых для решения проблем безопасности и ответственности в сроках, с которыми мы сталкиваемся».
Ruby Central также цитировал атаки цепочки поставок программного обеспечения как требующие «проактивных шагов для защиты экосистемы Rubygem Конец до конца.
«Это решение никогда не должно было быть постоянным», — сказал Кюретон. «Речь шла о том, чтобы поддержать защиту, покупку нам время, которое нам нужно было установить соглашения, и делать правильно со стороны сообщества и компаний, которые зависят от нас».
Тем временем, добавила она, обычная публикация и установка продолжаются.
«Это решение никогда не предназначалось для постоянного. Речь шла о защите от поддержки, покупке нам времени, которое нам нужно было установить соглашения, и правильно выполнять сообщество и компании, которые зависят от нас».
— Исполнительный директор Ruby Central Shan Cureton
«Будучи исполнительным директором Ruby Central, мне было поручено привлечь организацию в действительно устойчивую форму. Это означает не только стабилизацию того, как мы работаем как организация, но и укрепление того, как мы управляем и поддерживаем инфраструктуру с открытым исходным кодом», — сказала она. «Когда мы начали пересматривать нашу практику, стало ясно, что нам нужны более сильные протоколы Security Pro и более четкое управление в Rubygems и Bundler».
Она добавила, что Ruby Central недавно начала нанимать персонал, и это вызвало новые обязанности и протоколы, связанные с переходом и более сильным контролем безопасности для организации, исторически управляемыми добровольцами и независимыми подрядчиками.
Эти шаги были больше, чем смягчение риска, добавила она.
«Они стараются убедиться, что Ruby Central остается устойчивым и способным служить сообществу Ruby», — сказала она.
Она прояснила две вещи: во -первых, разрешения ограничены лишь временно, в то время как Ruby Central завершает соглашения оператора и участников; И, во -вторых, это первый раз, когда Ruby Central установил эти юридически обязательные соглашения для сопровождающих.
Проблема Rubygems для Ruby Central
«В большинстве проектов с открытым исходным кодом, где код представляет собой библиотеку или структуру, вы обычно не видите официальных соглашений операторов», — сказал Кюретон. «Люди вносят свой вклад в соответствии с лицензионными соглашениями, кодами поведения или решения, принятыми руководящим сообществом. Но Rubygems.org отличается. Это не только код. Это производственная служба. Он занимает критическую инфраструктуру для экосистемы Ruby, обрабатывает миллиарды загрузки, хранит конфиденциальные метадаты, и на него полагаются компании, которые имеют требования к согласию».
По словам Кюретана, поскольку это услуга, Ruby Central несет юридическую ответственность, финансовую экспозицию и оперативный риск.
«Вот почему необходимы операционные соглашения. Они обеспечивают связь с ответственностью и подотчетностью», — сказала она. «Хотя вы можете не видеть их в таких проектах, как Rails или React, они являются нормой в таких услугах, как NPM, PI или Docker Hub. Rubygems».
«Я хочу признать, что то, как разыгрывается процесс, чувствовалось очень резким, и мы сожалеем об этом», — сказала она. «Наша миссия всегда заключалась в защите сообщества, защите экосистемы и создании более сильной основы на будущее».
Комментарии были отключены на видео на YouTube.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Loraine Lawson — ветеран -репортер, который в течение 25 лет освещал технологические проблемы от интеграции данных до безопасности. Прежде чем присоединиться к новому стеку, она работала редактором Banking Technology Site Bank Automation News. Она … читайте больше от Лорейн Лоусон
