Ruby Central ile topluluğun bazı kesimleri arasında RubyGems paket deposunun kontrolü konusunda bir hafta süren anlaşmazlığın Ruby topluluğunu tedirgin etmesinden sonra, artık bir gerilim azalması söz konusu.
Duyurudan sonra devamını okuyun
17 Ekim 2025'te Ruby mucidi Yukihiro “Matz” Matsumoto, resmi Ruby web sitesinde kişisel olarak bir açıklama yayınladı: Ruby Core ekibi gelecekte RubyGem'lerin ve Paketleyicilerin sorumluluğunu üstlenecek. Projeler dilin şemsiyesi altına geri dönerken, kar amacı gütmeyen bir kuruluş olan Ruby Central, altyapı ve RubyGems.org aracılığıyla operasyonları sağlayacak.
Bu karar camiaya yeniden huzur getirdi. Birçoğu bunu bir uzlaşma olarak gördü: Ruby Central'da kontrol ve istikrar, çekirdek ekibin şemsiyesi altında açık geliştirme. Ruby Central bu hareketi memnuniyetle karşıladı ve “Ruby ekosisteminin geleceğine yönelik ortak bir taahhütten” bahsetti.
Yeniden değerlendirme ve yeni başlangıçlar
Sıcak haftaların ardından Ruby Central, kaybettiği güvenini yeniden kazanmaya çalıştı. Gerçeğin Kaynağı serisinde kuruluş, haftalık raporlar ve topluluktan gelen soruları yanıtlayan Soru-Cevaplar sundu. Operatörler hataları kabul etti: İletişim çok yavaştı ve ses tonu çok resmiydi. Artık “görünürlük ve istikrar yaratmak” istiyorlar.
Ruby Central, sponsorların, özellikle de Shopify'ın, kararlar üzerinde operasyonel etkisinin olmadığını defalarca vurguladı. Aynı zamanda, sorumlulukları açıkça düzenlemek amacıyla bakımcılar ve operatörler için yeni sözleşmeler uygulamaya konuldu.
Ruby Central yeni yönetimi üzerinde çalışırken, eski bakımcılar alternatif bir ayna ve daha sonra bağımsız bir gem sunucusu olan gem.coop projesini kurdular. Ruby ekosisteminde ilk kez merkezi olmayan bir yaklaşım oluşturuldu: birden fazla konum, tek bir ortak hedef: yazılımı güvenli ve açık tutmak. Ancak şu anda rubygems.org'un paketler için merkezi iletişim noktası olmaya devam edeceği görülüyor.
Düşmanca ele geçirme
Duyurudan sonra devamını okuyun
Anlaşmazlık, Ruby Central'ın, RubyGems ve Bundler ana projelerinin uzun süredir bakımını yapanların erişim haklarını Eylül 2025'in ortalarında iptal etmesiyle ortaya çıktı. Bu, Ruby topluluğu tarihindeki en büyük çatışmalardan birini başlattı. Kuruluş, bu hamlesini güvenlik endişeleri ve ekosistemin tedarik zincirini koruma ihtiyacı temelinde gerekçelendirdi. Ancak birçok geliştiriciye göre bu bir bahane gibi görünüyordu: Güvenlik değil, perde arkasındaki güç değişimi.
RubyGems.org yıllardır Ruby evreninin merkezi bir parçası olmuştur: 175.000'den fazla ücretsiz olarak kullanılabilen kütüphane içerir ve bunlar olmadan pek çok uygulama çalışmaz. Servisin arkasında çoğunluğu gönüllülerden oluşan küçük bir bakım işçisi grubu vardı. Sunucuları çalışır durumda tuttular, kod yazdılar ve güvenliği sağladılar. Ruby Central altyapıyı ve barındırmayı finanse etti, ancak daha önce operasyonel kontrol gönüllülerin elindeydi.
Ruby Central'ın GitHub deposunun kontrolünü ele geçirip tüm yönetici haklarını elinden almasıyla durum Eylül ayında aniden değişti. Ellen Marie Dash, Samuel Giddins ve André Arko gibi camianın tanınmış isimleri bir gecede organizasyonlardan kayboldu. Açıklama: “Resmi sorumluluklar” yaratmak ve “kritik kilit pozisyonları güvence altına almak” istiyorlar. Ancak birçok kişinin gözünde bu bir güç kaybıydı.
Protestonun gelmesi uzun sürmedi. Geliştirici Joel Drapper “düşmanca bir devralma”dan bahsetti ve Ruby Central'ın iletişimleriyle ilgili soruları gündeme getiren dahili süreçleri ortaya çıkardı. Arko'nun kendisi, Bundler'ın yüzü ve sesi yıllardır öfkeyle tepki gösteriyordu.
Şüphe, güvensizlik, tırmanma
Yeni ayrıntılar ortaya çıktıkça durum daha da kötüleşti. Dahili e-postalara göre Ruby Central, bireysel bakımcıların çok fazla kontrole sahip olabileceği korkusuyla erişimi haftalar önce iptal etmeyi düşünmüştü. Arko ilgi odağıydı.
10 Ekim 2025 tarihli Ruby Central raporuna göre Arko, kaldırıldıktan sonra bile RubyGems.org'un AWS sistemlerine hâlâ root erişimine sahipti. Hesap sabahın erken saatlerinde kullanıldı. Veri manipülasyonuna dair bir kanıt olmasa da olay, “acil olarak iyileştirilmesi gereken” güvenlik süreçlerinin altını çizdi.
Arko iddiaları yalanladı. Giriş bilgileri olmadan altyapının tehlikeye girebileceğinden korktuğu için harekete geçti. Sonunda hesabı aracılığıyla Ruby Central'ı bilgilendirdi ve düzenli bir şekilde erişimi geri verdi. Örgüt ise bunu açık bir sorumluluk ihlali olarak gördü.
Geriye dönüp bakıldığında her iki tarafın da hatalar yaptığı ortaya çıktı. Ruby Central, hassas bir güvenlik ve yönetim sorununu çok uzun süre kendi bünyesinde tuttu; Arko tutuklama kararı olmadan ancak kendi ifadesine göre zarar vermemek inancıyla hareket etti.
Kontrol ve güven arasında
Temel olarak şu soruya geldi: Açık kaynaktan kim sorumlu? Ruby Central yıllarca sunucu masraflarını karşıladı, finansmanı sağladı ve sponsorluklar aldı. Ancak geliştirmenin kendisi yasal olarak ama aynı zamanda ideal olarak bir topluluk projesi olarak kaldı. Ruby Central Eylül ayında kontrolü ele aldığında iki kişisel algı çatıştı: operasyonel güvenlik ve topluluk sahipliği.
Arko'nun daha önce Bundler adını ticari marka olarak tescil ettirdiğinin ortaya çıkmasıyla tartışma doruğa ulaştı. Ruby Central'ın bu adı kendi çatalları için kullanmasını engellemek istiyordu. Yasal açıdan bakıldığında bu yasaldı ancak topluluk açısından bakıldığında sembolik bir ihlaldi. Ruby Central “kabul edilemez tahsisattan” bahsetti.
Sıradan Ruby geliştiricileri için tüm bunlar, birkaç hafta boyunca kimsenin bundan sonra ne olacağını bilemediği bir duruma yol açtı. Genellikle dramatik bir pembe dizi gibi hissettirdi, ancak ağızda kalan acı tat, tüm Ruby geliştiricilerinin işleyen bir RubyGems altyapısına bağımlı olmasına neden oldu.
Ruby topluluğunun özel bir özelliği de çok farklı kültürel grupların yer almasıdır. Topluluğun önemli bir kısmı Asya'dan geliyor ve sorunları Kuzey Amerikalı geliştiricilerden çok farklı şekilde çözüyor. Avrupa, Ruby Core ekibinde oldukça az temsil ediliyordu ve hâlâ da temsil ediliyor.
Bu evrenin özel bir özelliği, başından beri tamamen Ruby on Rails'e güvenen Kanadalı şirket Shopify'dır. Şirketin doğrudan etkisi olmasa bile Ruby geliştiricilerinin çok sayıda olması zaten önemli bir güç faktörünü temsil ediyor. Shopify şu anda ana sponsordur. Shopify'ın Ruby'ye, Ruby'nin de Shopify'a ihtiyacı var.
Krizden alınacak dersler
RubyGems vakası, güven ve şeffaflığın olmadığı durumlarda açık kaynak projelerinin ne kadar kırılgan olduğunu gösterdi. Aynı zamanda bir topluluğun ne kadar uyumlu olabileceğini de gösterdi. Ruby Core'un bir üyesi ve eski Shopify'ın kendisi olan Peter Zhu konuyu şöyle özetledi: Açık kaynak “en kırılgan ve aynı zamanda en dayanıklı ekosistemdir.” Bu tam olarak burada doğrulanan şeydir.
Bugün, fırtınadan birkaç hafta sonra Ruby Central'ın iletişim hızı daha yüksek, dokümantasyon daha iyi ve çekirdek ekip kod tabanını benimsedi. Bir zamanlar ayrılan bakımcılar yeni projeler üzerinde çalışıyorlar. Ve topluluk finansmanı, hesap verebilirliği ve yönetişimi daha açık bir şekilde tartışıyor.
Kriz damgasını vurdu ama aynı zamanda gelecekteki çatışmaları hafifletebilecek yapılar da yarattı. Belki bu kopuş acı vericiydi ama gerekliydi: Açık kaynağın yalnızca koda değil, onu yazan, finanse eden ve koruyanlar arasındaki güvene de bağlı olduğuna dair bir uyandırma çağrısı.
(DSÖ)
Bir yanıt yazın