Ruby Central의 RubyGems 및 Bundler 거버넌스 및 접근 권한 변경에 대한 업데이트

최근 RubyGems 및 Bundler 프로젝트에서 발생한 주요 변경 사항은 거버넌스 및 접근 권한의 격차를 신속히 해소하기 위한 필요성에서 비롯되었습니다. 선임 유지보수 담당자의 이탈과 보안 엔지니어의 전환으로 rubygems.org, Bundler, RubyGems에 대한 관리자 접근 권한에 대한 의문이 시급해졌으며, Ruby 툴링에 의존하는 후원사들 또한 공급망 보안에 대한 우려를 제기했습니다. 이러한 상황에서 Ruby Central 이사회는 보안 및 책임 문제를 해결하기 위한 합의에 도달하지 못하자, 중요한 인프라를 노출된 상태로 두지 않기 위해 특정 관리 및 커밋 권한을 일시적으로 제거하기로 결정했습니다. 이는 영구적인 조치가 아니며, 보호를 강화하고 필요한 합의를 설정할 시간을 확보하기 위한 절차적, 시한부 조치입니다. 목표는 접근 권한을 생산 서비스에 대한 책임 및 의무와 일치시키고, 운영자 계약, MFA, 감사 로깅, 주기적인 접근 검토 등을 통해 특권 접근 방식의 공식화를 확립하는 것입니다. Ruby Central은 조직을 지속 가능한 형태로 만들고 오픈 소스 인프라를 강화하는 것을 목표로 하며, 이는 더 강력한 보안 프로토콜과 명확한 거버넌스를 포함합니다. 특히, rubygems.org는 단순한 코드가 아닌 수십억 건의 다운로드를 처리하고 민감한 메타데이터를 저장하며 규정 준수 요구 사항이 있는 기업들이 의존하는 생산 서비스입니다. 따라서 Ruby Central은 법적 책임, 재정적 노출, 운영 위험을 부담하므로 npm, PyPI, DockerHub와 유사하게 운영자 계약이 필수적입니다. 이러한 과정이 갑작스럽게 느껴진 점에 대해 유감스럽게 생각하며, Ruby Central은 커뮤니티 보호와 생태계 강화를 위해 최선을 다하고 있습니다. 현재 운영은 온콜 로테이션으로 유지되며, 인시던트 대응 및 핵심 유지보수는 평소와 같이 진행됩니다. 접근 권한 복원은 다음과 같이 진행됩니다: 운영 지원을 담당하는 유지보수 담당자들에게 운영자 계약을 발행하고, 서비스 관련 저장소를 새로운 전용 GitHub 조직으로 이전합니다. 계약이 서명되고 역할이 확인되면 권한이 재활성화되며, 나머지 저장소의 권한은 원래 소유자에게 복원될 것입니다. 이번 주에는 라이브 Q&A 세션의 새로운 날짜를 발표할 예정이며, 향후 몇 주 내에 거버넌스 문서 초안 작성을 시작할 것입니다.