Ruby Central의 재정적 압박과 Shopify의 개입
- 재정적 어려움: Ruby Central은 RailsConf 2025에서 Rails 창시자 DHH(David Heinemeier Hansson)를 “플랫폼화”한 후 주요 후원사인 Sidekiq이 연간 25만 달러의 후원을 철회하면서 재정적으로 어려움을 겪었습니다. 이로 인해 Ruby Central은 Shopify의 자금 지원에 크게 의존하게 되었습니다.
- Shopify의 요구: Shopify는 Ruby Central이 RubyGems GitHub 조직과 ‘bundler’, ‘rubygems-update’를 포함한 특정 핵심 젬의 완전한 소유권을 인수할 것을 요구했으며, 이를 이행하지 않을 경우 자금 지원을 중단하겠다고 위협했습니다.
통제권 강탈 과정
- 초기 조치: 9월 9일, Ruby 인프라 유지보수 담당자인 HSBT(Hiroshi Shibata)는 RubyGems GitHub 엔터프라이즈의 이름을 “Ruby Central”로 변경하고 Marty Haught를 새로운 소유자로 추가했으며, 다른 유지보수 담당자들의 권한을 강등했습니다.
- 유지보수 담당자 제거: 9월 15일 일부 변경 사항이 되돌려졌지만 Haught는 소유자 역할로 남았고, 9월 18일에는 유지보수 담당자들이 관리자 접근 권한을 포함하여 완전히 제거되었으며, 그들의 GitHub 조직 및 이메일 계정이 비활성화되었습니다. 당시 RubyGems.org 서비스 온콜 담당자였던 André Arko를 포함한 베테랑 기여자들도 이 숙청에 포함되었습니다.
- 이사회 결정: Drapper에 따르면 Ruby Central 이사회는 유지보수 담당자들의 반대와 포크(fork)와 같은 대안 경로가 가능하다는 주장에도 불구하고 통제권 인수에 찬성표를 던졌습니다. Shopify는 혼란에 대비하여 인수 직후 운영 책임을 인계받을 자체 온콜 로테이션을 준비했다는 증거도 제시되었습니다. 특히 Shopify는 RubyGems 프로젝트의 핵심이었던 Arko가 프로젝트에 다시 참여하는 것을 강력히 반대했다고 합니다.
공식 반응과 반박
- Ruby Central의 입장: Ruby Central은 의혹이 제기된 지 몇 시간 후 공식 성명을 통해 이번 조치가 Ruby 공급망 보안을 강화하기 위한 필수적인 단계라고 밝혔습니다.
- Shan Cureton 전무이사: Ruby Central의 Shan Cureton 전무이사는 영상 메시지에서 이번 인수가 스폰서 및 Ruby 툴링에 의존하는 기업들의 요구와 공급망 및 접근성 문제에 대한 우려 때문이라고 주장했습니다. 그녀는 유지보수 담당자들과 합의를 시도했으나 시간 제약에 부딪혔다고 언급했습니다.
- Drapper의 반박: Drapper의 소식통은 유지보수 담당자들과 Haught 간의 Zoom 회의가 보안이 아닌 소유권에 초점을 맞췄으며, 유지보수 담당자 중 누구도 Ruby Central이 프로덕션 서비스 인프라 자체를 통제하는 것에 반대하지 않았다고 주장했습니다.
- Ellen Dash의 사임: 10년간 RubyGems 유지보수 담당자였던 Ellen Dash(duckinator)는 이번 조치를 “적대적”이라고 비난하며 사임했습니다.
새로운 대안 모색: Spinel 프로젝트
- Spinel 출범: André Arko 외 여러 개발자들은 Spinel이라는 새로운 프로젝트를 시작하여 RubyGems 및 Bundler를 대체할 수 있는 더욱 모듈화되고 버전 인식 가능한 관리자를 개발하고 있습니다.
- 논란: 일부 Ruby 커뮤니티 구성원들은 핵심 Rails 인물들이 Spinel을 위협으로 간주한다고 비난했습니다. Shopify의 Rafael França는 새 프로젝트 관리자들이 “rubygems나 bundler를 방해하지 않을 것”이라고 신뢰할 수 없다고 언급하기도 했습니다.