Ruby Central은 rubygems/rubygems 및 rubygems/rubygems.org 저장소와 프로덕션 시스템에 대한 특권 접근 권한에 임시 절차적 변경을 적용했습니다. 이는 시스템 보안 및 운영 지속 가능성에 대한 잠재적 위험 해소를 위한 조치입니다.
조치 배경
-
보안 취약점: 단일 개인의 시스템 통제 및 핵심 유지 관리자의 이탈, 장기간 비활성 유지 관리자 문제(최소 권한 원칙 위배)가 확인되었습니다.
-
개인 정보 보호: 책임성 공백으로 인한 잠재적 개인 정보 보호 위험이 발견되었고, 새로운 법규 준수를 위한 운영자 계약이 필수적이었습니다.
주요 조치 내용
-
프로덕션 접근: 운영자 계약 확정, 최소 권한 및 MFA 적용, 키 교체, 감사 로깅 확인을 위해 최고 수준/관리자 권한을 임시 보류했습니다. 서비스는 중단 없이 운영됩니다.
-
코드 접근: 커뮤니티 PR은 정상 진행되며, 직접 커밋/소유자 권한은 일시 중단 후 역할 확인을 거쳐 재부여됩니다.
-
계약 체결: Rubygems.org 프로덕션 시스템 접근을 위한 운영자 계약과 오픈 소스 저장소 기여를 위한 기여자 계약을 추진하여 중요 인프라의 단일 통제를 방지하고 책임성을 강화합니다.
-
자격 증명 검토: 시스템 내 레거시 접근 권한 제거를 위한 최종 검토를 진행 중입니다.
소통 개선 및 신뢰 재구축
Ruby Central은 초기 소통의 부족함을 인정하며, 향후 상세하고 시기적절한 정보 제공을 약속했습니다. 이번 조치는 ‘인수’나 ‘기여 중단’이 아니며, 재정 지원이 이사회 결정에 영향을 미치지 않았음을 강조했습니다.