이번 논란은 RubyGems 프로젝트의 접근 권한 변경과 관련하여 일련의 사건들이 발생하면서 시작되었습니다.
사건 발생 경과
- 9월 9일: RubyGems GitHub 엔터프라이즈의 이름이 ‘Ruby Central’로 변경되었고, Ruby Central의 오픈소스 담당 이사 Marty Haught가 RubyGems 관리자로 추가되는 동시에, 기존의 모든 관리자들이 제거되었습니다.
- 6일 후: 변경 사항 대부분이 되돌려졌으나, Marty Haught는 GitHub 엔터프라이즈의 소유자로 남았습니다.
- 9월 18일: Marty Haught는 RubyGems 및 Bundler 팀의 모든 관리자를 GitHub 조직에서 제거하고, bundler 및 rubygems-update 패키지에 대한 접근 권한을 회수했습니다.
- Ellen Davis는 “10년 이상 RubyGems와 Bundler를 유지보수해 온 이들을 강제로 제거한 것은 본질적으로 적대적인 행위”라고 비판하며 Ruby Central에서 사임했습니다.
Ruby Central의 공식 입장
Ruby Central은 최근 공식 발표를 통해 루비 공급망 보안 강화를 위한 조치라고 설명했습니다. * 법률 자문 및 최근 보안 감사를 거쳐 거버넌스 프로세스를 강화하고, 운영자 계약을 공식화하며, 프로덕션 시스템에 대한 접근을 제한하고 있다고 밝혔습니다. * 향후 RubyGems.org 서비스에 대한 관리 권한은 Ruby Central에 고용되거나 계약된 엔지니어만이 갖게 될 것이라고 명시했습니다. * 주요 GitHub 저장소에 대한 관리 접근 권한은 새로운 정책이 확정될 때까지 일시적으로 회사가 보유할 것이라고 덧붙였습니다.
커뮤니티 반응 및 주요 인물 의견
- Mike McQuaid (Homebrew 리더): Ruby Central의 대처가 “매우 미숙했다”고 비판하며, 공급망 문제 제기는 “불필요한 FUD(공포, 불확실성, 의심)”라고 일축했습니다. 그는 Ruby Central과 RubyGems 관리자들 간의 중재를 시도했으나 실패했습니다.
- Martin Emde (RubyGems 관리자): RubyGems 조직 거버넌스 제안을 시작했으나, 커밋 권한 상실로 인해 제안된 수정 사항을 적용할 수 없다고 불만을 표했습니다.
- Jacques Chester (Shopify 전 개발자): RubyGems 지원에 대한 후회를 표명하며, 자신이 생각했던 방향과 다르다고 밝혔습니다.
- David Heinemeier Hansson (Rails 창시자): Ruby Central의 조치를 옹호하며, “Ruby Central이 관리자이며, 유지보수 및 개발 작업에 비용을 지불해 왔다”고 주장했습니다. 그러나 그의 최근 논란적 발언들로 인해 커뮤니티 내에서는 그에 대한 비판과 ‘DHH 문제’가 제기되고 있습니다.
- Tekin Süleyman (Ruby on Rails 개발자): DHH의 발언이 “비백인 영국 시민으로서 얼마나 고통스러운지 설명할 수 없다”며 Ruby 커뮤니티의 ‘DHH 문제’를 지적했습니다.
- Mike McQuaid의 우려: 이 과정에서 자금이 어디로 가는지, 책임이 어떻게 왜 바뀌는지 “불분명하다”고 지적하며, 이번 사태가 “전체 루비 생태계에 나쁜 날이자 나쁜 인상”을 남겼다고 평가했습니다.