Ruby Central의 RubyGems 및 Bundler 프로젝트 강제 인수 논란: Shopify의 압력과 커뮤니티의 우려

도입

Ruby Central이 RubyGems 및 Bundler 오픈 소스 프로젝트를 기존 유지보수 담당자들의 동의 없이 인수하는 사건이 발생하여 루비 커뮤니티 내에서 큰 논란이 되고 있습니다. 이 사건은 9월 19일 Ellen의 보도로 처음 알려졌으며, Ruby Central의 재정적 어려움과 주요 스폰서인 Shopify의 강력한 압력이 주요 원인으로 지목됩니다. 본 보고서는 사건의 전개 과정과 그 배경, 그리고 관련 당사자들의 입장을 면밀히 분석하여 이 복잡한 상황을 이해하고자 합니다.

RubyGems 프로젝트 인수 배경 및 과정

Ruby Central은 최근 심각한 재정난을 겪었으며, RailsConf 2025에서 DHH를 플랫폼에 올린 이유로 Sidekiq이 연간 25만 달러의 후원을 철회하면서 상황은 더욱 악화되었습니다. 이로 인해 Ruby Central은 Shopify에 대한 의존도가 높아졌습니다. Shopify는 RubyGems GitHub 저장소와 Bundler 및 rubygems-update gem에 대한 완전한 통제를 요구하며, 이를 이행하지 않을 경우 자금 지원을 철회하겠다고 압박했습니다. * 초기 인수 시도 및 혼란: * HSBT(Hiroshi Shibata)는 9월 9일, RubyGems GitHub 조직의 이름을 “Ruby Central”로 변경하고 Marty Haught를 새 소유자로 추가하며 여러 유지보수 담당자의 권한을 강등했습니다. * Marty는 이러한 변경이 실수였다고 인정하고 일부를 되돌렸으나, Marty는 여전히 소유자로 남아있었습니다. * 소스코드와 서비스의 구분: * 9월 17일, 유지보수 담당자들은 Marty와 Zoom 회의를 가졌고, 이 자리에서 RubyGems 소스코드와 RubyGems 서비스의 명확한 구분이 논의되었습니다. * RubyGems 소스코드는 커뮤니티 소유의 오픈 소스 프로젝트이며, RubyGems 서비스는 Ruby Central이 운영하는 특정 배포 환경입니다. Marty는 이 구분을 이해하고 있었습니다. * 강제적인 접근 권한 박탈: * 9월 18일, Ruby Central 이사회는 RubyGems GitHub 저장소 및 gem에 대한 통제를 결정했고, Marty는 이 명령을 실행했습니다. * 유지보수 담당자들은 GitHub 조직에서 제거되고, rubygems.org 이메일 계정이 비활성화되었으며, Bundler 및 rubygems-update gem의 소유자 권한도 상실했습니다. 특히 André Arko는 RubyGems 서비스 온콜 담당 중 접근 권한이 해지되었습니다.

Ruby Central 이사회의 결정과 커뮤니티 반응

Marty는 이사회에 인수의 위험성과 대안(예: 프로젝트 포크)을 제시했음에도 불구하고, 이사회는 인수를 강행하기로 투표했습니다. Shopify는 Ruby Central에 엄격한 기한을 제시했으며, Ruby Central은 마지막 순간에 굴복한 것으로 보입니다. * Ruby Central의 공식 입장: * Ellen의 보도 이후 Ruby Central은 “RubyGems 및 Bundler의 관리 강화”라는 성명을 발표했으나, 이는 AI가 생성한 듯한 기업적인 언어로 작성되었으며 책임지는 서명자가 없었습니다. * 주요 내용은 공급망 보안 강화를 위해 관리 접근 권한을 일시적으로 확보하고 새로운 정책을 수립하겠다는 것이었습니다. 그러나 Ruby Central은 RubyGems GitHub 저장소의 소유권이 없었습니다. * 사실 왜곡: * DHH, Ufuk Kayserilioglu (Ruby Central 이사회 및 Shopify 직원), Freedom Dumlao (Ruby Central 이사회) 등은 소셜 미디어와 공식 성명을 통해 Ruby Central이 RubyGems 및 Bundler의 소유권을 오랫동안 가지고 있었다거나, 공급망 보안을 위한 불가피한 조치였다고 주장하며 사실을 왜곡했습니다. * 이들은 RubyGems 소스코드와 RubyGems 서비스를 의도적으로 혼동하여 Ruby Central의 조치를 정당화하려 했습니다. * 특히 Freedom Dumlao는 자금 손실을 막기 위한 불가피한 선택이었다고 언급하며 Shopify의 압력을 암시했습니다. * André Arko 배제: * 여러 소식통에 따르면, Ruby Central은 Shopify의 압력으로 André Arko의 프로젝트 복귀를 의도적으로 배제했습니다. André는 10년 이상 RubyGems 개발에 기여해왔습니다.

rv 프로젝트와 잠재적 위협 인식

André Arko와 Samuel Giddins는 Kasper Timm Hansen, Sam Stephenson과 함께 새로운 Ruby 관리 도구인 ‘rv’를 개발하는 Spinel이라는 협동조합을 설립했습니다. rv는 기존의 다양한 Ruby 버전 및 Gem 관리 도구를 대체하는 것을 목표로 합니다. Rafael França (Shopify / Rails Core)는 이 rv 도구를 “경쟁자 도구”이자 “위협”으로 간주하며, André Arko와 같은 “관리자”에게 시스템을 신뢰할 수 없다고 공개적으로 언급했습니다. 이는 이번 인수가 단순히 보안 문제를 넘어선 다른 동기가 있었음을 시사합니다.

결론

이번 RubyGems 및 Bundler 프로젝트 인수는 Ruby Central이 Shopify의 재정적 압력에 취약하다는 점을 명확히 보여주었습니다. 이사회는 대안과 잠재적 결과를 인지했음에도 불구하고, 유지보수 담당자들의 동의 없이 프로젝트를 인수하기로 결정했습니다. 이는 루비 젬 호스팅을 신뢰해야 할 조직에 대한 심각한 우려를 낳습니다. 특히, André Arko를 비롯한 핵심 유지보수 담당자들의 영구적인 배제 가능성과 RubyGems 소스코드 소유권에 대한 Ruby Central의 오해는 오픈 소스 커뮤니티의 신뢰와 거버넌스 원칙에 중대한 타격을 입혔습니다. rv 프로젝트에 대한 Rails Core의 “위협” 인식은 이번 인수가 단순한 보안 문제를 넘어선 복합적인 동기를 가지고 있음을 시사하며, 커뮤니티 소유의 오픈 소스 프로젝트가 기업의 영향력에 얼마나 쉽게 휘둘릴 수 있는지 보여주는 사례입니다.

Ruby Central의 RubyGems 및 Bundler 프로젝트 강제 인수 논란: Shopify의 압력과 커뮤니티의 우려

Shopify, pulling strings at Ruby Central, forces Bundler and RubyGems takeover

핵심 요약

도입

RubyGems 프로젝트 인수 배경 및 과정

Ruby Central 이사회의 결정과 커뮤니티 반응

rv 프로젝트와 잠재적 위협 인식

결론

관련 글들

Ruby Central의 RubyGems 및 Bundler 통제권 장악 논란: 오픈 소스 거버넌스에 대한 질문

Ruby Central RubyGems 인수 주장에 대한 사실 확인

Ruby Central, Shopify 압력으로 핵심 Ruby 오픈소스 프로젝트 통제권 강탈 논란

RubyGems와 Bundler 프로젝트의 소유권 논란: Ruby Central의 '적대적 인수'와 커뮤니티의 대응

댓글 0

댓글 작성

아직 댓글이 없습니다