事件概述 - 非营利组织Ruby Central在未提前通知的情况下，分两次移除了RubyGems和Bundler项目的长期维护者对GitHub组织的访问权限，引发社区强烈争议 [1][5][6] - 事件核心是开源项目管理权的冲突，Ruby Central以加强安全和治理为由进行接管，而长期维护者则认为这是“恶意接管”和“敌意行为” [1][6][7] Ruby Central的行动与理由 - 2024年9月9日，一位RubyGems维护者单方面将GitHub企业账户重命名为Ruby Central，并添加Marty Haught（Ruby Central开源总监）为维护者，同时移除了所有其他维护者 [4][5] - 在遭到质疑后，相关操作大部分被撤销，Marty Haught称首次移除维护者是一个“永远不该发生的错误” [5] - 2024年9月18日，Marty Haught再次在没有解释的情况下，撤销了所有RubyGems、Bundler以及RubyGems.org维护团队管理员的GitHub组织成员权限 [6] - Ruby Central于9月19日发布官方声明，称此举是为了履行其“维护供应链和生态系统长期稳定的受托责任”，在咨询法律顾问并进行安全审计后，正在加强治理流程 [11] - Ruby Central董事会成员解释，行动源于对软件供应链攻击风险的担忧，为确保安全，今后只有其雇佣或签约的工程师才能拥有RubyGems.org服务的管理权限 [11][12] 维护者的反应与影响 - 长期维护者Ellen Dash（网名duckinator）发布PDF文件实名举报此事，称自己从13岁起参与Ruby社区，作为RubyGems维护者已超过十年 [2][5] - Ellen Dash决定立即辞去在Ruby Central的职务，以抗议其“单方面撤销访问权限”的行为 [9][10] - 另一名核心维护者André Arko也已告别社区，对失去社区驱动的控制权表示遗憾 [20] - 维护者Ellen Dash指出，Ruby Central的行为“已经越过了底线”，并且“对整个Ruby社区构成威胁” [6][7] 社区与行业的反响 - 事件在Ruby社区引发巨大争议，Apache CouchDB开发者等社区成员公开质疑Ruby Central的做法 [1][14] - 社区开发者批评Ruby Central的“受托责任”说法是对“换取控制权”行为的美化，并质疑其受到企业赞助者的影响 [14] - 有观点指出，Ruby Central并不拥有RubyGems源代码的版权，其角色本是管理基础设施和支付维护费用，无权单方面决定维护团队组成 [16] - Homebrew项目负责人Mike McQuaid曾尝试调解但未成功，并批评Ruby Central处理此事“非常糟糕” [19]