Ruby 生态核心开源项目 RubyGems 爆发“控制权争夺战”

近日，ruby 社区掀起一场围绕 rubygems 与 bundler 的“控制权之争”。

作为 Ruby 生态中最关键的包管理与依赖解决方案，这两项工具的主导权在未征得长期维护者同意的情况下，被 Ruby Central 单方面全面接管：包括将 RubyGems 的 GitHub 企业组织重命名为 “Ruby Central”，并大规模移除核心维护者的访问权限（如停用邮件账户、撤销对 RubyGems 的所有权），事件迅速引发社区震动。

• RubyGems 和 Bundler 是支撑整个 Ruby 开发生态的核心开源工具，承担着包分发与依赖管理的重要职责。
• Ruby Central 是一个非营利性组织，名义上负责维护 RubyGems、Bundler 等关键基础设施。
• Shopify 作为 Ruby 社区的重要企业用户和资金支持者，在生态中拥有举足轻重的地位。

据多方披露，此次变动背后牵涉复杂的财务因素。在失去一个重要赞助商后，Ruby Central 财政状况趋紧，转而更加依赖 Shopify 的资助。有消息称，Shopify 提出条件——要求 Ruby Central 必须接管 RubyGems 的 GitHub 组织及多个核心 gem（如 bundler、rubygems-update）的控制权，否则将停止资金支持。自9月初起，一系列争议性操作陆续展开：原 RubyGems GitHub 组织被更名为 “Ruby Central”，新增 Marty Haught 为所有者，同时多位资深维护者被降级或移除权限。

时间线梳理 Ruby Central 失去一项重要年度赞助（来自 Sidekiq），每年25万美元的支持被取消。 在财政压力加剧的背景下，Ruby Central 对 Shopify 的资金依赖日益加深。 Shopify 据称提出要求：Ruby Central 必须接管 RubyGems 的 GitHub 组织及相关核心 gem 控制权，否则将撤回资助。 自 9 月 9 日起，多项变更启动：RubyGems 的 GitHub 企业组织正式更名为 “Ruby Central”，Marty Haught 被赋予所有者权限，其他维护者权限被下调。 随后部分调整被短暂回滚，但 Marty Haught 仍保留其所有者身份。 至 9 月 18 日，多名长期维护者被彻底移出项目，GitHub 访问权限被撤销，关联邮箱也被停用，核心 gem 的管理权被集中收归 Ruby Central。 被清除的维护者包括 André Arko 等具有深远影响力的贡献者。 有指控指出，该决策是在多名维护者明确反对的情况下，由 Ruby Central 董事会强行通过的。

Ruby Central 在后续声明中解释，此举是为了加强“软件供应链安全”，强调集中权限有助于制定统一的安全策略和应急响应机制。他们同时澄清，相关调整主要涉及 GitHub 仓库的管理层面，并不影响生产系统的运行。

然而，这一“突袭式接管”在社区中激起强烈反弹。部分前维护者已着手启动名为 Spinel 的新项目，旨在开发新一代 Ruby 包管理工具，以推动生态多元化，防止权力过度集中，保障社区自治与技术独立性。