Cuộc tấn công của Ruby Central vào RubyGems

Ý kiến trên Hacker News

• Bài đăng trên /r/ruby cho thấy cho đến rất gần đây, bên trong Ruby Central vẫn đang thảo luận về đề xuất cấu trúc quản trị tổ chức chính thức. Chia sẻ liên kết: liên kết reddit và bản đề xuất cụ thể. Cũng có nhắc đến sự tham gia của Mike McQuaid, người lấy cảm hứng từ cấu trúc quản trị của dự án Homebrew.

  • Tôi muốn giúp cải thiện tình hình thông qua hòa giải. Ngay lúc này tôi vẫn đang ở trong các cuộc gọi về việc này, và trong 24 giờ qua đã thảo luận tới 4 lần với các bên liên quan. Sự tham gia của tôi hoàn toàn xuất phát từ tình yêu dành cho Ruby.

  • Phản hồi của DHH cũng đáng chú ý: "Ruby Central ngay từ đầu đã phụ trách việc bảo trì và vận hành RubyGems, đồng thời đã trả thù lao cho các quản trị viên và nhà phát triển, bao gồm cả nhà thầu. Họ đang cải thiện quy trình và giao thức, và đó là một bước đi tốt." tweet của DHH

• Đã có cập nhật lập trường chính thức từ Ruby Central: nội dung nói về việc tăng cường cơ chế quản lý RubyGems và Bundler. liên kết tin tức

  • "Chúng tôi bày tỏ lòng biết ơn sâu sắc tới tất cả những người bảo trì đã đóng góp cho Bundler và RubyGems trong suốt 20 năm qua. Nếu không có nỗ lực của họ, hệ sinh thái Ruby ngày nay đã không thể tồn tại. Chúng tôi sẽ tiếp nối di sản đó trong tinh thần cởi mở và hợp tác." Phần nhấn mạnh này không khớp với việc trên thực tế đẩy toàn bộ đội ngũ ra ngoài mà không báo trước. Kiểu tiếp cận "mọi người vất vả rồi, giờ để người lớn tiếp quản" hiếm khi có kết quả tốt.

  • Họ nói rằng "gửi lời cảm ơn và tôn trọng tới những người bảo trì", nhưng trên thực tế lại loại họ khỏi dự án mà không giải thích, hoặc im lặng trước các câu hỏi. Nghĩ đến những người bảo trì bị gạt khỏi dự án mà họ đã gìn giữ hơn 10 năm, tôi thấy rất đau lòng. Họ không đáng bị đối xử như vậy.

  • Thực chất đây giống như việc tùy tiện và đột ngột chặn nhiều người bảo trì hoạt động lâu năm vì lý do pháp lý hoặc bảo mật. Nếu thật sự có lý do thực chất cần xử lý khẩn cấp như vậy, thì cần đưa ra thông tin cụ thể chứ không phải thông điệp PR kiểu doanh nghiệp.

  • Nếu mục tiêu là tăng cường bảo mật thì đây quả là một cách làm rất kỳ lạ. Việc thay đổi quyền sở hữu Github đang được thúc đẩy, đồng thời đột ngột loại những người dày dạn kinh nghiệm ra ngoài mà không hề bàn giao gì cả (theo nội dung bài viết gốc), chỉ làm tăng rủi ro và làm suy giảm niềm tin vào năng lực quản trị.

  • Đọc như một lời biện minh đưa ra sau sự việc. Những thay đổi lớn như thế này lẽ ra phải được thông báo nội bộ trước cho những người bảo trì, chứ không phải gây sốc đột ngột như vậy.

• Nghĩ đến cộng đồng RubyGems mà thấy đau lòng, và tôi muốn gửi lời cảm ơn cùng sự đồng cảm. Ruby từng là bước ngoặt lớn trong sự nghiệp của tôi, và tôi rất gắn bó với ngôn ngữ cũng như cộng đồng này. Trước mắt tôi sẽ chờ lời giải thích từ RubyCentral, nhưng với những gì đã xuất hiện đến giờ thì không thấy có sự minh bạch hay thiện chí. Tôi tự hỏi liệu RubyCentral đã có tuyên bố nào chưa. Tôi mong cộng đồng Ruby vững vàng, và hy vọng sẽ có sự chuyển đổi sang một tổ chức do cộng đồng sở hữu dưới bất kỳ hình thức nào. (Sau NPM, WordPress, giờ đến Ruby nữa, có cảm giác các kho lưu trữ package đang dần trở thành chiến trường của các vụ tiếp quản mang màu sắc doanh nghiệp.)

• Hành động gần đây của Ruby Central — đột ngột loại các maintainer RubyGems và Bundler lâu năm mà không báo trước, rồi đơn phương tập trung quyền quản trị vào tay một nhóm nhỏ — đã tạo ra vết rạn nghiêm trọng trong niềm tin của hệ sinh thái Ruby. Đây không phải là hiểu lầm đơn thuần, mà là một vụ tiếp quản thù địch đối với hạ tầng cốt lõi, làm suy yếu cả đội ngũ quản lý lâu đời lẫn toàn bộ cộng đồng đang phụ thuộc vào các công cụ này. Hệ sinh thái Ruby đặt trọng tâm vào hợp tác, cởi mở và tôn trọng lẫn nhau. Nhưng chuỗi hành động chúng ta chứng kiến trong tuần qua — cách tiếp cận đơn phương, loại bỏ người có kinh nghiệm, quyết định kín — đã phủ nhận hoàn toàn những nguyên tắc đó. Tôi phản đối rõ ràng sự tập trung quyền lực kiểu này. Ngoài ra còn có lo ngại rằng quyền truy cập của người đóng góp có thể thay đổi tùy theo tình trạng việc làm hay hệ tư tưởng. Mã nguồn mở phải dựa trên năng lực, cống hiến và niềm tin. Nếu Ruby Central thực sự muốn nhận được sự ủng hộ của cộng đồng, thì cần làm các việc sau: - Khôi phục ngay quyền hạn cho tất cả quản trị viên bị loại trong sự việc này - Cam kết công bố một mô hình quản trị minh bạch, lấy cộng đồng làm trung tâm (tương tự những gì đội RubyGems đang chuẩn bị) - Tôn trọng quyền tự chủ của các maintainer mã nguồn mở bất kể họ có thuộc Ruby Central hay không - Thừa nhận những tổn hại đã gây ra và khởi động đối thoại công khai để khôi phục niềm tin Sức mạnh của cộng đồng Ruby nằm ở con người, ở sự đa dạng, nhiệt huyết và tình yêu dành cho ngôn ngữ. Đã đến lúc chúng ta yêu cầu những tổ chức tự nhận là đại diện cho mình phải hành xử tương xứng. Nếu Ruby Central không đáp lại, thì cần gây áp lực để các nhà tài trợ ngừng hỗ trợ, và về lâu dài chúng ta nên xây dựng hạ tầng của riêng mình để thoát khỏi kiểu hỗn loạn này. Để khôi phục niềm tin, cũng cần sa thải những người chịu trách nhiệm cho vụ việc. Nhà tài trợ Ruby-Level(Top): Alpha Omega, Shopify, Sidekiq Gold: Flagrant Silver: Cedarcode, DNSimple, Fastly, Gusto, Honeybadger, Sentry

  • Trong thông báo chính thức họ nói rằng "chúng tôi coi trọng sự cởi mở và hợp tác", nhưng thậm chí không nói rõ cái gọi là sự cởi mở đó là gì, và cũng không ghi ai là người viết.

  • "Những gì chúng ta đã thấy trong một tuần"... tôi muốn biết "chúng ta" là ai, và chính xác đã chứng kiến điều gì. Cho đến giờ mới chỉ có tuyên bố từ một phía. Nếu đã có thay đổi như vậy thì lẽ ra phải có thông báo công khai ngay. Mà vì chính Ruby Central vốn là bên đã thành lập và vận hành RubyGems suốt nhiều năm, nên tôi cũng khó hiểu khi gọi đây là một vụ "tiếp quản". Nếu đúng là một động thái có ác ý thì tôi cũng sẽ tham gia chỉ trích, nhưng trước đó tôi muốn xem thêm quan điểm từ phía còn lại. Đính kèm liên kết tới thông báo chính thức của RubyCentral được đăng 35 phút sau đó. tin tức chính thức

  • Tôi thắc mắc vì sao lại cố tình đưa danh sách nhà tài trợ ở cuối vào bình luận. Lo ngại rằng quyền truy cập thay đổi theo tình trạng việc làm hay hệ tư tưởng đến từ đâu, vì tôi không thấy điều đó xuất hiện ở đâu trong bài. Tôi cũng tự hỏi liệu người viết bình luận có dùng công cụ LLM hay không.

• Tôi để lại liên kết dưới đây vì có vẻ liên quan, còn thực ra tôi không trực tiếp theo dõi vụ việc này. bài liên quan

  • Có đoạn nói rằng "lý do cụ thể là gần đây nhiều quản trị viên Rubygems (bao gồm kỹ sư toàn thời gian duy nhất) đã từ chức vì vấn đề tiếp tục mối quan hệ với DHH". Ở đây "mối quan hệ" là giữa Ruby Central và DHH, hay giữa đội quản trị và DHH? Cần giải thích thêm là bên nào, và vì sao lại coi đó là vấn đề. Chỉnh sửa: bài đăng đã làm rõ hơn. Đó là tình huống giữa RC và DHH. Tôi vẫn muốn hiểu vì sao các quản trị viên lại xem đó là vấn đề. Chẳng phải lý do ban đầu là RC đã chặn phần lớn mọi người mà không cảnh báo hay sao?

• Ruby Central trong nhiều năm đã huy động vốn và vận hành các dự án của riêng mình, nên tuyên bố rằng họ đang "tấn công" chính dự án của mình là thiếu cơ sở. Tôi không biết chuyện gì đang diễn ra trên Github Enterprise, nhưng trên Github công khai thì khá minh bạch. Gần đây Marty đang đóng góp rất nhiều liên quan đến chức năng Orgs. Mỗi ngày tôi đều dùng tích cực rubygems.org, cũng như phiên bản rubygems.org mà tôi fork. Đây rõ ràng là một tài sản công. Việc một cựu nhân viên hay bất kỳ ai bị cuốn vào cảm xúc cá nhân rồi cố làm tổn hại toàn bộ dự án là điều đáng tiếc. Nền tảng này đã phục vụ ổn định cho lượng lớn DAU. Nhân sự hợp đồng thì vốn dĩ luôn đến rồi đi. Trong commit log 24 tháng gần đây của người nêu vấn đề (cựu nhân viên), tôi cũng không thấy đóng góp gì nổi bật. Có thể tôi đã xem sai nên rất mong được chỉ ra. lịch sử đóng góp

• Tôi mong có ai hiểu rõ hơn về quá trình ra quyết định của Ruby Central giải thích tình hình. Mọi thứ càng rối hơn vì còn chồng lên các vấn đề trước đây liên quan đến việc tổ chức hội nghị. Gần đây họ có vẻ bận với podcast mới ra mắt, gây quỹ và các chiến dịch email. Tôi tự hỏi có thay đổi lãnh đạo nào không.

  • Đúng vậy, gần đây họ đã tuyển một Executive Director mới.

  • Tôi vẫn chưa hiểu rõ vì sao RailsConf lại bị dừng. Có lẽ các nhà tài trợ lớn đã chuyển sự ủng hộ sang Rails World thì phải.

• Chính tôi ở Shopify là người đầu tiên đề xuất rằng chúng tôi nên tài trợ tiền cho RubyGems (và gián tiếp là Ruby Central). Thật đáng xấu hổ khi mọi thứ lại diễn ra như thế này, và tôi là người đã góp phần khiến điều đó trở thành hiện thực.

  • Từ phía Shopify thì có vẻ hiện giờ họ đủ sức mở một kênh đối thoại với Ruby Central. Có thể gây áp lực kiểu "nếu không giải thích tình hình thì chúng tôi sẽ dừng tài trợ".

• Tôi từng cảm thấy an ủi vì cộng đồng Ruby gần như kỳ diệu mà tránh được các cuộc tranh chấp nhỏ nhặt và những vụ tiếp quản cơ quan quản lý trong thiện chí, nhưng giờ thì không còn như vậy nữa. Tôi thực sự muốn gửi lời chia buồn tới các maintainer.

  • Tôi cảm thấy nhớ thời mà người ta còn nói "Matz tử tế nên chúng ta cũng tử tế".

• Ruby Central cần giải thích rõ ràng hơn về việc họ đang làm. Chỉ nhìn vào tình trạng hiện tại thì nó có vẻ khá mang tính phá hoại và giao tiếp thì rất tệ.