Nachdem ein wochenlanger Streit zwischen Ruby Central und Teilen der Community um die Herrschaft über das Paket-Repository RubyGems die Ruby-Gemeinschaft in Atem gehalten hat, zeigt sich nun eine Deeskalation.

Am 17. Oktober 2025 veröffentlichte Ruby-Erfinder Yukihiro „Matz“ Matsumoto persönlich eine Erklärung auf der offiziellen Ruby‑Website: Das Ruby‑Core‑Team werde künftig die Verantwortung für RubyGems und Bundler übernehmen. Die Projekte würden unter das Dach der Sprache selbst zurückkehren, während Ruby Central als gemeinnützige Organisation den operativen Betrieb über Infrastruktur und RubyGems.org sicherstelle.

Diese Entscheidung brachte Ruhe in die Community. Viele sahen darin einen Kompromiss: Kontrolle und Stabilität bei Ruby Central, offene Entwicklung unter dem Dach des Core‑Teams. Ruby Central begrüßte den Schritt und sprach von einem „gemeinsamen Bekenntnis zur Zukunft des Ruby‑Ökosystems“.

Aufarbeitung und Neubeginn

Nach den hitzigen Wochen hat Ruby Central sich bemüht, verlorenes Vertrauen zurückzugewinnen. In der Reihe Source of Truth legte die Organisation wöchentlich Berichte und Q&As vor, in denen sie Fragen der Community beantwortete. Die Betreiber räumten Fehler ein: Die Kommunikation sei zu langsam, die Tonlage zu formal gewesen. Nun wolle man „Sichtbarkeit und Beständigkeit schaffen“.

Ruby Central betonte mehrfach, dass Sponsoren – allen voran Shopify – keinen operativen Einfluss auf Entscheidungen gehabt hätten. Zugleich wurden neue Verträge für Maintainer und Betreiber eingeführt, um Zuständigkeiten eindeutig zu regeln.

Während Ruby Central an seiner neuen Governance arbeitete, gründeten ehemalige Maintainer das Projekt gem.coop – einen alternativen Spiegel‑ und später eigenständigen Gem‑Server. Damit entstand erstmals ein dezentraler Ansatz im Ruby‑Ökosystem: mehrere Orte, ein gemeinsames Ziel – Software sicher und offenzuhalten. Aktuell sieht es aber stark danach aus, als wenn weiterhin rubygems.org die zentrale Anlaufstelle für Pakete bleibt.

Feindliche Übernahme

Entstanden war der Streit, als Ruby Central Mitte September 2025 den langjährigen Maintainern der zentralen Projekte RubyGems und Bundler die Zugriffsrechte entzog. Damit begann einer der größten Konflikte in der Geschichte der Ruby‑Community. Die Organisation begründete ihren Schritt mit Sicherheitsbedenken und der Notwendigkeit, die Lieferkette des Ökosystems zu schützen. Doch für viele Entwickler klang das nach einem Vorwand – nach einem Machtwechsel hinter den Kulissen, nicht nach Sicherheit.

Seit Jahren ist RubyGems.org ein zentraler Bestandteil des Ruby‑Universums – hier liegen über 175.000 frei verfügbare Bibliotheken, ohne die viele Anwendungen nicht laufen würden. Hinter dem Dienst stand eine kleine, weitgehend ehrenamtliche Gruppe von Maintainern. Sie hielten Server am Laufen, schrieben Code und kümmerten sich um die Sicherheit. Ruby Central finanzierte Infrastruktur und Hosting, doch die operative Kontrolle lag bislang bei Freiwilligen.

Das änderte sich im September abrupt, als Ruby Central das GitHub Repository unter ihre Kontrolle brachte und den Admins sämtliche Rechte entzog. In der Community bekannte Namen wie Ellen Marie Dash, Samuel Giddins und André Arko verschwanden über Nacht aus den Organisationen. Die Erklärung: Man wolle „formale Zuständigkeiten“ schaffen und „kritische Schlüsselstellen absichern“. Doch in den Augen vieler war es eine Entmachtung.

Der Aufschrei ließ nicht lange auf sich warten. Entwickler Joel Drapper sprach von einer „feindlichen Übernahme“ und legte interne Abläufe offen, die Zweifel an Ruby Centrals Kommunikation aufwarfen. Arko selbst, seit Jahren Gesicht und Stimme von Bundler, reagierte empört.

Verdacht, Misstrauen, Eskalation

Die Lage eskalierte, als neue Details ans Licht kamen. Nach internen Mails hatte Ruby Central schon Wochen zuvor erwogen, Zugriffe zu entziehen – aus Sorge, einzelne Maintainer könnten zu viel Kontrolle besitzen. Arko stand dabei im Fokus.

Laut Ruby-Central‑Bericht vom 10. Oktober 2025 verfügte Arko auch nach seiner Abberufung noch über Root‑Zugriff auf die AWS‑Systeme von RubyGems.org. Der Account sei in den frühen Morgenstunden genutzt worden. Zwar habe es keine Hinweise auf Datenmanipulation gegeben, aber der Vorfall habe Sicherheitsprozesse offengelegt, „die dringend verbessert werden mussten“.

Arko wies die Vorwürfe zurück. Er habe gehandelt, weil er befürchtete, die Infrastruktur könne ohne seine Zugangsdaten kompromittiert werden. Nach eigener Darstellung habe er Ruby Central schließlich informiert und den Zugang geordnet zurückgegeben. Die Organisation sah wiederum darin einen klaren Verstoß gegen Verantwortlichkeiten.

Im Nachhinein wurde klar, dass beide Seiten Fehler gemacht hatten. Ruby Central hielt eine brisante Sicherheits‑ und Governance‑Frage zu lange intern; Arko handelte ohne Mandat, aber nach eigener Aussage mit der Überzeugung, Schaden abzuwenden.

Zwischen Kontrolle und Vertrauen

Im Kern ging es um die Frage: Wer trägt Verantwortung für Open Source? Ruby Central hatte über Jahre Serverkosten getragen, Fördergelder verwaltet und Sponsorengelder akquiriert. Doch die Entwicklung selbst blieb ein Community‑Projekt – rechtlich, aber auch ideell. Als Ruby Central im September die Kontrolle übernahm, prallten zwei Selbstverständnisse aufeinander: Betriebssicherheit versus Gemeinschaftseigentum.

Die Debatte spitzte sich zu, als bekannt wurde, dass Arko den Namen Bundler zuvor als Marke registriert hatte. Damit wollte er verhindern, dass Ruby Central den Namen für eigene Forks verwenden kann. Aus juristischer Sicht war das legal, aus Community‑Sicht aber ein symbolischer Bruch. Ruby Central sprach von einer „inakzeptablen Vereinnahmung“.

Für normale Ruby-Entwickler ergab das alles über mehrere Wochen eine Situation, in der keiner sicher sein konnte, wie es weitergeht. Es fühlte sich oft wie eine dramatische Telenovela an, nur mit dem bitteren Beigeschmack, dass alle Ruby-Entwickler auf eine funktionierende RubyGems Infrastruktur angewiesen sind.

Als Besonderheit der Ruby-Community muss man auch die involvierten und sehr unterschiedlichen Kulturkreise betrachten. Ein bedeutender Teil der Community kommt aus dem asiatischen Raum und löst Probleme ganz anders als die nordamerikanischen Entwickler. Europa war und ist im Ruby-Core-Team eher unterrepräsentiert.

Als Besonderheit in diesem Universum gilt weiterhin die kanadische Firma Shopify, die von Anfang an ganz auf Ruby on Rails gesetzt hat. Selbst wenn die Firma an sich keinen direkten Einfluss ausübt, ist die schiere Anzahl an Ruby-Entwicklern dort schon ein wichtiger Machtfaktor. Außerdem ist Shopify aktuell der größte Sponsor. Shopify braucht Ruby und Ruby braucht Shopify.

Lehren aus der Krise

Die RubyGems‑Affäre zeigte, wie fragil Open‑Source‑Projekte sind, wenn Vertrauen und Transparenz fehlen. Zugleich bewies sie, wie anpassungsfähig eine Community sein kann. Peter Zhu, Ruby Core Mitglied und selbst früher bei Shopify, brachte es auf den Punkt: Open Source sei „das zerbrechlichste und zugleich widerstandsfähigste Ökosystem“. Genau das hat sich hier bestätigt.

Heute, wenige Wochen nach dem Sturm, ist Ruby Centrals Kommunikationsfrequenz höher, die Dokumentation besser, und das Core‑Team hat die Codebasis übernommen. Die Maintainer, die einst gingen, arbeiten an neuen Projekten. Und die Community diskutiert offener über Finanzierung, Verantwortung und Governance.

Die Krise hat Spuren hinterlassen – aber auch Strukturen geschaffen, die künftige Konflikte abfedern können. Vielleicht war dieser Bruch schmerzhaft, aber nötig: ein Weckruf, dass Open Source nicht nur vom Code lebt, sondern vom Vertrauen zwischen denen, die ihn schreiben, finanzieren und schützen.

(who)