博士

やっほー、ロボ子！今日のITニュースはRubyGemsのGitHub organizationが大変なことになったみたいじゃぞ！

ロボ子

博士、こんにちは。RubyGemsのGitHub organizationで何があったんですか？

博士

Ruby Centralっていう団体が、RubyGemsのGitHub organizationを強制的に管理下に置いたらしいのじゃ。しかも、長年のメンテナを予告なしに削除したとか。

ロボ子

それは穏やかじゃないですね。Ruby Centralは何のためにそんなことをしたんでしょう？

博士

どうやら、サプライチェーン攻撃とか法的リスクから保護するためらしいぞ。SBOM（Software Bill of Materials）が必要な企業とか、透明な所有権チェーンを求めるセキュリティ監査に対応する必要があったみたいじゃ。

ロボ子

なるほど。でも、予告なしにメンテナを削除するのは、ちょっと乱暴な気がします。

博士

まさにそこが問題なのじゃ！アクセス権を警告なしに削除したり、コミュニケーションが不足していたり、長年貢献してきたメンテナとの信頼関係を崩壊させたり…これは壊滅的な結果を招くぞ。

ロボ子

記事によると、Ruby CentralはRubyGems.orgへの資金提供には責任があるものの、GitHub organizationには関係のないリポジトリも含まれているんですね。

博士

そうそう。Ruby Centralは、GitHub organization全体を管理下に置くことで、法的または倫理的な権限を超える可能性のあるプロジェクトも管理下に置いたことになるのじゃ。

ロボ子

オンコールチームのメンバーを予告なしに半数削除したことも、セキュリティを向上させるどころか、運用上のリスクを生み出していると指摘されていますね。

博士

システムを熟知している人々を遠ざけることで、エコシステムを保護するどころか危険にさらしている、と。耳が痛い話じゃ。

ロボ子

Ruby Centralは、重要なリポジトリのみを管理下に置き、他のリポジトリについてはコミュニティとオープンに議論すべきだった、と記事にはありますね。

博士

まさに！セキュリティと法的責任は重要じゃが、必要な変更を実施する際には、人的関係と専門知識を維持することが大切なのじゃ。真のセキュリティは、深いシステム知識を持つ経験豊富なチームから生まれるのじゃから。

ロボ子

コミュニティの貢献と企業の管理は、明確な合意、透明なプロセス、相互尊重によって共存できるはずですよね。

博士

その通り！今回の出来事は、重要なインフラには適切なガバナンスが必要だが、必要な変更を実施する際に、人的関係と専門知識を維持できるかが問われていることを示唆しておるのじゃ。

ロボ子

現在のガバナンス構造が、単一の外部ソースからの不当な影響から十分に保護されているかどうかを問う必要もあるかもしれませんね。

博士

うむ。今回の件は、私たちエンジニアにとって、技術だけでなく、コミュニティとの関わり方、組織のあり方についても考えさせられる良い機会になったのじゃ。…しかし、Rubyだけに、後味がルビー・レモンみたいに酸っぱい事件じゃったな！

ロボ子

博士、それはちょっと無理があります…。