Diez años de trabajo borrados en un día. ¿Por qué suspendieron a los mantenedores de Ruby del proyecto?

En las últimas semanas, la comunidad de Ruby se ha visto en el epicentro de un conflicto, que puso en duda el equilibrio entre los principios del código abierto y el control corporativo. Todo comenzó el 19 de septiembre, cuando la organización sin ánimo de lucro Ruby Central, que gestiona el sitio RubyGems.org, inesperadamente privó de permisos de acceso a GitHub a un grupo de desarrolladores de RubyGems y Bundler que durante años mantuvieron estas herramientas. Para millones de servicios en todo el mundo, incluidos GitHub y Shopify, fueron ellos quienes aseguraban la estabilidad y el desarrollo de una infraestructura clave.

Los mantenedores apartados declararon públicamente que lo ocurrido no fue otra cosa que un golpe de fuerza que borra años de su trabajo. Una de ellas, Ellen Dash, escribió una carta de despedida en la que calificó directamente las acciones de Ruby Central de hostiles. Quien la apoyó, André Arko, exjefe de la organización Ruby Together, que se fusionó con Ruby Central, sostiene que los estatutos de la asociación no concedían a Ruby Central el derecho de apropiarse del código de Bundler y RubyGems. Según él, estos proyectos históricamente fueron gobernados por la comunidad mediante consenso y no por una autoridad centralizada.

Ruby Central, por el contrario, afirmó que la medida se debió exclusivamente a razones de seguridad. Ante el aumento de los ataques a la cadena de suministro de software, la organización decidió restringir los accesos y centralizar temporalmente la gestión. Sus representantes explicaron que los patrocinadores y las empresas socias exigen estándares de trabajo estrictos; de lo contrario, la financiación podría detenerse.

El director financiero de la organización, Freedom Dumlao, reconoció abiertamente que sin la implantación de reglas estrictas Ruby Central corría el riesgo de perder fondos para mantener los servicios. Más tarde, la directora ejecutiva Shan Cureton dijo que en la decisión influyeron las quejas de empresas sobre el débil control de herramientas clave.

Sin embargo, no todos en la comunidad creyeron la versión de la seguridad. Muchos piensan que Shopify, uno de los principales patrocinadores de Ruby Central, desempeñó un papel clave. Arko afirma que la presión de esa empresa fue el factor decisivo. Relaciona su remoción con un conflicto personal con David Heinemeier Hansson (DHH), cofundador de Basecamp y miembro del consejo de Shopify, que ya hace varios años pidió su exclusión de la dirección de Bundler. El propio DHH declaró que apoya la apuesta de Ruby Central por la «profesionalización» de la gestión, pero se negó a hacer comentarios detallados. Shopify no ha emitido declaraciones oficiales.

Dentro de la comunidad el conflicto se percibe de distintas maneras. Unos señalan que Arko no pudo establecer a tiempo un sistema de gobierno formal ni preparar sucesores, lo que provocó la crisis. Otros consideran su contribución indispensable, destacando que una década de trabajo en Bundler y RubyGems dio estabilidad a todo el ecosistema. La posibilidad práctica de que Ruby Central asumiera el control se explica por un detalle técnico: uno de los miembros del equipo con derechos de propietario en GitHub convirtió al director de Ruby Central, Marty Houtta, en copropietario de la organización, tras lo cual éste eliminó de inmediato a los demás administradores.

La situación puso de manifiesto un problema fundamental: gran parte de internet depende del trabajo de un pequeño grupo de voluntarios, que muchas veces cobran tarifas modestas o trabajan sin remuneración. Cuando esos proyectos se vuelven vitales para la industria, surge inevitablemente la presión de corporaciones e inversores que exigen fiabilidad y control. Las discrepancias entre Ruby Central y los anteriores mantenedores se han convertido en una ilustración de cómo se cruzan los intereses de comunidades, empresas y organizaciones sin ánimo de lucro en proyectos abiertos.

Hoy RubyGems.org y Bundler siguen funcionando y no se han producido fallos graves. Pero las disputas sobre quién debe controlar la infraestructura y cómo debe desarrollarse avivan el debate.