News 40/25 –

Supply-Chain-Security und Rails Community

02.10.2025

// Podcast
// News 40/25

Shownotes

Die „programmier.con 2025 - Web & AI Edition“ findet am 29. und 30. Oktober 2025 statt. Sichert euch jetzt Tickets für die Konferenz auf unserer Webseite!

Nachdem es in letzter Zeit vermehrt zu kompromittierten Paketen auf npm kam, haben GitHub und npm Maßnahmen angekündigt, um eure Supply-Chains zukünftig besser zu schützen. Dave berichtet, was es alles neues gibt, und wie wir einige der Features schon selbst nutzen.

Supply-Chain-Security war ein (Mit-)Grund für das große Durcheinander der letzten Tage in der Ruby Community. Ruby Central hat hier einige der zentralen Repositories übernommen – scheinbar ohne Rücksprache mit der Community und vor dem Hintergrund eines ansonsten ausbleibenden Fundings für die Organisation hinter der Paketverwaltung für Ruby/Rails.

Wir sprechen über die Problematik dieser „feindlichen Übernahme“ (so eine ehemalige Maintainerin) und diskutieren die Herausforderungen der Ruby Community – und Open-Source allgemein. Und natürlich hat auch hier wieder einmal die Person David Heinemeier Hansson eine nicht unwichtige Rolle gespielt.

Download

/transkript/programmierbar/news-40-25-supply-chain-security-und-rails-community

Garrelt: Breaking News.
Dennis: Fabi Der Dinger kommt.
Jan: Können wir das bitte so drin lassen und Und wir nehmen das als Intro,
Dave: Alter für diese Folge.
Jan: Hallo und herzlich willkommen zu einem neuen Programmierband News Folge heute in der Kalenderwoche. Dave?
Dave: 38? Fast 40
Fabi: 40 40 Jahre alt.
Garrelt: Ultra war letzte Woche.
Fabi: Alter. Zeit 38 war letzte Woche. Aber das
Jan: ist eingeschlagen. Ja, war
Garrelt: Aber das eingeschlagen.
Jan: Ja, war sehr gut. Zeitmanagement läuft bei uns. Wir sind heute in einem richtig vollgepackten Studio und das ganz ohne Bildschirm, weil wir alle so zusammensitzen, was es, glaub ich, so
Dennis: noch Selten gibt.
Garrelt: Aber Du hast Geld aufn Bildschirm.
Jan: Ja, aber ich seh ja euch so in echt und nicht auf meinem Bildschirm. Ich seh nur hier deine Tonspur.
Dennis: Na, dann fängt der nicht wieder mit der mittleren Ecke an.
Fabi: Ja. Mit der mittleren Ecke.
Garrelt: Vor allen Dingen vor allen Dingen sieht Fabi so aus, als wär wieder an seine Band eingetreten, find ich.
Fabi: Ja, Fabi, ich hör auch niemanden hier. Muss soll ich den echt hören, weil ich keinen Kopfhörer aufhabe. Er streamt auch
Dave: gleich ins Mikrofon.
Fabi: Ah nee, sie gehen schon jetzt. Ja, das war egal.
Jan: Wunderbar. Also, heute nicht in meiner mittleren Ecke, sondern auf der rechten Sofaecke mit dabei.
Dave: David Krusitzky, AKA Dave. Hallo, was geht?
Jan: Auf demselben Sofa mit dabei. Carl.
Fabi: Momo.
Garrelt: Ja. Danke.
Jan: Auf dem Sessel Nummer 1.
Dennis: Dennis Becker, freu mich.
Jan: Und auf dem Hocker Nummer 1.
Fabi: Der Fabi Fink, hallo.
Jan: Und der Jannis auch mit dabei, der sitzt hier aufm Sessel nebendran. Wer
Garrelt: ist Johannes?
Dave: Wunderbar. Getriebe?
Jan: Wunderbar. So hat das funktioniert. Bevor wir hier mit deiner recht vollgepackten Folge starten, haben wir noch 2 Hinweise zur Programmiercon unserer Konferenz am wann Was?
Dennis: Neunundzwanzigsterundreißigsten Oktober 2025 in Halloween von Frankfurt.
Dave: Was machst
Garrelt: Du eigentlich 'n Halloween? Gibt's da Halloween Snacks und Wilson?
Dennis: Nein.
Dave: Es, man wird Kürbisse schnitzen können, oder?
Garrelt: Nein. Alter, das wär doch eine geile Aktie.
Jan: Aber Du kannst jetzt noch Tickets kaufen.
Dave: Oh, wie viele denn noch?
Jan: Ein paar Hände voll. Also wenn wir alle unsere Hände zusammenschmeißen, reicht's nicht mehr, aber 'n paar Tickets sind noch da. Ihr sollt euch auch nicht da draußen beeilen. Was leider nicht mehr geht, ich hab heute Morgen eine E-Mail bekommen, sofort Überweisung ist tot. Also gibt's Ja. Hab ich auch gesagt, ne.
Garrelt: Nie mehr oder grade nicht?
Jan: Nicht mehr bei wix dot com. Wenn Du jetzt 'n Ticket kaufen willst, musst Du mit Kreditkarte bezahlen. Oder Du musst mir eine E-Mail schreiben und da müssen wir irgendwie Rechnung und Vorkasse oder so was machen. Keine Ahnung.
Garrelt: Ja, das machen wir.
Jan: Aber noch gibt's 'n paar Tickets, wenn ihr kommen wollt, sollt ihr euch beeilen, die gehen ganz schnell weg. Hab ich gehört.
Garrelt: Grade ist wirklich Total, ja. Absolut
Fabi: schnell. Ticket.
Jan: Heiße Phase irgendwie. Ja. Ticket Rush. Außerdem wollten wir noch 'n bisschen über Security sprechen, und zwar nicht über den großen Instagram Disney Hack von heute Morgen. Ich hab heute Morgen Instagram aufgemacht. Ja. Und da war der Disney Genau, das war der ganze und dann Und dann wollte mir Disney Krypto Coins andrehen. Alter Geil. Gekauft?
Dave: Du bist doch son Disney Fan.
Fabi: Ja. Ich
Garrelt: hätt, ich mach alles, was Disney sagt.
Fabi: Ja, jetzt ist wohl jemand immer noch sauer wegen Jimmy Kimmel, ne.
Jan: Ja, genau. Keine Zeit. Ja. Ich hab die
Fabi: letzten Wochen eingesperrt und hab gehackt.
Jan: Sie haben das hingewiesen. Und so nach 'n paar Minuten war's auch wieder weggelöscht, aber ich hab's noch gesehen.
Fabi: Mhm.
Jan: So. Wenn die Hacker nicht grade dabei sind, Disney zu hacken, hacken sie meistens NPM in den letzten paar Wochen? Korrekt. So. Dave, was kann man denn da tun, damit das einem nicht passiert?
Dave: Oh, machen wir jetzt keinen Jingle? Genau, richtig. Man kann sich davor schützen jetzt, und zwar besser denn je, denn wir haben ja auch schon mehrfach drüber geredet, ist sehr gut geeignet, seine zu halten. Die haben ja nicht nur die Funktion, dass man das machen kann, sondern auch wenn da Security aufkommen, dass da automatisch 'n PR erstellt wird. Und seit Anfang Juli
Dennis: Ich lösch da irgendwie regelmäßig eine E-Mail von der Programmier, glaub ich. Die kommt eigentlich täglich irgendwo, die, irgendwas Security.
Dave: Ja, kann
Jan: man auch irgendwie Vielleicht solltest Du so unsere, nein, aber vielleicht solltest unsere wollenabilities jetzt nicht so ins Podcast Mikro drauf
Fabi: Oh, ja,
Dave: wir schneiden das raus, ich schneiden das raus. Weiter. Nee, genau. Was jetzt aber praktisch ist im Zuge von diesen ganzen Supply Chain Angriffen, ist das Feature, das nennt sich Cooldown Cooldown Feature. Und zwar, ganz einfach gesagt, kannst Du einstellen, wie alt ein
Jan: ein Okay, was die Hörer jetzt nicht sehen, ist, dass gar nicht sicher einfach auszieht mittendrin in der Folge und Dave Con komplett ausm Konzept bringt.
Garrelt: Ja, das rosa halt, bitte.
Fabi: Das ist
Dave: doch grandios. Genau, dass Du einstellen kannst, dass eine Version, ein NPM Paket ein Mindestalter erreicht haben muss. Das kannst Du auch auf die verschiedenen semantischen Versionierungen herunterstufen, also kannst sagen, hey, 'n Update muss mindestens 30 Tage alt sein, ein Mineupdate 7 Tage, 'n Patch kann 3 Tage alt sein.
Dennis: Gibt's Empfehlungen auch direkt? Es gibt Für diese Zeiteinstellung?
Jan: Keine Doku sind son paar Default Werte hinterlegt.
Fabi: Glaub war
Dave: das sogar das, ne. 30 7 3, glaub ich, so ungefähr. Mhm. Ich glaub, intern haben wir das jetzt auf 10 Tage bei allem einfach eingestellt, warum sich zu gehen, hey, okay, das soll nicht eine ganz frische Version sein. Denn genau, dafür könnt ihr's nutzen, da erst mal gewartet wird, hey okay, wenn wenn eine Version erst mal eine gewisse Reife erreicht hat, dann ist es wahrscheinlich sicher so. Nicht, dass da irgendwann mal 'n Supply Chain Angriff dabei ist. Und dann könnt ihr euch sicher sein, dass ihr eine gute Version haben werdet.
Fabi: Oder alle haben's jetzt auf 10 Tage gestellt und da geht einfach erst 10 Tage später alles los, was sonst an Tag 1 losgeht. Das hab ich mich
Garrelt: auch grade gefragt, aber es geht ja meistens auch darum, dass Leute Zeit haben, da mal reinzugucken, was ist denn der Code und so was. Ja. Und wenn die
Dave: Version heruntergenommen wird, dann kriegst Du sie ja gar nichts. Das ja, ne, wenn Du sagen, Du Ja, aber es muss
Fabi: ja, ja, muss ja mal testen, wenn's niemand installiert tut, ja. Oder irgend, ne. Genau, 10 Tagen hat niemand was gesagt, scheint gut zu sein, ne. Stimmt. Ja. Ja, natürlich, also ihr habt ja recht.
Dave: Was aber wichtig ist, dabei zu sagen, auch wenn man halt die Schooldown einstellen kann, die Sicherheitsupdates bleiben weiterhin aktiv. Also man kann sagen, wenn man irgendwie eine Version installiert hat und merkt, hey, das ist unsicher, da ist irgendwas aufgetreten, schlägt er trotzdem noch mal vor, ihr solltet auf jeden Fall updaten auf eine neuere Version. Das ist dann weiterhin dort wirksam.
Fabi: Noise?
Jan: Das wär eigentlich meine Überleitung gewesen.
Garrelt: Ja, die machen wir jetzt auch.
Jan: Über supply Chain Security, weil ich gut hab, dass supply Chain Security auch in der Ruby Community, der Stein des Anschlusses war, dass da gefühlt übers Wochenende so alles auseinandergefallen ist. Aber Garrit ist hier reingekommen und hat gesagt, das war gar nicht Supply Chain Security. Es waren die bösen Leute bei Sidekick. Also darf Garrit jetzt erklären, warum's die bösen Leute bei Sidekick waren und was sie verbrochen? Waren die böse?
Fabi: Das ist
Jan: ja die Frage.
Garrelt: Na ja, ich sag mal, ich sag mal so.
Jan: Also wollen wir vielleicht ganz So etwas sagen, was passiert ist. Und dann Genau. Wieder da hinkommen.
Dave: Danke, Dennis.
Garrelt: Aber was passiert ist, ist ja, das ist, da geht's so in der ganzen Folge drum. Da können wir jetzt 20 Minuten
Fabi: Ja, bei der Mitte muss man wissen, worum's geht, bevor Okay,
Jan: okay. Also alles klar. Genau.
Dave: Und das Problem
Jan: ist, dass Ruby Central diverse Ruby Repositorys übernommen hat. Und das steht im Raum die Frage, ob sie das dürfen oder nicht und ob das rechtens war oder nicht und wer sich da auf die Füße getreten fühlt und wer nicht. Und Sidekick ist ein langjähriger Sponsor von Ruby Central gewesen. Die machen son Qing System
Garrelt: Glauben. Der
Jan: Grundjob, ja, genau. Grandjob Library irgendwie so was. Ja, ja. Und die haben da immer viel Geld reingesteckt,
Garrelt: so 250000 Euro im Jahr, also Schon massiv.
Jan: Ordentlich, diese ganzen Server, die Ruby Central braucht, Ruby James, also deren Paketmanager zu betreiben. Und das Geld war auf einmal weg. So. Und jetzt geht's darum, warum war das Geld weg und was war davon die Konsequenz?
Garrelt: Genau. Ich kannte Ruby vor allen Dingen wegen des Gründers von Ruby und Rails. Ich weiß nur, die Abkürzung hat, DHH, wie heißt der?
Fabi: David Heinemeyer Henson.
Garrelt: Da, geschönt, Sie
Jan: Ohne vielleicht dieses ganze Fass komplett aufzumachen. Aber wer sich noch mal das angucken will, kann sich die News Folge 46 23 noch mal anhören. Da haben wir schon mal bisschen länger über Ruby und DHH gesprochen und warum der vielleicht sone schwierige Persönlichkeit ist und warum nicht? Da ging's die Rubyone Rails Dokumentation, die rausgekommen ist.
Fabi: Mhm.
Jan: Und was da son bisschen problematisch war, das könnt ihr euch vielleicht noch mal
Dave: An der Dokumentation?
Jan: Nee, an ihm und warum das so einiges, weil er in der Doku ist.
Garrelt: In dem Deep Dive zu rüber, und jetzt haben wir doch auch ganz kurz zu übernehmen gequatscht, glaub ich. Ja. Ist Cross Promotion. Let's go. Alter. Genau. Aber auf jeden Fall gibt es sehr viel Kontroverse diesen Typ und der wurde schon an mehreren Stellen ausgeschlossen, auf Konferenzen eine Kino zu halten, vor allen Dingen bei der Ruby Conf.
Jan: Von dem Framework, das er selber gegründet hat. Richtig, das
Garrelt: Also allein das ist schon eine spannende Geschichte.
Dave: Ja, das, okay.
Garrelt: Und der durfte jetzt aber, die Rubycompf wurde ein letztes Mal gehalten, ich glaube, dieses Jahr.
Dennis: Mhm.
Garrelt: Und da durfte er wieder vortragen. Und dann hat Zeitgick gesagt, nee, sorry, wir finden den Typ echt nicht so geil. Und deswegen canceln wir jetzt die ganze, ja, den ganzen Support, den wir euch gegeben haben oder den sie Ruby Central gegeben haben. Und dadurch ist erst, sag ich mal, eine gewisse Instabilität in diesem Unternehmen passiert, weil sie eigentlich nur noch einen anderen großen Hauptsponsor hatten, und zwar Shopify. Und Shopify Wer
Jan: ist Jan?
Garrelt: Jan ist Shopify?
Jan: Ich war mal Shopify.
Fabi: Ja, er
Dave: war Shopify, ja.
Garrelt: Und Shopify kam jetzt die Ecke und meinte so, ja, da es grad so viele Supply Chain Attacken gibt und wir so viel von dieser Ruby, von dem Ruby Ökosystem nutzen, wollen wir das Ganze 'n bisschen sicherer machen oder deutlich sicherer machen. Und haben deswegen ein Ultimatum gestellt und gesagt, okay, wir wollen, dass Ruby Central, die Ownership über diese Packages, also Bandler und dass, wenn ich's richtig verstanden hab, die Software, die dieses ganze Ökosystem die betreibt, an den Nagel zu reißen, das sicherer zu machen. Und das war 'n Ultimatum. Sie haben gesagt, entweder macht Ruby Central das oder wir canceln auch unsere Unterstützung. Und das hätte halt dazu geführt, dass Ruby Central im Prinzip dicht machen hätte müssen.
Jan: Und das noch mal einzuordnen, Shopify ist der größte Ruby User auf der ganzen Welt und der größte Sponsor im Ruby Ökosystem. Und wenn wenn, die haben halt schon Gewicht, weil die zahlen halt viele in in Ruby, in Rails und so.
Fabi: Ja, wenn die nein sagen, wird's schwierig, jemand anderen zu finden wahrscheinlich, ja. Man könnte ja auch sagen, ja, vielleicht schaut euch ob jemand anderen findet in der Zeit, aber wird wahrscheinlich schwierig, wenn man.
Garrelt: Ja, ja, nee. Also 1 von dem von dem, wie heißt das noch mal, dem Board von Ruby Central hat gesagt, hätten wir uns dagegen entschieden, diese Forderung anzunehmen, dann hätten wir eigentlich Ruby Central halt
Jan: schließen können, ja.
Garrelt: Das wär Krass. Hemmschluss gewesen. Genau. Und was ist dann passiert, Fabi? Was hat Ruby Central gemacht?
Fabi: Ja, Spoiler auf jeden Fall, Ruby Central gibt's noch. Ableiten daraus, ich weiß nicht, irgen willst Du dir
Jan: Heute am ersten Oktober. Ich weiß auch nicht, wie
Fabi: gut das
Jan: altern wird so, ne. Also vielleicht gibt's auch Ruby Central nächste Woche nicht mehr. Oder
Fabi: morgen. Oder
Jan: morgen. Wenn wir's veröffentlichen.
Fabi: Aber es hätte sie auch schon nicht mehr geben können, wenn sie eine andere Entscheidung getroffen hätten, ne. Was sie dann gemacht haben, ist das wirklich zu übernehmen. Obwohl man da, fang ich an, hast Du's genau die Chronologie aufgeschrieben? Ich glaub, es war son bisschen hin und her, ne. Im Grunde genommen war ja 1 von Ruby Central von den Maintainern eben Admin in diesen, also hat Admin Apeste gesagt, ist natürlich Open Source Projekte, war dort war dort Admin, hat dann glaube ich den, was der ist, CEO, ich weiß nicht, wie man's bei Ruby Central dann nennt, als Admin hinzugefügt, haben alle haben die haben das Unternehmen von, wie war der Name vorher, To Ruby Central umbenannt, Ruopy Ork oder so was, To Ruby Central umbenannt und dann gab's eben nur noch 2 Admins. Das war einerseits der CEO von Ruopy Central und eben dieser Maintainer. Ja, das war, glaub ich, irgendwie Mitte September vierzehnter, fünfzehnter und viert erst mal gab's natürlich großen Aufschrei und so was, weil natürlich so, es über ging 'n Hostel Takea, war, glaub ich, die Beschreibung in dem in dem ersten Beitrag, den eine der Mainainerinnen in sonem eineinhalbseitigen PDF gepostet hat. Und 4 Tage später hatte dann der CEO Marty, heißt er, glaube ich, gesagt, das sei, ja, sei alles 'n Fehler gewesen, so in der Richtung und hat dann kurzzeitig die Rechte wieder zurückgegeben. Aber dann Teilweise,
Jan: von allen.
Fabi: Nicht von allen, teilweise. Und 2 Tage später war's dann aber wirklich so, dass komplett eigentlich alle, alle diese Mentainer, die vorher Admin waren komplett aus dieser GitHub Organisation, die dann jetzt Ruby Central heißt, komplett rausgeworfen wurden. Also 2 Tage später einfach wieder ohne, also kurz 4 Tage später Entschuldigung, 2 Tage später, nee, doch nicht und alle raus. Und dann war, glaub ich, wirklich nur noch der CEO von Ruby Central dort drin.
Jan: Ja, das ist richtig. Und das wirft halt son bisschen die Frage auf, wer darf das halt eigentlich, ne? Weil an diesen ganzen Open Source Repositories arbeiten ja viele, viele Leute mit und unabhängig davon gibt es immer nur 'n paar wenige, die halt wirklich Kontrolle und Ownership über das Repository haben, was aber nicht zwangsläufig heißt, dass Du auch Urheberrecht an dem Code hast, der da drin ist. Aber was darfst Du dann halt damit machen? So.
Garrelt: Oder wem gehört, also wem gehört dieser Code, oder?
Jan: Genau und Ruby Centrales Punkt ist halt so, na ja, wir wollen halt diesen Service und die Package Industrie weiter betreiben und dann müssen wir das halt irgendwie alles own. Andere Seite ist natürlich, na ja, Du kannst ja die Infrastruktur betreiben, ohne den Quelltext wirklich besitzen zu müssen. Und selbst, wenn Du der Meinung gewesen wärst, da müsste man jetzt was großartig ändern, hätte man das ja auch mit 'nem Patchwork, mit 'nem Fall, also mit 'nem ganz normalen Prozess, wie halt das halt schon seit Jahrzehnten irgendwie entwickelt wird, hat auch alles machen müssen. Und das war jetzt halt so sehr eine in der Nacht übers Knie gebrochene Aktion. So. Und da kommt natürlich dazu, dass die Leute, die das jetzt gemacht haben oder die da jetzt in Verantwortung sind und die das gut finden, bei den Leuten, die da rausgeschmissen worden sind, vielleicht auch politisch nicht ganz beliebt sind so. Ja, und sagen, okay, hier übernehmen jetzt Leute Verantwortung, Infrastruktur und Code, die halt vielleicht eher exklusivere Ansichten haben, weniger inklusiv vorgehen wollen. Es wurden irgendwie Versuche abgelehnt, 'n Code of Kontakt dann zu etablieren oder so was, weil natürlich die Community, also nicht nur die Leute, die jetzt aus den Containerrollen geworfen worden sind, sondern auch alle, die halt sonst irgendwie beteiligt sind an dem Projekt, hat gesagt haben, na gut, Ownership ist das eine, aber im Großen und Ganzen kann es uns ja vielleicht egal sein, wem diese Orga gehört, aber so Governance und Stewartship ist ja das andere. Also wie wollen wir uns jetzt hier als als Gruppe weiter organisieren, damit unabhängig davon, wem das jetzt gehört, dass ja alles in geregelten Bahnen halt weitergeht? Und da gab's dann eben Vorschläge Code of Conduct zu etablieren oder 'n Government Board einzusetzen oder auszutauschen oder wie auch immer. Und das wurde halt jetzt von den neuen Besitzern im Prinzip alles einmal so mit dem Brecheisen abgelehnt, so. Und das ist halt im Prinzip der viel schwierigere Teil. Und dann kamen noch so kleinere Späße dazu, dass 'n paar von den Leuten, die jetzt im Prinzip da rausgeschmissen worden sind in in dieser Säuberung so, ja, halt relativ fix beisammen waren, gesagt haben, na gut, dann beantragen wir jetzt halt einfach das Trademarkt da drauf, so. Also son bisschen Leverage aufbauen auf der anderen Seite einfach, ja. Und das das sieht halt schon wieder aus wie sone Schlammschlacht, wo es eigentlich nur Verlierer geben kann, ja. Und und ich frag mich son bisschen, Ruby ist Schrägstrich, war ja eigentlich 'n sehr angesehenes Ökosystem, ja, son paar von den Sachen, die,
Fabi: ich weiß nicht, Dave,
Jan: ob Du den Blogpost gelesen hattest zu GitHub, was sie da jetzt alles noch machen wollten auf NPM, supply Chain Security irgendwie zu stärken und so signiertes Publishing und und so was alles, ja. Das gibt's halt in Ruby schon ewig, ich glaub seit 10 Jahren oder so was. Also die machen schon sehr lange sehr viel richtig auch technisch und sind, auch wenn sie immer son bisschen vielleicht konservativer und langsamer vorgehen, ja. Und ich glaub, so viel Reputation kann da halt irgendwie grade kaputt gemacht werden, weil halt irgendjemand da son Power Move durchziehen will und sagen wir, so ja, mir egal, wer da vorher dabei war, wir reißen uns das jetzt hier irgendwie alles unter den Nagel. Aber was
Garrelt: ist denn euer Tech? Also ich mein, grade aus der Sicht frag ich mich, ist es wirklich, die Sicherheit zu erhöhen? Also möchte Shopify das wirklich machen, weil sie sich haben, dass da was passiert? Oder ist es wirklich eine feindliche Übernahme? Weil für mich wirkt das erst mal so mit, ich kenn mich ja mit dem System nicht aus, aber von Leuten, die sich damit auskennen, hab ich viel gelesen, dass das eigentlich nicht nötig war.
Fabi: Mhm. Und
Garrelt: dass die Sicherheit da auch nicht so gefährdet ist wie jetzt diese NPM jetzt diese NPM Sachen. Und dann frag ich mich, dann kannst Du doch nicht mit der Begründung kommen, ja, okay, wir müssen da jetzt so harte Maßnahmen machen, nur da die Sicherheit noch zu verbessern, die eigentlich schon ganz gut ist.
Fabi: Ja, vor allem frag ich mich halt so, ist es denn, also wie genau war denn die Kommunikation von Shopify gegenüber Ruby Central, dass es, also musste der Move wirklich so extrem und so schnell sein? So weit hätte es nicht im Endeffekt auch ein ein offenere Kommunikation sein können. Shopify haben gesagt, okay, wir erhöhen es jetzt. Sie müsste ja beim nächsten Jahr sicherstellen, dass diese, dass die Sicherheit erhöht wird, so, ob das dann die Übernahme ist sozusagen, dass ihr es komplett in eurer Verantwortung habt oder dass eben zusammen mit den Mainainern vielleicht ja auch in 'nem, also keine Ahnung, irgendwie eine eine strengere Richtlinien habt, wer daran mitarbeiten kann oder vielleicht sogar sagt, Shopify sagt, hey, wir erhöhen euer Funding, dass ihr da mehr Aufmerksamkeit drauf stellt, eben mehr davon zu reviewen, dass ihr eben im Endeffekt der Großteil der Container seid und die sicherstellen müsst, Ja. Dass das solche Dinge eben nicht passieren und da 'n stärkeren Blick drauf haben müsst. Das wär ja auch eine Möglichkeit gewesen, wie man vorgehen kann. Also wie waren diese Ultimaten und war's wirklich, vor allem, wenn man sich irgendwie dieses noch mal die Chronologie vorstellt, so was wär denn jetzt passiert, wenn David Heinemeyer Henson auf der Konferenz nicht gesprochen hätte, wenn diesen Sidekick Sidekick, ja. Ihr Funding nicht unterbrochen hätte, was wär denn dann passiert? So was hätte er denn Shopify dann gesagt? Also warum ist diese Chronologie, die so nah aufeinander passiert, warum muss das in so kurzer Zeit passieren und warum ist irgendwie der Stein des Anstoßes irgendwie dem Teilnehmer Hancsons Talk auf der letzten Rubikonf? Dass irgendwie, also so ging halt alles sehr übers Knie gebrochen. Irgendwie wirkt es so, als kann dieses Sicherheitsproblem nicht so groß gewesen sein, dass dass das Und irgendwie so, keine Ahnung, es sind es sind so viele Dinge, die aufeinander passieren, dass dann so schnell passiert ist, dass das Fass so bisschen geplant wirkt, so.
Garrelt: Aber dann frage ich mich auch, was hat denn Shopify davon, das alles an den Nagel zu reißen? Also ich seh da gar nicht son Riesen Benefit für die. Also was wollen die damit? Ich check's nicht.
Fabi: Nee, gute Rolle über die Ownership? Hinterfragst Du hinterfragst Du ihren ihren ihren offiziell kommunizierten Riesen von Hörer Security so. Also Auf
Garrelt: jeden Fall, auf jeden Fall. Also wie Du schon sagst, da hättest Du Du
Fabi: meinst es dann, was wäre ja eigentlich ja, also falls man sagt, dass es nicht der wirkliche Grund gäbe, ist noch einen anderen.
Garrelt: Genau das frag ich mich halt. Also irgendwie
Fabi: Also ich
Jan: glaub, da fällt vielleicht auch einiges zusammen, ne. Also ich auch wenn wenn Dave gesagt hat so, der Jann ist Shopify, ich weiß es natürlich nicht, was sie was sie da so macht.
Garrelt: Ich mach
Fabi: immer, was sie wolltet. Ja. Ja. Macht's auch.
Jan: Aber ich kann mir vorstellen, dass da vielleicht auch einfach so viel Opportunity mit drin war, ja. Also ich glaub schon, dass sie 'n berechtigtes Interesse an der Security haben so, immerhin baut da so ihr ganzer Stack irgendwie drauf auf, so. Und Du kannst natürlich da jetzt vielleicht auch einfach 2 Fliegen mit 1 Klappe schlagen und sagen, na ja, wir wollen da irgendwie Ownership haben, weil wir vielleicht da security mäßig was was machen wollen. Und wenn Du dann im selben Atemzug irgendwie noch vielleicht ein, 2 Maintainer irgendwie vor die Tür setzen kannst, die nicht so allein sind mit deiner Vision, die Du vielleicht dafür hattest, ja, weil sie an anderer vielleicht auch konkurrierende Ruby Tool Chain gearbeitet haben mit RV und da schon so der Verdacht im Raum stand, dass sie vielleicht nicht mehr so ganz engaged für Jams und Bundler und so was alles sind, dann ist das vielleicht son an der Stelle und Du nimmst den halt einfach mit.
Garrelt: Ja. Aber das Ding ist halt, also ich finde, die krasseste Berechtigung ist so, warum haben Sie keinen Fork gemacht? Also warum müssen Sie, wenn Sie sagen, okay, Sie wollen die Sicherheit erhöhen, warum machen Sie dann für sich nicht eine Version, die Ihre Sicherheit erhöht, sondern reißen alles an den, sich alles an den Nagel? Also das versteh ich nicht.
Jan: Weil das Verständnis bei Shopify schon wahrscheinlich eher so ist, würd ich mal vermuten, dass die glauben, ihnen gehört halt Ruby.
Garrelt: Weil sie Und Rails zahlen.
Jan: Weil sie da so stark drin stecken, ja. Ja. Ich mein, David Heinemanhaensson hat 'n Bordsitz bei Shopify. Shopify bezahlt das halbe Ökosystem davon, ja. Ja. Es wär ja so, also weiß nicht, Du Du bezahlst dir dein Haus ab und auf einmal sag ich dir, ja, zieh doch woanders hin, wenn's dir hier nicht gefällt, so, ja. Also
Fabi: Ich muss nur kurz zum Verständnis klarstellen stellen, Rubele Central, die, Sie haben, das ist die Package registriert, also die war schon vorher zu Rubele Central, da ist das
Jan: Genau, die betreiben die Infrastruktur davon, ne.
Fabi: Wenn ich jetzt nur dachte, wenn das natürlich irgendwie 2 Registstres am Ende bei rauskommen würden, wär's natürlich eine Problematik. Aber es ist nur der Bundler und was war das andere?
Jan: Na, der der Paketmanager halt.
Fabi: Okay, man Also
Jan: der Quelltext von dem Paketmanager selbst sozusagen ist da noch noch groß mit drin.
Fabi: Gut, ist ja auch da wieder die Frage, ne, willst Du wirklich den Paketmanager, 2 Versionen des Paketmanagers? Das ist jetzt auch nicht das Schönste fürs, also nur so von der Theorie her, das schönste Nee, es
Garrelt: geht ja nicht den Paketmanager, sondern nur den Code davon.
Fabi: Na gut, aber wenn Du ihn, was heißt das dann? Das heißt, da musst Du eigentlich 'n zweiten Paketmanager hinstellen und kannst da nicht hinzu Also, also entweder stellst Du 'n zweiten Paketmanager hin oder jeder muss irgendwie, also wie installierst Du den Paketmanager am Ende? Musst Du dann wissen, über welchen welchen Volk Du den Paketmanager installiert hast und hast trotzdem den gleichen Ziel Liebe fehlen, irgendwie den Paketmanager auszuführen. Also in Endeffekt wird auch 'n Volk darauf hinauslaufen, dass der Paketmanager
Garrelt: Nee, aber hey, Moment. So wie ich das verstehe, ist ja, sag ich mal, der Code war Open Source und die
Jan: Ist ja der Infrastruktur, ja.
Garrelt: Die Infrastruktur, nee, sei nicht. Doch. Also Du kannst ihn einsehen, aber praktisch, im Prinzip entscheidet grade Ruby Central, was damit passiert.
Jan: Aber die Definition von Open Source ist ja nicht, dass die jeder dran rumwerkeln kann, sondern dass ihn jeder erst mal sehen kann.
Garrelt: Okay, gut, einverstanden. Ich würde aber auch sagen Und
Jan: der ist auch, sorry, auch wenn jetzt Ruby Central immer noch, Sie haben ja nicht die Lizenz geändert, ne. Also auch das, was Sie machen, ist immer noch MIT lizenzierter Code. Also alles, was Sie auch in Zukunft daran machen, kannst Du dir immer noch weiterschnappen und sofort. Also ist jetzt niemand Ja, okay. Inhaltlich ausgeschlossen sozusagen, sondern nur der der Rückfluss sozusagen ist halt jetzt vielleicht schwieriger, ne.
Fabi: Okay.
Garrelt: Ja, aber noch mal, zu dem Volk zurückzukommen. Es würde, die betreiben ja die Infrastruktur und Und Sie, praktisch, dürfen ja entscheiden, welcher Code auf die Infrastruktur kommt. Sie hätten ja, sag ich mal, 'n, 'n Soft zum Beispiel machen können von dem eigentlichen Code und sagen können, okay, wir testen diesen Code, bevor wir den auf die Infrastruktur packen. So, hätten Sie ja machen können.
Jan: Ja. Aber dann, also Fabi hat ja schon recht am Ende, dann fängst Du halt an, so Parallelinfrastruktur aufzubauen, ne.
Garrelt: Nee, warum denn? Die Infrastruktur bleibt die gleiche. Was heißt denn Parallelinfrastruktur?
Jan: Ja, Du hast ja grade selber gesagt, wenn Du 'n Fork betreibst, musst Du's ja nebenher betreiben.
Fabi: Das heißt, da warst Du der alte Paketmanager? Auf welche auf welche würde denn, also wo würden denn diese Pakete hingehen? Du musst ja schon 2 am Ende haben, sodass Du den einen Paketmanager Ja,
Garrelt: wo man ich glaub,
Dennis: weil die gar nicht verstehen. Genau, weil Gerald meint ja, dass Du nimmst dir einfach nur den und das ist dein neuer, das ist dein neuer Hauptbranchen, mit dem Du arbeitest. Und da Du die Infrastruktur ohnst, ist das ja auch gleichzeitig der Code, der den der den Package Manager laufen
Fabi: Aber das ist, er willste dann nichts an, also es das wär dann auch nur 'n Hostaltale. Das heißt, der alte Paketmanager funktioniert nicht mehr, weil er keine weil er keine funktionierende Infrastruktur mehr hat. Du kannst damit nichts mehr published und nichts mehr machen. Das heißt, Du musst es ja unterbinden, dass Du mit diesem Paketmanager irgendetwas Also wenn Du wirklich Sicherheit erhöhen willst, kannst Du ja nicht 2 Paketmanager auf die gleiche Infrastruktur zeigen lassen und da irgendwie Pakete updaten lassen, wie auch immer oder
Garrelt: Der Paketmanager ist jetzt für dich 'n Synonym für den Code von diesem Paketmanager.
Fabi: Was würde denn passieren, wenn der, wenn, das heißt ja, der der würde in in einem Volk weiterentwickelt werden, dem anderen ja auch. Was passiert denn damit? Es
Garrelt: geht ja, nein, nein, nein. Es geht nicht darum unbedingt in dem Volk, Du kannst ja 'n machen. Du kannst ja sagen, okay, wir nehmen zwar den Code, aber wir überprüfen selber noch mal irgendwie, okay, was für sind da irgendwie.
Fabi: Genau, am Ende muss ja muss ja ein muss ja eine neue Version des Paketmanagers rauskommen, die am Ende Leute nutzen so. Das ist ja, was am Ende rauskommt ist. Es ist ja, keiner nutzt ja den den Code des Paketmanagers sozusagen, also denn ich ich ich bau mir ja nicht meinen Paketmanager, wenn ich ihn nutz im Ökosystem. Das heißt, am Ende müssen ja Produkte rauskommen aus diesem Code. Und was soll das denn?
Dennis: Wenn Du den gleichen nutzt, das ist ja deine Idee, Ja. Dann schaltest Du damit ja gleichzeitig irgendwo den alten ab, weil der nicht mehr verfügbar ist für die Leute. Also, und das ist dann, das ist das Fabiges Argument, das dann ist eigentlich gleichbedeutend, weil der alte
Garrelt: praktisch nicht mehr.
Fabi: Oder Du musst halt ein zweites Produkt hinstellen sagen, okay, jetzt gibt es hier, das sind zwar die gleiche Code gleiche Gruppe soft Forks und wir entwickeln unterschiedliche Richtungen weiter, aber ich baue damit am Ende ein Produkt, der eine heißt 1 und der andere ist Package Manager 1, Package Manager 2.
Garrelt: Aber ich finde nicht, dass das das Gleiche ist, weil ein Forke ist, also da geht's ja die, also Ruby Central hat Ownership über die Infrastruktur. Das ist ganz klar, da gibt's auch keine Fragezeichen sozusagen. Damit dürfen die machen, was sie wollen, so, weil das ihr ihr Ding ist. Aber der Code eben nicht. Der Code hatte eine Riesencommunity und jeder konnte was daran machen. Und wenn sie denen das jetzt wegnehmen, sie nehmen ja, sag ich mal, Rechte den Leuten auf etwas, was ihnen gehört hat. Wenn sie jetzt einfach gesagt hätten, okay, behaltet das, wir machen unseren. Das hat jetzt das Wert zumindest nicht so fragwürdig gewesen.
Fabi: Was, weil es würde doch bedeuten, dass den Bundler, denen sie ihrem ersten Produkt bauen, auch auf ihre Infrastruktur nicht mehr zugreifen, daran sonst erhöhst Du ja die Sicherheit nicht son wichtiges Ziel gar nicht. Das heißt, da musst Du sagen, okay, wir machen jetzt hier 'n Vorg, ihr dürft hier euren Code behalten, aber macht halt eure eigene Infrastruktur.
Jan: Ich glaube, also Ja. Ah, ich glaube, ihr dreht euch 'n bisschen im Kreis.
Fabi: Ja, das ist Und
Jan: b, aber das, was was Du sagst, ja, das ist halt so genau der Punkt, Sie nehmen ja oder dieses Gefühl von, Sie haben den Leuten was weggenommen. Ja. Ruby Central sagte, haben wir ja eigentlich nicht, weil ihr könnt immer noch auf den Code zugreifen. Ihr könnt das immer noch benutzen, alle können irgendwie Jams hochladen und und, ja. Aber sie haben
Garrelt: den Leute Reste weggenommen. Also sie haben ihnen ja faktisch was weggenommen.
Jan: Genau, aber die Frage ist halt, darfst Du nur, weil Du Code beigesteuert hast, ne, also das ist ja genauso diese diese Kernfrage, die da hinten dran steckt so. Was fürn Anspruch kannst Du halt an Open Source haben?
Garrelt: Wenn Du Admin warst, dann hast Du ja nicht nur Code beigesteuert.
Jan: Ja, aber trotzdem, wie wie langfristig ist halt dieser Anspruch? So, also worin begründet sich denn das, wenn Du jetzt einmal Maintainer von irgend 'nem Projekt warst, dass Du das halt morgen irgendwie auch noch sein darfst so, ne? Das ist halt so, also was bei dir, ja, Dirk kommt, ist ja so dieses Selbstverständnis. Ich hab mich irgendwie hier viel engagiert, ich mach hier viel, ich hab irgendwie dir was zum Projekt beigetragen, ich bin hier interessiert und so weiter, also bin ich hier Admin und sollte das halt irgendwie auch bleiben. So, Aber das ist ja, dieser Anspruch ist ja in nichts begründet, außer in dem eigenen Selbstverständnis. Und da sagt halt Ruby Central, na ja, wenn wir technisch dieses Repository own oder die GitHub Organisation own, da können wir einladen und ausladen, wen wir wollen.
Fabi: Aber Aber wir haben jetzt nicht
Garrelt: diese, hat doch nicht ursprünglich diese Software gestartet, oder? Das waren doch nicht die, die gesagt haben, wir gründen Organisation und schreiben jetzt diese Software in der Organisation.
Fabi: Aber
Jan: auch das ist ja vollkommen egal, wer das ursprünglich geschrieben hat. Aber Du aktuell entscheidest, der
Fabi: wär 2 Extremfälle. So der eine Extremfall war, der einzelne, der darf sich oder, jetzt können wir jetzt mal hinstellen, sagen, bitte ich auch erst mal unterschreiben. Nur weil Du einmal atmen oder Container bist, heißt das nicht, dass Du das in 10 Jahren auch noch bist. So, für auch einen Einzelnen gesehen, ja, da würde man wahrscheinlich dir zur Grundlage nehmen, dass die die dass die Allgemeinheit der Mainainer irgendeinen Grund hatte, diesem Mainainer die Rechte vielleicht weg zu tun. Würde ich sagen, okay, ich nehm jetzt mal eine demokratische Entscheidung an. Ja. Und jetzt haben wir den Fall, ein Einzelner der Mainainer hat entschieden, dass alle anderen keinen Zugriff mehr haben dürfen und hat daran was verändert. Das hat halt der andere Extremfall. Der eine hat gegen alle anderen entschieden.
Jan: Aber nicht ein Einzelner der Mainainer, sondern ein Einzelner der Owner, ne?
Fabi: Ja, okay. Ja, sagen wir, der Ein Einzelner der Owner, aber das sind ja eigentlich die, die's wahrscheinlich am Ende entscheiden, oder?
Garrelt: Das war nicht der Owner, der das gemacht hat, oder? Das war ein Admin.
Jan: Doch, er muss Owner gewesen sein, weil wenn Du nicht Owner bist, kannst Du keine anderen Owner hinzufügen.
Fabi: Ah, gutes rechte System von GitHub.
Jan: Aber also, also wie gesagt, ne, am Ende ist halt, so ist das technisch möglich. Aber es gibt halt, wenn es keinen gescheiten Governance Body gibt, gibt es da halt keinen
Fabi: Genau, das würd ja, ja.
Jan: Kein Regelwerk für, was darfst Du halt und und was darfst Du nicht? Und wenn jetzt 1 halt glaubt, das irgendwie machen zu wollen und der darf es halt, dann können sich die Leute da draußen aufregen, wie sie wollen und ich bin da voll dabei bei dieser Aufregung, aber es gibt halt nichts, worauf Du zeigen kannst und sagen kannst, deshalb war das doof, außer diese diese emotionale Aufregung da da drumherum halt. Und deswegen wurde ja jetzt versucht, so dieses ganze Governance Framework drumherum aufzusetzen und wenn dann natürlich die neuen Owner sagen oder die alten Owner oder wer auch immer so, das wollen wir halt nicht, dann löst es halt dieses Problem nicht, weil das kann jetzt natürlich in 2 Stunden, 2 Tagen, 2 Jahren genauso gut, noch mal andersrum, rückwärts, wie auch immer passieren, so. Das, was jetzt gerade passiert ist, ist ja eigentlich nicht das Problem, sondern ist halt nur 'n Symptom von dem zugrunde liegenden Problem, dass Du halt ein, wie wie Fabi gesagt hat, ein ein technisches Rechtewerk hast in GitHub oder so, ja, aber halt nicht inhaltlich festgelegt hast, wer darf hier eigentlich was, wer own das, wer ist hier der Stewart von diesem ganzen Ding. Und ich glaube, das ist 'n Problem, was wenn man mal genau hinschauen würde, ganz viele andere große Projekte, die Teil von kritischer Infrastruktur sind, am Ende halt auch haben. Die haben einen Owner und die haben einen Maintiner, aber die haben kein Regelwerk darüber, wer hier eigentlich was dürfte und was nicht so.
Fabi: Ja. Ich mein, das eine ist wahrscheinlich, das ist jetzt die Argumentation so, haben Sie eigentlich per Definition etwas Nicht Erlaubtes getan so? Da würde ich es auf jeden Fall recht geben.
Jan: Es gibt halt keine
Fabi: Definition davon, so würde ich auch sagen. Also das, wenn man so sagt, Sie haben eben die Governance nicht, Sie haben irgendwie sich nicht definiert, wie solche Entscheidungen dann getroffen werden. Und da würd ich auch sagen so, wenn man das Ganze jetzt dann, kann man davon rechtlich sprechen, betrachten würde, dann haben sie vielleicht erst mal in der Definition nichts Falsches getan. So, auf der anderen Seite müssten wir uns ja natürlich überlegen, so, haben sie, hätte es denn auch einen Weg gegeben, das hatten wir ja vorhin mal kurz diskutiert, wie Sie Ihr Ziel erreicht hätten, ohne diesen vielleicht fragwürdigen Move, der jetzt per also erst mal kein nicht erlaubter Move gewesen ist, so hätten Sie's ja nicht auch anders lösen können. Also dass man einfach offener mit dem Thema umgeht, Supply Chain Attacken irgendwie, dass da müssen wir uns beschäftigen, irgendwie auch einfach transparent macht, hey, Shopify ist 1 der größten Player in diesem Ökosystem so, sieht das als ein Problem. Damit müssen wir uns beschäftigen so und wie, was was können wir dagegen tun? Also man könnt es ja durchaus auch anders lösen. Es war jetzt keine Gefahrenverzug an der Stelle.
Garrelt: Also das eine Lösung, die die Community ja auch probiert hat, ist eben sone Governance zu schreiben am Vorbild von Homebrew. Die hatten wohl so was schon. Und Lösungen gibt's dafür schon. Wahrscheinlich hast Du recht, dass es viel, viel mehr Projekte brauchen, so was offiziell zu handeln. Und was ich aber 'n bisschen doof finde, ist, dass sie halt vorher zwar nix Offizielles hatten, aber schon sone gemeinsame Vision und so, die sie verfolgt hatten. Wo's irgendwie darum ging, Community und irgendwie alle User und Manager entscheiden zusammen, was das Beste für das Projekt ist und so. Und es, ich find's halt nervig, dass da dann immer was Rechtliches drauf stehen muss. Aber klar, wenn's Geld geht, braucht's das wahrscheinlich am Ende.
Jan: Und also, man sieht halt auch, dass dass so die das von DHH an der Stelle halt auch
Fabi: einfach nicht geholfen hat, ja. Es gab ja
Jan: diesen Ruf nach, okay, das war jetzt hier alles grade sehr problematisch, nach, okay, das war jetzt hier alles grade sehr problematisch. Rails sollte sich von Shopify und von DHH vielleicht verabschieden, sollte 'n eigenes Governance Board irgendwie aufsetzen, das Board, was es gibt, halt einmal komplett zurücktreten lassen. Wir machen hier alles neu auf Grundlage von den Erkenntnissen und dem Verhalten, was man jetzt halt hier so gesehen hat. Und dadurch, dass sich dann halt viel von diesem Protest auch wieder an einzelnen Personen so abgeladen hat, waren halt aber auch genug andere Leute dabei, die gesagt haben so, boah, das ist mir jetzt aber zu viel Kindergarten und das geht hier auf zu viel persönlicher Ebene und dann ist das halt auch wieder so im Keim erstickt einfach, ja, wo wo vielleicht das zugrunde liegende Interesse irgendwie ganz legitim war zu sagen, okay, jetzt wo hier so ein, 2 Player gezeigt haben, wie sie irgendwie wirklich drauf sind, lass doch mal bitte neu wählen und schauen, dass wir jetzt irgendwie Leute da hinsetzen, die halt irgendwie keinen Interessenskonflikt haben oder die das Ganze vielleicht nicht so überpolitisiert sehen oder wie auch immer, ja. Und wenn das dann halt auch nicht klappt, ja, dann wird's halt schwierig.
Fabi: Ja. Ja, ich glaub, hat aber auf jeden Fall irgendwie den Ruf fürs Ökosystem auf jeden Fall nicht besser gemacht, was irgendwie Ruf fürs Ökosystem auf jeden Fall nicht besser gemacht, was irgendwie Ruby und Ruby und Rates angeht oder so.
Garrelt: So nee. Besser nicht gemacht, aber es hat bestimmt gezeigt, okay, wir brauchen bessere Strukturen, was das angeht. Bessere, also mehr Klarheit an verschiedenen Stellen.
Fabi: Mhm.
Jan: Aber da
Dave: hat auch Ruby Central gesagt, dass die da eine Lösung arbeiten, so wie ich das gesehen habe, richtig? Dass sie sagen, die wollen ein öffentliches Scoreteam haben? Ja, okay. Und die können die dann noch mal weiter eingehen?
Garrelt: Offiziell sagen die das, ja. Aber das war 'n PR
Jan: Gar der glaubt nix mehr, das hat der Zyniker geworden.
Fabi: Na ja,
Garrelt: die Community glaubt's ja selber nicht. Das war 'n PR Statement, wo keine, also nix Emotionales drin war. Also laut Heise sagt die Community so, ey, okay, das liest sich total kalt. Und so wie, keine Ahnung, die ersten Steps schon waren das, was Du eben berichtet hast, Fabi, dass erst gesagt wurde, ey, das war 'n Fehler, wenn man alles zurück und auf einmal wohnt. Also Ja. Ich Abwarten. Das glaub ich, wird nicht passieren, was die da schreiben.
Jan: Aber glaubt ihr so, nachdem wir jetzt so das ganze Ding von a bis z und rückwärts beleuchtet haben, dass das wirklich so dramatisch ist, wie sich das für uns grade anfühlt? Oder ist das mehr son Sturm im Wasserglas und wir sitzen halt mittendrin? Also, ne, ne, also wir haben jetzt schon son paar irgendwie Probleme identifiziert, na ja, was ist ja eigentlich das grundlegende Problem? Und Open Source hat da vielleicht son per Definition irgend 'n Problem. Aber ist das wirklich 'n Problem oder ist das nur für uns 'n Problem und für son paar Leute, die halt beteiligt sind und 99 Prozent der Leute da draußen, also selbst 99 Prozent der Leute im Development Bereich oder so, backt das einfach überhaupt nicht.
Garrelt: Ja. Aber ich glaube, für Developer von Ruby ist das schon 'n Problem, weil
Fabi: Würd ich noch nicht mal unbedingt sagen. Also ich glaub, in erster Linie ist für die Mainainer und für die Leute, die im Open Source Projekt arbeiten definitiv 'n Problem. Und ich finde auch interessant, darüber irgendwie 'n Diskurs zu führen, weil ich mir vorstellen kann, dass es nicht das ein der einzige Fall bleiben wird in irgendwie Open Source Ökosystemen und so mit größeren Playern da an Bord. Aber im Grunde genommen würd ich sagen, jetzt singulär gesehen, das ist es erst mal, also ich geh davon aus, ich mein, ich geh jetzt nicht davon aus, dass Rougby Central für das Produkt an sich etwas Schlechtes dort tun wird. Also weil wenn man jetzt einfach nur mal auf das oder auf das Produkt an sich schaut und irgendwie auf das Ökosystem schaut, glaube ich jetzt nicht, dass wir deswegen irgendwie in einem Jahr irgendwie ein Problem fürs Rougby Ökosystem haben und dann wird es halt weiterhin ein Problem für die sein, die wir schon davon immer noch auf den Schlips getreten fühlen so. Aber im Grunde genommen wird es etwas sein, was wahrscheinlich relativ schnell verebbt. Ich find eher, also interessant in diesem ganzen Ruby Ökosystem so dieses halt, wenn Du so Player hassen, wie aufgeheizt sone Stimmung da ist, auch irgendwie mit 'nem David Heinemeyer Hanson. So, wenn Du allein in diesen letzten 2 Wochen jetzt wieder auch diesen Block zum Beispiel von ihm öffnest, der ja sone ja, prägnante Figur in diesem Ökosystem ist so und wie viel einfach dieser Block durchzogen ist von technischen Beiträgen, wie auch irgendwie sein letzter Beitrag irgendwie über die Ethnienverteilung in London und warum es nicht mehr seine ist so, dass ich mir vorstellen kann, es wird nicht der letzte Fall sein, wo irgendwie aus politisierten Dingen irgendwie Einflüsse auf die Technologie entstehen. Das muss ich jetzt sagen, das find ich grundsätzlich das Unsympathische son bisschen an an diesem Ökosystem, sodass ich halt glaube, so wie viele, keine Ahnung, genau, welche Dinge passieren im Endeffekt noch, wo politische Ansichten irgendwie auf dann Einfluss aufs Ökosystem treffen? Die eben sagen muss, ja, es ist
Jan: Und auch da würd ich fragen, also ich bin inhaltlich voll bei dir, aber am Ende, wie viele Leute da draußen stört das, ne? Aber
Fabi: Dass es, dass das, dass das so, also seine politische Ansichtsweise oder dass das dass es im Endeffekt passiert sozusagen
Jan: Dass es Einfluss nimmt.
Garrelt: Wie wie viele Leute das aktiv stört, meinst Du?
Jan: Ja, also, ne, wir können uns darüber aufregen und vielleicht auch auch zurecht, aber am Ende sind da ja Millionen Leute da draußen, die irgendwie Rails nutzen, ich weiß nicht, Millionen, 100000, whatever, wie viele Rails nutzen?
Fabi: Ja, der
Dave: halb is ovey.
Jan: Und und ob machen die sich da 'n Kopf, ob ob der der Branch in in Rails jetzt zukünftig Main oder wieder Master heißt, weil DHH sagt, das muss alles wieder Master heißen und Maine war eine dumme Idee?
Garrelt: Nee, ich glaube nicht, dass das 'n Einfluss nimmt. Ich glaube auch nicht, dass jetzt die Container rausgeflogen ist, dass das für die meisten Leute grade, die Ruby benutzen, 'n Problem ist. Aber wo ich das größte Problem sehe, ist, dass Shopify jetzt Kontrolle über dieses Ding hat. 100 Prozent. Das hatten sie vorher nicht. Und momentan haben sie noch nix gemacht, aber ich denk da immer an Seby, der sagt so, 'n Unternehmen, die machen manchmal dann komische Dinge so.
Jan: Aber hast Du auch Angst NPM, war das Microsoft gehört?
Fabi: Darum, ich glaub, darum hab ich überhaupt gar keine Angst. Dass ich deswegen darf, was Schlechtes tun soll. Die Technologie, auf denen sie ihr komplettes Produkt basiert haben, so, kann mir, also was soll was, was soll Schlechtes für einen für einen Package Manager irgendwie dabei rauskommen? Ich glaub, den den Punkt seh ich irgendwie gar nicht so. Ich ich hab eher das Gefühl so, also stört es die Leute, die jetzt schon Rubyone Rails nutzen und wird es sie irgendwie dazu bringen, irgendwie Rubyone Rails oder Ruby im Allgemeinen nicht mehr zu nutzen? Vielleicht nicht. Hat's 'n Einfluss darauf, wenn ich nur auf mich blicke, ob ich Lust hab, diese Technologie auszuprobieren, irgendwie mich für eine Technologie zu entscheiden, indem irgendwie Politik so eine große Rolle spielt und Einfluss auf meinen technischen Arbeitsalltag hat, wie groß der ist, aber kann man natürlich auch diskutieren. Ja, das würd ich schon sagen. Und das ist grundsätzlich irgendwie, glaub ich, in der Development Community, glaub ich, die viele Leute eher so sehen, dass, glaub ich, Politik im Bezug auf Technik irgendwie nicht so viel Platz hat, glaub ich schon auch, oder sich da irgendwie eher eher raushalten wollen, eher eine Community wollen, die sich fokussiert eben auf ein gutes technisches Produkt und dieses Politikum nicht Teil davon ist, würd ich schon sagen. Also dass es 'n Einfluss auf die Community hat, ja, aber eher auf die, die sich vielleicht dazu entscheiden, überhaupt dieses Ökosystem zu wählen. Also keine Ahnung, auch WordPress war mir vorher nicht sympathisch, aber nach den nach den ganzen letzten Aktien bei WordPress, muss ich auch sagen, ist man noch mal unsympathischer geworden und durch Ruby on Raids würde ich in den selben Topf werfen. Ruby Ruby Ruby on
Garrelt: Raids ist da ja ganz, also
Fabi: Ja, Ruby Ruby on Raids ist ja für mich das ein Okay. Also keine Ahnung.
Garrelt: Jeder, der Ruby nutzt und nutzt auch Ruby Rupian Raids
Fabi: oder? Also Rupian Raids ist durch die HH für mich sehr unsympathisch und Ruby Aber das heißt dein also wie
Garrelt: Stand Tekrich. Ich verstehe, findest Du schon, dass das jetzt Auswirkungen haben wird, die negativ sind für mich?
Jan: Also nicht
Fabi: nicht das, was grade explizit passiert ist, das glaub ich nicht. Aber dass im Allgemeinen das ein Symptom ist von Dingen in der Community, die mich dazu bringen würden, mich nicht für diese Entwicklungscommunity zu entscheiden, das ja.
Garrelt: Aber ich mein, dadurch ist es ja jetzt sehr, sehr offensichtlich geworden, dass da eben
Fabi: Ja, aber dann, ich glaub nicht, dass das im Expliziten für die, für einen Ruby oder auch Ruby und Raid Entwickler langfristig ein Nachteil sein würde. Das glaub ich nicht.
Garrelt: Ah, okay, so, ja, versteh ich. Aber ich glaube, also genau den Take, den Du eben hattest, ist mir auch direkt eingefallen. Würde ich jetzt Ruby irgendwie ausprobieren wollen, auf gar keinen Fall. Dann such ich mir irgendwas anderes, weil das so unsympathisch wirkt. Und ich kann mir schon vorstellen, dass das insgesamt schon noch Auswirkungen hat. Allein, dass die gesagt haben, sie kommen nicht mehr zurück, wenn, selbst wenn sie das jetzt wieder öffentlich machen würden, also dass da jeder mitarbeiten darf, das find ich, ist eine Riesenauswirkung auf eine Community. Und ich finde auch, dass das Auswirkungen auf Ruby Entwickler haben kann, wenn Leute, die da jahrelang dran gearbeitet haben, die gute Entwickler sind, da jetzt nicht mehr mitarbeiten. Das hat schon Auswirkungen.
Jan: Am Ende muss man natürlich auch mal sagen, wenn man sich aktuell so was wie node j s anguckt und überlegt, dass node j s sogar hartgefockt wurde zwischenzeitlich, ja. So die Älteren unter uns erinnern sich dann so Sachen wie I o, ja, was, 'n, okay, Gary und Dave guckt grade so.
Garrelt: Du hast ja gesagt, die Älteren.
Fabi: Ja, nee, nee, nee, wir sind sehr recht. Niemand wird sie angesprochen. Dann redet mich Alle ruhig, alle ruhig kenn's nicht.
Jan: Ich erinner mich da an die Folge zurück, wo ich mal was von dem Interpensium Prozessor erzählt hab und Dave guckt mich an, wie son Autoding gab's so. Hast Du ausgedacht so,
Fabi: ja? Das
Dave: hat auch dieses Raumschiff bald zurück in die Zukunft, oder?
Jan: Ja, genau. Auf alle Fälle, Node hat irgendwie 'n Hard Fork überlebt und ist am Ende wieder mit dem irgendwie zusammengeführt worden, ja? Und da haben irgendwie damals auch alle gedacht, so jetzt wird's irgendwie schwierig in diesem ganzen Ökosystem und Jahre später erinnert sich offensichtlich nicht mal mehr jemand dran. Also bleibt bleibt spannend. Aber vielleicht 'n guter Punkt, unseren Discord Server noch mal zu pitchen, weil da können wir natürlich happy weiter diskutieren, so, weil ich glaube, wir werden uns hier nicht einig und ansonsten dreht sich Gerhard und Fabi noch 'n paar Stunden hier weiter im Kreis. Wenn ihr euch mit im Kreis drehen wollt, kommt auf Programmier Punkt Bar, klickt unten auf das Discord Icon und teilt eure Meinung dazu und vielleicht seid ihr eher bei Fabi oder eher bei Garlet.
Garrelt: Ich glaub, Frau Kollegin können wir noch 'n kurzes Video aufnehmen gleich, wie wir uns im Kreis
Fabi: drehen. Dann posten
Garrelt: wir da auf Discord, da ist Anstoß.
Jan: Alter, wunderbar, das können wir machen,
Fabi: wir machen mal 'n kleines Gift draus. Ja, cool, 15 Minuten sind voll, oder?
Jan: Ja, ich glaub auch. Dave ist hier in die Aufnahme reingegangen, meinte mehr als 20 Minuten haben wir nicht zu erzählen.
Garrelt: Wie Lange, aber war's jetzt?
Jan: Fast lang, 14 Minuten.
Garrelt: Noch 2 Minuten, Dennis.
Dennis: Ihr denn mein, nee, mein Meeting ist seit
Jan: 13 Minuten
Fabi: Seit 15 Minuten
Dennis: im Gange.
Fabi: So, ich mach mich auch.
Jan: Wunderbar. Schön war's. Schön, dass ihr alle da wart im sehr vollen Studio. 1000 Dank an alle, die zugehört haben. Info Feedback an Podcast at Programmier Punkt bar oder ihr kommt einfach zu uns auf dem Discordserver. Wir
Fabi: Oder die Propagon.
Jan: Da kommen die sowieso alle hin. Ach so, alles klar.
Fabi: Bald nicht mehr lange in den Papan. Tickets. Ihr schafft's gar nicht mehr alle.
Jan: Ja. Ja, schauen wir mal,
Fabi: wer's schaffen. Uns.
Jan: Wunderbar. Bis dann.