programmier.bar – der Podcast für App- und Webentwicklung

News 40/25: Supply-Chain-Security und Rails Community

9 snips
Oct 2, 2025
In dieser Folge wird über die jüngsten Sicherheitsprobleme in der Ruby-Community gesprochen. Die Übernahme zentraler Repositories durch Ruby Central sorgt für Aufregung und Konflikte. Shopify stellte Forderungen zur Verbesserung der Supply-Chain-Security, was zu weiteren Spannungen führte. Auch die Governance-Strukturen in Open-Source-Projekten werden kritisch beleuchtet. Die Hosts diskutieren, ob diese Entwicklungen langfristige Auswirkungen haben könnten und welche Lehren die Community daraus ziehen kann.
Ask episode
AI Snips
Chapters
Transcript
Episode notes
ADVICE

Cooldown-Regeln Für Dependency-Sicherheit

  • Nutzt Dependabot und das neue Cooldown-Feature, um frische Paketversionen vorerst zu blockieren.
  • Stellt Mindestalter-Regeln für Major/Minor/Patch-Versionen ein, um Supply-Chain-Risiken zu minimieren.
INSIGHT

Infrastrukturbesitz Versus Community-Governance

  • Die Übernahme von Ruby-Repos durch Ruby Central zeigt, dass Infrastruktur-Ownership Governance-Probleme schafft.
  • Fehlt ein klares Governance-Framework, entstehen Konflikte trotz offener Lizenzen.
ANECDOTE

Plötzliche Entfernen Von Maintainer-Rechten

  • Innerhalb weniger Tage wurden viele Maintainer aus der GitHub-Organisation entfernt, nachdem Rechte geändert wurden.
  • Anfangs gab es ein Zurückrudern, dann folgten endgültige Entlassungen der Admins.
Get the Snipd Podcast app to discover more snips from this episode
Get the app