rpms/docker-compose
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Upstream update available: docker-compose 2.39.2 → 2.39.4 #4

New issue
Closed
opened 2026-05-02 12:59:57 +03:00 by sbelikov · 1 comment
sbelikov commented 2026-05-02 12:59:57 +03:00
Owner
Copy link

Upstream update available: docker-compose 2.39.22.39.4

Package

  • Package: docker-compose
  • RPM name: docker-compose
  • Branch: niceos-5.2
  • Current EVR: 2.39.2-1
  • Update class: patch
  • Compare method: python_rpm
  • Update policy: leaf
  • Risk tags: github-upstream

Upstream

Signals

  • Security-relevant keywords detected: False
  • Policy blocked: False
  • Policy reason: -
  • Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Upstream docker/compose обновился с 2.39.2 до 2.39.4; это patch-level релиз, но в нём есть не только bugfixes, а и новое поведение (develop.watch.initial_sync) плюс изменение TTY-логики для run при piped stdin. Для НАЙС.ОС это не выглядит как block, но и не как полностью бесрисковый bump. Итог: manual review.

2. Риск для НАЙС.ОС

Риск: medium

Обоснование:

  • Это leaf-пакет и обновление patch-класса, что обычно приемлемо для enterprise-stable ветки.
  • Upstream-изменения точечные и не содержат явных breaking-change notes.
  • Однако есть реальное пользовательское изменение поведения: run теперь отключает TTY при запуске из piped command, что может затронуть CI/скрипты.
  • Добавлена новая конфигурационная опция develop.watch.initial_sync, то есть расширена поверхность Compose-file semantics.
  • Для строгой enterprise-политики это повод на ручную проверку, а не на автопринятие.

3. Что изменилось upstream

Проверяемые изменения в v2.39.4:

  • Добавлена поддержка develop.watch.initial_sync.
  • Исправлено поведение docker compose volume ls без проекта.
  • Исправлена работа build with bake для Docker endpoint с TLS.
  • run теперь отключает TTY, если команда запущена из piped command.
  • Обновлён dependency compose-go до v2.9.0.

Release notes найдены; это не пустой tag.

4. Security/CVE

Подтверждённых CVE в release notes v2.39.4 не найдено.

Отдельно: существует advisory CVE-2025-62725 для диапазона >= 2.34.0, < 2.40.2, и 2.39.4 попадает в affected range. Это означает, что данное обновление не закрывает указанную уязвимость.

5. ABI/API/CLI/config риск

Оценка: medium

  • ABI: для CLI-инструмента ABI-риск несущественен / не применим.
  • API/CLI: есть изменение observable behavior у docker compose run при piped stdin; это может затронуть скрипты, которые зависели от прежнего TTY-поведения.
  • Config: добавлена новая опция develop.watch.initial_sync; старые конфиги должны остаться совместимыми, но расширение синтаксиса Compose-file всё равно требует проверки.
  • Default behavior: явных documented default reversals не найдено, но TTY-поведение — это поведенческое изменение, заслуживающее внимания.

6. Риск для RPM-сборки и dist-git

Что проверить перед обновлением:

  • SPECS/docker-compose.spec:
    • version/release bump;
    • корректность Source/Source0 на docker-compose-2.39.4.tar.gz или иной актуальный tarball;
    • наличие/актуальность downstream patch set.
  • SOURCES/:
    • обновить sources.sha256, sources.gost, sources.extra.sha256, sources.extra.gost, sources.lock.json;
    • проверить, не сломалась ли целостность source-manifest.
  • BuildRequires / Requires:
    • вручную сверить, не появился ли новый build/runtime dependency из-за compose-go v2.9.0.
  • %check:
    • прогнать хотя бы базовые тесты/сборку, если они есть;
    • проверить, не завязаны ли тесты на старое TTY-поведение.
  • SBOM / source lock:
    • обновить lock-данные, если они используются в dist-git процессе.
  • Если есть downstream patches:
    • убедиться, что они применяются cleanly к 2.39.4.

Детали локальной spec body и downstream patch status — unknown, нужен manual review в dist-git.

7. Риск для системы и зависимых компонентов

docker-compose — CLI-инструмент, поэтому риск касается в первую очередь:

  • пользовательских скриптов;
  • CI/CD пайплайнов;
  • wrapper-скриптов вокруг docker compose run;
  • окружений с TLS endpoint для Docker;
  • конфигураций, использующих compose-file develop.watch.*.

Сервисов/демонов на уровне системы обновление само по себе не затрагивает. Reverse dependencies как библиотечные зависимости здесь, по сути, неактуальны, но runtime behavior для автоматизации может измениться.

8. Проверки мейнтейнера

Чеклист перед PR/merge:

  • Сверить upstream tag v2.39.4 и содержимое release notes.
  • Обновить version/release в docker-compose.spec.
  • Пересчитать и обновить все source-manifest / lock-файлы в SOURCES/.
  • Проверить, что новый tarball корректно подтягивается и hash совпадает.
  • Прогнать rpmbuild/mock build в целевой ветке niceos-5.2.
  • Проверить %check, если он есть, и базовую install/remove транзакцию.
  • Отдельно проверить сценарий docker compose run с piped stdin.
  • Отдельно проверить volume ls без проекта.
  • Отдельно проверить build with bake на TLS endpoint.
  • Убедиться, что downstream patches либо не нужны, либо применяются без конфликтов.
  • Проверить, не требуется ли обновление Requires/BuildRequires из-за compose-go v2.9.0.

9. Рекомендация

blocked manual review

10. Источники

Источники, найденные web_search

  1. .output[1].action.sources
  2. .output[1].action.sources
  3. .output[1].action.sources
  4. .output[1].action.sources
  5. .output[1].action.sources
  6. .output[1].action.sources
  7. .output[1].action.sources
  8. .output[1].action.sources
  9. .output[1].action.sources
  10. .output[1].action.sources
  11. .output[1].action.sources
  12. .output[1].action.sources

Upstream release notes / description

What's Changed

Improvements

🐛 Fixes

🔧 Internal

⚙️ Dependencies

New Contributors

Full Changelog: https://github.com/docker/compose/compare/v2.39.3...v2.39.4

NiceOS maintainer checklist

  • Confirm that the detected version is a stable upstream release.
  • Check upstream changelog for security fixes, ABI/API changes and build-system changes.
  • Check ABI/API compatibility and reverse dependencies.
  • Download source into NiceOS lookaside storage.
  • Update Version and related fields in SPECS/*.spec only if policy allows it.
  • Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
  • Build SRPM/RPM in a clean NiceOS buildroot.
  • Run package smoke tests.
  • Link PR/build logs and close this issue after update or triage.

Bot metadata

  • Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
  • Generated at: 2026-05-02T09:59:52Z
<!-- niceos-upstream-monitor:fingerprint=upstream-update:docker-compose:2.39.4 --> <!-- niceos-upstream-monitor:package=docker-compose --> <!-- niceos-upstream-monitor:current=2.39.2 --> <!-- niceos-upstream-monitor:latest=2.39.4 --> # Upstream update available: `docker-compose` `2.39.2` → `2.39.4` ## Package - Package: `docker-compose` - RPM name: `docker-compose` - Branch: `niceos-5.2` - Current EVR: `2.39.2-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `docker/compose` - Upstream URL: https://github.com/docker/compose - Detected version: `2.39.4` - Tag/release: `v2.39.4` - Source: `github_release` - Published: `2025-09-19T08:49:23Z` - Release URL: https://github.com/docker/compose/releases/tag/v2.39.4 - Source URL: https://api.github.com/repos/docker/compose/tarball/v2.39.4 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Upstream `docker/compose` обновился с `2.39.2` до `2.39.4`; это patch-level релиз, но в нём есть не только bugfixes, а и новое поведение (`develop.watch.initial_sync`) плюс изменение TTY-логики для `run` при piped stdin. Для НАЙС.ОС это **не выглядит как block**, но и не как полностью бесрисковый bump. Итог: **manual review**. ### 2. Риск для НАЙС.ОС **Риск: medium** Обоснование: - Это `leaf`-пакет и обновление patch-класса, что обычно приемлемо для enterprise-stable ветки. - Upstream-изменения точечные и не содержат явных breaking-change notes. - Однако есть реальное пользовательское изменение поведения: `run` теперь отключает TTY при запуске из piped command, что может затронуть CI/скрипты. - Добавлена новая конфигурационная опция `develop.watch.initial_sync`, то есть расширена поверхность Compose-file semantics. - Для строгой enterprise-политики это повод на ручную проверку, а не на автопринятие. ### 3. Что изменилось upstream Проверяемые изменения в `v2.39.4`: - Добавлена поддержка `develop.watch.initial_sync`. - Исправлено поведение `docker compose volume ls` без проекта. - Исправлена работа `build with bake` для Docker endpoint с TLS. - `run` теперь отключает TTY, если команда запущена из piped command. - Обновлён dependency `compose-go` до `v2.9.0`. Release notes найдены; это не пустой tag. ### 4. Security/CVE Подтверждённых CVE в release notes `v2.39.4` не найдено. Отдельно: существует advisory **CVE-2025-62725** для диапазона `>= 2.34.0, < 2.40.2`, и `2.39.4` попадает в affected range. Это означает, что **данное обновление не закрывает указанную уязвимость**. ### 5. ABI/API/CLI/config риск **Оценка: medium** - **ABI:** для CLI-инструмента ABI-риск несущественен / не применим. - **API/CLI:** есть изменение observable behavior у `docker compose run` при piped stdin; это может затронуть скрипты, которые зависели от прежнего TTY-поведения. - **Config:** добавлена новая опция `develop.watch.initial_sync`; старые конфиги должны остаться совместимыми, но расширение синтаксиса Compose-file всё равно требует проверки. - **Default behavior:** явных documented default reversals не найдено, но TTY-поведение — это поведенческое изменение, заслуживающее внимания. ### 6. Риск для RPM-сборки и dist-git Что проверить перед обновлением: - `SPECS/docker-compose.spec`: - version/release bump; - корректность `Source`/`Source0` на `docker-compose-2.39.4.tar.gz` или иной актуальный tarball; - наличие/актуальность downstream patch set. - `SOURCES/`: - обновить `sources.sha256`, `sources.gost`, `sources.extra.sha256`, `sources.extra.gost`, `sources.lock.json`; - проверить, не сломалась ли целостность source-manifest. - `BuildRequires` / `Requires`: - вручную сверить, не появился ли новый build/runtime dependency из-за `compose-go v2.9.0`. - `%check`: - прогнать хотя бы базовые тесты/сборку, если они есть; - проверить, не завязаны ли тесты на старое TTY-поведение. - SBOM / source lock: - обновить lock-данные, если они используются в dist-git процессе. - Если есть downstream patches: - убедиться, что они применяются cleanly к `2.39.4`. Детали локальной spec body и downstream patch status — **unknown**, нужен manual review в dist-git. ### 7. Риск для системы и зависимых компонентов `docker-compose` — CLI-инструмент, поэтому риск касается в первую очередь: - пользовательских скриптов; - CI/CD пайплайнов; - wrapper-скриптов вокруг `docker compose run`; - окружений с TLS endpoint для Docker; - конфигураций, использующих compose-file `develop.watch.*`. Сервисов/демонов на уровне системы обновление само по себе не затрагивает. Reverse dependencies как библиотечные зависимости здесь, по сути, неактуальны, но runtime behavior для автоматизации может измениться. ### 8. Проверки мейнтейнера Чеклист перед PR/merge: - [ ] Сверить upstream tag `v2.39.4` и содержимое release notes. - [ ] Обновить version/release в `docker-compose.spec`. - [ ] Пересчитать и обновить все source-manifest / lock-файлы в `SOURCES/`. - [ ] Проверить, что новый tarball корректно подтягивается и hash совпадает. - [ ] Прогнать `rpmbuild`/mock build в целевой ветке `niceos-5.2`. - [ ] Проверить `%check`, если он есть, и базовую install/remove транзакцию. - [ ] Отдельно проверить сценарий `docker compose run` с piped stdin. - [ ] Отдельно проверить `volume ls` без проекта. - [ ] Отдельно проверить `build with bake` на TLS endpoint. - [ ] Убедиться, что downstream patches либо не нужны, либо применяются без конфликтов. - [ ] Проверить, не требуется ли обновление Requires/BuildRequires из-за `compose-go v2.9.0`. ### 9. Рекомендация **blocked manual review** ### 10. Источники - [Upstream repository: docker/compose](https://github.com/docker/compose) - [Release `v2.39.4`](https://github.com/docker/compose/releases/tag/v2.39.4) - [Compare `v2.39.3...v2.39.4`](https://github.com/docker/compose/compare/v2.39.3...v2.39.4) - [NiceOS dist-git for `docker-compose`](https://specs.niceos.ru/rpms/docker-compose) - [NiceOS SPECS directory](https://specs.niceos.ru/rpms/docker-compose/src/branch/niceos-5.2/SPECS) - [NiceOS SOURCES directory](https://specs.niceos.ru/rpms/docker-compose/src/branch/niceos-5.2/SOURCES) - [NiceOS commit with current package metadata](https://specs.niceos.ru/rpms/docker-compose/commit/9223e53c06e873c02c52d949305b45eaaaadf64d) - [Security advisory GHSA-gv8h-7v7w-r22q / CVE-2025-62725](https://github.com/advisories/GHSA-gv8h-7v7w-r22q) ### Источники, найденные web_search 1. [.output[1].action.sources](https://github.com/docker/compose) 2. [.output[1].action.sources](https://github.com/docker/compose/releases?ref=yummy.best) 3. [.output[1].action.sources](https://github.com/docker/compose/releases) 4. [.output[1].action.sources](https://github.com/docker/compose/blob/main/docs/reference/compose.md) 5. [.output[1].action.sources](https://github.com/docker/compose/releases?after=1.18.0) 6. [.output[1].action.sources](https://github.com/docker/compose/issues/8704) 7. [.output[1].action.sources](https://github.com/laradock/laradock/issues/3647) 8. [.output[1].action.sources](https://github.com/docker/compose/issues/13099) 9. [.output[1].action.sources](https://github.com/docker/compose/issues/9657) 10. [.output[1].action.sources](https://github.com/docker/compose/pulls) 11. [.output[1].action.sources](https://github.com/docker/compose/issues) 12. [.output[1].action.sources](https://github.com/docker/compose/issues/9268) ## Upstream release notes / description ## What's Changed ### ✨ Improvements * Add support of `develop.watch.initial_sync` attribute by @glours in https://github.com/docker/compose/pull/13232 ### 🐛 Fixes * Volume ls command can run without a project by @ndeloof in https://github.com/docker/compose/pull/13221 * Fix support for build with bake when target docker endpoint requires TLS by @ndeloof in https://github.com/docker/compose/pull/13231 * Disable Tty if `run` command started from a piped command by @glours in https://github.com/docker/compose/pull/13233 ### 🔧 Internal * Test: Set stop_signal to SIGTERM by @ricardobranco777 in https://github.com/docker/compose/pull/13214 ### ⚙️ Dependencies * Bump `compose-go` to version `v2.9.0` by @glours in https://github.com/docker/compose/pull/13234 ## New Contributors * @ricardobranco777 made their first contribution in https://github.com/docker/compose/pull/13214 **Full Changelog**: https://github.com/docker/compose/compare/v2.39.3...v2.39.4 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T09:59:52Z`
sbelikov commented 2026-05-02 13:13:09 +03:00
Author
Owner
Copy link

Package version is now 2.39.4 and target version was 2.39.4. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-02T10:13:08Z._

Package version is now `2.39.4` and target version was `2.39.4`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-02T10:13:08Z`._
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
niceos-5.2
update-docker-compose-2.39.4
No results found.
Labels
Clear labels   
ai-summary
Issue contains local NiceSOFT AI generated preliminary analysis

  
bot
Created by automation

  
needs-build
Needs build verification

  
needs-triage
Needs maintainer triage

  
priority/high
High priority

  
priority/medium
Medium priority

  
security-release
Release notes mention security fixes or CVE

  
update/major
Major update

  
update/patch
Patch-level update

  
upstream-update
New upstream version is available

  
upstream/github
GitHub upstream

No labels
ai-summary
bot
needs-build
needs-triage
priority/high
priority/medium
security-release
update/major
update/patch
upstream-update
upstream/github
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
rpms/docker-compose#4
No description provided.