rpms/docker

Fork 0

Upstream update available: docker 28.3.3 → 29.4.1 #2

New issue

Open

opened 2026-04-28 01:05:26 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:05:26 +03:00

Owner

Upstream update available: `docker` `28.3.3` → `29.4.1`

Package

Package: docker
RPM name: docker
Branch: niceos-5.2
Current EVR: 28.3.3-2
Update class: major
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: moby/moby
Upstream URL: https://github.com/moby/moby
Detected version: 29.4.1
Tag/release: docker-v29.4.1
Source: github_release_latest
Published: 2026-04-20T16:45:55Z
Release URL: https://github.com/moby/moby/releases/tag/docker-v29.4.1
Source URL: https://api.github.com/repos/moby/moby/tarball/docker-v29.4.1
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, update/major, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета docker с версии 28.3.3 до 29.4.1 является мажорным релизом, включающим обновление зависимостей (containerd v2.2.3, Go 1.26.2) и изменения в сетевом стеке. В предоставленных релиз-нотах отсутствуют явные указания на уязвимости безопасности или критические изменения ABI, однако переход на новую мажорную версию требует тщательной проверки совместимости.

2. Риск для НАЙС.ОС

medium. Обновление относится к классу major, что подразумевает потенциальные изменения в API или поведении CLI, даже если они не описаны явно в кратком списке исправлений. Обновление Go runtime до версии 1.26.2 и замена статических бинарников containerd могут повлиять на время сборки и поведение контейнеров в специфических сценариях (например, при использовании новых опций логирования или сетевых приоритетов).

3. Security/CVE

Во входных данных нет признаков security/CVE. Поле security_keywords_detected_by_script равно False, а в тексте релиз-нот отсутствуют упоминания исправлений уязвимостей (CVE), эксплойтов или патчей безопасности.

4. ABI/API риск

Нужен ручной ABI/API анализ. Хотя в релиз-нотах указаны исправления багов (включая логику фильтрации изображений и сетевые приоритеты), отсутствие детального списка изменений в API/ABI в предоставленном тексте делает невозможным автоматическую оценку влияния на существующие Dockerfile'ы и скрипты окружения.

5. Риск для RPM-сборки

Возможен риск поломки сборки из-за обновления зависимостей:

Обновление Go до 1.26.2 может потребовать пересборки компонентов CLI/Moby, если используются специфичные флаги компиляции или библиотеки, не поддерживающие новую версию.
Обновление containerd до v2.2.3 (только статические бинарники) может изменить точки монтирования или параметры запуска, что потребует проверки %check и тестов интеграции.
Изменения в сетевом стеке (приоритет шлюзов) могут нарушить работу существующих конфигураций сети, если они зависят от предыдущего поведения выбора дефолтного шлюза.

6. Проверки мейнтейнера

Проверить наличие новых BuildRequires или изменений в Requires в обновленном spec-файле.
Запустить %check и интеграционные тесты для проверки корректности работы docker run, docker network и управления образами.
Протестировать сценарий docker image prune --filter label!=key=value и настройку логирования с tag={{.ImageID}}.
Проверить работу контейнеров в режиме Swarm (если применимо) на предмет ошибок EBUSY при перемонтировании секретов/конфигураций.
Убедиться, что обновление Go не вызывает конфликтов зависимостей в системе сборки.

7. Рекомендация

blocked manual review

8. Основание рекомендации

Рекомендация блокируется до ручного ревью, так как это мажорное обновление (update_class: major) с изменением версий ключевых зависимостей (Go, containerd) и логикой сетевого стека. Автоматическое применение рискованно из-за отсутствия детальной информации об изменениях ABI/API во входных данных и необходимости проверки совместимости с текущим парком образов и конфигурациями сети.

Upstream release notes / description

29.4.1

For a full list of pull requests and changes in this release, refer to the relevant GitHub milestones:

Bug fixes and enhancements

containerd image store: Fix docker image prune --filter label!=key=value incorrectly skipping images that don't have the specified label. moby/moby#52338
Fix --log-opt "tag={{.ImageID}}" not stripping the digest's algorithm. moby/moby#52343
Fix intermittent container start failures (EBUSY on secrets/configs remount) on busy Swarm nodes by retrying the read-only remount. moby/moby#52235

Packaging updates

Update containerd (static binaries only) to v2.2.3. moby/moby#52360
Update Go runtime to 1.26.2. docker/cli#6920, moby/moby#52329

Networking

if a container has an IPv4-only or an IPv6-only endpoint with higher "gateway priority" than a dual stack endpoint, the single stack endpoint will now be used as the default gateway for its address family. moby/moby#52328

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T22:05:25Z

# Upstream update available: `docker` `28.3.3` → `29.4.1` ## Package - Package: `docker` - RPM name: `docker` - Branch: `niceos-5.2` - Current EVR: `28.3.3-2` - Update class: `major` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `moby/moby` - Upstream URL: https://github.com/moby/moby - Detected version: `29.4.1` - Tag/release: `docker-v29.4.1` - Source: `github_release_latest` - Published: `2026-04-20T16:45:55Z` - Release URL: https://github.com/moby/moby/releases/tag/docker-v29.4.1 - Source URL: https://api.github.com/repos/moby/moby/tarball/docker-v29.4.1 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, update/major, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `docker` с версии 28.3.3 до 29.4.1 является мажорным релизом, включающим обновление зависимостей (containerd v2.2.3, Go 1.26.2) и изменения в сетевом стеке. В предоставленных релиз-нотах отсутствуют явные указания на уязвимости безопасности или критические изменения ABI, однако переход на новую мажорную версию требует тщательной проверки совместимости. ### 2. Риск для НАЙС.ОС **medium**. Обновление относится к классу `major`, что подразумевает потенциальные изменения в API или поведении CLI, даже если они не описаны явно в кратком списке исправлений. Обновление Go runtime до версии 1.26.2 и замена статических бинарников containerd могут повлиять на время сборки и поведение контейнеров в специфических сценариях (например, при использовании новых опций логирования или сетевых приоритетов). ### 3. Security/CVE Во входных данных **нет признаков security/CVE**. Поле `security_keywords_detected_by_script` равно `False`, а в тексте релиз-нот отсутствуют упоминания исправлений уязвимостей (CVE), эксплойтов или патчей безопасности. ### 4. ABI/API риск Нужен ручной ABI/API анализ. Хотя в релиз-нотах указаны исправления багов (включая логику фильтрации изображений и сетевые приоритеты), отсутствие детального списка изменений в API/ABI в предоставленном тексте делает невозможным автоматическую оценку влияния на существующие Dockerfile'ы и скрипты окружения. ### 5. Риск для RPM-сборки Возможен риск поломки сборки из-за обновления зависимостей: - Обновление `Go` до 1.26.2 может потребовать пересборки компонентов CLI/Moby, если используются специфичные флаги компиляции или библиотеки, не поддерживающие новую версию. - Обновление `containerd` до v2.2.3 (только статические бинарники) может изменить точки монтирования или параметры запуска, что потребует проверки `%check` и тестов интеграции. - Изменения в сетевом стеке (приоритет шлюзов) могут нарушить работу существующих конфигураций сети, если они зависят от предыдущего поведения выбора дефолтного шлюза. ### 6. Проверки мейнтейнера - [ ] Проверить наличие новых `BuildRequires` или изменений в `Requires` в обновленном spec-файле. - [ ] Запустить `%check` и интеграционные тесты для проверки корректности работы `docker run`, `docker network` и управления образами. - [ ] Протестировать сценарий `docker image prune --filter label!=key=value` и настройку логирования с `tag={{.ImageID}}`. - [ ] Проверить работу контейнеров в режиме Swarm (если применимо) на предмет ошибок `EBUSY` при перемонтировании секретов/конфигураций. - [ ] Убедиться, что обновление Go не вызывает конфликтов зависимостей в системе сборки. ### 7. Рекомендация blocked manual review ### 8. Основание рекомендации Рекомендация блокируется до ручного ревью, так как это мажорное обновление (`update_class: major`) с изменением версий ключевых зависимостей (Go, containerd) и логикой сетевого стека. Автоматическое применение рискованно из-за отсутствия детальной информации об изменениях ABI/API во входных данных и необходимости проверки совместимости с текущим парком образов и конфигурациями сети. ## Upstream release notes / description ## 29.4.1 For a full list of pull requests and changes in this release, refer to the relevant GitHub milestones: - [docker/cli, 29.4.1 milestone](https://github.com/docker/cli/issues?q=is%3Aclosed+milestone%3A29.4.1) - [moby/moby, 29.4.1 milestone](https://github.com/moby/moby/issues?q=is%3Aclosed+milestone%3A29.4.1) ### Bug fixes and enhancements - containerd image store: Fix `docker image prune --filter label!=key=value` incorrectly skipping images that don't have the specified label. [moby/moby#52338](https://github.com/moby/moby/pull/52338) - Fix `--log-opt "tag={{.ImageID}}"` not stripping the digest's algorithm. [moby/moby#52343](https://github.com/moby/moby/pull/52343) - Fix intermittent container start failures (`EBUSY` on secrets/configs remount) on busy Swarm nodes by retrying the read-only remount. [moby/moby#52235](https://github.com/moby/moby/pull/52235) ### Packaging updates - Update containerd (static binaries only) to [v2.2.3](https://github.com/containerd/containerd/releases/tag/v2.2.3). [moby/moby#52360](https://github.com/moby/moby/pull/52360) - Update Go runtime to [1.26.2](https://go.dev/doc/devel/release#go1.26.2). [docker/cli#6920](https://github.com/docker/cli/pull/6920), [moby/moby#52329](https://github.com/moby/moby/pull/52329) ### Networking - if a container has an IPv4-only or an IPv6-only endpoint with higher "gateway priority" than a dual stack endpoint, the single stack endpoint will now be used as the default gateway for its address family. [moby/moby#52328](https://github.com/moby/moby/pull/52328) ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T22:05:25Z`

sbelikov added the

labels

2026-04-28 01:05:26 +03:00