Upstream update available: harfbuzz 11.4.1 → 14.2.1 #3

New issue

Open

opened 2026-06-03 02:33:38 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-06-03 02:33:38 +03:00

Owner

Upstream update available: `harfbuzz` `11.4.1` → `14.2.1`

Package

Package: harfbuzz
RPM name: harfbuzz
Branch: niceos-5.2
Current EVR: 11.4.1-1
Update class: major
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: harfbuzz/harfbuzz
Upstream URL: github.com — harfbuzz
Detected version: 14.2.1
Tag/release: 14.2.1
Source: github_release_latest
Published: 2026-06-02T11:34:02Z
Release URL: github.com — 14.2.1
Source URL: api.github.com — 14.2.1
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/major, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Пакет harfbuzz получил major-обновление до версии 14.2.1, включающее множество исправлений и улучшений. Внедрение этой версии может повлиять на совместимость с текущими сборками, особенно из-за изменений в ABI и возможных улучшений безопасности.

2. Риск для НАЙС.ОС

High
Из-за major-обновления (update_class: major) и изменений в ABI (например, замена std::sort на внутренний quicksort) риски для совместимости и безопасности значительны. Нужно проверить, как эти изменения влияют на интеграцию с текущими пакетами и сборками.

3. Security/CVE

Нет признаков security/CVE
В входных данных не указаны конкретные CVE или улучшения безопасности. Дополнительная проверка через официальные ресурсы (GitHub, changelog) не проведена, поэтому невозможно подтвердить наличие уязвимостей.

4. ABI/API риск

High
Изменения в ABI (например, удаление std:: символов) могут привести к несовместимости с существующими пакетами. Нужен ручной анализ ABI-изменений и проверка совместимости с текущими сборками.

5. Риск для RPM-сборки

High
Может вызвать проблемы с сборкой (например, отсутствие новых символов, изменение интерфейсов). Нужно проверить:

Совместимость с текущими пакетами (например, libharfbuzz),
Правильность обновления spec-файлов,
Влияние на зависимости.

6. Рекомендация

Заблокировать ручной обзор
Потенциальные риски (ABI-изменения, отсутствие CVE) требуют тщательной проверки. Без подтверждения безопасности и совместимости автоматические обновления не рекомендуются.

7. Дополнительные действия

Проверить официальные ресурсы (GitHub, changelog) на наличие улучшений безопасности.
Обновить spec-файлы и зависимости, если есть ABI-изменения.
Провести тестирование на совместимость с текущими сборками.

Источники, найденные web_search

Upstream release notes / description

Various AAT shaping fixes: legacy mort contextual offsets (which could produce out-of-font glyph IDs), in-place deleted-glyph replacements, and overflow in obsolete offset math.
Fix Arabic PUA fallback shaping for the isolated lam-alef-maksura ligature.
Fix float-to-int overflow in avar2 mapping with malformed fonts.
Harden buffer verification after detecting non-monotone clusters.
Various COLR v1 fixes: fix handling of .notdef without paint, round alpha consistently, and report the root clip under the font transform.
Various Glyph-extents fixes: inclusive rounding, and floating-point scaling before rounding so the reported box always covers the glyph.
Various Subsetting fixes: keep the palt spacing feature by default, raise the repacker MAX_SPACES limit, fix a repacker crash on shared LigatureSet nodes, guard gvar size overflow on 32-bit, and fix the post glyph-name sort comparator on macOS.
Replace std::sort with an internal quicksort, removing leaked std:: symbols from the libharfbuzz ABI.
Harden size computations with saturating arithmetic against 32-bit overflow.
Various improvements to the experimental Rust shaper (HarfRust) and font functions (fontations): honor custom font funcs, key shape plans on features, faster buffer handling, and update to HarfRust 0.8.
Various fixes to the experimental harfbuzz-gpu and harfbuzz-vector libraries, including a harfbuzz-vector heap buffer overflow and Windows build fixes.
Map the Hrkt (Katakana or Hiragana) script tag to the kana OpenType tag.
Build configuration: new HB_CONFIG_OVERRIDE_LAST_H override header, decouple HB_NO_DRAW from HB_NO_CFF, and an optional hb-allocator Cargo feature.
Various build, CI, and fuzzing fixes.

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages
Generated at: 2026-06-12T23:37:23Z

# Upstream update available: `harfbuzz` `11.4.1` → `14.2.1` ## Package - Package: `harfbuzz` - RPM name: `harfbuzz` - Branch: `niceos-5.2` - Current EVR: `11.4.1-1` - Update class: `major` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `harfbuzz/harfbuzz` - Upstream URL: <a href="https://github.com/harfbuzz/harfbuzz" target="_blank" rel="noopener noreferrer">github.com — harfbuzz</a> - Detected version: `14.2.1` - Tag/release: `14.2.1` - Source: `github_release_latest` - Published: `2026-06-02T11:34:02Z` - Release URL: <a href="https://github.com/harfbuzz/harfbuzz/releases/tag/14.2.1" target="_blank" rel="noopener noreferrer">github.com — 14.2.1</a> - Source URL: <a href="https://api.github.com/repos/harfbuzz/harfbuzz/tarball/14.2.1" target="_blank" rel="noopener noreferrer">api.github.com — 14.2.1</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/major, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Пакет harfbuzz получил major-обновление до версии 14.2.1, включающее множество исправлений и улучшений. Внедрение этой версии может повлиять на совместимость с текущими сборками, особенно из-за изменений в ABI и возможных улучшений безопасности. ### 2. Риск для НАЙС.ОС **High** Из-за major-обновления (update_class: major) и изменений в ABI (например, замена `std::sort` на внутренний quicksort) риски для совместимости и безопасности значительны. Нужно проверить, как эти изменения влияют на интеграцию с текущими пакетами и сборками. ### 3. Security/CVE **Нет признаков security/CVE** В входных данных не указаны конкретные CVE или улучшения безопасности. Дополнительная проверка через официальные ресурсы (GitHub, changelog) не проведена, поэтому невозможно подтвердить наличие уязвимостей. ### 4. ABI/API риск **High** Изменения в ABI (например, удаление `std::` символов) могут привести к несовместимости с существующими пакетами. Нужен ручной анализ ABI-изменений и проверка совместимости с текущими сборками. ### 5. Риск для RPM-сборки **High** Может вызвать проблемы с сборкой (например, отсутствие новых символов, изменение интерфейсов). Нужно проверить: - Совместимость с текущими пакетами (например, `libharfbuzz`), - Правильность обновления spec-файлов, - Влияние на зависимости. ### 6. Рекомендация **Заблокировать ручной обзор** Потенциальные риски (ABI-изменения, отсутствие CVE) требуют тщательной проверки. Без подтверждения безопасности и совместимости автоматические обновления не рекомендуются. ### 7. Дополнительные действия - Проверить официальные ресурсы (GitHub, changelog) на наличие улучшений безопасности. - Обновить spec-файлы и зависимости, если есть ABI-изменения. - Провести тестирование на совместимость с текущими сборками. ### Источники, найденные web_search 1. <a href="https://github.com/harfbuzz/harfbuzz/releases/tag/14.2.1" target="_blank" rel="noopener noreferrer">GitHub release API: harfbuzz/harfbuzz 14.2.1</a> 2. <a href="https://github.com/harfbuzz/harfbuzz/tree/14.2.1" target="_blank" rel="noopener noreferrer">GitHub tag page: harfbuzz/harfbuzz 14.2.1</a> 3. <a href="https://github.com/harfbuzz/harfbuzz/releases" target="_blank" rel="noopener noreferrer">GitHub releases page: harfbuzz/harfbuzz</a> 4. <a href="https://github.com/harfbuzz/harfbuzz/compare/11.4.1...14.2.1" target="_blank" rel="noopener noreferrer">GitHub compare page: harfbuzz/harfbuzz 11.4.1...14.2.1</a> 5. <a href="https://www.microsoft.com/en-us?msockid=09e003db57aa601b14ed14ad56e56150" target="_blank" rel="noopener noreferrer">Microsoft – AI, Cloud, Productivity, Computing, Gaming & Apps</a> 6. <a href="https://account.microsoft.com/account" target="_blank" rel="noopener noreferrer">Microsoft account | Sign In or Create Your Account Today – Microsoft</a> 7. <a href="https://github.com/harfbuzz/harfbuzz" target="_blank" rel="noopener noreferrer">HarfBuzz text shaping engine - GitHub</a> 8. <a href="https://harfbuzz.github.io/" target="_blank" rel="noopener noreferrer">GitHub Pages - HarfBuzz Manual: HarfBuzz Manual</a> 9. <a href="https://www.amazon.de/" target="_blank" rel="noopener noreferrer">Amazon.de: Günstige Preise für Elektronik & Foto, Filme, Musik, Bücher ...</a> ## Upstream release notes / description - Various AAT shaping fixes: legacy `mort` contextual offsets (which could produce out-of-font glyph IDs), in-place deleted-glyph replacements, and overflow in obsolete offset math. - Fix Arabic PUA fallback shaping for the isolated lam-alef-maksura ligature. - Fix float-to-int overflow in `avar2` mapping with malformed fonts. - Harden buffer verification after detecting non-monotone clusters. - Various `COLR` v1 fixes: fix handling of `.notdef` without paint, round alpha consistently, and report the root clip under the font transform. - Various Glyph-extents fixes: inclusive rounding, and floating-point scaling before rounding so the reported box always covers the glyph. - Various Subsetting fixes: keep the `palt` spacing feature by default, raise the repacker `MAX_SPACES` limit, fix a repacker crash on shared `LigatureSet` nodes, guard `gvar` size overflow on 32-bit, and fix the `post` glyph-name sort comparator on macOS. - Replace `std::sort` with an internal quicksort, removing leaked `std::` symbols from the `libharfbuzz` ABI. - Harden size computations with saturating arithmetic against 32-bit overflow. - Various improvements to the experimental Rust shaper (HarfRust) and font functions (`fontations`): honor custom font funcs, key shape plans on features, faster buffer handling, and update to HarfRust 0.8. - Various fixes to the experimental `harfbuzz-gpu` and `harfbuzz-vector` libraries, including a `harfbuzz-vector` heap buffer overflow and Windows build fixes. - Map the `Hrkt` (Katakana or Hiragana) script tag to the `kana` OpenType tag. - Build configuration: new `HB_CONFIG_OVERRIDE_LAST_H` override header, decouple `HB_NO_DRAW` from `HB_NO_CFF`, and an optional `hb-allocator` Cargo feature. - Various build, CI, and fuzzing fixes. ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages` - Generated at: `2026-06-12T23:37:23Z`

sbelikov added the

labels

2026-06-03 02:33:38 +03:00