rpms/python3-altgraph

Fork 0

Upstream update available: python3-altgraph 0.17.4 → 0.17.5 #1

New issue

Open

opened 2026-04-28 01:43:18 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:43:18 +03:00

Owner

Upstream update available: `python3-altgraph` `0.17.4` → `0.17.5`

Package

Package: python3-altgraph
RPM name: python3-altgraph
Branch: niceos-5.2
Current EVR: 0.17.4-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: standard

Upstream

Upstream type: pypi
Upstream project: -
Upstream URL: https://files.pythonhosted.org/packages/de/a8/7145824cf0b9e3c28046520480f207df47e927df83aa9555fb47f8505922/altgraph-0.17.4.tar.gz
Detected version: 0.17.5
Tag/release: 0.17.5
Source: pypi_json
Published: 2025-11-21T20:35:50.583042Z
Release URL: https://pypi.org/project/altgraph/
Source URL: https://files.pythonhosted.org/packages/7e/f8/97fdf103f38fed6792a1601dbc16cc8aac56e7459a9fff08c812d8ae177a/altgraph-0.17.5.tar.gz
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/pypi

NiceSOFT AI preliminary analysis

1. Краткий вывод

Обновление пакета python3-altgraph с версии 0.17.4 до 0.17.5 классифицируется как патч-уровня и включает обновление метаданных для поддержки Python 3.13/3.14, а также удаление зависимости от устаревшего модуля pkg_resources. В предоставленных данных отсутствуют прямые указания на исправления уязвимостей безопасности или критические изменения кода, влияющие на функциональность.

2. Риск для НАЙС.ОС

low. Обновление носит косметический и инфраструктурный характер (обновление классификаторов, удаление legacy-зависимости). Удаление pkg_resources является стандартной практикой при переходе на современные стандарты упаковки Python и не должно нарушить работу приложения, если оно не использует низкоуровневый API этого модуля напрямую (что маловероятно для обычного потребителя библиотеки).

3. Security/CVE

Во входных данных отсутствуют признаки security-уязвимостей. Поле security_keywords_detected_by_script равно False, а в разделе Release notes нет упоминаний исправлений багов безопасности (CVE), эксплойтов или проблем с обработкой ввода.

4. ABI/API риск

Вероятность риска низкая, но требует внимания. Удаление зависимости pkg_resources само по себе не меняет публичный API самой библиотеки altgraph. Однако, если код дистрибутива или зависимых пакетов неявно импортирует pkg_resources через altgraph (что противоречит логике форка, но возможно в специфических конфигурациях), это может вызвать ошибку импорта. Для полной уверенности необходим ручной анализ использования pkg_resources в коде, зависящем от altgraph.

5. Риск для RPM-сборки

Возможен риск изменения требований сборки (BuildRequires). Поскольку зависимость pkg_resources удалена, в исходном коде setup.py (или pyproject.toml) она больше не требуется. Если в текущем .spec файле НАЙС.ОС явно прописан BuildRequires: python-pkg-resources (или аналогичный), сборка может упасть из-за отсутствия этой зависимости в новых версиях Python/toolchain. Также стоит проверить, не изменился ли хэш источника (tarball), хотя для патча это менее вероятно.

6. Проверки мейнтейнера

Проверить наличие BuildRequires: python-pkg-resources в текущем .spec файле и удалить его, если он есть (так как upstream перестал его требовать).
Запустить локальную сборку (rpmbuild -ba) в чистом окружении без предустановленных пакетов, чтобы убедиться, что сборка проходит успешно.
Провести тестирование зависимостей (%check), если они присутствуют в spec-файле, чтобы убедиться, что удаление pkg_resources не ломает тесты.
Проверить, нет ли в коде дистрибутива прямого импорта pkg_resources, который мог бы быть связан с этим пакетом.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление является минимальным (patch), не затрагивает безопасность и не содержит критических изменений логики. Единственный потенциальный момент — очистка лишних зависимостей в spec-файле, что является желательным действием для поддержания актуальности пакета. Автоматическое обновление безопасно после ручного подтверждения отсутствия явных зависимостей от удаленного модуля в коде дистрибутива.

Upstream release notes / description

Python graph (network) package

altgraph is a fork of graphlib: a graph (network) package for constructing
graphs, BFS and DFS traversals, topological sort, shortest paths, etc. with
graphviz output.

altgraph includes some additional usage of Python 2.6+ features and
enhancements related to modulegraph and macholib.

Project links

Documentation <https://altgraph.readthedocs.io/en/latest/>_
Issue Tracker <https://github.com/ronaldoussoren/altgraph/issues>_
Repository <https://github.com/ronaldoussoren/altgraph/>_

Release history

0.17.5

Update classifiers for Python 3.13 and 3.14
Drop dependency on "pkg_resources"

0.17.4

Update classifiers for Python 3.12

0.17.3

Update classifiers for Python 3.11

0.17.2

Change in setup.py to fix the sidebar links on PyPI

0.17.1

Explicitly mark Python 3.10 as supported in wheel metadata.

0.17

Explicitly mark Python 3.8 as supported in wheel metadata.
Migrate from Bitbucket to GitHub
Run black on the entire repository

0.16.1

Explicitly mark Python 3.7 as supported in wheel metadata.

0.16

Add LICENSE file

0.15

ObjectGraph.get_edges, ObjectGraph.getEdgeData and ObjectGraph.updateEdgeData
accept None as the node to get and treat this as an alias for self (as other
methods already did).

0.14

Issue #7: Remove use of iteritems in altgraph.GraphAlgo code

0.13

Issue #4: Graph._bfs_subgraph and back_bfs_subgraph return subgraphs with reversed edges

Fix by "pombredanne" on bitbucket.

0.12

Added ObjectGraph.edgeData to retrieve the edge data
from a specific edge.
Added AltGraph.update_edge_data and ObjectGraph.updateEdgeData
to update the data associated with a graph edge.

0.11

Stabilize the order of elements in dot file exports,
patch from bitbucket user 'pombredanne'.
Tweak setup.py file to remove dependency on distribute (but
keep the dependency on setuptools)

0.10.2

There where no classifiers in the package metadata due to a bug
in setup.py

0.10.1

This is a bugfix release

Bug fixes:

Issue #3: The source archive contains a README.txt
while the setup file refers to ReadMe.txt.

This is caused by a misfeature in distutils, as a
workaround I've renamed ReadMe.txt to README.txt
in the source tree and setup file.

0.10

This is a minor feature release

Features:

Do not use "2to3" to support Python 3.

As a side effect of this altgraph now supports
Python 2.6 and later, and no longer supports
earlier releases of Python.
The order of attributes in the Dot output
is now always alphabetical.

With this change the output will be consistent
between runs and Python versions.

0.9

This is a minor bugfix release

Features:

Added altgraph.ObjectGraph.ObjectGraph.nodes, a method
yielding all nodes in an object graph.

Bugfixes:

The 0.8 release didn't work with py2app when using
python 3.x.

0.8

This is a minor feature release. The major new feature
is a extensive set of unittests, which explains almost
all other changes in this release.

Bugfixes:

Installing failed with Python 2.5 due to using a distutils
class that isn't available in that version of Python
(issue #1 on the issue tracker)
altgraph.GraphStat.degree_dist now actually works
altgraph.Graph.add_edge(a, b, create_nodes=False) will
no longer create the edge when one of the nodes doesn't
exist.
altgraph.Graph.forw_topo_sort failed for some sparse graphs.
altgraph.Graph.back_topo_sort was completely broken in
previous releases.
altgraph.Graph.forw_bfs_subgraph now actually works.
altgraph.Graph.back_bfs_subgraph now actually works.
altgraph.Graph.iterdfs now returns the correct result
when the forward argument is False.
altgraph.Graph.iterdata now returns the correct result
when the forward

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T22:43:18Z

# Upstream update available: `python3-altgraph` `0.17.4` → `0.17.5` ## Package - Package: `python3-altgraph` - RPM name: `python3-altgraph` - Branch: `niceos-5.2` - Current EVR: `0.17.4-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `standard` ## Upstream - Upstream type: `pypi` - Upstream project: `-` - Upstream URL: https://files.pythonhosted.org/packages/de/a8/7145824cf0b9e3c28046520480f207df47e927df83aa9555fb47f8505922/altgraph-0.17.4.tar.gz - Detected version: `0.17.5` - Tag/release: `0.17.5` - Source: `pypi_json` - Published: `2025-11-21T20:35:50.583042Z` - Release URL: https://pypi.org/project/altgraph/ - Source URL: https://files.pythonhosted.org/packages/7e/f8/97fdf103f38fed6792a1601dbc16cc8aac56e7459a9fff08c812d8ae177a/altgraph-0.17.5.tar.gz - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/pypi` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Обновление пакета `python3-altgraph` с версии 0.17.4 до 0.17.5 классифицируется как патч-уровня и включает обновление метаданных для поддержки Python 3.13/3.14, а также удаление зависимости от устаревшего модуля `pkg_resources`. В предоставленных данных отсутствуют прямые указания на исправления уязвимостей безопасности или критические изменения кода, влияющие на функциональность. ### 2. Риск для НАЙС.ОС **low**. Обновление носит косметический и инфраструктурный характер (обновление классификаторов, удаление legacy-зависимости). Удаление `pkg_resources` является стандартной практикой при переходе на современные стандарты упаковки Python и не должно нарушить работу приложения, если оно не использует низкоуровневый API этого модуля напрямую (что маловероятно для обычного потребителя библиотеки). ### 3. Security/CVE Во входных данных отсутствуют признаки security-уязвимостей. Поле `security_keywords_detected_by_script` равно `False`, а в разделе `Release notes` нет упоминаний исправлений багов безопасности (CVE), эксплойтов или проблем с обработкой ввода. ### 4. ABI/API риск Вероятность риска низкая, но требует внимания. Удаление зависимости `pkg_resources` само по себе не меняет публичный API самой библиотеки `altgraph`. Однако, если код дистрибутива или зависимых пакетов неявно импортирует `pkg_resources` через `altgraph` (что противоречит логике форка, но возможно в специфических конфигурациях), это может вызвать ошибку импорта. Для полной уверенности необходим ручной анализ использования `pkg_resources` в коде, зависящем от `altgraph`. ### 5. Риск для RPM-сборки Возможен риск изменения требований сборки (`BuildRequires`). Поскольку зависимость `pkg_resources` удалена, в исходном коде `setup.py` (или `pyproject.toml`) она больше не требуется. Если в текущем `.spec` файле НАЙС.ОС явно прописан `BuildRequires: python-pkg-resources` (или аналогичный), сборка может упасть из-за отсутствия этой зависимости в новых версиях Python/toolchain. Также стоит проверить, не изменился ли хэш источника (tarball), хотя для патча это менее вероятно. ### 6. Проверки мейнтейнера - [ ] Проверить наличие `BuildRequires: python-pkg-resources` в текущем `.spec` файле и удалить его, если он есть (так как upstream перестал его требовать). - [ ] Запустить локальную сборку (`rpmbuild -ba`) в чистом окружении без предустановленных пакетов, чтобы убедиться, что сборка проходит успешно. - [ ] Провести тестирование зависимостей (`%check`), если они присутствуют в spec-файле, чтобы убедиться, что удаление `pkg_resources` не ломает тесты. - [ ] Проверить, нет ли в коде дистрибутива прямого импорта `pkg_resources`, который мог бы быть связан с этим пакетом. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление является минимальным (patch), не затрагивает безопасность и не содержит критических изменений логики. Единственный потенциальный момент — очистка лишних зависимостей в spec-файле, что является желательным действием для поддержания актуальности пакета. Автоматическое обновление безопасно после ручного подтверждения отсутствия явных зависимостей от удаленного модуля в коде дистрибутива. ## Upstream release notes / description Python graph (network) package altgraph is a fork of graphlib: a graph (network) package for constructing graphs, BFS and DFS traversals, topological sort, shortest paths, etc. with graphviz output. altgraph includes some additional usage of Python 2.6+ features and enhancements related to modulegraph and macholib. Project links ------------- * `Documentation <https://altgraph.readthedocs.io/en/latest/>`_ * `Issue Tracker <https://github.com/ronaldoussoren/altgraph/issues>`_ * `Repository <https://github.com/ronaldoussoren/altgraph/>`_ Release history =============== 0.17.5 ------ * Update classifiers for Python 3.13 and 3.14 * Drop dependency on "pkg_resources" 0.17.4 ------ * Update classifiers for Python 3.12 0.17.3 ------ * Update classifiers for Python 3.11 0.17.2 ------ * Change in setup.py to fix the sidebar links on PyPI 0.17.1 ------ * Explicitly mark Python 3.10 as supported in wheel metadata. 0.17 ---- * Explicitly mark Python 3.8 as supported in wheel metadata. * Migrate from Bitbucket to GitHub * Run black on the entire repository 0.16.1 ------ * Explicitly mark Python 3.7 as supported in wheel metadata. 0.16 ---- * Add LICENSE file 0.15 ---- * ``ObjectGraph.get_edges``, ``ObjectGraph.getEdgeData`` and ``ObjectGraph.updateEdgeData`` accept *None* as the node to get and treat this as an alias for *self* (as other methods already did). 0.14 ---- - Issue #7: Remove use of ``iteritems`` in altgraph.GraphAlgo code 0.13 ---- - Issue #4: Graph._bfs_subgraph and back_bfs_subgraph return subgraphs with reversed edges Fix by "pombredanne" on bitbucket. 0.12 ---- - Added ``ObjectGraph.edgeData`` to retrieve the edge data from a specific edge. - Added ``AltGraph.update_edge_data`` and ``ObjectGraph.updateEdgeData`` to update the data associated with a graph edge. 0.11 ---- - Stabilize the order of elements in dot file exports, patch from bitbucket user 'pombredanne'. - Tweak setup.py file to remove dependency on distribute (but keep the dependency on setuptools) 0.10.2 ------ - There where no classifiers in the package metadata due to a bug in setup.py 0.10.1 ------ This is a bugfix release Bug fixes: - Issue #3: The source archive contains a README.txt while the setup file refers to ReadMe.txt. This is caused by a misfeature in distutils, as a workaround I've renamed ReadMe.txt to README.txt in the source tree and setup file. 0.10 ----- This is a minor feature release Features: - Do not use "2to3" to support Python 3. As a side effect of this altgraph now supports Python 2.6 and later, and no longer supports earlier releases of Python. - The order of attributes in the Dot output is now always alphabetical. With this change the output will be consistent between runs and Python versions. 0.9 --- This is a minor bugfix release Features: - Added ``altgraph.ObjectGraph.ObjectGraph.nodes``, a method yielding all nodes in an object graph. Bugfixes: - The 0.8 release didn't work with py2app when using python 3.x. 0.8 ----- This is a minor feature release. The major new feature is a extensive set of unittests, which explains almost all other changes in this release. Bugfixes: - Installing failed with Python 2.5 due to using a distutils class that isn't available in that version of Python (issue #1 on the issue tracker) - ``altgraph.GraphStat.degree_dist`` now actually works - ``altgraph.Graph.add_edge(a, b, create_nodes=False)`` will no longer create the edge when one of the nodes doesn't exist. - ``altgraph.Graph.forw_topo_sort`` failed for some sparse graphs. - ``altgraph.Graph.back_topo_sort`` was completely broken in previous releases. - ``altgraph.Graph.forw_bfs_subgraph`` now actually works. - ``altgraph.Graph.back_bfs_subgraph`` now actually works. - ``altgraph.Graph.iterdfs`` now returns the correct result when the ``forward`` argument is ``False``. - ``altgraph.Graph.iterdata`` now returns the correct result when the ``forward`` ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T22:43:18Z`

sbelikov added the

labels

2026-04-28 01:43:18 +03:00