rpms/python3-cryptography

Fork 0

Policy review: major upstream version available: python3-cryptography 43.0.3 → 47.0.0 #1

New issue

Open

opened 2026-04-28 01:47:45 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:47:45 +03:00

Owner

Upstream update available: `python3-cryptography` `43.0.3` → `47.0.0`

Package

Package: python3-cryptography
RPM name: python3-cryptography
Branch: niceos-5.2
Current EVR: 43.0.3-1
Update class: major
Compare method: python_rpm
Update policy: leaf
Risk tags: network-facing

Upstream

Upstream type: pypi
Upstream project: -
Upstream URL: https://pypi.io/packages/source/c/cryptography/cryptography-43.0.3.tar.gz
Detected version: 47.0.0
Tag/release: 47.0.0
Source: pypi_json
Published: 2026-04-24T19:54:57.056891Z
Release URL: https://pypi.org/project/cryptography/
Source URL: https://files.pythonhosted.org/packages/ef/b2/7ffa7fe8207a8c42147ffe70c3e360b228160c1d85dc3faff16aaa3244c0/cryptography-47.0.0.tar.gz
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: True
Policy reason: package policy/risk requires manual review (leaf, network-facing)
Labels: ai-summary, bot, needs-policy-decision, policy/major-blocked, priority/high, security-release, update/major, upstream-update, upstream/pypi

NiceOS policy decision

This is a policy-blocked major update. Do not update automatically.

Major updates for libraries, toolchain and security-critical packages require explicit manual architecture review, ABI/API compatibility review, reverse-dependency impact analysis and controlled rebuild planning.

NiceSOFT AI preliminary analysis

1. Краткий вывод

Детальное обновление библиотеки python3-cryptography с версии 43.0.3 до 47.0.0 классифицируется как мажорное (major). Система автоматически заблокировала это обновление из-за политики безопасности для листовых пакетов, ориентированных на сеть, требующих ручного пересмотра.

2. Риск для НАЙС.ОС

high. Обновление является мажорным (update_class: major) и затрагивает критически важный криптографический стек (risk_tags: network-facing). Автоматическое применение невозможно из-за жесткой политики (policy_blocked: True), а мажорные обновления часто влекут за собой изменения в API или ABI, что может нарушить работу зависимостей внутри дистрибутива.

3. Security/CVE

Во входных данных присутствуют ключевые слова безопасности (security_keywords_detected_by_script: True), однако конкретные номера CVE, описания уязвимостей или ссылки на отчеты безопасности в предоставленном тексте отсутствуют. Для подтверждения наличия конкретных уязвимостей требуется проверка релиз-нот на официальном сайте проекта или в базе CVE.

4. ABI/API риск

Версия меняется с 43.x на 47.x, что соответствует мажорному обновлению. В библиотеках такого уровня вероятность изменений в публичном API или ABI высока. Входные данные не содержат информации о конкретных измененных функциях или удаленных интерфейсах. Необходим ручной анализ changelog проекта pyca/cryptography между версиями 43.0.3 и 47.0.0.

5. Риск для RPM-сборки

Поскольку обновление мажорное, возможны следующие проблемы в сборке RPM:

Изменение требований к Python (BuildRequires: python3 >= X.Y), если библиотека перестала поддерживать старые минорные версии.
Необходимость обновления патчей или скриптов сборки (%prep, %build), если изменились пути к файлам или структура исходного кода.
Сбой проверки (%check) из-за изменений в поведении тестов или зависимостей.
Потребность в обновлении Requires для зависимых пакетов, если они используют удаленные или измененные функции.

6. Проверки мейнтейнера

Скачать и распаковать исходный код версий 43.0.3 и 47.0.0.
Сравнить публичные API (документация, сигнатуры функций) между двумя версиями.
Проверить setup.py / pyproject.toml на предмет изменений в зависимостях (install_requires, build-system.requires).
Протестировать сборку RPM локально с новым исходным кодом.
Запустить тесты пакета (%check) и убедиться в отсутствии регрессий.
Проверить список зависимых RPM-пакетов в НАЙС.ОС на наличие прямых зависимостей от python3-cryptography.

7. Рекомендация

blocked manual review

8. Основание рекомендации

Обновление заблокировано политикой безопасности (policy_blocked: True) для листового пакета, работающего в сети, при мажорном изменении версии. Без ручного анализа изменений API/ABI и проверки совместимости с другими компонентами дистрибутива автоматическое обновление недопустимо.

Upstream release notes / description

cryptography is a package which provides cryptographic recipes and primitives to Python developers.

pyca/cryptography

.. image:: https://img.shields.io/pypi/v/cryptography.svg
:target: https://pypi.org/project/cryptography/
:alt: Latest Version

.. image:: https://readthedocs.org/projects/cryptography/badge/?version=latest
:target: https://cryptography.io
:alt: Latest Docs

.. image:: https://github.com/pyca/cryptography/actions/workflows/ci.yml/badge.svg
:target: https://github.com/pyca/cryptography/actions/workflows/ci.yml?query=branch%3Amain

cryptography is a package which provides cryptographic recipes and
primitives to Python developers. Our goal is for it to be your "cryptographic
standard library". It supports Python 3.8+ and PyPy3 7.3.11+.

cryptography includes both high level recipes and low level interfaces to
common cryptographic algorithms such as symmetric ciphers, message digests, and
key derivation functions. For example, to encrypt something with
cryptography's high level symmetric encryption recipe:

.. code-block:: pycon

>>> from cryptography.fernet import Fernet
>>> # Put this somewhere safe!
>>> key = Fernet.generate_key()
>>> f = Fernet(key)
>>> token = f.encrypt(b"A really secret message. Not for prying eyes.")
>>> token
b'...'
>>> f.decrypt(token)
b'A really secret message. Not for prying eyes.'

You can find more information in the documentation_.

You can install cryptography with:

.. code-block:: console

$ pip install cryptography

For full details see the installation documentation_.

Discussion


If you run into bugs, you can file them in our `issue tracker`_.

We maintain a `cryptography-dev`_ mailing list for development discussion.

You can also join ``#pyca`` on ``irc.libera.chat`` to ask questions or get
involved.

Security
~~~~~~~~

Need to report a security issue? Please consult our `security reporting`_
documentation.


.. _`documentation`: https://cryptography.io/
.. _`the installation documentation`: https://cryptography.io/en/latest/installation/
.. _`issue tracker`: https://github.com/pyca/cryptography/issues
.. _`cryptography-dev`: https://mail.python.org/mailman/listinfo/cryptography-dev
.. _`security reporting`: https://cryptography.io/en/latest/security/

## NiceOS maintainer checklist

- [ ] Confirm that the detected version is a stable upstream release.
- [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes.
- [ ] Check ABI/API compatibility and reverse dependencies.
- [ ] Download source into NiceOS lookaside storage.
- [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it.
- [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM.
- [ ] Build SRPM/RPM in a clean NiceOS buildroot.
- [ ] Run package smoke tests.
- [ ] Link PR/build logs and close this issue after update or triage.

## Bot metadata
- Tool: `niceos_upstream_monitor.py 1.4`
- Generated at: `2026-04-27T22:47:44Z`

# Upstream update available: `python3-cryptography` `43.0.3` → `47.0.0` ## Package - Package: `python3-cryptography` - RPM name: `python3-cryptography` - Branch: `niceos-5.2` - Current EVR: `43.0.3-1` - Update class: `major` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `network-facing` ## Upstream - Upstream type: `pypi` - Upstream project: `-` - Upstream URL: https://pypi.io/packages/source/c/cryptography/cryptography-43.0.3.tar.gz - Detected version: `47.0.0` - Tag/release: `47.0.0` - Source: `pypi_json` - Published: `2026-04-24T19:54:57.056891Z` - Release URL: https://pypi.org/project/cryptography/ - Source URL: https://files.pythonhosted.org/packages/ef/b2/7ffa7fe8207a8c42147ffe70c3e360b228160c1d85dc3faff16aaa3244c0/cryptography-47.0.0.tar.gz - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `True` - Policy reason: `package policy/risk requires manual review (leaf, network-facing)` - Labels: `ai-summary, bot, needs-policy-decision, policy/major-blocked, priority/high, security-release, update/major, upstream-update, upstream/pypi` ## NiceOS policy decision **This is a policy-blocked major update. Do not update automatically.** Major updates for libraries, toolchain and security-critical packages require explicit manual architecture review, ABI/API compatibility review, reverse-dependency impact analysis and controlled rebuild planning. ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Детальное обновление библиотеки `python3-cryptography` с версии 43.0.3 до 47.0.0 классифицируется как мажорное (major). Система автоматически заблокировала это обновление из-за политики безопасности для листовых пакетов, ориентированных на сеть, требующих ручного пересмотра. ### 2. Риск для НАЙС.ОС **high**. Обновление является мажорным (`update_class: major`) и затрагивает критически важный криптографический стек (`risk_tags: network-facing`). Автоматическое применение невозможно из-за жесткой политики (`policy_blocked: True`), а мажорные обновления часто влекут за собой изменения в API или ABI, что может нарушить работу зависимостей внутри дистрибутива. ### 3. Security/CVE Во входных данных присутствуют ключевые слова безопасности (`security_keywords_detected_by_script: True`), однако конкретные номера CVE, описания уязвимостей или ссылки на отчеты безопасности в предоставленном тексте отсутствуют. Для подтверждения наличия конкретных уязвимостей требуется проверка релиз-нот на официальном сайте проекта или в базе CVE. ### 4. ABI/API риск Версия меняется с 43.x на 47.x, что соответствует мажорному обновлению. В библиотеках такого уровня вероятность изменений в публичном API или ABI высока. Входные данные не содержат информации о конкретных измененных функциях или удаленных интерфейсах. Необходим ручной анализ changelog проекта `pyca/cryptography` между версиями 43.0.3 и 47.0.0. ### 5. Риск для RPM-сборки Поскольку обновление мажорное, возможны следующие проблемы в сборке RPM: * Изменение требований к Python (`BuildRequires: python3 >= X.Y`), если библиотека перестала поддерживать старые минорные версии. * Необходимость обновления патчей или скриптов сборки (`%prep`, `%build`), если изменились пути к файлам или структура исходного кода. * Сбой проверки (`%check`) из-за изменений в поведении тестов или зависимостей. * Потребность в обновлении `Requires` для зависимых пакетов, если они используют удаленные или измененные функции. ### 6. Проверки мейнтейнера * [ ] Скачать и распаковать исходный код версий 43.0.3 и 47.0.0. * [ ] Сравнить публичные API (документация, сигнатуры функций) между двумя версиями. * [ ] Проверить `setup.py` / `pyproject.toml` на предмет изменений в зависимостях (`install_requires`, `build-system.requires`). * [ ] Протестировать сборку RPM локально с новым исходным кодом. * [ ] Запустить тесты пакета (`%check`) и убедиться в отсутствии регрессий. * [ ] Проверить список зависимых RPM-пакетов в НАЙС.ОС на наличие прямых зависимостей от `python3-cryptography`. ### 7. Рекомендация blocked manual review ### 8. Основание рекомендации Обновление заблокировано политикой безопасности (`policy_blocked: True`) для листового пакета, работающего в сети, при мажорном изменении версии. Без ручного анализа изменений API/ABI и проверки совместимости с другими компонентами дистрибутива автоматическое обновление недопустимо. ## Upstream release notes / description cryptography is a package which provides cryptographic recipes and primitives to Python developers. pyca/cryptography ================= .. image:: https://img.shields.io/pypi/v/cryptography.svg :target: https://pypi.org/project/cryptography/ :alt: Latest Version .. image:: https://readthedocs.org/projects/cryptography/badge/?version=latest :target: https://cryptography.io :alt: Latest Docs .. image:: https://github.com/pyca/cryptography/actions/workflows/ci.yml/badge.svg :target: https://github.com/pyca/cryptography/actions/workflows/ci.yml?query=branch%3Amain ``cryptography`` is a package which provides cryptographic recipes and primitives to Python developers. Our goal is for it to be your "cryptographic standard library". It supports Python 3.8+ and PyPy3 7.3.11+. ``cryptography`` includes both high level recipes and low level interfaces to common cryptographic algorithms such as symmetric ciphers, message digests, and key derivation functions. For example, to encrypt something with ``cryptography``'s high level symmetric encryption recipe: .. code-block:: pycon >>> from cryptography.fernet import Fernet >>> # Put this somewhere safe! >>> key = Fernet.generate_key() >>> f = Fernet(key) >>> token = f.encrypt(b"A really secret message. Not for prying eyes.") >>> token b'...' >>> f.decrypt(token) b'A really secret message. Not for prying eyes.' You can find more information in the `documentation`_. You can install ``cryptography`` with: .. code-block:: console $ pip install cryptography For full details see `the installation documentation`_. Discussion ~~~~~~~~~~ If you run into bugs, you can file them in our `issue tracker`_. We maintain a `cryptography-dev`_ mailing list for development discussion. You can also join ``#pyca`` on ``irc.libera.chat`` to ask questions or get involved. Security ~~~~~~~~ Need to report a security issue? Please consult our `security reporting`_ documentation. .. _`documentation`: https://cryptography.io/ .. _`the installation documentation`: https://cryptography.io/en/latest/installation/ .. _`issue tracker`: https://github.com/pyca/cryptography/issues .. _`cryptography-dev`: https://mail.python.org/mailman/listinfo/cryptography-dev .. _`security reporting`: https://cryptography.io/en/latest/security/ ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T22:47:44Z`

sbelikov added the

ai-summary

bot

needs-policy-decision

labels

2026-04-28 01:47:45 +03:00