rpms/python3-hatch-fancy-pypi-readme
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions

Upstream update available: python3-hatch-fancy-pypi-readme 24.1.0 → 25.1.0 #1

New issue
Open
opened 2026-04-28 01:50:26 +03:00 by sbelikov · 0 comments
sbelikov commented 2026-04-28 01:50:26 +03:00
Owner
Copy link

Upstream update available: python3-hatch-fancy-pypi-readme 24.1.025.1.0

Package

  • Package: python3-hatch-fancy-pypi-readme
  • RPM name: python3-hatch-fancy-pypi-readme
  • Branch: niceos-5.2
  • Current EVR: 24.1.0-1
  • Update class: major
  • Compare method: python_rpm
  • Update policy: leaf
  • Risk tags: github-upstream

Upstream

Signals

  • Security-relevant keywords detected: True
  • Policy blocked: False
  • Policy reason: -
  • Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/major, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Upstream-пакет python3-hatch-fancy-pypi-readme обновляется с версии 24.1.0 до 25.1.0, что является мажорным релизом. Основные изменения включают замену макроса $HFPR_PACKAGE_NAME на имя пакета и отказ от поддержки Python 3.7. Скрипт детектировал ключевые слова безопасности, но конкретные уязвимости не указаны в тексте релизов.

2. Риск для НАЙС.ОС

medium. Обновление является мажорным (update_class: major) и затрагивает функциональность замены переменных в README. Отказ от поддержки Python 3.7 может вызвать проблемы, если в дистрибутиве остались системы или контейнеры на этой версии, хотя для современных дистрибутивов это обычно приемлемо. Наличие флага security_keywords_detected_by_script: True требует обязательной проверки, несмотря на отсутствие явных CVE в тексте.

3. Security/CVE

Во входных данных нет конкретных идентификаторов CVE или описаний уязвимостей. Флаг security_keywords_detected_by_script: True указывает на наличие потенциально опасных паттернов в коде или зависимостях, но без детального анализа исходного кода или логов сканера конкретную угрозу определить невозможно.

4. ABI/API риск

Поскольку пакет является инструментом сборки (Hatch plugin) и не предоставляет публичного Python API для внешних приложений в привычном смысле, прямой ABI-риск минимален. Однако изменение логики обработки имени пакета ($HFPR_PACKAGE_NAME -> package name) может повлиять на генерируемые файлы README, если downstream-проекты полагаются на специфичное поведение предыдущей версии. Необходим ручной анализ изменений в логике обработки аргументов CLI.

5. Риск для RPM-сборки

Отказ от поддержки Python 3.7 может привести к ошибкам сборки, если в spec файле или окружении сборки явно прописана поддержка Python 3.7 или если используются патчи, зависящие от поведения интерпретатора этой версии. Также стоит проверить, не требуются ли новые зависимости (не указаны в релиз-нотах, но возможны при мажорном обновлении).

6. Проверки мейнтейнера

  • Проверить, используется ли Python 3.7 в целевых архитектурах НАЙС.ОС.
  • Запустить локальную сборку пакета с новой версией в чистом окружении.
  • Проверить сгенерированные файлы README на корректность подстановки имен пакетов.
  • Провести статический анализ кода (или запросить у разработчика) для уточнения причины срабатывания детектора безопасности.
  • Убедиться, что все тесты пакета проходят успешно (%check).

7. Рекомендация

blocked manual review

8. Основание рекомендации

Обновление классифицировано как мажорное с изменением функциональности (логика замены переменных) и отказом от поддержки старой версии Python. Кроме того, скрипт безопасности зафиксировал подозрительные паттерны, но без детального отчета о CVE или уязвимости автоматическое обновление запрещено политикой безопасности. Требуется ручная оценка влияния на генерацию артефактов и проверка безопасности.

Upstream release notes / description

Highlights

$HFPR_PACKAGE_NAME is now replaced by the package name (analogously to $HFPR_VERSION)!

Full changelog below!

Special Thanks

This release would not be possible without my generous sponsors! Thank you to all of you making sustainable maintenance possible! If you would like to join them, go to https://github.com/sponsors/hynek and check out the sweet perks!

Above and Beyond

Variomedia AG (@variomedia), Tidelift (@tidelift), Klaviyo (@klaviyo), Privacy Solutions GmbH (@privacy-solutions), Andreas Jung (@zopyx), FilePreviews (@filepreviews), Daniel Fortunov (@asqui), and Kevin P. Fleming (@kpfleming).

Maintenance Sustainers

Buttondown (@buttondown), Christopher Dignam (@chdsbd), Magnus Watn (@magnuswatn), David Cramer (@dcramer), Jesse Snyder (@jessesnyder), Rivo Laks (@rivol), Polar (@polarsource), Mike Fiedler (@miketheman), Duncan Hill (@cricalix), Colin Marquardt (@cmarqu), Pieter Swinkels (@swinkels), Nick Libertini (@libertininick), Brian M. Dennis (@crossjam), Moving Content AG (@moving-content), ProteinQure (@ProteinQure), The Westervelt Company (@westerveltco), Sławomir Ehlert (@slafs), Mostafa Khalil (@khadrawy), Filip Mularczyk (@mukiblejlok), Thomas Klinger (@thmsklngr), Andreas Poehlmann (@ap--), August Trapper Bigelow (@atbigelow), Carlton Gibson (@carltongibson), and Roboflow (@roboflow).

Not to forget 15 more amazing humans who chose to be generous but anonymous!

Full Changelog

Added

  • $HFPR_PACKAGE_NAME is now replaced by the package name in the PyPI readme. The version is not available in CLI mode, therefore it's replaced by the dummy value of your-package. #64

Removed

  • Support for Python 3.7.

This release contains contributions from @hynek, and @robbieaverill.

Artifact Attestations

You can verify this release's artifact attestions using GitHub's CLI tool by downloading the sdist and wheel from PyPI and running:

$ gh attestation verify --owner hynek hatch-fancy-pypi-readme-25.1.0.tar.gz

and

$ gh attestation verify --owner hynek hatch-fancy-pypi-readme-25.1.0-py3-none-any.whl

NiceOS maintainer checklist

  • Confirm that the detected version is a stable upstream release.
  • Check upstream changelog for security fixes, ABI/API changes and build-system changes.
  • Check ABI/API compatibility and reverse dependencies.
  • Download source into NiceOS lookaside storage.
  • Update Version and related fields in SPECS/*.spec only if policy allows it.
  • Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
  • Build SRPM/RPM in a clean NiceOS buildroot.
  • Run package smoke tests.
  • Link PR/build logs and close this issue after update or triage.

Bot metadata

  • Tool: niceos_upstream_monitor.py 1.4
  • Generated at: 2026-04-27T22:50:26Z
<!-- niceos-upstream-monitor:fingerprint=upstream-update:python3-hatch-fancy-pypi-readme:25.1.0 --> <!-- niceos-upstream-monitor:package=python3-hatch-fancy-pypi-readme --> <!-- niceos-upstream-monitor:current=24.1.0 --> <!-- niceos-upstream-monitor:latest=25.1.0 --> # Upstream update available: `python3-hatch-fancy-pypi-readme` `24.1.0` → `25.1.0` ## Package - Package: `python3-hatch-fancy-pypi-readme` - RPM name: `python3-hatch-fancy-pypi-readme` - Branch: `niceos-5.2` - Current EVR: `24.1.0-1` - Update class: `major` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `hynek/hatch-fancy-pypi-readme` - Upstream URL: https://github.com/hynek/hatch-fancy-pypi-readme - Detected version: `25.1.0` - Tag/release: `25.1.0` - Source: `github_release_latest` - Published: `2025-05-01T10:33:53Z` - Release URL: https://github.com/hynek/hatch-fancy-pypi-readme/releases/tag/25.1.0 - Source URL: https://api.github.com/repos/hynek/hatch-fancy-pypi-readme/tarball/25.1.0 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/major, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Upstream-пакет `python3-hatch-fancy-pypi-readme` обновляется с версии 24.1.0 до 25.1.0, что является мажорным релизом. Основные изменения включают замену макроса `$HFPR_PACKAGE_NAME` на имя пакета и отказ от поддержки Python 3.7. Скрипт детектировал ключевые слова безопасности, но конкретные уязвимости не указаны в тексте релизов. ### 2. Риск для НАЙС.ОС **medium**. Обновление является мажорным (`update_class: major`) и затрагивает функциональность замены переменных в README. Отказ от поддержки Python 3.7 может вызвать проблемы, если в дистрибутиве остались системы или контейнеры на этой версии, хотя для современных дистрибутивов это обычно приемлемо. Наличие флага `security_keywords_detected_by_script: True` требует обязательной проверки, несмотря на отсутствие явных CVE в тексте. ### 3. Security/CVE Во входных данных **нет** конкретных идентификаторов CVE или описаний уязвимостей. Флаг `security_keywords_detected_by_script: True` указывает на наличие потенциально опасных паттернов в коде или зависимостях, но без детального анализа исходного кода или логов сканера конкретную угрозу определить невозможно. ### 4. ABI/API риск Поскольку пакет является инструментом сборки (Hatch plugin) и не предоставляет публичного Python API для внешних приложений в привычном смысле, прямой ABI-риск минимален. Однако изменение логики обработки имени пакета (`$HFPR_PACKAGE_NAME` -> package name) может повлиять на генерируемые файлы README, если downstream-проекты полагаются на специфичное поведение предыдущей версии. Необходим ручной анализ изменений в логике обработки аргументов CLI. ### 5. Риск для RPM-сборки Отказ от поддержки Python 3.7 может привести к ошибкам сборки, если в `spec` файле или окружении сборки явно прописана поддержка Python 3.7 или если используются патчи, зависящие от поведения интерпретатора этой версии. Также стоит проверить, не требуются ли новые зависимости (не указаны в релиз-нотах, но возможны при мажорном обновлении). ### 6. Проверки мейнтейнера - [ ] Проверить, используется ли Python 3.7 в целевых архитектурах НАЙС.ОС. - [ ] Запустить локальную сборку пакета с новой версией в чистом окружении. - [ ] Проверить сгенерированные файлы README на корректность подстановки имен пакетов. - [ ] Провести статический анализ кода (или запросить у разработчика) для уточнения причины срабатывания детектора безопасности. - [ ] Убедиться, что все тесты пакета проходят успешно (`%check`). ### 7. Рекомендация **blocked manual review** ### 8. Основание рекомендации Обновление классифицировано как мажорное с изменением функциональности (логика замены переменных) и отказом от поддержки старой версии Python. Кроме того, скрипт безопасности зафиксировал подозрительные паттерны, но без детального отчета о CVE или уязвимости автоматическое обновление запрещено политикой безопасности. Требуется ручная оценка влияния на генерацию артефактов и проверка безопасности. ## Upstream release notes / description ## Highlights `$HFPR_PACKAGE_NAME` is now replaced by the package name (analogously to `$HFPR_VERSION`)! *Full changelog below!* ## Special Thanks This release would not be possible without my generous sponsors! Thank you to all of you making sustainable maintenance possible! If *you* would like to join them, go to <https://github.com/sponsors/hynek> and check out the sweet perks! ### Above and Beyond [Variomedia AG](https://www.variomedia.de/) (@[variomedia](https://github.com/variomedia)), [Tidelift](https://www.tidelift.com/) (@[tidelift](https://github.com/tidelift)), [Klaviyo](https://www.klaviyo.com) (@[klaviyo](https://github.com/klaviyo)), [Privacy Solutions GmbH](https://privacy-solutions.org) (@[privacy-solutions](https://github.com/privacy-solutions)), [Andreas Jung](https://www.zopyx.com) (@[zopyx](https://github.com/zopyx)), [FilePreviews](http://filepreviews.io/) (@[filepreviews](https://github.com/filepreviews)), Daniel Fortunov (@[asqui](https://github.com/asqui)), and Kevin P. Fleming (@[kpfleming](https://github.com/kpfleming)). ### Maintenance Sustainers [Buttondown](https://buttondown.com) (@[buttondown](https://github.com/buttondown)), [Christopher Dignam](https://christopher.xyz) (@[chdsbd](https://github.com/chdsbd)), Magnus Watn (@[magnuswatn](https://github.com/magnuswatn)), [David Cramer](https://cra.mr) (@[dcramer](https://github.com/dcramer)), Jesse Snyder (@[jessesnyder](https://github.com/jessesnyder)), [Rivo Laks](https://rivolaks.com) (@[rivol](https://github.com/rivol)), [Polar](https://polar.sh) (@[polarsource](https://github.com/polarsource)), [Mike Fiedler](https://www.miketheman.net) (@[miketheman](https://github.com/miketheman)), Duncan Hill (@[cricalix](https://github.com/cricalix)), Colin Marquardt (@[cmarqu](https://github.com/cmarqu)), [Pieter Swinkels](https://blog.journeythatcounts.nl) (@[swinkels](https://github.com/swinkels)), Nick Libertini (@[libertininick](https://github.com/libertininick)), [Brian M. Dennis](https://mpr.crossjam.net/) (@[crossjam](https://github.com/crossjam)), Moving Content AG (@[moving-content](https://github.com/moving-content)), [ProteinQure](https://proteinqure.com/) (@[ProteinQure](https://github.com/ProteinQure)), [The Westervelt Company](https://westervelt.com) (@[westerveltco](https://github.com/westerveltco)), [Sławomir Ehlert](https://slafs.net) (@[slafs](https://github.com/slafs)), Mostafa Khalil (@[khadrawy](https://github.com/khadrawy)), [Filip Mularczyk](https://fmularczyk.pl) (@[mukiblejlok](https://github.com/mukiblejlok)), Thomas Klinger (@[thmsklngr](https://github.com/thmsklngr)), [Andreas Poehlmann](https://poehlmann.io) (@[ap--](https://github.com/ap--)), [August Trapper Bigelow](https://atbigelow.com) (@[atbigelow](https://github.com/atbigelow)), [Carlton Gibson](https://noumenal.es/) (@[carltongibson](https://github.com/carltongibson)), and [Roboflow](https://roboflow.com) (@[roboflow](https://github.com/roboflow)). Not to forget 15 more amazing humans who chose to be generous but anonymous! ## Full Changelog ### Added - `$HFPR_PACKAGE_NAME` is now replaced by the package name in the PyPI readme. The version is not available in CLI mode, therefore it's replaced by the dummy value of `your-package`. [\#64](https://github.com/hynek/hatch-fancy-pypi-readme/pull/64) ### Removed - Support for Python 3.7. --- This release contains contributions from @hynek, and @robbieaverill. ## Artifact Attestations You can verify this release's [artifact attestions](https://docs.github.com/en/actions/security-guides/using-artifact-attestations-to-establish-provenance-for-builds) using [GitHub's CLI tool](https://cli.github.com) by downloading the sdist and wheel from [PyPI](https://pypi.org/project/hatch-fancy-pypi-readme) and running: ```console $ gh attestation verify --owner hynek hatch-fancy-pypi-readme-25.1.0.tar.gz ``` and ```console $ gh attestation verify --owner hynek hatch-fancy-pypi-readme-25.1.0-py3-none-any.whl ``` ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T22:50:26Z`
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
niceos-5.2
No results found.
Labels
Clear labels   
ai-summary
Issue contains local NiceSOFT AI generated preliminary analysis

  
bot
Created by automation

  
needs-build
Needs build verification

  
needs-triage
Needs maintainer triage

  
priority/high
High priority

  
security-release
Release notes mention security fixes or CVE

  
update/major
Major update

  
upstream-update
New upstream version is available

  
upstream/github
GitHub upstream

No labels
ai-summary
bot
needs-build
needs-triage
priority/high
security-release
update/major
upstream-update
upstream/github
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
rpms/python3-hatch-fancy-pypi-readme#1
No description provided.