rpms/python3-numpy

Fork 0

Upstream update available: python3-numpy 2.4.0 → 2.4.4 #1

New issue

Open

opened 2026-04-28 01:56:45 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 01:56:45 +03:00

Owner

Upstream update available: `python3-numpy` `2.4.0` → `2.4.4`

Package

Package: python3-numpy
RPM name: python3-numpy
Branch: niceos-5.2
Current EVR: 2.4.0-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: standard

Upstream

Upstream type: pypi
Upstream project: -
Upstream URL: https://files.pythonhosted.org/packages/source/n/numpy/numpy-2.4.0.tar.gz
Detected version: 2.4.4
Tag/release: 2.4.4
Source: pypi_json
Published: 2026-03-29T13:22:01.298989Z
Release URL: https://pypi.org/project/numpy/
Source URL: https://files.pythonhosted.org/packages/d7/9f/b8cef5bffa569759033adda9481211426f12f53299629b410340795c2514/numpy-2.4.4.tar.gz
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/pypi

NiceSOFT AI preliminary analysis

1. Краткий вывод

Доступны данные о переходе с версии 2.4.0 на 2.4.4 пакета python3-numpy, классифицированного как патч-обновление с флагом обнаружения ключевых слов безопасности. В предоставленных релиз-нотах отсутствует детальный список исправленных уязвимостей или изменений в интерфейсе, что требует дополнительной проверки.

2. Риск для НАЙС.ОС

medium. Обновление помечено скриптом как содержащее security-ключевые слова, однако отсутствие конкретных деталей в релиз-нотах не позволяет оценить критичность. Для фундаментальной библиотеки научных вычислений любые изменения могут повлиять на зависимые приложения, поэтому автоматическое применение рискованно без верификации.

3. Security/CVE

Во входных данных нет явных упоминаний конкретных CVE, номеров уязвимостей или описаний эксплойтов. Флаг security_keywords_detected_by_script: True указывает лишь на наличие триггерных слов в тексте, но не подтверждает наличие реальной уязвимости или её исправления.

4. ABI/API риск

Данных недостаточно для оценки риска изменений ABI/API. Переход между версиями 2.4.x может включать скрытые изменения в сигнатурах функций или структуре объектов, которые не всегда явно описываются в общих релиз-нотах. Необходим ручной анализ diff исходного кода или changelog.

5. Риск для RPM-сборки

Возможен риск неудачи сборки из-за изменений в требованиях (BuildRequires) или сценариях тестирования (%check), если upstream изменил зависимости от инструментов тестирования (например, pytest или hypothesis). Также возможно изменение формата метаданных, влияющее на проверку целостности.

6. Проверки мейнтейнера

Запросить полный список исправленных CVE и описание изменений в интерфейсе у upstream или через git-diff.
Провести локальную сборку RPM с использованием новой версии источника.
Выполнить %check секцию сборки и запускать тесты пакета.
Проверить совместимость с зависимыми пакетами дистрибутива НАЙС.ОС (особенно те, что используют NumPy в качестве бэкенда).
Убедиться, что скрипт безопасности не дал ложноположительного срабатывания.

7. Рекомендация

blocked manual review

8. Основание рекомендации

Несмотря на статус "patch", наличие флага безопасности и отсутствие детального описания изменений в релиз-нотах делают автоматическое обновление невозможным. Требуется ручная проверка списка исправленных уязвимостей и влияния на ABI перед принятием обновления.

Upstream release notes / description

Fundamental package for array computing in Python

NumPy is the fundamental package for scientific computing with Python.

Website: https://numpy.org
Documentation: https://numpy.org/doc
Mailing list: https://mail.python.org/mailman/listinfo/numpy-discussion
Source code: https://github.com/numpy/numpy
Contributing: https://numpy.org/devdocs/dev/index.html
Bug reports: https://github.com/numpy/numpy/issues
Report a security vulnerability: https://tidelift.com/docs/security

It provides:

a powerful N-dimensional array object
sophisticated (broadcasting) functions
tools for integrating C/C++ and Fortran code
useful linear algebra, Fourier transform, and random number capabilities

Testing:

NumPy requires pytest and hypothesis. Tests can then be run after installation with:

python -c "import numpy, sys; sys.exit(numpy.test() is False)"

Code of Conduct

NumPy is a community-driven open source project developed by a diverse group of
contributors. The NumPy leadership has made a strong
commitment to creating an open, inclusive, and positive community. Please read the
NumPy Code of Conduct for guidance on how to interact
with others in a way that makes our community thrive.

Call for Contributions

The NumPy project welcomes your expertise and enthusiasm!

Small improvements or fixes are always appreciated. If you are considering larger contributions
to the source code, please contact us through the mailing
list first.

Writing code isn’t the only way to contribute to NumPy. You can also:

review pull requests
help us stay on top of new and old issues
develop tutorials, presentations, and other educational materials
maintain and improve our website
develop graphic design for our brand assets and promotional materials
translate website content
help with outreach and onboard new contributors
write grant proposals and help with other fundraising efforts

For more information about the ways you can contribute to NumPy, visit our website.
If you’re unsure where to start or how your skills fit in, reach out! You can
ask on the mailing list or here, on GitHub, by opening a new issue or leaving a
comment on a relevant issue that is already open.

Our preferred channels of communication are all public, but if you’d like to
speak to us in private first, contact our community coordinators at
numpy-team@googlegroups.com or on Slack (write numpy-team@googlegroups.com for
an invitation).

We also have a biweekly community call, details of which are announced on the
mailing list.

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T22:56:45Z

# Upstream update available: `python3-numpy` `2.4.0` → `2.4.4` ## Package - Package: `python3-numpy` - RPM name: `python3-numpy` - Branch: `niceos-5.2` - Current EVR: `2.4.0-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `standard` ## Upstream - Upstream type: `pypi` - Upstream project: `-` - Upstream URL: https://files.pythonhosted.org/packages/source/n/numpy/numpy-2.4.0.tar.gz - Detected version: `2.4.4` - Tag/release: `2.4.4` - Source: `pypi_json` - Published: `2026-03-29T13:22:01.298989Z` - Release URL: https://pypi.org/project/numpy/ - Source URL: https://files.pythonhosted.org/packages/d7/9f/b8cef5bffa569759033adda9481211426f12f53299629b410340795c2514/numpy-2.4.4.tar.gz - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/pypi` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Доступны данные о переходе с версии 2.4.0 на 2.4.4 пакета `python3-numpy`, классифицированного как патч-обновление с флагом обнаружения ключевых слов безопасности. В предоставленных релиз-нотах отсутствует детальный список исправленных уязвимостей или изменений в интерфейсе, что требует дополнительной проверки. ### 2. Риск для НАЙС.ОС **medium**. Обновление помечено скриптом как содержащее security-ключевые слова, однако отсутствие конкретных деталей в релиз-нотах не позволяет оценить критичность. Для фундаментальной библиотеки научных вычислений любые изменения могут повлиять на зависимые приложения, поэтому автоматическое применение рискованно без верификации. ### 3. Security/CVE Во входных данных **нет** явных упоминаний конкретных CVE, номеров уязвимостей или описаний эксплойтов. Флаг `security_keywords_detected_by_script: True` указывает лишь на наличие триггерных слов в тексте, но не подтверждает наличие реальной уязвимости или её исправления. ### 4. ABI/API риск Данных недостаточно для оценки риска изменений ABI/API. Переход между версиями 2.4.x может включать скрытые изменения в сигнатурах функций или структуре объектов, которые не всегда явно описываются в общих релиз-нотах. Необходим ручной анализ diff исходного кода или changelog. ### 5. Риск для RPM-сборки Возможен риск неудачи сборки из-за изменений в требованиях (`BuildRequires`) или сценариях тестирования (`%check`), если upstream изменил зависимости от инструментов тестирования (например, `pytest` или `hypothesis`). Также возможно изменение формата метаданных, влияющее на проверку целостности. ### 6. Проверки мейнтейнера - Запросить полный список исправленных CVE и описание изменений в интерфейсе у upstream или через git-diff. - Провести локальную сборку RPM с использованием новой версии источника. - Выполнить `%check` секцию сборки и запускать тесты пакета. - Проверить совместимость с зависимыми пакетами дистрибутива НАЙС.ОС (особенно те, что используют NumPy в качестве бэкенда). - Убедиться, что скрипт безопасности не дал ложноположительного срабатывания. ### 7. Рекомендация blocked manual review ### 8. Основание рекомендации Несмотря на статус "patch", наличие флага безопасности и отсутствие детального описания изменений в релиз-нотах делают автоматическое обновление невозможным. Требуется ручная проверка списка исправленных уязвимостей и влияния на ABI перед принятием обновления. ## Upstream release notes / description Fundamental package for array computing in Python <h1 align="center"> <img src="https://raw.githubusercontent.com/numpy/numpy/main/branding/logo/primary/numpylogo.svg" width="300"> </h1><br> [![Powered by NumFOCUS](https://img.shields.io/badge/powered%20by-NumFOCUS-orange.svg?style=flat&colorA=E1523D&colorB=007D8A)]( https://numfocus.org) [![PyPI Downloads](https://img.shields.io/pypi/dm/numpy.svg?label=PyPI%20downloads)]( https://pypi.org/project/numpy/) [![Conda Downloads](https://img.shields.io/conda/dn/conda-forge/numpy.svg?label=Conda%20downloads)]( https://anaconda.org/conda-forge/numpy) [![Stack Overflow](https://img.shields.io/badge/stackoverflow-Ask%20questions-blue.svg)]( https://stackoverflow.com/questions/tagged/numpy) [![Nature Paper](https://img.shields.io/badge/DOI-10.1038%2Fs41586--020--2649--2-blue)]( https://doi.org/10.1038/s41586-020-2649-2) [![LFX Health Score](https://insights.linuxfoundation.org/api/badge/health-score?project=numpy)](https://insights.linuxfoundation.org/project/numpy) [![OpenSSF Scorecard](https://api.securityscorecards.dev/projects/github.com/numpy/numpy/badge)](https://securityscorecards.dev/viewer/?uri=github.com/numpy/numpy) [![Typing](https://img.shields.io/pypi/types/numpy)](https://pypi.org/project/numpy/) NumPy is the fundamental package for scientific computing with Python. - **Website:** https://numpy.org - **Documentation:** https://numpy.org/doc - **Mailing list:** https://mail.python.org/mailman/listinfo/numpy-discussion - **Source code:** https://github.com/numpy/numpy - **Contributing:** https://numpy.org/devdocs/dev/index.html - **Bug reports:** https://github.com/numpy/numpy/issues - **Report a security vulnerability:** https://tidelift.com/docs/security It provides: - a powerful N-dimensional array object - sophisticated (broadcasting) functions - tools for integrating C/C++ and Fortran code - useful linear algebra, Fourier transform, and random number capabilities Testing: NumPy requires `pytest` and `hypothesis`. Tests can then be run after installation with: python -c "import numpy, sys; sys.exit(numpy.test() is False)" Code of Conduct ---------------------- NumPy is a community-driven open source project developed by a diverse group of [contributors](https://numpy.org/teams/). The NumPy leadership has made a strong commitment to creating an open, inclusive, and positive community. Please read the [NumPy Code of Conduct](https://numpy.org/code-of-conduct/) for guidance on how to interact with others in a way that makes our community thrive. Call for Contributions ---------------------- The NumPy project welcomes your expertise and enthusiasm! Small improvements or fixes are always appreciated. If you are considering larger contributions to the source code, please contact us through the [mailing list](https://mail.python.org/mailman/listinfo/numpy-discussion) first. Writing code isn’t the only way to contribute to NumPy. You can also: - review pull requests - help us stay on top of new and old issues - develop tutorials, presentations, and other educational materials - maintain and improve [our website](https://github.com/numpy/numpy.org) - develop graphic design for our brand assets and promotional materials - translate website content - help with outreach and onboard new contributors - write grant proposals and help with other fundraising efforts For more information about the ways you can contribute to NumPy, visit [our website](https://numpy.org/contribute/). If you’re unsure where to start or how your skills fit in, reach out! You can ask on the mailing list or here, on GitHub, by opening a new issue or leaving a comment on a relevant issue that is already open. Our preferred channels of communication are all public, but if you’d like to speak to us in private first, contact our community coordinators at numpy-team@googlegroups.com or on Slack (write numpy-team@googlegroups.com for an invitation). We also have a biweekly community call, details of which are announced on the mailing list. ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T22:56:45Z`

sbelikov added the

labels

2026-04-28 01:56:45 +03:00