Upstream update available: python3-setuptools-rust 1.10.2 → 1.12.1 #1

New issue

Open

opened 2026-04-28 02:04:37 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 02:04:37 +03:00

Owner

Upstream update available: `python3-setuptools-rust` `1.10.2` → `1.12.1`

Package

Package: python3-setuptools-rust
RPM name: python3-setuptools-rust
Branch: niceos-5.2
Current EVR: 1.10.2-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: PyO3/setuptools-rust
Upstream URL: https://github.com/PyO3/setuptools-rust
Detected version: 1.12.1
Tag/release: v1.12.1
Source: github_release_latest
Published: 2026-03-26T08:01:22Z
Release URL: https://github.com/PyO3/setuptools-rust/releases/tag/v1.12.1
Source URL: https://api.github.com/repos/PyO3/setuptools-rust/tarball/v1.12.1
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Это минорное обновление (1.10.2 → 1.12.1) пакета python3-setuptools-rust, включающее исправления совместимости с cargo-zigbuild, изоляцию логики артефактов universal2 и настройку доверенной публикации. Обновление не содержит явных признаков уязвимостей безопасности или критических изменений API согласно предоставленным заметкам.

2. Риск для НАЙС.ОС

low. Обновление классифицировано как минорное (minor) и относится к инструменту сборки (leaf), а не к runtime-библиотеке. Изменения касаются внутренней логики CI и совместимости с инструментами Rust, что обычно не влияет на стабильность установленных Python-пакетов в продакшене.

3. Security/CVE

Во входных данных отсутствуют признаки security/CVE. Поле security_keywords_detected_by_script равно False, а в release notes нет упоминаний исправлений уязвимостей (CVE, security fix, vulnerability).

4. ABI/API риск

Данных недостаточно для точной оценки ABI/API риска. Release notes описывают изменения в логике сборки (artifact-combination logic, target suffix stripping), которые влияют на процесс компиляции зависимостей Rust, но не указывают явно на публичные API-изменения. Для библиотек, использующих этот пакет для сборки нативных модулей, рекомендуется проверить, не изменился ли формат генерируемых артефактов.

5. Риск для RPM-сборки

Вероятность поломки сборки низкая, так как это обновление самого инструмента сборки. Однако изменения в обработке universal2 и суффиксов целей могут повлиять на корректность сборки пакетов, зависящих от setuptools-rust, если они используют специфичные конфигурации для этих платформ. В текущем пакете python3-setuptools-rust это скорее всего коснется только его внутренних тестов или мета-данных.

6. Проверки мейнтейнера

Убедиться, что python3-setuptools-rust используется только как инструмент сборки (BuildRequires) и не экспортируется как runtime-зависимость для пользователей.
Проверить, нет ли в specfile жестко зашитых версий или патчей, связанных с universal2 или cargo-zigbuild.
Запустить локальную сборку пакета python3-setuptools-rust в чистом окружении.
Проверить, не требуются ли новые зависимости (например, через pip install внутри сборки) для поддержки новых функций.

7. Рекомендация

update candidate

8. Основание рекомендации

Обновление является минорным, не затрагивает безопасность, и изменения в upstream направлены на улучшение совместимости инструментов сборки. Отсутствие блокирующих факторов и низкий уровень риска позволяют рекомендовать обновление как кандидата на внедрение после стандартных проверок сборки.

Upstream release notes / description

What's Changed

Isolate universal2 artifact-combination logic by @jakelishman in https://github.com/PyO3/setuptools-rust/pull/572
Strip target suffix for cargo-zigbuild compatibility by @bet4it in https://github.com/PyO3/setuptools-rust/pull/534
ci: configure trusted publishing by @davidhewitt in https://github.com/PyO3/setuptools-rust/pull/581

New Contributors

@jakelishman made their first contribution in https://github.com/PyO3/setuptools-rust/pull/572
@bet4it made their first contribution in https://github.com/PyO3/setuptools-rust/pull/534

Full Changelog: https://github.com/PyO3/setuptools-rust/compare/v1.12.0...v1.12.1

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T23:04:37Z

# Upstream update available: `python3-setuptools-rust` `1.10.2` → `1.12.1` ## Package - Package: `python3-setuptools-rust` - RPM name: `python3-setuptools-rust` - Branch: `niceos-5.2` - Current EVR: `1.10.2-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `PyO3/setuptools-rust` - Upstream URL: https://github.com/PyO3/setuptools-rust - Detected version: `1.12.1` - Tag/release: `v1.12.1` - Source: `github_release_latest` - Published: `2026-03-26T08:01:22Z` - Release URL: https://github.com/PyO3/setuptools-rust/releases/tag/v1.12.1 - Source URL: https://api.github.com/repos/PyO3/setuptools-rust/tarball/v1.12.1 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/minor, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Это минорное обновление (1.10.2 → 1.12.1) пакета `python3-setuptools-rust`, включающее исправления совместимости с `cargo-zigbuild`, изоляцию логики артефактов `universal2` и настройку доверенной публикации. Обновление не содержит явных признаков уязвимостей безопасности или критических изменений API согласно предоставленным заметкам. ### 2. Риск для НАЙС.ОС low. Обновление классифицировано как минорное (`minor`) и относится к инструменту сборки (`leaf`), а не к runtime-библиотеке. Изменения касаются внутренней логики CI и совместимости с инструментами Rust, что обычно не влияет на стабильность установленных Python-пакетов в продакшене. ### 3. Security/CVE Во входных данных отсутствуют признаки security/CVE. Поле `security_keywords_detected_by_script` равно `False`, а в release notes нет упоминаний исправлений уязвимостей (CVE, security fix, vulnerability). ### 4. ABI/API риск Данных недостаточно для точной оценки ABI/API риска. Release notes описывают изменения в логике сборки (`artifact-combination logic`, `target suffix stripping`), которые влияют на процесс компиляции зависимостей Rust, но не указывают явно на публичные API-изменения. Для библиотек, использующих этот пакет для сборки нативных модулей, рекомендуется проверить, не изменился ли формат генерируемых артефактов. ### 5. Риск для RPM-сборки Вероятность поломки сборки низкая, так как это обновление самого инструмента сборки. Однако изменения в обработке `universal2` и суффиксов целей могут повлиять на корректность сборки пакетов, зависящих от `setuptools-rust`, если они используют специфичные конфигурации для этих платформ. В текущем пакете `python3-setuptools-rust` это скорее всего коснется только его внутренних тестов или мета-данных. ### 6. Проверки мейнтейнера - [ ] Убедиться, что `python3-setuptools-rust` используется только как инструмент сборки (BuildRequires) и не экспортируется как runtime-зависимость для пользователей. - [ ] Проверить, нет ли в `specfile` жестко зашитых версий или патчей, связанных с `universal2` или `cargo-zigbuild`. - [ ] Запустить локальную сборку пакета `python3-setuptools-rust` в чистом окружении. - [ ] Проверить, не требуются ли новые зависимости (например, через `pip install` внутри сборки) для поддержки новых функций. ### 7. Рекомендация update candidate ### 8. Основание рекомендации Обновление является минорным, не затрагивает безопасность, и изменения в upstream направлены на улучшение совместимости инструментов сборки. Отсутствие блокирующих факторов и низкий уровень риска позволяют рекомендовать обновление как кандидата на внедрение после стандартных проверок сборки. ## Upstream release notes / description ## What's Changed * Isolate `universal2` artifact-combination logic by @jakelishman in https://github.com/PyO3/setuptools-rust/pull/572 * Strip target suffix for cargo-zigbuild compatibility by @bet4it in https://github.com/PyO3/setuptools-rust/pull/534 * ci: configure trusted publishing by @davidhewitt in https://github.com/PyO3/setuptools-rust/pull/581 ## New Contributors * @jakelishman made their first contribution in https://github.com/PyO3/setuptools-rust/pull/572 * @bet4it made their first contribution in https://github.com/PyO3/setuptools-rust/pull/534 **Full Changelog**: https://github.com/PyO3/setuptools-rust/compare/v1.12.0...v1.12.1 ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:04:37Z`

sbelikov added the

labels

2026-04-28 02:04:37 +03:00