rpms/python3-urllib3

Fork 0

Upstream update available: python3-urllib3 2.2.2 → 2.6.3 #1

New issue

Open

opened 2026-04-28 02:08:40 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 02:08:40 +03:00

Owner

Upstream update available: `python3-urllib3` `2.2.2` → `2.6.3`

Package

Package: python3-urllib3
RPM name: python3-urllib3
Branch: niceos-5.2
Current EVR: 2.2.2-1
Update class: minor
Compare method: python_rpm
Update policy: leaf
Risk tags: standard

Upstream

Upstream type: pypi
Upstream project: -
Upstream URL: https://files.pythonhosted.org/packages/source/u/urllib3/urllib3-2.2.2.tar.gz
Detected version: 2.6.3
Tag/release: 2.6.3
Source: pypi_json
Published: 2026-01-07T16:24:43.925891Z
Release URL: https://pypi.org/project/urllib3/
Source URL: https://files.pythonhosted.org/packages/c7/24/5f1b3bdffd70275f6661c76461e25f024d5a38a46f04aaca912426a2b1d3/urllib3-2.6.3.tar.gz
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/pypi

NiceSOFT AI preliminary analysis

1. Краткий вывод

Доступны данные о переходе пакета python3-urllib3 с версии 2.2.2 до 2.6.3, однако предоставленный текст релиз-нот содержит только общую информацию о проекте и отсутствии конкретных изменений в коде между этими версиями. Скрипты безопасности зафиксировали потенциальные угрозы, но конкретные CVE или детали уязвимостей не указаны во входных данных.

2. Риск для НАЙС.ОС

medium. Обновление помечено как minor, но скрипты безопасности (security_keywords_detected_by_script: True) выявили потенциальные проблемы. Отсутствие детального списка исправленных уязвимостей или изменений в API в предоставленном тексте делает невозможным оценку реального уровня риска без дополнительной информации.

3. Security/CVE

Во входных данных нет конкретных идентификаторов CVE, описаний уязвимостей или списка исправленных багов. Флаг security_keywords_detected_by_script: True указывает на наличие подозрительных паттернов, но их природа неизвестна.

4. ABI/API риск

Данных недостаточно для оценки рисков изменения ABI/API. Текст релиз-нот не содержит информации о breaking changes, изменении сигнатур функций или миграции зависимостей между версиями 2.2.2 и 2.6.3. Требуется ручной анализ diff кода или changelog.

5. Риск для RPM-сборки

Возможен риск несовместимости при сборке, если новая версия требует новых версий зависимостей (например, python3, cryptography), которые не указаны в BuildRequires. Также возможен провал тестов %check, если поведение библиотеки изменилось критично для тестового окружения дистрибутива.

6. Проверки мейнтейнера

Запросить полный список изменений (changelog) или diff между версиями 2.2.2 и 2.6.3.
Уточнить, какие именно триггеры сработали в скрипте безопасности.
Проверить совместимость новой версии с текущей базой зависимостей RPM-дистрибутива.
Провести локальную сборку и запуск тестов (%check) в изолированном окружении.

7. Рекомендация

blocked manual review

8. Основание рекомендации

Автоматическое обновление невозможно из-за отсутствия детальной информации о содержании обновления и наличии флагов безопасности. Требуется ручная проверка мейнтейнером для исключения скрытых breaking changes и подтверждения природы обнаруженных угроз перед включением в репозиторий.

Upstream release notes / description

HTTP library with thread-safe connection pooling, file post, and more.

urllib3 is a powerful, user-friendly HTTP client for Python.
urllib3 brings many critical features that are missing from the Python
standard libraries:

Thread safety.
Connection pooling.
Client-side SSL/TLS verification.
File uploads with multipart encoding.
Helpers for retrying requests and dealing with HTTP redirects.
Support for gzip, deflate, brotli, and zstd encoding.
Proxy support for HTTP and SOCKS.
100% test coverage.

... and many more features, but most importantly: Our maintainers have a 15+
year track record of maintaining urllib3 with the highest code standards and
attention to security and safety.

Much of the Python ecosystem already uses urllib3
and you should too.

Installing

urllib3 can be installed with pip:

$ python -m pip install urllib3

Alternatively, you can grab the latest source code from GitHub:

$ git clone https://github.com/urllib3/urllib3.git
$ cd urllib3
$ pip install .

Getting Started

urllib3 is easy to use:

>>> import urllib3
>>> resp = urllib3.request("GET", "http://httpbin.org/robots.txt")
>>> resp.status
200
>>> resp.data
b"User-agent: *\nDisallow: /deny\n"

urllib3 has usage and reference documentation at urllib3.readthedocs.io.

Community

urllib3 has a community Discord channel for asking questions and
collaborating with other contributors. Drop by and say hello 👋

Contributing

urllib3 happily accepts contributions. Please see our
contributing documentation
for some tips on getting started.

Security Disclosures

To report a security vulnerability, please use the
Tidelift security contact.
Tidelift will coordinate the fix and disclosure with maintainers.

Maintainers

Meet our maintainers since 2008:

Current Lead: @illia-v (Illia Volochii)
@sethmlarson (Seth M. Larson)
@pquentin (Quentin Pradet)
@theacodes (Thea Flowers)
@haikuginger (Jess Shapiro)
@lukasa (Cory Benfield)
[@si

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 1.4
Generated at: 2026-04-27T23:08:40Z

# Upstream update available: `python3-urllib3` `2.2.2` → `2.6.3` ## Package - Package: `python3-urllib3` - RPM name: `python3-urllib3` - Branch: `niceos-5.2` - Current EVR: `2.2.2-1` - Update class: `minor` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `standard` ## Upstream - Upstream type: `pypi` - Upstream project: `-` - Upstream URL: https://files.pythonhosted.org/packages/source/u/urllib3/urllib3-2.2.2.tar.gz - Detected version: `2.6.3` - Tag/release: `2.6.3` - Source: `pypi_json` - Published: `2026-01-07T16:24:43.925891Z` - Release URL: https://pypi.org/project/urllib3/ - Source URL: https://files.pythonhosted.org/packages/c7/24/5f1b3bdffd70275f6661c76461e25f024d5a38a46f04aaca912426a2b1d3/urllib3-2.6.3.tar.gz - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/minor, upstream-update, upstream/pypi` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Доступны данные о переходе пакета `python3-urllib3` с версии 2.2.2 до 2.6.3, однако предоставленный текст релиз-нот содержит только общую информацию о проекте и отсутствии конкретных изменений в коде между этими версиями. Скрипты безопасности зафиксировали потенциальные угрозы, но конкретные CVE или детали уязвимостей не указаны во входных данных. ### 2. Риск для НАЙС.ОС **medium**. Обновление помечено как `minor`, но скрипты безопасности (`security_keywords_detected_by_script: True`) выявили потенциальные проблемы. Отсутствие детального списка исправленных уязвимостей или изменений в API в предоставленном тексте делает невозможным оценку реального уровня риска без дополнительной информации. ### 3. Security/CVE Во входных данных **нет** конкретных идентификаторов CVE, описаний уязвимостей или списка исправленных багов. Флаг `security_keywords_detected_by_script: True` указывает на наличие подозрительных паттернов, но их природа неизвестна. ### 4. ABI/API риск Данных недостаточно для оценки рисков изменения ABI/API. Текст релиз-нот не содержит информации о breaking changes, изменении сигнатур функций или миграции зависимостей между версиями 2.2.2 и 2.6.3. Требуется ручной анализ diff кода или changelog. ### 5. Риск для RPM-сборки Возможен риск несовместимости при сборке, если новая версия требует новых версий зависимостей (например, `python3`, `cryptography`), которые не указаны в `BuildRequires`. Также возможен провал тестов `%check`, если поведение библиотеки изменилось критично для тестового окружения дистрибутива. ### 6. Проверки мейнтейнера - Запросить полный список изменений (changelog) или diff между версиями 2.2.2 и 2.6.3. - Уточнить, какие именно триггеры сработали в скрипте безопасности. - Проверить совместимость новой версии с текущей базой зависимостей RPM-дистрибутива. - Провести локальную сборку и запуск тестов (`%check`) в изолированном окружении. ### 7. Рекомендация blocked manual review ### 8. Основание рекомендации Автоматическое обновление невозможно из-за отсутствия детальной информации о содержании обновления и наличии флагов безопасности. Требуется ручная проверка мейнтейнером для исключения скрытых breaking changes и подтверждения природы обнаруженных угроз перед включением в репозиторий. ## Upstream release notes / description HTTP library with thread-safe connection pooling, file post, and more. <h1 align="center"> ![urllib3](https://github.com/urllib3/urllib3/raw/main/docs/_static/banner_github.svg) </h1> <p align="center"> <a href="https://pypi.org/project/urllib3"><img alt="PyPI Version" src="https://img.shields.io/pypi/v/urllib3.svg?maxAge=86400" /></a> <a href="https://pypi.org/project/urllib3"><img alt="Python Versions" src="https://img.shields.io/pypi/pyversions/urllib3.svg?maxAge=86400" /></a> <a href="https://discord.gg/urllib3"><img alt="Join our Discord" src="https://img.shields.io/discord/756342717725933608?color=%237289da&label=discord" /></a> <a href="https://github.com/urllib3/urllib3/actions?query=workflow%3ACI"><img alt="Coverage Status" src="https://img.shields.io/badge/coverage-100%25-success" /></a> <a href="https://github.com/urllib3/urllib3/actions/workflows/ci.yml?query=branch%3Amain"><img alt="Build Status on GitHub" src="https://github.com/urllib3/urllib3/actions/workflows/ci.yml/badge.svg?branch:main&workflow:CI" /></a> <a href="https://urllib3.readthedocs.io"><img alt="Documentation Status" src="https://readthedocs.org/projects/urllib3/badge/?version=latest" /></a><br> <a href="https://deps.dev/pypi/urllib3"><img alt="OpenSSF Scorecard" src="https://api.securityscorecards.dev/projects/github.com/urllib3/urllib3/badge" /></a> <a href="https://slsa.dev"><img alt="SLSA 3" src="https://slsa.dev/images/gh-badge-level3.svg" /></a> <a href="https://bestpractices.coreinfrastructure.org/projects/6227"><img alt="CII Best Practices" src="https://bestpractices.coreinfrastructure.org/projects/6227/badge" /></a> </p> urllib3 is a powerful, *user-friendly* HTTP client for Python. urllib3 brings many critical features that are missing from the Python standard libraries: - Thread safety. - Connection pooling. - Client-side SSL/TLS verification. - File uploads with multipart encoding. - Helpers for retrying requests and dealing with HTTP redirects. - Support for gzip, deflate, brotli, and zstd encoding. - Proxy support for HTTP and SOCKS. - 100% test coverage. ... and many more features, but most importantly: Our maintainers have a 15+ year track record of maintaining urllib3 with the highest code standards and attention to security and safety. [Much of the Python ecosystem already uses urllib3](https://urllib3.readthedocs.io/en/stable/#who-uses) and you should too. ## Installing urllib3 can be installed with [pip](https://pip.pypa.io): ```bash $ python -m pip install urllib3 ``` Alternatively, you can grab the latest source code from [GitHub](https://github.com/urllib3/urllib3): ```bash $ git clone https://github.com/urllib3/urllib3.git $ cd urllib3 $ pip install . ``` ## Getting Started urllib3 is easy to use: ```python3 >>> import urllib3 >>> resp = urllib3.request("GET", "http://httpbin.org/robots.txt") >>> resp.status 200 >>> resp.data b"User-agent: *\nDisallow: /deny\n" ``` urllib3 has usage and reference documentation at [urllib3.readthedocs.io](https://urllib3.readthedocs.io). ## Community urllib3 has a [community Discord channel](https://discord.gg/urllib3) for asking questions and collaborating with other contributors. Drop by and say hello 👋 ## Contributing urllib3 happily accepts contributions. Please see our [contributing documentation](https://urllib3.readthedocs.io/en/latest/contributing.html) for some tips on getting started. ## Security Disclosures To report a security vulnerability, please use the [Tidelift security contact](https://tidelift.com/security). Tidelift will coordinate the fix and disclosure with maintainers. ## Maintainers Meet our maintainers since 2008: - Current Lead: [@illia-v](https://github.com/illia-v) (Illia Volochii) - [@sethmlarson](https://github.com/sethmlarson) (Seth M. Larson) - [@pquentin](https://github.com/pquentin) (Quentin Pradet) - [@theacodes](https://github.com/theacodes) (Thea Flowers) - [@haikuginger](https://github.com/haikuginger) (Jess Shapiro) - [@lukasa](https://github.com/lukasa) (Cory Benfield) - [@si ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:08:40Z`

sbelikov added the

labels

2026-04-28 02:08:40 +03:00