rpms/rootlesskit
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions

Upstream update available: rootlesskit 2.3.5 → 3.0.0 #1

New issue
Open
opened 2026-04-28 02:12:42 +03:00 by sbelikov · 0 comments
sbelikov commented 2026-04-28 02:12:42 +03:00
Owner
Copy link

Upstream update available: rootlesskit 2.3.53.0.0

Package

  • Package: rootlesskit
  • RPM name: rootlesskit
  • Branch: niceos-5.2
  • Current EVR: 2.3.5-1
  • Update class: major
  • Compare method: python_rpm
  • Update policy: leaf
  • Risk tags: github-upstream

Upstream

Signals

  • Security-relevant keywords detected: False
  • Policy blocked: False
  • Policy reason: -
  • Labels: ai-summary, bot, needs-build, needs-triage, priority/high, update/major, upstream-update, upstream/github

NiceSOFT AI preliminary analysis

1. Краткий вывод

Это мажорное обновление (2.3.5 → 3.0.0) пакета rootlesskit с добавлением новых сетевых драйверов (gvisor-tap-vsock) и изменением логики сохранения IP-адресов. Обновление классифицировано как major, что подразумевает потенциальные изменения в интерфейсе или поведении, требующие проверки совместимости.

2. Риск для НАЙС.ОС

medium.
Обновление является мажорным (major), что часто указывает на изменение API или ABI. Добавление новых опций запуска (--userland-proxy=false) и изменение поведения по умолчанию при сохранении IP могут нарушить работу зависимых приложений (например, Docker в rootless-режиме), если они не адаптированы под новые требования.

3. Security/CVE

Во входных данных отсутствуют явные упоминания CVE, уязвимостей безопасности или ключевых слов, связанных с безопасностью (security_keywords_detected_by_script: False). Новые функции (gvisor-tap-vsock) добавлены, но их влияние на безопасность требует отдельного анализа, а не прямого указания в release notes.

4. ABI/API риск

Вероятен высокий риск изменений ABI/API. Переход с версии 2.x на 3.x при наличии тегов major и изменении логики работы с сетевыми драйверами (IP_TRANSPARENT) может повлиять на бинарные интерфейсы или конфигурационные файлы. Необходим ручной анализ изменений в коде и проверке совместимости с текущими версиями зависимостей (например, Docker rootless shim).

5. Риск для RPM-сборки

Возможны проблемы со сборкой, если новые build tags (#533) требуют специфических флагов компиляции или дополнительных зависимостей, не указанных в текущем specfile. Также возможно нарушение %check тестов из-за изменений в поведении программы. Необходимо проверить наличие BuildRequires для новых компонентов (если они требуются для сборки) и корректность сгенерированных файлов конфигурации.

6. Проверки мейнтейнера

  • Проверить наличие и актуальность SHA256SUMS файла и его хеша в релизе.
  • Провести сравнение specfile с upstream-репозиторием на предмет новых BuildRequires или изменений в %build секции.
  • Проверить работу пакета в изолированной среде с активными клиентами (Docker, Podman) в rootless-режиме.
  • Убедиться, что новые опции командной строки (--userland-proxy=false) не ломают существующие сценарии запуска.
  • Проверить отсутствие конфликтов с другими пакетами, использующими rootlesskit.

7. Рекомендация

blocked manual review

8. Основание рекомендации

Мажорное обновление критически важного инструмента контейнеризации с изменениями в сетевом стеке и поведении по умолчанию не подходит для автоматического применения. Требуется ручная проверка совместимости с текущей базой дистрибутива и тестирование в production-like среде перед включением в репозиторий.

Upstream release notes / description

Changes

  • Add gvisor-tap-vsock network and port drivers (#515 #522, thanks to @fahedouch)
  • Preserve real client source IP in builtin port driver via IP_TRANSPARENT (#565, #577)
    • For Docker, preserving the source IP requires running dockerd-rootless.sh with --userland-proxy=false
  • rootlesskit-docker-proxy: postpone removal to v4 (#569)
  • Add build tags (#533, thanks to @fahedouch)

Full changes: https://github.com/rootless-containers/rootlesskit/milestone/16?closed=1
Thanks to @arshia-rgh @fahedouch @yoshikawa

Install

mkdir -p ~/bin
curl -sSL https://github.com/rootless-containers/rootlesskit/releases/download/v3.0.0/rootlesskit-$(uname -m).tar.gz | tar Cxzv ~/bin

About the binaries

The binaries were built automatically on GitHub Actions.
See the log to verify SHA256SUMS.
https://github.com/rootless-containers/rootlesskit/actions/runs/24208120213
The sha256sum of the SHA256SUMS file itself is 3c19a202bb653cc079a4dacc7f3c47f21161a4784d504f85ebaddc089c9cce8d .

NiceOS maintainer checklist

  • Confirm that the detected version is a stable upstream release.
  • Check upstream changelog for security fixes, ABI/API changes and build-system changes.
  • Check ABI/API compatibility and reverse dependencies.
  • Download source into NiceOS lookaside storage.
  • Update Version and related fields in SPECS/*.spec only if policy allows it.
  • Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
  • Build SRPM/RPM in a clean NiceOS buildroot.
  • Run package smoke tests.
  • Link PR/build logs and close this issue after update or triage.

Bot metadata

  • Tool: niceos_upstream_monitor.py 1.4
  • Generated at: 2026-04-27T23:12:41Z
<!-- niceos-upstream-monitor:fingerprint=upstream-update:rootlesskit:3.0.0 --> <!-- niceos-upstream-monitor:package=rootlesskit --> <!-- niceos-upstream-monitor:current=2.3.5 --> <!-- niceos-upstream-monitor:latest=3.0.0 --> # Upstream update available: `rootlesskit` `2.3.5` → `3.0.0` ## Package - Package: `rootlesskit` - RPM name: `rootlesskit` - Branch: `niceos-5.2` - Current EVR: `2.3.5-1` - Update class: `major` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `rootless-containers/rootlesskit` - Upstream URL: https://github.com/rootless-containers/rootlesskit - Detected version: `3.0.0` - Tag/release: `v3.0.0` - Source: `github_release_latest` - Published: `2026-04-09T19:05:48Z` - Release URL: https://github.com/rootless-containers/rootlesskit/releases/tag/v3.0.0 - Source URL: https://api.github.com/repos/rootless-containers/rootlesskit/tarball/v3.0.0 - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, update/major, upstream-update, upstream/github` ## NiceSOFT AI preliminary analysis ### 1. Краткий вывод Это мажорное обновление (2.3.5 → 3.0.0) пакета rootlesskit с добавлением новых сетевых драйверов (`gvisor-tap-vsock`) и изменением логики сохранения IP-адресов. Обновление классифицировано как `major`, что подразумевает потенциальные изменения в интерфейсе или поведении, требующие проверки совместимости. ### 2. Риск для НАЙС.ОС **medium**. Обновление является мажорным (major), что часто указывает на изменение API или ABI. Добавление новых опций запуска (`--userland-proxy=false`) и изменение поведения по умолчанию при сохранении IP могут нарушить работу зависимых приложений (например, Docker в rootless-режиме), если они не адаптированы под новые требования. ### 3. Security/CVE Во входных данных отсутствуют явные упоминания CVE, уязвимостей безопасности или ключевых слов, связанных с безопасностью (`security_keywords_detected_by_script: False`). Новые функции (`gvisor-tap-vsock`) добавлены, но их влияние на безопасность требует отдельного анализа, а не прямого указания в release notes. ### 4. ABI/API риск Вероятен высокий риск изменений ABI/API. Переход с версии 2.x на 3.x при наличии тегов `major` и изменении логики работы с сетевыми драйверами (`IP_TRANSPARENT`) может повлиять на бинарные интерфейсы или конфигурационные файлы. Необходим ручной анализ изменений в коде и проверке совместимости с текущими версиями зависимостей (например, Docker rootless shim). ### 5. Риск для RPM-сборки Возможны проблемы со сборкой, если новые build tags (`#533`) требуют специфических флагов компиляции или дополнительных зависимостей, не указанных в текущем `specfile`. Также возможно нарушение `%check` тестов из-за изменений в поведении программы. Необходимо проверить наличие `BuildRequires` для новых компонентов (если они требуются для сборки) и корректность сгенерированных файлов конфигурации. ### 6. Проверки мейнтейнера - [ ] Проверить наличие и актуальность `SHA256SUMS` файла и его хеша в релизе. - [ ] Провести сравнение `specfile` с upstream-репозиторием на предмет новых `BuildRequires` или изменений в `%build` секции. - [ ] Проверить работу пакета в изолированной среде с активными клиентами (Docker, Podman) в rootless-режиме. - [ ] Убедиться, что новые опции командной строки (`--userland-proxy=false`) не ломают существующие сценарии запуска. - [ ] Проверить отсутствие конфликтов с другими пакетами, использующими rootlesskit. ### 7. Рекомендация **blocked manual review** ### 8. Основание рекомендации Мажорное обновление критически важного инструмента контейнеризации с изменениями в сетевом стеке и поведении по умолчанию не подходит для автоматического применения. Требуется ручная проверка совместимости с текущей базой дистрибутива и тестирование в production-like среде перед включением в репозиторий. ## Upstream release notes / description #### Changes - Add `gvisor-tap-vsock` network and port drivers (#515 #522, thanks to @fahedouch) - Preserve real client source IP in builtin port driver via IP_TRANSPARENT (#565, #577) - For Docker, preserving the source IP requires running `dockerd-rootless.sh` with `--userland-proxy=false` - rootlesskit-docker-proxy: postpone removal to v4 (#569) - Add build tags (#533, thanks to @fahedouch) Full changes: https://github.com/rootless-containers/rootlesskit/milestone/16?closed=1 Thanks to @arshia-rgh @fahedouch @yoshikawa #### Install ``` mkdir -p ~/bin curl -sSL https://github.com/rootless-containers/rootlesskit/releases/download/v3.0.0/rootlesskit-$(uname -m).tar.gz | tar Cxzv ~/bin ``` #### About the binaries The binaries were built automatically on GitHub Actions. See the log to verify SHA256SUMS. https://github.com/rootless-containers/rootlesskit/actions/runs/24208120213 The sha256sum of the SHA256SUMS file itself is 3c19a202bb653cc079a4dacc7f3c47f21161a4784d504f85ebaddc089c9cce8d . ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 1.4` - Generated at: `2026-04-27T23:12:41Z`
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
niceos-5.2
No results found.
Labels
Clear labels   
ai-summary
Issue contains local NiceSOFT AI generated preliminary analysis

  
bot
Created by automation

  
needs-build
Needs build verification

  
needs-triage
Needs maintainer triage

  
priority/high
High priority

  
update/major
Major update

  
upstream-update
New upstream version is available

  
upstream/github
GitHub upstream

No labels
ai-summary
bot
needs-build
needs-triage
priority/high
update/major
upstream-update
upstream/github
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
rpms/rootlesskit#1
No description provided.