rpms/rootlesskit

Fork 0

Upstream update available: rootlesskit 2.3.5 → 2.3.6 #2

New issue

Closed

opened 2026-05-02 17:15:13 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-05-02 17:15:13 +03:00

Owner

Upstream update available: `rootlesskit` `2.3.5` → `2.3.6`

Package

Package: rootlesskit
RPM name: rootlesskit
Branch: niceos-5.2
Current EVR: 2.3.5-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: rootless-containers/rootlesskit
Upstream URL: github.com — rootlesskit
Detected version: 2.3.6
Tag/release: v2.3.6
Source: github_release
Published: 2025-12-18T02:00:23Z
Release URL: github.com — v2.3.6
Source URL: api.github.com — v2.3.6
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Upstream rootlesskit обновился с 2.3.5 до 2.3.6; по доступным release notes это небольшой patch-level релиз без видимых изменений CLI/API и без признаков security-fix. Основное подтверждённое изменение — обновление зависимости github.com/containernetworking/plugins до v1.9.0. Для НАЙС.ОС это выглядит как manual review: обновление не выглядит блокирующим, но release notes очень краткие, поэтому перед включением в стабильный поток нужна проверка.

2. Риск для НАЙС.ОС

Risk: low / unknown (практически low, но с оговоркой manual review).

Обоснование:

релиз позиционируется как точечный maintenance update;
подтверждён только dependency bump, без явных изменений поведения;
для enterprise/stable-политики риск ограничен, но upstream-описание изменения неполное;
отсутствие полного публичного диффа в браузере оставляет небольшой остаточный риск для networking/runtime сценариев.

3. Что изменилось upstream

Проверяемые факты по v2.3.6:

Выпущен релиз rootlesskit v2.3.6.
Release notes содержат единственный явный функциональный пункт:
go.mod: github.com/containernetworking/plugins v1.9.0 ; release v2.3.6 (#550)
На странице релиза указаны:
- immutable release;
- tag/commit signed and verified;
- build provenance через GitHub Actions run 20323329446;
- SHA256SUMS для артефактов.
Compare v2.3.5...v2.3.6 показывает 8 commits и 4 files changed, но полный diff в браузере не был доступен.
В видимом списке коммитов упоминаются:
- dependency bump;
- ci: fix missing tag variable in release note generation;
- release commit v2.3.6.

Если говорить строго: release notes очень короткие, дополнительных upstream-изменений в явном виде не указано.

4. Security/CVE

Подтверждённых CVE для rootlesskit v2.3.6 в найденных источниках не найдено.
Также не найдено upstream-формулировок о security fix или advisory.
Следовательно, это не следует трактовать как security update на основании имеющихся данных.

5. ABI/API/CLI/config риск

На основании доступных release notes:

новых CLI-флагов не заявлено;
удаления/переименования опций не указаны;
изменения default behavior не подтверждены;
ABI/API изменения не подтверждены;
изменений формата конфигов или совместимости не описано.

Итог: риск интерфейсных изменений low/unknown, но без полного диффа и без локального теста это лучше считать manual review.

6. Риск для RPM-сборки и dist-git

Что проверить перед обновлением в SPECS/SOURCES/patches:

Version/Release в .spec;
актуальность Source0 / upstream tarball URL;
наличие и применимость локальных patch’ей;
BuildRequires и Requires на предмет зависимостей, связанных с github.com/containernetworking/plugins;
необходимость обновления go-sum/vendor lock, если пакет у нас собирается с вендорингом или pinned deps;
%check: не изменились ли тесты/интеграционные ожидания из-за bump’а CNI plugins;
SBOM / source lock: проверить, не появляется ли новая transitive dependency;
соответствие checksum’ов upstream tarball/release artifacts;
если в dist-git есть автоматизация release-note parsing — проверить, не ломается ли она из-за новой структуры релиза.

Отдельно: я не смог подтвердить содержимое niceos dist-git spec из-за таймаута, поэтому состояние локальных патчей и спец-логики — unknown/manual review.

7. Риск для системы и зависимых компонентов

rootlesskit используется в rootless container workflows и сетевых сценариях, поэтому наиболее чувствительная область — runtime networking:

возможно влияние на скрипты/процессы, которые завязаны на rootless container networking;
зависимые компоненты могут ощущать изменения только косвенно, через containernetworking/plugins;
явных upstream-указаний на изменения runtime behavior нет;
для обычных пользователей без rootless/container stack риск минимальный.

Итог: потенциальный runtime impact низкий, но проверить networking-сценарии стоит.

8. Проверки мейнтейнера

Чеклист перед PR/merge:

Сверить upstream tarball checksum с release page / SHA256SUMS.
Проверить, что v2.3.6 действительно соответствует обновлению в .spec.
Сравнить локальные патчи с новым upstream-деревом.
Проверить, не требуется ли обновление BuildRequires/Requires из-за containernetworking/plugins v1.9.0.
Прогнать сборку в чистом chroot/mock.
Прогнать %check, если он есть.
Проверить rootless/container networking сценарии на тестовом стенде.
Убедиться, что SBOM/source lock не получил неожиданных новых зависимостей.
Проверить, не ломается ли release-note automation или source verification.
Если есть downstream integration tests — прогнать их для rootless container setup.

9. Рекомендация

manual review

10. Источники

Источники, найденные web_search

Upstream release notes / description

Changes

[release/2.3] go.mod: github.com/containernetworking/plugins v1.9.0 ; release v2.3.6 (#550)

Install

mkdir -p ~/bin
curl -sSL https://github.com/rootless-containers/rootlesskit/releases/download/v2.3.6/rootlesskit-$(uname -m).tar.gz | tar Cxzv ~/bin

About the binaries

The binaries were built automatically on GitHub Actions.
See the log to verify SHA256SUMS.
github.com — 20323329446
The sha256sum of the SHA256SUMS file itself is d8abffca38ffdfdd5f8ce62b1f489b5dfecbc68b8972f0889f1c7f1186d1029c .

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-02T14:15:07Z

# Upstream update available: `rootlesskit` `2.3.5` → `2.3.6` ## Package - Package: `rootlesskit` - RPM name: `rootlesskit` - Branch: `niceos-5.2` - Current EVR: `2.3.5-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `rootless-containers/rootlesskit` - Upstream URL: <a href="https://github.com/rootless-containers/rootlesskit" target="_blank" rel="noopener noreferrer">github.com — rootlesskit</a> - Detected version: `2.3.6` - Tag/release: `v2.3.6` - Source: `github_release` - Published: `2025-12-18T02:00:23Z` - Release URL: <a href="https://github.com/rootless-containers/rootlesskit/releases/tag/v2.3.6" target="_blank" rel="noopener noreferrer">github.com — v2.3.6</a> - Source URL: <a href="https://api.github.com/repos/rootless-containers/rootlesskit/tarball/v2.3.6" target="_blank" rel="noopener noreferrer">api.github.com — v2.3.6</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Upstream `rootlesskit` обновился с `2.3.5` до `2.3.6`; по доступным release notes это небольшой patch-level релиз без видимых изменений CLI/API и без признаков security-fix. Основное подтверждённое изменение — обновление зависимости `github.com/containernetworking/plugins` до `v1.9.0`. Для НАЙС.ОС это выглядит как **manual review**: обновление не выглядит блокирующим, но release notes очень краткие, поэтому перед включением в стабильный поток нужна проверка. ### 2. Риск для НАЙС.ОС **Risk: low / unknown (практически low, но с оговоркой manual review).** Обоснование: - релиз позиционируется как точечный maintenance update; - подтверждён только dependency bump, без явных изменений поведения; - для enterprise/stable-политики риск ограничен, но upstream-описание изменения неполное; - отсутствие полного публичного диффа в браузере оставляет небольшой остаточный риск для networking/runtime сценариев. ### 3. Что изменилось upstream Проверяемые факты по `v2.3.6`: - Выпущен релиз `rootlesskit v2.3.6`. - Release notes содержат единственный явный функциональный пункт: `go.mod: github.com/containernetworking/plugins v1.9.0 ; release v2.3.6 (#550)` - На странице релиза указаны: - immutable release; - tag/commit signed and verified; - build provenance через GitHub Actions run `20323329446`; - SHA256SUMS для артефактов. - Compare `v2.3.5...v2.3.6` показывает 8 commits и 4 files changed, но полный diff в браузере не был доступен. - В видимом списке коммитов упоминаются: - dependency bump; - `ci: fix missing tag variable in release note generation`; - release commit `v2.3.6`. Если говорить строго: **release notes очень короткие, дополнительных upstream-изменений в явном виде не указано**. ### 4. Security/CVE Подтверждённых CVE для `rootlesskit v2.3.6` в найденных источниках **не найдено**. Также не найдено upstream-формулировок о security fix или advisory. Следовательно, **это не следует трактовать как security update** на основании имеющихся данных. ### 5. ABI/API/CLI/config риск На основании доступных release notes: - новых CLI-флагов не заявлено; - удаления/переименования опций не указаны; - изменения default behavior не подтверждены; - ABI/API изменения не подтверждены; - изменений формата конфигов или совместимости не описано. Итог: **риск интерфейсных изменений low/unknown**, но без полного диффа и без локального теста это лучше считать **manual review**. ### 6. Риск для RPM-сборки и dist-git Что проверить перед обновлением в SPECS/SOURCES/patches: - `Version`/`Release` в `.spec`; - актуальность `Source0` / upstream tarball URL; - наличие и применимость локальных patch’ей; - `BuildRequires` и `Requires` на предмет зависимостей, связанных с `github.com/containernetworking/plugins`; - необходимость обновления `go-sum`/vendor lock, если пакет у нас собирается с вендорингом или pinned deps; - `%check`: не изменились ли тесты/интеграционные ожидания из-за bump’а CNI plugins; - SBOM / source lock: проверить, не появляется ли новая transitive dependency; - соответствие checksum’ов upstream tarball/release artifacts; - если в dist-git есть автоматизация release-note parsing — проверить, не ломается ли она из-за новой структуры релиза. Отдельно: я **не смог подтвердить содержимое niceos dist-git spec** из-за таймаута, поэтому состояние локальных патчей и спец-логики — **unknown/manual review**. ### 7. Риск для системы и зависимых компонентов `rootlesskit` используется в rootless container workflows и сетевых сценариях, поэтому наиболее чувствительная область — runtime networking: - возможно влияние на скрипты/процессы, которые завязаны на rootless container networking; - зависимые компоненты могут ощущать изменения только косвенно, через `containernetworking/plugins`; - явных upstream-указаний на изменения runtime behavior нет; - для обычных пользователей без rootless/container stack риск минимальный. Итог: **потенциальный runtime impact низкий, но проверить networking-сценарии стоит**. ### 8. Проверки мейнтейнера Чеклист перед PR/merge: - [ ] Сверить upstream tarball checksum с release page / SHA256SUMS. - [ ] Проверить, что `v2.3.6` действительно соответствует обновлению в `.spec`. - [ ] Сравнить локальные патчи с новым upstream-деревом. - [ ] Проверить, не требуется ли обновление `BuildRequires`/`Requires` из-за `containernetworking/plugins v1.9.0`. - [ ] Прогнать сборку в чистом chroot/mock. - [ ] Прогнать `%check`, если он есть. - [ ] Проверить rootless/container networking сценарии на тестовом стенде. - [ ] Убедиться, что SBOM/source lock не получил неожиданных новых зависимостей. - [ ] Проверить, не ломается ли release-note automation или source verification. - [ ] Если есть downstream integration tests — прогнать их для rootless container setup. ### 9. Рекомендация **manual review** ### 10. Источники - <a href="https://github.com/rootless-containers/rootlesskit/releases/tag/v2.3.6" target="_blank" rel="noopener noreferrer">rootlesskit v2.3.6 release</a> - <a href="https://github.com/rootless-containers/rootlesskit/releases/tag/v2.3.5" target="_blank" rel="noopener noreferrer">rootlesskit v2.3.5 release</a> - <a href="https://github.com/rootless-containers/rootlesskit/compare/v2.3.5...v2.3.6" target="_blank" rel="noopener noreferrer">Compare v2.3.5...v2.3.6</a> - <a href="https://github.com/rootless-containers/rootlesskit" target="_blank" rel="noopener noreferrer">rootlesskit upstream repository</a> - <a href="https://github.com/rootless-containers/rootlesskit/actions/runs/20323329446" target="_blank" rel="noopener noreferrer">GitHub Actions run 20323329446</a> - <a href="https://specs.niceos.ru/rpms/rootlesskit" target="_blank" rel="noopener noreferrer">NiceOS rootlesskit spec</a> ### Источники, найденные web_search 1. <a href="https://github.com/rootless-containers/rootlesskit/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 2. <a href="https://github.com/rootless-containers/rootlesskit" target="_blank" rel="noopener noreferrer">github.com — rootlesskit</a> 3. <a href="https://github.com/rootless-containers" target="_blank" rel="noopener noreferrer">github.com — rootless containers</a> 4. <a href="https://github.com/rootless-containers/rootlesskit/issues/172" target="_blank" rel="noopener noreferrer">github.com — 172</a> 5. <a href="https://github.com/rootless-containers/rootlesskit/issues/425" target="_blank" rel="noopener noreferrer">github.com — 425</a> 6. <a href="https://github.com/rootless-containers/usernetes" target="_blank" rel="noopener noreferrer">github.com — usernetes</a> 7. <a href="https://github.com/rootless-containers/rootlesskit/blob/master/Makefile" target="_blank" rel="noopener noreferrer">github.com — Makefile</a> 8. <a href="https://github.com/docker/docker-install/issues/417" target="_blank" rel="noopener noreferrer">github.com — 417</a> 9. <a href="https://docs.github.com/github/administering-a-repository/releasing-projects-on-github/viewing-your-repositorys-releases-and-tags" target="_blank" rel="noopener noreferrer">docs.github.com — viewing your repositorys releases and tags</a> 10. <a href="https://gist.github.com/vyta/4c52d299ed5e2aed80c0799a3d5789bd" target="_blank" rel="noopener noreferrer">gist.github.com — 4c52d299ed5e2aed80c0799a3d5789bd</a> 11. <a href="https://github.com/containers/toolbox/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 12. <a href="https://github.com/rootless-containers/slirp4netns" target="_blank" rel="noopener noreferrer">github.com — slirp4netns</a> ## Upstream release notes / description #### Changes - [release/2.3] go.mod: github.com/containernetworking/plugins v1.9.0 ; release v2.3.6 (#550) #### Install ``` mkdir -p ~/bin curl -sSL https://github.com/rootless-containers/rootlesskit/releases/download/v2.3.6/rootlesskit-$(uname -m).tar.gz | tar Cxzv ~/bin ``` #### About the binaries The binaries were built automatically on GitHub Actions. See the log to verify SHA256SUMS. <a href="https://github.com/rootless-containers/rootlesskit/actions/runs/20323329446" target="_blank" rel="noopener noreferrer">github.com — 20323329446</a> The sha256sum of the SHA256SUMS file itself is d8abffca38ffdfdd5f8ce62b1f489b5dfecbc68b8972f0889f1c7f1186d1029c . ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T14:15:07Z`

sbelikov added the

labels

2026-05-02 17:15:13 +03:00

sbelikov commented

2026-05-02 17:21:06 +03:00

Author

Owner

Package version is now 2.3.6 and target version was 2.3.6. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-02T14:21:05Z._

Package version is now `2.3.6` and target version was `2.3.6`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-02T14:21:05Z`._

sbelikov closed this issue

2026-05-02 17:21:07 +03:00