Policy review: blocked upstream update: shadow 4.18.0 → 20001016 #1

New issue

Open

opened 2026-04-28 02:16:39 +03:00 by sbelikov · 0 comments

sbelikov commented

2026-04-28 02:16:39 +03:00

Owner

Policy review: blocked upstream update: `shadow` `4.18.0` → `20001016`

Package

Package: shadow
RPM name: shadow
Branch: niceos-5.2
Current EVR: 4.18.0-2
Update class: major
Compare method: python_rpm
Update policy: security-critical
Risk tags: github-upstream, security-critical

Upstream

Upstream type: github
Upstream project: shadow-maint/shadow
Upstream URL: github.com — shadow
Detected version: 20001016
Tag/release: 20001016
Source: github_tag
Published: -
Release URL: github.com — 20001016
Source URL: api.github.com — 20001016
Pre-release: False

Signals

Security-relevant keywords detected: False
Policy blocked: True
Policy reason: package policy/risk requires manual review (security-critical, github-upstream,security-critical)
Labels: ai-summary, bot, needs-policy-decision, policy/blocked, policy/major-blocked, priority/high, update/major, upstream-update, upstream/github

NiceOS policy decision

This upstream update is blocked by NiceOS policy. Do not update automatically.

Blocked upstream updates require explicit maintainer review. For pinned upstream series, only versions within the allowed series should be used automatically; cross-series updates require ABI/API compatibility review, reverse-dependency impact analysis and controlled rebuild planning.

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Пакет shadow подвержен риску безопасности из-за major-обновления и security-critical-пакетов. Установка требует ручной проверки из-за наличия регрессивных изменений и потенциальных уязвимостей.

2. Риск для НАЙС.ОС

High
Риск связан с тем, что это major-обновление и security-critical-пакет. Установка может привести к потере безопасности, особенно если в пакете есть неисправности или уязвимости. Нужно провести ручную проверку по официальным источникам.

3. Security/CVE

Нет признаков security/CVE
В предоставленных данных не указано наличие CVE, ABI-изменений или конкретных уязвимостей.

4. ABI/API риск

Low
Нет явных указаний на ABI/API-изменения в релизе. Однако, поскольку это major-обновление, рекомендуется провести ручной анализ ABI/API, особенно если пакет используется в библиотеках.

5. Риск для RPM-сборки

Low
Нет указаний на изменения в spec-файлах или BuildRequires. Однако, из-за major-обновления возможны незначительные изменения, которые требуют проверки.

6. Проверки мейтейнера

Проверить официальные источники (GitHub, changelog, release notes).
Убедиться, что пакет соответствует политикам безопасности.
Проверить наличие уязвимостей или регрессивных изменений.
Провести ручной анализ ABI/API, если есть сомнения.

7. Рекомендация

issue-only
Пакет требует ручной проверки из-за security-critical-пакетов и major-обновления. Установка запрещена из-за потенциальных рисков.

8. Дополнительные замечания

Релиз содержит регрессивные изменения, которые могут повлиять на стабильность системы. Рекомендуется использовать пакет только после подтверждения его безопасности и соответствия политикам.

Источники, найденные web_search

Upstream release notes / description

No release notes were available from the upstream API.

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages
Generated at: 2026-06-12T00:38:48Z

# Policy review: blocked upstream update: `shadow` `4.18.0` → `20001016` ## Package - Package: `shadow` - RPM name: `shadow` - Branch: `niceos-5.2` - Current EVR: `4.18.0-2` - Update class: `major` - Compare method: `python_rpm` - Update policy: `security-critical` - Risk tags: `github-upstream, security-critical` ## Upstream - Upstream type: `github` - Upstream project: `shadow-maint/shadow` - Upstream URL: <a href="https://github.com/shadow-maint/shadow" target="_blank" rel="noopener noreferrer">github.com — shadow</a> - Detected version: `20001016` - Tag/release: `20001016` - Source: `github_tag` - Published: `-` - Release URL: <a href="https://github.com/shadow-maint/shadow/releases/tag/20001016" target="_blank" rel="noopener noreferrer">github.com — 20001016</a> - Source URL: <a href="https://api.github.com/repos/shadow-maint/shadow/tarball/refs/tags/20001016" target="_blank" rel="noopener noreferrer">api.github.com — 20001016</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `True` - Policy reason: `package policy/risk requires manual review (security-critical, github-upstream,security-critical)` - Labels: `ai-summary, bot, needs-policy-decision, policy/blocked, policy/major-blocked, priority/high, update/major, upstream-update, upstream/github` ## NiceOS policy decision **This upstream update is blocked by NiceOS policy. Do not update automatically.** Blocked upstream updates require explicit maintainer review. For pinned upstream series, only versions within the allowed series should be used automatically; cross-series updates require ABI/API compatibility review, reverse-dependency impact analysis and controlled rebuild planning. ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Пакет `shadow` подвержен риску безопасности из-за major-обновления и security-critical-пакетов. Установка требует ручной проверки из-за наличия регрессивных изменений и потенциальных уязвимостей. ### 2. Риск для НАЙС.ОС **High** Риск связан с тем, что это major-обновление и security-critical-пакет. Установка может привести к потере безопасности, особенно если в пакете есть неисправности или уязвимости. Нужно провести ручную проверку по официальным источникам. ### 3. Security/CVE **Нет признаков security/CVE** В предоставленных данных не указано наличие CVE, ABI-изменений или конкретных уязвимостей. ### 4. ABI/API риск **Low** Нет явных указаний на ABI/API-изменения в релизе. Однако, поскольку это major-обновление, рекомендуется провести ручной анализ ABI/API, особенно если пакет используется в библиотеках. ### 5. Риск для RPM-сборки **Low** Нет указаний на изменения в spec-файлах или BuildRequires. Однако, из-за major-обновления возможны незначительные изменения, которые требуют проверки. ### 6. Проверки мейтейнера - Проверить официальные источники (GitHub, changelog, release notes). - Убедиться, что пакет соответствует политикам безопасности. - Проверить наличие уязвимостей или регрессивных изменений. - Провести ручной анализ ABI/API, если есть сомнения. ### 7. Рекомендация **issue-only** Пакет требует ручной проверки из-за security-critical-пакетов и major-обновления. Установка запрещена из-за потенциальных рисков. ### 8. Дополнительные замечания Релиз содержит регрессивные изменения, которые могут повлиять на стабильность системы. Рекомендуется использовать пакет только после подтверждения его безопасности и соответствия политикам. ### Источники, найденные web_search 1. <a href="https://github.com/shadow-maint/shadow/releases/tag/4.19.4" target="_blank" rel="noopener noreferrer">GitHub release API: shadow-maint/shadow 4.19.4</a> 2. <a href="https://github.com/shadow-maint/shadow/releases/tag/20001016" target="_blank" rel="noopener noreferrer">GitHub candidate release page: shadow-maint/shadow 20001016</a> 3. <a href="https://github.com/shadow-maint/shadow/tree/20001016" target="_blank" rel="noopener noreferrer">GitHub tag page: shadow-maint/shadow 20001016</a> 4. <a href="https://github.com/shadow-maint/shadow/releases" target="_blank" rel="noopener noreferrer">GitHub releases page: shadow-maint/shadow</a> 5. <a href="https://github.com/shadow-maint/shadow/compare/4.18.0...20001016" target="_blank" rel="noopener noreferrer">GitHub compare page: shadow-maint/shadow 4.18.0...20001016</a> 6. <a href="https://shadow.tech/us/" target="_blank" rel="noopener noreferrer">Shadow PC Cloud Gaming - Your Windows PC in the Cloud</a> 7. <a href="https://www.merriam-webster.com/dictionary/shadow" target="_blank" rel="noopener noreferrer">SHADOW Definition & Meaning - Merriam-Webster</a> 8. <a href="https://github.com/shadow-maint/shadow/blob/master/ChangeLog" target="_blank" rel="noopener noreferrer">shadow/ChangeLog at master · shadow-maint/shadow · GitHub</a> 9. <a href="https://github.blog/changelog/" target="_blank" rel="noopener noreferrer">GitHub Changelog</a> ## Upstream release notes / description _No release notes were available from the upstream API._ ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.3-local-websearch-github-release-pages` - Generated at: `2026-06-12T00:38:48Z`

sbelikov added the

ai-summary

bot

needs-policy-decision

labels

2026-04-28 02:16:39 +03:00

sbelikov changed title from ~~Policy review: major upstream version available: shadow 4.18.0 → 20001016~~ to Policy review: blocked upstream update: shadow 4.18.0 → 20001016

2026-04-30 03:13:46 +03:00