rpms/xmlsec1

Fork 0

Upstream update available: xmlsec1 1.3.9 → 1.3.11 #3

New issue

Closed

opened 2026-05-02 14:51:06 +03:00 by sbelikov · 1 comment

sbelikov commented

2026-05-02 14:51:06 +03:00

Owner

Upstream update available: `xmlsec1` `1.3.9` → `1.3.11`

Package

Package: xmlsec1
RPM name: xmlsec1
Branch: niceos-5.2
Current EVR: 1:1.3.9-1
Update class: patch
Compare method: python_rpm
Update policy: leaf
Risk tags: github-upstream

Upstream

Upstream type: github
Upstream project: lsh123/xmlsec
Upstream URL: github.com — xmlsec
Detected version: 1.3.11
Tag/release: 1.3.11
Source: github_release_latest
Published: 2026-04-22T02:00:09Z
Release URL: github.com — 1.3.11
Source URL: api.github.com — 1.3.11
Pre-release: False

Signals

Security-relevant keywords detected: True
Policy blocked: False
Policy reason: -
Labels: ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Upstream xmlsec обновился с 1.3.9 до 1.3.11; это patch-обновление для leaf-пакета, и явной policy-блокировки нет. По доступным release notes не видно прямого ABI-break или явной Linux runtime-regression, но есть заметная репозитарная/документационная переработка и крупный compare diff. Итог: manual review; это не выглядит как жёстко заблокированный апдейт, но и не как совсем бесрисковый candidate.

2. Риск для НАЙС.ОС

medium.
Для enterprise-стабильного дистрибутива риск умеренный: upstream release notes содержат не только точечные фиксы, но и изменения build/doc pipeline, плюс compare page показывает значительный объём изменений (24 commits, 573 files changed). Для Linux-потребителя часть изменений может быть неактуальна, однако пакет xmlsec1 — security-sensitive библиотека, поэтому обновление стоит проверять вручную, а не пушить автоматически.

3. Что изменилось upstream

Проверяемые факты из официальных release notes 1.3.11:

добавлена поддержка OpenSSL 4.0.0 для backend xmlsec-openssl;
Windows build-script переведён на PowerShell;
старый JScript вариант объявлен deprecated и будет удалён в будущих версиях;
документация переведена с Gtk-Doc на Doxygen/Pandoc;
API reference / tutorial / examples конвертированы в Markdown и перенесены в GitHub Wiki;
упомянуты также “several other small fixes”, но без перечисления деталей в release notes.

4. Security/CVE

Подтверждённых CVE по этому обновлению в официальных материалах не найдено.
Release notes описывают feature/build/doc changes, а не security advisory. Security-статус по доступным источникам — unknown / not demonstrated.

5. ABI/API/CLI/config риск

Явного объявления об ABI break в 1.3.11 не найдено.
Изменения OpenSSL 4.0.0 support относятся к backend-совместимости, а не к явной смене CLI.
В release notes не указаны изменения xmlsec1 CLI-опций, поведения по умолчанию, формата конфигов или имен библиотек.
Риск скрытых несовместимостей не нулевой из-за крупного churn-а в репозитории, но подтверждённых фактов о поломке API/CLI нет.

6. Риск для RPM-сборки и dist-git

Что стоит проверить перед обновлением в SPECS, SOURCES, патчах и lock-файлах:

актуализация Version/Release и checksum/sources lock (sources.lock.json, sources.sha256, sources.gost);
не требуется ли обновление BuildRequires из-за перехода документации на Doxygen/Pandoc;
не ломается ли %check из-за изменения doc pipeline или генерации артефактов;
нет ли в spec жёстких ожиданий по Gtk-Doc-артефактам или путям установки docs;
проверить, не нужны ли новые/удалённые патчи после upstream-churn;
сверить, не изменился ли состав tarball/архива источника и не требуется ли пересчёт source integrity;
проверить SBOM/manifest, если они генерируются в процессе сборки.

7. Риск для системы и зависимых компонентов

Для типичного Linux runtime-использования visible-impact выглядит ограниченным: upstream явно упоминает поддержку OpenSSL 4.0.0, а не смену поведения xmlsec1.
Прямых сведений о смене CLI-семантики, XML signature/encryption поведения или key handling в release notes нет.
Зависимые компоненты и скрипты могут затронуться косвенно, если пакет у нас использует doc-generated files или если сборка чувствительна к изменению документационного пайплайна.
Для Windows-only изменений риск для НАЙС.ОС, вероятно, низкий, но это не отменяет необходимости проверок из-за общего объёма изменений.

8. Проверки мейнтейнера

Перед PR/merge проверить:

собрать пакет в чистом mock/chroot;
прогнать rpmbuild -ba и убедиться, что source lock обновлён корректно;
проверить BuildRequires и Requires на соответствие новому upstream;
проверить %check, если он есть;
убедиться, что не требуются Gtk-Doc артефакты в install/docs;
сравнить список устанавливаемых файлов до/после;
проверить наличие/отсутствие SONAME или библиотечных изменений;
прогнать базовые функциональные тесты xmlsec1/libxmlsec1-потребителей;
проверить, не изменился ли набор subpackages;
посмотреть dist-git diff на предмет лишних патчей или устаревших ссылок на wiki/docs.

9. Рекомендация

manual review

10. Источники

Источники, найденные web_search

Upstream release notes / description

The XML Security Library 1.3.11 release includes the following changes:

(xmlsec-openssl) Added support for OpenSSL 4.0.0.
(xmlsec-windows) The XMLSec build configuration script on Windows is converted to PowerShell, the JScript version is deprecated and will be remove in the future versions.
(xmlsec-docs) The XMLSec API reference was converted to Doxygen / Pandoc (instead of Gtk-Doc).
(xmlsec-docs) The XMLSec API reference, tutorial, and examples had been updated to Markdown files and moved to
GitHub Wiki.
Several other small fixes (see more details).

Thanks everyone for submitting patches and bug reports!

NiceOS maintainer checklist

Confirm that the detected version is a stable upstream release.
Check upstream changelog for security fixes, ABI/API changes and build-system changes.
Check ABI/API compatibility and reverse dependencies.
Download source into NiceOS lookaside storage.
Update Version and related fields in SPECS/*.spec only if policy allows it.
Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
Build SRPM/RPM in a clean NiceOS buildroot.
Run package smoke tests.
Link PR/build logs and close this issue after update or triage.

Bot metadata

Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
Generated at: 2026-05-02T11:51:02Z

# Upstream update available: `xmlsec1` `1.3.9` → `1.3.11` ## Package - Package: `xmlsec1` - RPM name: `xmlsec1` - Branch: `niceos-5.2` - Current EVR: `1:1.3.9-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `lsh123/xmlsec` - Upstream URL: <a href="https://github.com/lsh123/xmlsec" target="_blank" rel="noopener noreferrer">github.com — xmlsec</a> - Detected version: `1.3.11` - Tag/release: `1.3.11` - Source: `github_release_latest` - Published: `2026-04-22T02:00:09Z` - Release URL: <a href="https://github.com/lsh123/xmlsec/releases/tag/1.3.11" target="_blank" rel="noopener noreferrer">github.com — 1.3.11</a> - Source URL: <a href="https://api.github.com/repos/lsh123/xmlsec/tarball/1.3.11" target="_blank" rel="noopener noreferrer">api.github.com — 1.3.11</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `True` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/high, security-release, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Upstream `xmlsec` обновился с `1.3.9` до `1.3.11`; это **patch**-обновление для **leaf**-пакета, и явной policy-блокировки нет. По доступным release notes не видно прямого ABI-break или явной Linux runtime-regression, но есть заметная репозитарная/документационная переработка и крупный compare diff. Итог: **manual review**; это не выглядит как жёстко заблокированный апдейт, но и не как совсем бесрисковый candidate. ### 2. Риск для НАЙС.ОС **medium**. Для enterprise-стабильного дистрибутива риск умеренный: upstream release notes содержат не только точечные фиксы, но и изменения build/doc pipeline, плюс compare page показывает значительный объём изменений (`24 commits`, `573 files changed`). Для Linux-потребителя часть изменений может быть неактуальна, однако пакет `xmlsec1` — security-sensitive библиотека, поэтому обновление стоит проверять вручную, а не пушить автоматически. ### 3. Что изменилось upstream Проверяемые факты из официальных release notes `1.3.11`: - добавлена поддержка **OpenSSL 4.0.0** для backend `xmlsec-openssl`; - Windows build-script переведён на **PowerShell**; - старый **JScript** вариант объявлен deprecated и будет удалён в будущих версиях; - документация переведена с **Gtk-Doc** на **Doxygen/Pandoc**; - API reference / tutorial / examples конвертированы в **Markdown** и перенесены в **GitHub Wiki**; - упомянуты также “**several other small fixes**”, но без перечисления деталей в release notes. ### 4. Security/CVE Подтверждённых **CVE** по этому обновлению в официальных материалах не найдено. Release notes описывают feature/build/doc changes, а не security advisory. Security-статус по доступным источникам — **unknown / not demonstrated**. ### 5. ABI/API/CLI/config риск - Явного объявления об **ABI break** в `1.3.11` не найдено. - Изменения `OpenSSL 4.0.0 support` относятся к backend-совместимости, а не к явной смене CLI. - В release notes не указаны изменения `xmlsec1` CLI-опций, поведения по умолчанию, формата конфигов или имен библиотек. - Риск скрытых несовместимостей **не нулевой** из-за крупного churn-а в репозитории, но подтверждённых фактов о поломке API/CLI нет. ### 6. Риск для RPM-сборки и dist-git Что стоит проверить перед обновлением в `SPECS`, `SOURCES`, патчах и lock-файлах: - актуализация `Version`/`Release` и checksum/sources lock (`sources.lock.json`, `sources.sha256`, `sources.gost`); - не требуется ли обновление `BuildRequires` из-за перехода документации на **Doxygen/Pandoc**; - не ломается ли `%check` из-за изменения doc pipeline или генерации артефактов; - нет ли в spec жёстких ожиданий по Gtk-Doc-артефактам или путям установки docs; - проверить, не нужны ли новые/удалённые патчи после upstream-churn; - сверить, не изменился ли состав tarball/архива источника и не требуется ли пересчёт source integrity; - проверить SBOM/manifest, если они генерируются в процессе сборки. ### 7. Риск для системы и зависимых компонентов - Для типичного Linux runtime-использования visible-impact выглядит ограниченным: upstream явно упоминает поддержку **OpenSSL 4.0.0**, а не смену поведения `xmlsec1`. - Прямых сведений о смене CLI-семантики, XML signature/encryption поведения или key handling в release notes нет. - Зависимые компоненты и скрипты могут затронуться косвенно, если пакет у нас использует doc-generated files или если сборка чувствительна к изменению документационного пайплайна. - Для Windows-only изменений риск для НАЙС.ОС, вероятно, низкий, но это не отменяет необходимости проверок из-за общего объёма изменений. ### 8. Проверки мейнтейнера Перед PR/merge проверить: - собрать пакет в чистом mock/chroot; - прогнать `rpmbuild -ba` и убедиться, что `source lock` обновлён корректно; - проверить `BuildRequires` и `Requires` на соответствие новому upstream; - проверить `%check`, если он есть; - убедиться, что не требуются Gtk-Doc артефакты в install/docs; - сравнить список устанавливаемых файлов до/после; - проверить наличие/отсутствие SONAME или библиотечных изменений; - прогнать базовые функциональные тесты `xmlsec1`/`libxmlsec1`-потребителей; - проверить, не изменился ли набор subpackages; - посмотреть dist-git diff на предмет лишних патчей или устаревших ссылок на wiki/docs. ### 9. Рекомендация **manual review** ### 10. Источники - <a href="https://github.com/lsh123/xmlsec/releases" target="_blank" rel="noopener noreferrer">XMLSec releases</a> - <a href="https://github.com/lsh123/xmlsec/compare/1.3.10...1.3.11" target="_blank" rel="noopener noreferrer">XMLSec 1.3.10...1.3.11 compare</a> - <a href="https://github.com/lsh123/xmlsec" target="_blank" rel="noopener noreferrer">xmlsec upstream repository</a> - <a href="https://specs.niceos.ru/rpms/xmlsec1" target="_blank" rel="noopener noreferrer">NАЙС.ОС dist-git for xmlsec1</a> - <a href="https://specs.niceos.ru/rpms/xmlsec1/src/branch/niceos-5.2/SPECS" target="_blank" rel="noopener noreferrer">xmlsec1 SPECS branch</a> - <a href="https://specs.niceos.ru/rpms/xmlsec1/src/branch/niceos-5.2/SOURCES" target="_blank" rel="noopener noreferrer">xmlsec1 SOURCES branch</a> ### Источники, найденные web_search 1. <a href="https://github.com/lsh123/xmlsec/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 2. <a href="https://github.com/lsh123/xmlsec" target="_blank" rel="noopener noreferrer">github.com — xmlsec</a> 3. <a href="https://github.com/mehcode/python-xmlsec/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 4. <a href="https://github.com/YoYoGames/GMEXT-AdMob/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 5. <a href="https://github.com/xmlsec/python-xmlsec" target="_blank" rel="noopener noreferrer">github.com — python xmlsec</a> 6. <a href="https://github.com/lsh123/xmlsec/issues/108" target="_blank" rel="noopener noreferrer">github.com — 108</a> 7. <a href="https://github.com/sewenew/redis-plus-plus/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 8. <a href="https://github.com/modxcms/evolution/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 9. <a href="https://docs.github.com/articles/linking-to-releases" target="_blank" rel="noopener noreferrer">docs.github.com — linking to releases</a> 10. <a href="https://github.com/mayswind/ariang/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 11. <a href="https://github.com/lxml/lxml" target="_blank" rel="noopener noreferrer">github.com — lxml</a> 12. <a href="https://docs.github.com/articles/downloading-files-from-the-command-line" target="_blank" rel="noopener noreferrer">docs.github.com — downloading files from the command line</a> ## Upstream release notes / description The XML Security Library 1.3.11 release includes the following changes: - (xmlsec-openssl) Added support for OpenSSL 4.0.0. - (xmlsec-windows) The XMLSec build configuration script on Windows is converted to PowerShell, the JScript version is deprecated and will be remove in the future versions. - (xmlsec-docs) The XMLSec API reference was converted to Doxygen / Pandoc (instead of Gtk-Doc). - (xmlsec-docs) The XMLSec API reference, tutorial, and examples had been updated to Markdown files and moved to <a href="https://github.com/lsh123/xmlsec/wiki" target="_blank" rel="noopener noreferrer">GitHub Wiki</a>. - Several other small fixes (see <a href="https://github.com/lsh123/xmlsec/commits/1.3.11" target="_blank" rel="noopener noreferrer">more details</a>). Thanks everyone for submitting patches and bug reports! ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T11:51:02Z`

sbelikov added the

labels

2026-05-02 14:51:06 +03:00

sbelikov commented

2026-05-02 15:03:34 +03:00

Author

Owner

Package version is now 1.3.11 and target version was 1.3.11. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-02T12:03:34Z._

Package version is now `1.3.11` and target version was `1.3.11`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-02T12:03:34Z`._

sbelikov closed this issue

2026-05-02 15:03:35 +03:00