New upstream version 2025.7

Release 2025.7

otcore-prepare-root: Fix formatting with clang-format

Merge pull request #3549 from cgwalters/fix-missing-colon

Add missing `:` to the gtk-doc in a few places

Add missing `:` to the gtk-doc in a few places

This is SUCH a giant trap. I am not totally sure why it's
working for me in a fedora-42 build env, but it seems like
it may have broken in a different build environment in
https://github.com/ostreedev/ostree/pull/3548#discussion_r2500278890

I used Sonnet to audit for similar instances beyond
`read_blob` and it found some, fix those too.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3537 from alyssais/formatting

docs: fix formatting

Merge pull request #3540 from miabbott/doc_adapting_existing_fix

docs: fixed dead link

docs: fixed dead link

Fixes: #3534
Signed-off-by: Micah Abbott <miabbott@redhat.com>

Merge pull request #3538 from alexlarsson/signature-crash-fix

prepare-root: Fix crash if no valid signatures

prepare-root: Fix crash if no valid signatures

We didn't set error if there were zero valid signatures, which caused
a crash prefixing the error. While fixing this, the error messages were
slightly reworded to make it nicer.

docs: fix formatting

Merge pull request #3532 from ckyrouac/softreboot-fix

deploy: Use delete_if_present in can_soft_reboot

deploy: Use delete_if_present in can_soft_reboot

This avoids a dump when trying to delete the ostree= karg if it isn't
present. This is an issue with bootc factory reset.

Signed-off-by: ckyrouac <ckyrouac@redhat.com>

Merge pull request #3533 from champtar/fix-ci-stream

ci,Justfile: fix building with the right stream

ci,Justfile: fix building with the right stream

Part of the `e2e (stream10)` was running stream9.

As `just` doesn't support named parameters yet,
use `STREAM` env var to select between stream9 and stream10

Merge pull request #3531 from champtar/fix-ci-libsoup

ci: use libsoup 3 by default

ci: use libsoup 3 by default

libsoup-3.0-dev is present in all supported debian versions
libsoup2.4-dev is not present in testing anymore (forkie)

Remove no longer used .lgtm.yml

Merge pull request #3529 from cgwalters/rust-release

Rust release

rust: Release 0.20.5

Signed-off-by: Colin Walters <walters@verbum.org>

rust: Fix Rust 1.89 lifetime lint

Merge pull request #3527 from alexlarsson/fix-sign-bindings

Fix various things around signatures and their use in rust

rust: Regenerate and release 0.20.5

This adds the new bindings for signing and composefs use.

rust-binding: Extend bindings to support composefs and signing

This adds GLib.VariantDict, which is needed for
ostree_repo_commit_add_composefs_metadata(), and OSTree.BlobReader
which are needed for ostree_sign_read_sk().

With these we can sign ostree commits with composefs digests in them.

gir: Add (nullable) to ostree_blob_reader_read_blob return value

This adds api docs to ostree_blob_reader_read_blob() so that we
can mark the return value as nullable. This is needed, because
this function can return NULL without setting error, and this
needs to be handled in bindings (such as the rust ones).

ostree-sign.ed25519/spki: Fix double free in set_sk()

When the gvariant is G_VARIANT_TYPE_BYTESTRING we need to duplicate
the data we get from g_variant_get_fixed_array(), otherwise we will
double-free it when we later free sign->secret_key.

Merge pull request #3526 from lcook/status-index-json

status: Include deployment index in JSON output

status: Include deployment index in JSON output

Merge pull request #3523 from alexlarsson/signed-composefs-with-bootc

Support using composefs signatures also with bootc commits

Support using composefs signatures also with bootc commits

When using bootc, if you convert a signed ostree commit into an OCI
image `rpm-ostree compose container-encapsulate` you end up with a new
commit that isn't signed. However, the base commit object, and its
commitmeta are still in the image and will end up the repo, and
since https://github.com/bootc-dev/bootc/pull/1600 the base commit
id is available as the parent commit.

So, we change ostree-prepare-root to fall back to using the base
commit+commitmeta to find the expected composefs digest if the main
commit is not signed.

Note: This will only work with ostree-only commits. If you have any
layered data, then the content will change, and the composefs digest
in the base commit will not match the deployed one. This is expected
with such sealed commits though. If you want to layer, either disable
sealing, or create a new sealed ostree commit for the new image.

prepare-root: add allow_noent argument to load_variant

This is a minor preparation for a later change. Instead of
hand-rolling the G_FILE_ERROR_NOENT error check we add
a new allow_noent option.

Additionally, we move the handling of a no commitmeta being
an error to the caller of load_commit_for_deploy(), because
this check will be slightly more complex in the future.

Merge pull request #3524 from jlebon/pr/state-overlays-exp

man/ostree-state-overlay: drop experimental but link to bootc docs

man/ostree-state-overlay: drop experimental but link to bootc docs

This has baked for long enough now so drop the experimental flag. But do
explain that symlinks are preferred and link to the bootc docs.

New upstream version 2025.6

Merge pull request #3521 from cgwalters/release

Release 2025.6

configure: post-release version bump

Release 2025.6

Merge pull request #3518 from champtar/remove-mount-cycle

Rework mounts to fix sysroot.mount umount

Revert "Add ostree-shutdown.service: hide /sysroot and make /etc read-only"

Instead of adding a shutdown service, we rework how we create the mounts.
After the 2 previous commits, sysroot.mount umount works, and
systemd-shutdown will take care of remounting etc.mount read-only and
calling sync() as needed.

This reverts commit d0c454c23637dceda6d7395dd2141b564e3efa47.

ostree-soft-reboot: fix sysroot.mount umount

The composefs at /run/nextboot uses /sysroot, so systemd fails to
umount sysroot.mount during soft-reboot.
Create a temporary bind-mount, use it to prepare /run/nextboot
and MNT_DETACH it when we are done.

ostree-prepare-root: avoid mount cycle

Moving the physical root at /sysroot, we end up
with a mount cycle between / and /sysroot, forcing us to use
MS_DETACH during shutdown (d0c454c23637dceda6d7395dd2141b564e3efa47).

We can replace ostree-shutdown.service by reworking how we mount
/sysroot, in short use MS_BIND instead of MS_MOVE.

Merge pull request #3517 from jozzsi/3495

Move dracut module from 98 ordering to the recommended 50 ordering

Move dracut module from 98 ordering to the recommended 50 ordering

In dracut release v108 or later the recommended ordering for out
out of tree modules is 50. The following is a section from dracut
documentation:

> Not using the 50-59 range for out of tree dracut modules will likely
> lead to unintended errors in the initramfs generation process as your
> dracut module will either run too early or too late in the generation process.
> You have been warned.

Fixes: https://github.com/ostreedev/ostree/issues/3495

New upstream version 2025.5

Merge pull request #3516 from cgwalters/remount-shutdown

Add ostree-shutdown.service: hide /sysroot and make /etc read-only

Add ostree-shutdown.service: hide /sysroot and make /etc read-only

We have a lot of bind mounts; these are usually set up in the initramfs.
So far during shutdown we've let systemd just try to sort things out
via auto-generated mount units i.e. `sysroot.mount` and `etc.mount`
and so on.

systemd has some special casing for `-.mount` (i.e. `/`) and `etc.mount`
https://github.com/systemd/systemd/blob/e91bfad241799b449df73efc30d833b9c5937001/src/shared/fstab-util.c#L72

However it doesn't special case `/sysroot` - which is currently
an ostree-specific invention (when used in the real root).
We cannot actually unmount `/sysroot` while it's in use, and it
is because `/etc` is a bind mount into it. And we can't tear
down `/etc` because it's just expected that e.g. pid 1 and other
things hold open references to it - until things finally
transition into systemd-shutdown.

What we can do though is explicitly detach it during the shutdown
phase; this ensures that systemd won't try to clean it up then,
suppressing errors about its inability to do so.

While we're here, let's also remount `/etc` read-only; while
systemd itself will try to do so during systemd-shutdown.
Per comments if this service fails, it's a bug in something
else to be fixed.

Closes: https://github.com/ostreedev/ostree/issues/3513
Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3515 from HastD/xattrs-double-free

fix: double free in checkout_tree_at_recurse

fix: double free in checkout_tree_at_recurse

Both `xattrs` and `modified_xattrs` are declared with `g_autoptr`, but
`xattrs` is later simply assigned to be equal to `modified_xattrs`,
meaning the automatic cleanup is a double-free.

This is fixed by instead using `g_steal_pointer` to assign the old value
of `xattrs` to a temporary variable, which is used to create the new
value.

I believe this is the cause of issue #3303, and this should fix #3303.
(I can consistently reproduce the issue by attempting to deploy a
rechunked image with bootc, and with this patch, the issue no longer
occurs and the deployment succeeds.)

Signed-off-by: Daniel Hast <hast.daniel@protonmail.com>

Merge pull request #3514 from cgwalters/finalize-needs-etc

ostree-finalize-staged.service: RequiresMountsFor=/etc

ostree-finalize-staged.service: RequiresMountsFor=/etc

I've seen in some cases systemd try to unmount /etc quite early
and then fail because it's in use.

It's confusing because I don't see this in all scenarios.
But regardless, in the situations where it does occur,
this fixes it.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3512 from champtar/OSTREE_SUPPRESS_SYNCFS

libostree: remove OSTREE_SUPPRESS_SYNCFS

libostree: remove OSTREE_SUPPRESS_SYNCFS

This workaround was needed for the old valgrind version in EL 7

Merge pull request #3509 from cgwalters/sysroot-sync-repo

Deduplicate repo+sysroot syncfs logic

Merge pull request #3510 from cgwalters/release

Release 2025.5

Deduplicate repo+sysroot syncfs logic

This is a followup to https://github.com/ostreedev/ostree/pull/3504/commits/6e5a27a29d33d50a2a4380c406405435d919b6b4
which I believe is correct as is. However, we already have a file
descriptor open for the ostree repo, which *must* be on
the same filesystem as `/sysroot/ostree` (the deployment
code forces hardlinking today).

It's hence cleaner to reuse that extant fd instead of opening
a new one - we know we did writes to that fd.

But going farther here, there already is logic to use syncfs
for the repo when downloading objects (in a common case
we actually syncfs twice).

Since these are really the same operation, unify them:

- Add journaling to the repo one syncfs case
- Change the sysroot case to just call it
- Since we log consistently to the journal for all syncfs/fsfreeze
  operations now, drop the SyncStats bits which was a way
  to add info about that to a later journal message

Additionally, let's add an extra check when we're
opening the repo that it's on the same device just on general
principle.

Signed-off-by: Colin Walters <walters@verbum.org>

configure: Post-release version bump

Signed-off-by: Colin Walters <walters@verbum.org>

Release 2025.5

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3507 from cgwalters/aboot-chdir

aboot: Use fd and not absolute path

Merge pull request #3508 from cgwalters/switchroot-journal

prepare-root: Log to journal, not stdout

prepare-root: Log to journal, not stdout

Since this can now be used as part of the shared library for
soft reboots, we shouldn't have a library write to stdout.
I noticed this in bootc. Use the journal instead.

Signed-off-by: Colin Walters <walters@verbum.org>

aboot: Use fd and not absolute path

Motivated by https://github.com/bootc-dev/bootc/pull/1532/commits/6d2eb2aaa92e23f434c47e3d0ebadc0307d45289

(We need to have a shared helper for this stuff at some point)

Merge pull request #3506 from cgwalters/adapt-cosa

ci: Adapt to cosa change

ci: Adapt to cosa change

It seems to have stopped building qemu by default.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3504 from champtar/syncfs-ostree

deploy: call syncfs() for /ostree instead of /

deploy: call syncfs() for /ostree instead of /

In full_system_sync we were calling syncfs(/) expecting
all the recent modification in /ostree to be synced to disk.
With / now being composefs, syncfs(/) is a noop, so call
syncfs(/ostree) as that is what we really want.

New upstream version 2025.4

Merge pull request #3494 from alexlarsson/remove-aboot-dead-code

deploy: Remove some dead aboot code

deploy: Remove some dead aboot code

The code in get_kernel_from_tree_usrlib_modules() that checks for an
"aboot.cfg" does nothing with it (and in fact may leak the fd in case
its there). In practice, /usr/lib/modules never has an aboot.cfg, so
this is just completely dead code.

Signed-off-by: Alexander Larsson <alexl@redhat.com>

Merge pull request #3493 from alexlarsson/fix-aboot-updates

deploy: Fix path to aboot.cfg in BLS files

deploy: Fix path to aboot.cfg in BLS files

The change in https://github.com/ostreedev/ostree/pull/3413/ was meant
to change when the abootcfg option is set in the BLS file.  However,
it also changed the value of this key, using the wrong directory
(bootcsumdir instead of /usr/lib/ostree-boot).

This means that during update, aboot-update gets the wrong path to the
config and cannot correctly write the aboot partition.

Signed-off-by: Alexander Larsson <alexl@redhat.com>

Merge pull request #3487 from cgwalters/soft-reboot-boot-mnt

soft-reboot: Also handle /boot

soft-reboot: Also handle /boot

Closes: https://github.com/ostreedev/ostree/issues/3486
Signed-off-by: Colin Walters <walters@verbum.org>

switchroot: Refactor /boot mounting into helper function

So it can be shared with soft reboots.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3485 from cgwalters/test-boot-bind

tests: verify /boot mount with prepare root

tests-unit-container: Verify /boot mount point

Prep for further changes.

Signed-off-by: Colin Walters <walters@verbum.org>

justfile: Add a target to iterate on container unit tests quickly

We need to split these into two container builds probably...

tests: Fix negative check for transient etc

This test was passing for the wrong reason. Just noticed when
reviewing.

Merge pull request #3484 from cgwalters/bump-sys

Two rust patches

rust: Fix a few warnings

- Unused imports because we weren't actually exporting the structs
  from those modules
- glib prelude is empty now?
- mount namespace usage is conditional

Signed-off-by: Colin Walters <walters@verbum.org>

rust: Bump sys crate version too

Should have happened in the other PR.

Merge pull request #3479 from cgwalters/test-etc-transient

tests: Add a test case for etc.transient

Merge pull request #3482 from cgwalters/release-rust

rust: Regenerate and release 0.20.4

Merge pull request #3481 from cgwalters/release

Release 2025.4

configure: post-release version bump

Release 2025.4

rust: Regenerate and release 0.20.4

This ensures we actually pick up the changes for `Since`.

tests: Add a test case for etc.transient

This would have caught https://github.com/ostreedev/ostree/issues/3476

Merge pull request #3473 from cgwalters/root-transient-ro

Add root.transient-ro

Merge pull request #3477 from wsabransky/patch-1

ostree-prepare-root: remove duplicate transient directory

ostree-prepare-root: remove duplicate transient directory

Only create the transient etc directory once to prevent failures due to directory existence.

Merge pull request #3475 from cgwalters/fix-since-annotations

Fix since annotations && update rust bindings

rust-bindings: Regenerate with updated gir

In particular we had a conflict as the previous bindings
were generated with an old version of the C APIs.

sysroot: Fix Since: for soft reboot APIs

We should really have a CI gate for this...

Add root.transient-ro

An example use case for this is having privileged code
add dynamic new toplevel mountpoints (that don't persist across
reboots/upgrades), while still keeping the rootfs readonly
for processes by default.

Closes: https://github.com/ostreedev/ostree/issues/3471
Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3472 from cgwalters/root-transient-ro-prep

Prep patches for rootfs.transient-ro

prepare-root: Move root.transient parsing rootfs parsing

This deduplicates more code between main boot and soft reboot,
and is prep for supporting `rootfs.transient-ro = true`.

prepare-root: Rename `enabled` -> `composefs_enabled`

Prep for moving more functionality there, it's really about
the rootfs, not just composefs.

Signed-off-by: Colin Walters <walters@verbum.org>

prepare-root: Rename rootfs variables

Prep for moving more functionality there, it's really about
the rootfs, not just composefs.

Signed-off-by: Colin Walters <walters@verbum.org>

prepare-root: Rename rootfs loading functions

Prep for moving more functionality there, it's really about
the rootfs, not just composefs.

Merge pull request #3470 from cgwalters/build-dist-test-scripts

build-sys: Always EXTRA_DIST test scripts