Merge version 2025.2-1+rpi1 and 2025.7-2 to produce 2025.7-2+rpi1

Merge ostree (2025.7-2) import into refs/heads/workingbranch

Skip test-admin-deploy-uboot.sh on s390x

It fails on a porterbox. ostree hard-codes zipl to be used on s390x,
so it's reasonable that tests for other bootloaders might not work.

Bug: https://github.com/ostreedev/ostree/issues/3086
Forwarded: no

Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-admin-deploy-uboot.sh-on-s390x.patch

test-sysroot: Skip on s390x by default

This test regularly fails on the buildds, but I cannot reproduce the
failure on a porterbox.

Bug: https://github.com/ostreedev/ostree/issues/2527
Bug-Debian: https://bugs.debian.org/1025532
Forwarded: not-needed

Gbp-Pq: Topic debian
Gbp-Pq: Name test-sysroot-Skip-on-s390x-by-default.patch

Skip test-pull-repeated during CI

This test is expected to fail a small proportion of the time. During
the build of ostree 2018.7-1 in Debian, it seems we were unlucky on
s390x. Non-deterministic tests are also problematic for autopkgtest,
where they can gate migration of our dependencies like GLib, so skip
this test unless the caller has opted-in to non-deterministic tests.

It would be appropriate to enable this test in environments where
failures can easily be retried and are not disruptive to other
packages.

Signed-off-by: Simon McVittie <smcv@debian.org>
Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-pull-repeated-during-CI.patch

ostree (2025.7-2) unstable; urgency=medium

  * Team upload
  * libostree-doc: Remove unnecessary Suggests: devhelp
  * Bump Standards Version to 4.7.3

[dgit import unpatched ostree 2025.7-2]

Import ostree_2025.7-2.debian.tar.xz

[dgit import tarball ostree 2025.7-2 ostree_2025.7-2.debian.tar.xz]

Make fast forward from 2025.6-1

[dgit --quilt=gbp]

Import ostree_2025.7.orig.tar.xz

[dgit import orig ostree_2025.7.orig.tar.xz]

Skip test-admin-deploy-uboot.sh on s390x

It fails on a porterbox. ostree hard-codes zipl to be used on s390x,
so it's reasonable that tests for other bootloaders might not work.

Bug: https://github.com/ostreedev/ostree/issues/3086
Forwarded: no

Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-admin-deploy-uboot.sh-on-s390x.patch

test-sysroot: Skip on s390x by default

This test regularly fails on the buildds, but I cannot reproduce the
failure on a porterbox.

Bug: https://github.com/ostreedev/ostree/issues/2527
Bug-Debian: https://bugs.debian.org/1025532
Forwarded: not-needed

Gbp-Pq: Topic debian
Gbp-Pq: Name test-sysroot-Skip-on-s390x-by-default.patch

Skip test-pull-repeated during CI

This test is expected to fail a small proportion of the time. During
the build of ostree 2018.7-1 in Debian, it seems we were unlucky on
s390x. Non-deterministic tests are also problematic for autopkgtest,
where they can gate migration of our dependencies like GLib, so skip
this test unless the caller has opted-in to non-deterministic tests.

It would be appropriate to enable this test in environments where
failures can easily be retried and are not disruptive to other
packages.

Signed-off-by: Simon McVittie <smcv@debian.org>
Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-pull-repeated-during-CI.patch

Release to unstable

New upstream release

Update upstream source from tag 'upstream/2025.7'

Update to upstream version '2025.7'
with Debian dir 64e45057c7770cd95b7a6c6019f2a8f18a5e22c8

New upstream version 2025.7

Release 2025.7

otcore-prepare-root: Fix formatting with clang-format

Merge pull request #3549 from cgwalters/fix-missing-colon

Add missing `:` to the gtk-doc in a few places

Add missing `:` to the gtk-doc in a few places

This is SUCH a giant trap. I am not totally sure why it's
working for me in a fedora-42 build env, but it seems like
it may have broken in a different build environment in
https://github.com/ostreedev/ostree/pull/3548#discussion_r2500278890

I used Sonnet to audit for similar instances beyond
`read_blob` and it found some, fix those too.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3537 from alyssais/formatting

docs: fix formatting

Merge pull request #3540 from miabbott/doc_adapting_existing_fix

docs: fixed dead link

docs: fixed dead link

Fixes: #3534
Signed-off-by: Micah Abbott <miabbott@redhat.com>

Merge pull request #3538 from alexlarsson/signature-crash-fix

prepare-root: Fix crash if no valid signatures

prepare-root: Fix crash if no valid signatures

We didn't set error if there were zero valid signatures, which caused
a crash prefixing the error. While fixing this, the error messages were
slightly reworded to make it nicer.

docs: fix formatting

Merge pull request #3532 from ckyrouac/softreboot-fix

deploy: Use delete_if_present in can_soft_reboot

deploy: Use delete_if_present in can_soft_reboot

This avoids a dump when trying to delete the ostree= karg if it isn't
present. This is an issue with bootc factory reset.

Signed-off-by: ckyrouac <ckyrouac@redhat.com>

Merge pull request #3533 from champtar/fix-ci-stream

ci,Justfile: fix building with the right stream

ci,Justfile: fix building with the right stream

Part of the `e2e (stream10)` was running stream9.

As `just` doesn't support named parameters yet,
use `STREAM` env var to select between stream9 and stream10

Merge pull request #3531 from champtar/fix-ci-libsoup

ci: use libsoup 3 by default

ci: use libsoup 3 by default

libsoup-3.0-dev is present in all supported debian versions
libsoup2.4-dev is not present in testing anymore (forkie)

Remove no longer used .lgtm.yml

Merge pull request #3529 from cgwalters/rust-release

Rust release

rust: Release 0.20.5

Signed-off-by: Colin Walters <walters@verbum.org>

rust: Fix Rust 1.89 lifetime lint

Merge pull request #3527 from alexlarsson/fix-sign-bindings

Fix various things around signatures and their use in rust

rust: Regenerate and release 0.20.5

This adds the new bindings for signing and composefs use.

rust-binding: Extend bindings to support composefs and signing

This adds GLib.VariantDict, which is needed for
ostree_repo_commit_add_composefs_metadata(), and OSTree.BlobReader
which are needed for ostree_sign_read_sk().

With these we can sign ostree commits with composefs digests in them.

gir: Add (nullable) to ostree_blob_reader_read_blob return value

This adds api docs to ostree_blob_reader_read_blob() so that we
can mark the return value as nullable. This is needed, because
this function can return NULL without setting error, and this
needs to be handled in bindings (such as the rust ones).

ostree-sign.ed25519/spki: Fix double free in set_sk()

When the gvariant is G_VARIANT_TYPE_BYTESTRING we need to duplicate
the data we get from g_variant_get_fixed_array(), otherwise we will
double-free it when we later free sign->secret_key.

Merge pull request #3526 from lcook/status-index-json

status: Include deployment index in JSON output

status: Include deployment index in JSON output

Merge pull request #3523 from alexlarsson/signed-composefs-with-bootc

Support using composefs signatures also with bootc commits

Support using composefs signatures also with bootc commits

When using bootc, if you convert a signed ostree commit into an OCI
image `rpm-ostree compose container-encapsulate` you end up with a new
commit that isn't signed. However, the base commit object, and its
commitmeta are still in the image and will end up the repo, and
since https://github.com/bootc-dev/bootc/pull/1600 the base commit
id is available as the parent commit.

So, we change ostree-prepare-root to fall back to using the base
commit+commitmeta to find the expected composefs digest if the main
commit is not signed.

Note: This will only work with ostree-only commits. If you have any
layered data, then the content will change, and the composefs digest
in the base commit will not match the deployed one. This is expected
with such sealed commits though. If you want to layer, either disable
sealing, or create a new sealed ostree commit for the new image.

prepare-root: add allow_noent argument to load_variant

This is a minor preparation for a later change. Instead of
hand-rolling the G_FILE_ERROR_NOENT error check we add
a new allow_noent option.

Additionally, we move the handling of a no commitmeta being
an error to the caller of load_commit_for_deploy(), because
this check will be slightly more complex in the future.

Merge pull request #3524 from jlebon/pr/state-overlays-exp

man/ostree-state-overlay: drop experimental but link to bootc docs

man/ostree-state-overlay: drop experimental but link to bootc docs

This has baked for long enough now so drop the experimental flag. But do
explain that symlinks are preferred and link to the bootc docs.

Release to unstable

Make fast forward from 2025.5-1

[dgit --quilt=gbp]

Skip test-admin-deploy-uboot.sh on s390x

It fails on a porterbox. ostree hard-codes zipl to be used on s390x,
so it's reasonable that tests for other bootloaders might not work.

Bug: https://github.com/ostreedev/ostree/issues/3086
Forwarded: no

Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-admin-deploy-uboot.sh-on-s390x.patch

test-sysroot: Skip on s390x by default

This test regularly fails on the buildds, but I cannot reproduce the
failure on a porterbox.

Bug: https://github.com/ostreedev/ostree/issues/2527
Bug-Debian: https://bugs.debian.org/1025532
Forwarded: not-needed

Gbp-Pq: Topic debian
Gbp-Pq: Name test-sysroot-Skip-on-s390x-by-default.patch

Skip test-pull-repeated during CI

This test is expected to fail a small proportion of the time. During
the build of ostree 2018.7-1 in Debian, it seems we were unlucky on
s390x. Non-deterministic tests are also problematic for autopkgtest,
where they can gate migration of our dependencies like GLib, so skip
this test unless the caller has opted-in to non-deterministic tests.

It would be appropriate to enable this test in environments where
failures can easily be retried and are not disruptive to other
packages.

Signed-off-by: Simon McVittie <smcv@debian.org>
Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-pull-repeated-during-CI.patch

d/ostree-boot.install: Be less specific about the filenames used

2025.6 changed the sequence number for the dracut hook.

New upstream release

Update upstream source from tag 'upstream/2025.6'

Update to upstream version '2025.6'
with Debian dir fdbcb63463ebd01087d1a6ab94748d2e6cdce8fc

New upstream version 2025.6

Merge pull request #3521 from cgwalters/release

Release 2025.6

configure: post-release version bump

Release 2025.6

Merge pull request #3518 from champtar/remove-mount-cycle

Rework mounts to fix sysroot.mount umount

Revert "Add ostree-shutdown.service: hide /sysroot and make /etc read-only"

Instead of adding a shutdown service, we rework how we create the mounts.
After the 2 previous commits, sysroot.mount umount works, and
systemd-shutdown will take care of remounting etc.mount read-only and
calling sync() as needed.

This reverts commit d0c454c23637dceda6d7395dd2141b564e3efa47.

ostree-soft-reboot: fix sysroot.mount umount

The composefs at /run/nextboot uses /sysroot, so systemd fails to
umount sysroot.mount during soft-reboot.
Create a temporary bind-mount, use it to prepare /run/nextboot
and MNT_DETACH it when we are done.

ostree-prepare-root: avoid mount cycle

Moving the physical root at /sysroot, we end up
with a mount cycle between / and /sysroot, forcing us to use
MS_DETACH during shutdown (d0c454c23637dceda6d7395dd2141b564e3efa47).

We can replace ostree-shutdown.service by reworking how we mount
/sysroot, in short use MS_BIND instead of MS_MOVE.

Merge pull request #3517 from jozzsi/3495

Move dracut module from 98 ordering to the recommended 50 ordering

Move dracut module from 98 ordering to the recommended 50 ordering

In dracut release v108 or later the recommended ordering for out
out of tree modules is 50. The following is a section from dracut
documentation:

> Not using the 50-59 range for out of tree dracut modules will likely
> lead to unintended errors in the initramfs generation process as your
> dracut module will either run too early or too late in the generation process.
> You have been warned.

Fixes: https://github.com/ostreedev/ostree/issues/3495

Release to unstable

Make fast forward from 2025.4-1

[dgit --quilt=gbp]

Skip test-admin-deploy-uboot.sh on s390x

It fails on a porterbox. ostree hard-codes zipl to be used on s390x,
so it's reasonable that tests for other bootloaders might not work.

Bug: https://github.com/ostreedev/ostree/issues/3086
Forwarded: no

Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-admin-deploy-uboot.sh-on-s390x.patch

test-sysroot: Skip on s390x by default

This test regularly fails on the buildds, but I cannot reproduce the
failure on a porterbox.

Bug: https://github.com/ostreedev/ostree/issues/2527
Bug-Debian: https://bugs.debian.org/1025532
Forwarded: not-needed

Gbp-Pq: Topic debian
Gbp-Pq: Name test-sysroot-Skip-on-s390x-by-default.patch

Skip test-pull-repeated during CI

This test is expected to fail a small proportion of the time. During
the build of ostree 2018.7-1 in Debian, it seems we were unlucky on
s390x. Non-deterministic tests are also problematic for autopkgtest,
where they can gate migration of our dependencies like GLib, so skip
this test unless the caller has opted-in to non-deterministic tests.

It would be appropriate to enable this test in environments where
failures can easily be retried and are not disruptive to other
packages.

Signed-off-by: Simon McVittie <smcv@debian.org>
Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-pull-repeated-during-CI.patch

New upstream release

Update upstream source from tag 'upstream/2025.5'

Update to upstream version '2025.5'
with Debian dir 6f585d662f98f8633865ca5af1811d1ba89cdee0

New upstream version 2025.5

Merge pull request #3516 from cgwalters/remount-shutdown

Add ostree-shutdown.service: hide /sysroot and make /etc read-only

Add ostree-shutdown.service: hide /sysroot and make /etc read-only

We have a lot of bind mounts; these are usually set up in the initramfs.
So far during shutdown we've let systemd just try to sort things out
via auto-generated mount units i.e. `sysroot.mount` and `etc.mount`
and so on.

systemd has some special casing for `-.mount` (i.e. `/`) and `etc.mount`
https://github.com/systemd/systemd/blob/e91bfad241799b449df73efc30d833b9c5937001/src/shared/fstab-util.c#L72

However it doesn't special case `/sysroot` - which is currently
an ostree-specific invention (when used in the real root).
We cannot actually unmount `/sysroot` while it's in use, and it
is because `/etc` is a bind mount into it. And we can't tear
down `/etc` because it's just expected that e.g. pid 1 and other
things hold open references to it - until things finally
transition into systemd-shutdown.

What we can do though is explicitly detach it during the shutdown
phase; this ensures that systemd won't try to clean it up then,
suppressing errors about its inability to do so.

While we're here, let's also remount `/etc` read-only; while
systemd itself will try to do so during systemd-shutdown.
Per comments if this service fails, it's a bug in something
else to be fixed.

Closes: https://github.com/ostreedev/ostree/issues/3513
Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3515 from HastD/xattrs-double-free

fix: double free in checkout_tree_at_recurse

fix: double free in checkout_tree_at_recurse

Both `xattrs` and `modified_xattrs` are declared with `g_autoptr`, but
`xattrs` is later simply assigned to be equal to `modified_xattrs`,
meaning the automatic cleanup is a double-free.

This is fixed by instead using `g_steal_pointer` to assign the old value
of `xattrs` to a temporary variable, which is used to create the new
value.

I believe this is the cause of issue #3303, and this should fix #3303.
(I can consistently reproduce the issue by attempting to deploy a
rechunked image with bootc, and with this patch, the issue no longer
occurs and the deployment succeeds.)

Signed-off-by: Daniel Hast <hast.daniel@protonmail.com>

Merge pull request #3514 from cgwalters/finalize-needs-etc

ostree-finalize-staged.service: RequiresMountsFor=/etc

ostree-finalize-staged.service: RequiresMountsFor=/etc

I've seen in some cases systemd try to unmount /etc quite early
and then fail because it's in use.

It's confusing because I don't see this in all scenarios.
But regardless, in the situations where it does occur,
this fixes it.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3512 from champtar/OSTREE_SUPPRESS_SYNCFS

libostree: remove OSTREE_SUPPRESS_SYNCFS

libostree: remove OSTREE_SUPPRESS_SYNCFS

This workaround was needed for the old valgrind version in EL 7

Merge pull request #3509 from cgwalters/sysroot-sync-repo

Deduplicate repo+sysroot syncfs logic

Merge pull request #3510 from cgwalters/release

Release 2025.5

Deduplicate repo+sysroot syncfs logic

This is a followup to https://github.com/ostreedev/ostree/pull/3504/commits/6e5a27a29d33d50a2a4380c406405435d919b6b4
which I believe is correct as is. However, we already have a file
descriptor open for the ostree repo, which *must* be on
the same filesystem as `/sysroot/ostree` (the deployment
code forces hardlinking today).

It's hence cleaner to reuse that extant fd instead of opening
a new one - we know we did writes to that fd.

But going farther here, there already is logic to use syncfs
for the repo when downloading objects (in a common case
we actually syncfs twice).

Since these are really the same operation, unify them:

- Add journaling to the repo one syncfs case
- Change the sysroot case to just call it
- Since we log consistently to the journal for all syncfs/fsfreeze
  operations now, drop the SyncStats bits which was a way
  to add info about that to a later journal message

Additionally, let's add an extra check when we're
opening the repo that it's on the same device just on general
principle.

Signed-off-by: Colin Walters <walters@verbum.org>

configure: Post-release version bump

Signed-off-by: Colin Walters <walters@verbum.org>

Release 2025.5

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3507 from cgwalters/aboot-chdir

aboot: Use fd and not absolute path

Merge pull request #3508 from cgwalters/switchroot-journal

prepare-root: Log to journal, not stdout

prepare-root: Log to journal, not stdout

Since this can now be used as part of the shared library for
soft reboots, we shouldn't have a library write to stdout.
I noticed this in bootc. Use the journal instead.

Signed-off-by: Colin Walters <walters@verbum.org>

aboot: Use fd and not absolute path

Motivated by https://github.com/bootc-dev/bootc/pull/1532/commits/6d2eb2aaa92e23f434c47e3d0ebadc0307d45289

(We need to have a shared helper for this stuff at some point)

Merge pull request #3506 from cgwalters/adapt-cosa

ci: Adapt to cosa change

ci: Adapt to cosa change

It seems to have stopped building qemu by default.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3504 from champtar/syncfs-ostree

deploy: call syncfs() for /ostree instead of /

deploy: call syncfs() for /ostree instead of /

In full_system_sync we were calling syncfs(/) expecting
all the recent modification in /ostree to be synced to disk.
With / now being composefs, syncfs(/) is a noop, so call
syncfs(/ostree) as that is what we really want.

Normalize formatting with debputy

Release to unstable

Declare fast forward from 2025.2-1

[dgit --quilt=unapplied --overwrite]

Skip test-admin-deploy-uboot.sh on s390x

It fails on a porterbox. ostree hard-codes zipl to be used on s390x,
so it's reasonable that tests for other bootloaders might not work.

Bug: https://github.com/ostreedev/ostree/issues/3086
Forwarded: no

Gbp-Pq: Topic debian
Gbp-Pq: Name Skip-test-admin-deploy-uboot.sh-on-s390x.patch

test-sysroot: Skip on s390x by default

This test regularly fails on the buildds, but I cannot reproduce the
failure on a porterbox.

Bug: https://github.com/ostreedev/ostree/issues/2527
Bug-Debian: https://bugs.debian.org/1025532
Forwarded: not-needed

Gbp-Pq: Topic debian
Gbp-Pq: Name test-sysroot-Skip-on-s390x-by-default.patch