build-sys: Move clang-format into justfile

We don't need a build to run it, it's more appropriate
there.

Signed-off-by: Colin Walters <walters@verbum.org>

justfile: Accept args, add build-host shortcuts

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3449 from cgwalters/fix-validate-sig-overwrite

prepare-root: Fix error overwrite

Merge pull request #3448 from cgwalters/refactor-prepare-root-etc

prepare-root: Some prep PRs

prepare-root: Move /etc handling into library

Prep for soft reboots.

Signed-off-by: Colin Walters <walters@verbum.org>

prepare-root: Fix error overwrite

An AI code review tool spotted incorrect usage of GError. Awesome.

Signed-off-by: Colin Walters <walters@verbum.org>

prepare-root: Move metadata for root transient into lib

Prep for soft reboots.

Signed-off-by: Colin Walters <walters@verbum.org>

prepare-root: Move metadata for deployment into otcore

- Rename `mount_composefs` to `mount_rootfs` to make a little clearer
  what it does; even though if the rootfs is not composefs we don't
  do anything before.
- But do always unconditionally update the metadata builder with
  the device/inode

Prep for soft reboots.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3447 from cgwalters/prepare-root-sysroot-prep

prepare-root: Don't hardcode sysroot

prepare-root: Don't hardcode sysroot

Follow to previous change to factor out composefs mounting;
prep for soft reboots.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3445 from cgwalters/prepare-root-prep

prepare-root: Factor out composefs handling into otcore

prepare-root: Factor out composefs handling into otcore

I'm thinking about creating ostree-prepare-soft-reboot.c.
Prepare for this by factoring out shared helper functions.

Merge pull request #3443 from cgwalters/readme-tweak

rust: Tweaks for README.md

rust: Tweaks for README.md

Mostly an excuse to publish a new crate to test that
regenerating the docs works.

Merge pull request #3439 from cgwalters/update-dockerfile

ci: Rework Dockerfile, add Justfile and improved testing

ci: Rework Dockerfile, add Justfile and improved testing

- Move the Dockerfile to the toplevel as a primary dev entrypoint
- The Justfile is intended especially for agentic AI like
  block/goose or Claude Code as an allowlistable-command entrypoint
- Include attempt at incremental build caching, partially defeated
  by autotools
- Add new tests-unit-container that tests ostree-prepare-root in
  a container

Signed-off-by: Colin Walters <walters@verbum.org>

tests/libtest: Just use python as a webserver if no libsoup

We only have a very few tests that actually need what
we have in ostree-trivial-httpd that supports things like serving
random 500 errors etc.

If we don't have libsoup, then just use a python webserver.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3437 from cgwalters/update-dockerfile-prep

A few buildsystem fixes

Merge pull request #3438 from cgwalters/minor-docs

docs: Some typo and link fixes

docs: Some typo and link fixes

Found with AI assistance.

Co-authored-by: Etienne Champetier <champetier.etienne@gmail.com>

ci: Disable soup3 in minimal

Noticed in drive by.

Signed-off-by: Colin Walters <walters@verbum.org>

libtest: Quiet some output

Otherwise there's a lot of test spam.

Signed-off-by: Colin Walters <walters@verbum.org>

ci: use srcdir != builddir by default, builddir under target/

This blends better with docker builds where we have a blanket
ignore of `target` in .dockerignore.

Right now we use git.mk to generate .gitignore and autotools
drop stuff all over the place.

Signed-off-by: Colin Walters <walters@verbum.org>

ci: Updates for centos builds

- Do the modern way to enable the buildroot with crb and epel

Signed-off-by: Colin Walters <walters@verbum.org>

dockerignore: Add

This ensures we don't pick up things we shouldn't from the source.

Signed-off-by: Colin Walters <walters@verbum.org>

Turn off gemini summary

It's way too noisy.

Signed-off-by: Colin Walters <walters@verbum.org>

apidoc: Quiet many warnings

Should have done this long ago, this greatly reduces the spam
in the terminal logs from builds.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3435 from jmarrero/prep-indepontent

prep patches for: soft-reboot

ostree-prepare-root: add option processing for kernel arguments

In a future soft-reboot feature this will allow us to pass kernel
arguments for the deployment we are going to soft-reboot into.

ostree-prepare-root: make mkdir calls idempotent

Merge pull request #3425 from samzeter/unused-proc

tests: remove unused import

tests: remove unused import

Fixes:

warning: unused import: `with_procspawn_tempdir::with_procspawn_tempdir`
  --> src/test.rs:11:9
   |
11 | pub use with_procspawn_tempdir::with_procspawn_tempdir;
   |         ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
   |
help: if this is a test module, consider adding a `#[cfg(test)]` to the containing module
  --> src/insttestmain.rs:9:1
   |
9  | mod test;
   | ^^^^^^^^^
   = note: `#[warn(unused_imports)]` on by default

Merge pull request #3430 from cgwalters/rust-update-2

rust: Also add a feature for v2025_2

rust: Also add a feature for v2025_2

Merge pull request #3428 from cgwalters/rust-release

rust: Release new minor version

Merge pull request #3429 from cgwalters/drop-msrv-check

rust: Drop MSRV job

rust: Drop MSRV job

Our MSRV is basically covered by the C9S jobs.

Signed-off-by: Colin Walters <walters@verbum.org>

rust: Release new minor version

Signed-off-by: Colin Walters <walters@verbum.org>

rust: Release new minor version

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3422 from cgwalters/rust-update

rust: Update to 2025.2

Merge pull request #3423 from evan-goode/evan-goode/man-transient

man: Document `ostree admin unlock --transient`

Merge pull request #3427 from cgwalters/fix-deny

ci: Update deny to v2

Merge pull request #3426 from cgwalters/fix-live-tests

ci: build metal and live media in one invocation

This is slightly more efficient because we enter supermin once/invoke
osbuild once.

ci: Update deny to v2

It looks like the v1 action due to a crate bump
started hard requiring a newer rust?

Signed-off-by: Colin Walters <walters@verbum.org>

ci: Drop --fast from buildextend-live

This got dropped apparently with the osbuild rewrite.

man: Document `ostree admin unlock --transient`

Signed-off-by: Evan Goode <mail@evangoo.de>

rust: Update to 2025.2

I want the set_null_log in particular.

Merge pull request #3405 from cgwalters/detect-vfat-boot

sysroot: Detect early on when /boot is on vfat

Merge pull request #3413 from ricardosalveti/aboot

deploy: only set aboot/abootcfg when found

sysroot: Detect early on when /boot is on vfat

We do want to support this (as part of supporing the
Boot Loader Spec) but because we use symlinks in `/boot`,
can't yet.

Error out very early on consistently if we detect
vfat for /boot, but also add a member variable to keep track
of this in preparation for supporting it.

Signed-off-by: Colin Walters <walters@verbum.org>

deploy: only set aboot/abootcfg when found

Bootloader entry should only have aboot and abootcfg configuration
entries when aboot.img is found on the system (e.g.
/usr/lib/modules/$kver).

Otherwise it will be always set, won't be used during boot and
systemd-boot will complain about unknown lines.

Tested-by: Brian Masney <bmasney@redhat.com>
Signed-off-by: Ricardo Salveti <ricardo@foundries.io>

Merge pull request #3416 from cgwalters/test-fixes

Test fixes

tests/prune: Ensure /boot is big enough for 3 bootdata

The size of kernel+initramfs (bootdata) for FCOS has crept up
enough that it's *always* triggering this path, which perturbs
the test into incorrectly triggering early prune.

If we detect that /boot is too small, allocate a new loopback-mounted
copy.

tests/prune: Minor refactor and logging

- Add a shared modules_dir variable to avoid repetition
- Log size of kernel+initramfs
- Log df /boot around when we write and remove "bigfile"

Signed-off-by: Colin Walters <walters@verbum.org>

tests/auto-prune: Add logging for steps

So it's a bit easier to find out which part of this code failed.

tests: Drop use of host_refspec

There's no refspec on FCOS now using containers.
We never needed a refspec for any of these, just the commit.

tests: Don't mutate usr/sbin separately

It's now a symlink to usr/bin on Fedora derivatives.

bin/set-origin: Don't crash if origin has no refspec

e.g. if it's using a container instead.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3410 from cgwalters/prepareroot-static-fix

generator: Still create /run/ostree in static prepareroot path

Merge pull request #3407 from cgwalters/boot-load-cleanup

sysroot: Load bootloader configs via boot_fd

Merge pull request #3412 from cgwalters/doc-var-transient

prepare-root: Document that /var is unaffected by root.transient

prepare-root: Document that /var is unaffected by root.transient

Closes: https://github.com/ostreedev/ostree/issues/3409

generator: Still create /run/ostree in static prepareroot path

Ref https://github.com/ostreedev/ostree/pull/3406

There's a combination of two commits here that broke the static
prepareroot path:

ec1109c7a93a2ed07503b12ffecf7048cf7cc0d0
"generator: Stop creating `/run/ostree-booted`"
and more recently
b9ce0e89801bbc92d50473d3620b3f41f1dbef9f
generator: Exit if there's no `/run/ostree`

Basically when run via a non-static prepareroot we create
`/run/ostree-booted` consistently in the initramfs,
using the kernel argument presence as source of truth.

But for the static prepareroot, the generator checked
the kernel argument, and had a fallback of creating it.

Except that's busted in the case of running in a
container, where with many runtimes we still
default to seeing the host's commandline (which
is basically wrong...but fixing that requires a
userspace virtualizer/interceptor for `/proc`
so it's not commonly done).

This should fix the static prepareroot path
by detecting the case where we're compiled
with a static prepareroot, and if so we then
hardcode creating the `/run/ostree-booted`
file in the generator. I think basically
everyone who is compiling ostree with
a static prepareroot *and* including it
in their filesystem trees can be pretty
much guaranteed to be actually using it.

sysroot: Load bootloader configs via boot_fd

This was a general principle cleanup, preparation
for handling VFAT for /boot for systemd-boot/BLS
support.

However I ran into an ugly corner case in our
unit tests that pointed at a sysroot without a
boot directory. The previous logic handled
ENOENT for boot/loader but not /boot.
Continue to cope with that degenerate situation.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3403 from ChilloManiac/main

docs: removed unused argument

docs: removed unused argument

Merge pull request #3397 from cgwalters/deployment-backing

unlock: Use deployment backing dir

unlock: Use deployment backing dir

Closes: https://github.com/ostreedev/ostree/issues/3391
Basically it's not uncommon to make `/var/tmp` a separate
partition, but this constrains the amount of data that
can be written to `/usr` when unlocking.

Change things here to write to the deployment's backing
dir which is part of the same rootfs as the storage
and is lifecycle bound to the deployment, ensuring
it gets GC'd.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3400 from cgwalters/add-locked-bool

rust: Add support for `locked` option for `SysrootDeployTreeOpts`

Merge pull request #3398 from cgwalters/older-ostree-fsck

tests: Add backcompat-fsck test

Merge pull request #3401 from ueno/wip/dueno/spki-fixes

Fix build error with --with-ed25519-libsodium and --with-openssl

Fix build error with --with-ed25519-libsodium and --with-openssl

While libotcore can be configured with those options individually, the
latter is always required for OpenSSL's EVP functions. This splits the
ifdefs to accommodate that.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

rust: Add support for `locked` option for `SysrootDeployTreeOpts`

For use in bootc at least.

tests: Add backcompat-fsck test

We don't have a lot in the way here of formal upgrade/compat tests,
but we definitely should.

Most of our tests just test the built ostree.

I believe this would have caught compatibility issues with
https://github.com/ostreedev/ostree/pull/3346

Merge pull request #3396 from cgwalters/release

Release 2025.2

Post-release version bump

Signed-off-by: Colin Walters <walters@verbum.org>

Release 2025.2

Signed-off-by: Colin Walters <walters@verbum.org>

tests/auto-prune: Don't go negative

- First I kept wondering what the magic of 10000 was here before
  looking above and noticing it matched the number of dtb files.
  Make a shared variable so the connection is more obvious
- Next, I *believe* the intention of this test was to test
  the edge case of bytes vs blocks, but we ended up subtracting
  blocks and I think recent FCOS images happened to get small
  enough that we started going negative here.
  Fix this to convert the bytes into blocks.

Merge pull request #3278 from ueno/wip/dueno/pkcs8

sign: Support generic "spki" type of commit signatures

sign: Support generic "spki" type of commit signatures

The current "ed25519" signing type assumes raw Ed25519 key format for
both public and private keys. This patch generalizes it by adding a
new signature type "spki" which uses the X.509 SubjectPublicKeyInfo
format for public keys. Keys in this format can easily be created with
openssl tools and provide crypto agility[1] as the format embeds
algorithm identifier.

The supposed use-case of this feature is to attach multiple signatures
with different algorithms to a single commit, so even if an algorithm
turned vulnerable, the signatures made with other algorithms can still
be used as a fallback. For instance, signer can create an Ed25519
signature along with a quantum-resistent ML-DSA signature.

The following are a couple of implementation notes:

- The private keys shall be stored in the PKCS#8 format, though future
  extensions may support other format such as opaque key handles on a
  hardware token.

- The "spki" signature type prefers the keys to be encoded in the PEM
  format on disk, while it still accepts base64 encoded keys when given
  through the command-line.

1. https://en.wikipedia.org/wiki/Cryptographic_agility

Signed-off-by: Daiki Ueno <dueno@redhat.com>

tests: Use tap_ok/tap_end in test-signed-commit.sh

Signed-off-by: Daiki Ueno <dueno@redhat.com>

sign: Add PEM reading facility

This adds a new class OstreePemReader, which reads PEM blocks from an
input stream.  This would be useful for the "x509" signing backend, as
the keys are typically stored in the PEM format.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

sign: Factor out logic to read key blobs

This defines a new interface OstreeBlobReader, which encapsulates the
key file parsing logic. This would make it easy to support custom file
formats such as PEM.

Signed-off-by: Daiki Ueno <dueno@redhat.com>

sign: Use explicit_bzero to clear secret key material

Suggested in:
https://github.com/ostreedev/ostree/pull/3278#discussion_r1675696052

Signed-off-by: Daiki Ueno <dueno@redhat.com>

sign: Fix typo in error messages and comments

Signed-off-by: Daiki Ueno <dueno@redhat.com>

Merge pull request #3395 from cgwalters/syncfs-clarification

commit: Clarify that syncfs is of repo/tmp

commit: Clarify that syncfs is of repo/tmp

We saw this in an error message:
```
error: Generating commit from rootfs: syncfs: Not a directory
```

I'm pretty sure it's this function call but let's be a bit
more sure by adding a bit more context.

Merge pull request #3387 from smcv/debug3386

test-gpg-verify-result: Show what the result was before asserting about it

Merge pull request #3394 from vmorris/patch-1

Update introduction.md

Merge pull request #3393 from champtar/fsfreeze-boot

Use fsfreeze_thaw_cycle(/boot) instead of fsync(/boot)

Update introduction.md

slight rewording to remove redundancy

Use fsfreeze_thaw_cycle(/boot) instead of fsync(/boot)

Grub doesn't support replaying XFS journal, so when using
XFS for /boot, fsync() or syncfs() are not enough and can
leave the system in an unbootable state.

Signed-off-by: Etienne Champetier <e.champetier@ateme.com>

Merge pull request #3389 from jlebon/pr/drop-finalize-staged-path

boot: Drop ostree-finalize-staged.path

boot: Drop ostree-finalize-staged.path

This effectively reverts ac1a919f ("boot: Add
ostree-finalize-staged.path").

A bug came in on the OCP side that demonstrates that the way things are
setup right now is racy. If a reboot is triggered quickly after staging
a deployment, the whole pipeline of:

- ostree-finalize-staged.path, which triggers
- ostree-finalize-staged.service, which triggers
- ostree-finalize-staged-hold.service,

may not fully have happened before systemd isolates to `reboot.target`
which will want to kill all pending jobs.

Just directly starting the systemd unit is less elegant but much more
explicit and gets rid of any possible race because it's directly part of
the staging operation.

Fixes: https://issues.redhat.com/browse/OCPBUGS-51150

test-gpg-verify-result: Show what the result was before asserting about it

Helps: https://github.com/ostreedev/ostree/issues/3386
Signed-off-by: Simon McVittie <smcv@debian.org>

Merge pull request #3385 from cgwalters/log-xattr-conflict

core: Fix bare-user xattr canonicalization

core: canonicalize bare-user xattrs

Previously we were erroring out if xattrs were provided in
non-canonical (e.g. unsorted) form all the way down to just
the bare-user path. But for archive repos and dirmeta we
canonicalized.

Canonicalize bare-user xattrs on both read and write consistently
instead of erroring.

Signed-off-by: Colin Walters <walters@verbum.org>

tests/basic: Add lots of user. xattrs

This exercises our requirement for xattr sorting.

Signed-off-by: Colin Walters <walters@verbum.org>

commit: Add errprefix for bareuser metadata

To aid debugging.

Signed-off-by: Colin Walters <walters@verbum.org>