<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le ven. 10 mars 2023 à 08:33, Takashi Kajinami <<a href="mailto:tkajinam@redhat.com">tkajinam@redhat.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 10, 2023 at 4:20 PM Takashi Kajinami <<a href="mailto:tkajinam@redhat.com" target="_blank">tkajinam@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>fyi;</div><div><br></div><div>It seems the new release of bandit (1.7.5) just came out and this introduces a new lint rule</div><div>to require defining the timeout parameter for all "requests" calls.</div><div> <a href="https://github.com/PyCQA/bandit/commit/5ff73ff8ff956df7d63fde49c3bd671db8e821eb" target="_blank">https://github.com/PyCQA/bandit/commit/5ff73ff8ff956df7d63fde49c3bd671db8e821eb</a></div><div><br></div><div>This is currently affecting heat and quick search shows some of the other projects contain some code</div><div>not compliant with this rule(barbican, ceilometer, cinder, glance, manila, nova, ...).</div></div></blockquote><div>Seems some of these (ceilometer, cinder, glance and manila) are not using bandit and others(nova) have</div><div>the upper version defined. SO it might not affect  limited number of projects using bandit without upper version</div><div>but I'd recommend you check your own projects .<br></div><div> </div></div></div></blockquote><div><br></div><div>AFAIK, the Nova bandit specific tox target [1] isn't run on CI by any of the Zuul jobs we have [2] (we don't include a bandit check as part of a pep8 validation)</div>I tested both 1.7.4 and 1.7.5 bandit versions on the tox target locally, and I don't see much of a difference.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Sounds the issue is then unrelated to the Nova project, to clarify.</div><div class="gmail_quote">-Sylvain<br></div><div class="gmail_quote"><div><br></div><div><br></div><div>[1] <a href="https://github.com/openstack/nova/blob/master/tox.ini#L260-L265">https://github.com/openstack/nova/blob/master/tox.ini#L260-L265</a></div><div>[2] <a href="https://github.com/openstack/nova/blob/master/.zuul.yaml">https://github.com/openstack/nova/blob/master/.zuul.yaml</a></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Also, it seems we do not pin bandit by u-c for some reason this likely affects all stable branches.</div><div>Actually I first noticed this when I tried to backport one fix to 2023.1 branch of heat...<br></div><div><br></div><div>Thank you,</div><div>Takashi</div></div>
</blockquote></div></div>
</blockquote></div></div>