build(deps): bump github/codeql-action from 2 to 3

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 2 to 3.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/v2...v3)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-major
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #13564 from rgacogne/ddist-payload-size-rule

dnsdist: Add `PayloadSizeRule` and `TCResponseAction`

Merge pull request #13594 from rgacogne/ddist-http1

dnsdist: Send a HTTP 400 response to HTTP/1.1 clients

dnsdist: Clarify that `TCResponseAction` removes all records

Merge pull request #13593 from rgacogne/ddist-regression-tests-ffi-dnsheader

dnsdist: Add regression tests for DNS header set/get via Lua FFI

Merge pull request #13592 from rgacogne/qname-suffix-rule

dnsdist: Add `QNameSuffixRule`

tcpiohandler: Added a comment explaining the HTTP/1.1 addition to ALPN

dnsdist: Uh, phrasing!

dnsdist: Clarify the Lua FFI DNS header set/get regression tests

dnsdist: Fix a typo in the documentation

dnsdist: Fix documentation issues reported by Habbie

dnsdist: Send a HTTP 400 response to HTTP/1.1 clients

Explaining that DNSdist with nghttp2 only supports DNS over HTTP2.

Merge pull request #13565 from rgacogne/ddist-more-lua-helpers

dnsdist: Add Lua FFI bindings: hashing arbitrary data and knowing if the query was received over IPv6

dnsdist: Add regression tests for DNS header set/get via Lua FFI

Merge pull request #13560 from rgacogne/ddist-spoof-raw-any

dnsdist: Spoof a raw response for ANY queries

dnsdist: Add `QNameSuffixRule`

An easier to type alias to `SuffixMatchNodeRule`, as suggested
by Håkan Lindqvist.

Merge pull request #13492 from rgacogne/ddist-dbrg-cache-miss-ratio

dnsdist: Add a cache-miss ratio dynamic block rule

Merge pull request #13588 from omoerbeek/rec-dir-defaults

Rec: correct defaults of various dirs

dnsdist: No need to multiply 1.0 in cache-miss ratio dynblocks

As suggested by Charles-Henri, thanks!

dnsdist: Yet more delinting

dnsdist: Format dnsdist-dynblocks.hh

dnsdist: More delinting

dnsdist: Require a minimum cache-hit ratio in `DynBlockRulesGroup:setCacheMissRatio()`

dnsdist: Delint test-dnsdistdynblocks_hh.cc

dnsdist: Add a cache-miss ratio dynamic block rule

This PR adds the `DynBlockRulesGroup:setCacheMissRatio()` method
which can be used to throttle clients exceeding a ratio of cache misses
for a minimum number of queries over a period of time.

Beter default value (saying "it depends") in generated docs for settings
that are determined by distribution packaging.

Merge pull request #13591 from rgacogne/ddist-unbreak

dnsdist: Fix compilation issue

Merge pull request #13423 from phonedph1/patch-3

rec: Update performance.rst

dnsdist: Fix compilation issue

Introduced by a conflict between #12922 and #13556.

Merge pull request #13517 from rgacogne/ddist-proxy-protocol-per-bind

dnsdist: Allow enabling incoming PROXY protocol on a per-bind basis

dnsdist: Apply Otto's suggestion for the qtypeForAny parameter

Merge pull request #13556 from chbruyand/dnsdist-doh3

dnsdist: add support for incoming DNS over HTTP/3

Merge pull request #13583 from rgacogne/ddist-fix-race-async-test

dnsdist: Fix a race in the async regression tests

Merge pull request #13584 from rgacogne/ddist-network-listener-data

dnsdist: Fix a small race in the NetworkListener

dnsdist: Rename 'allowProxyProtocol' to 'enableProxyProtocol'

dnsdist: Delint dnsdist-tcp.cc

dnsdist: Fix a few clang-tidy warnings

dnsdist: Allow enabling incoming PROXY protocol on a per-bind basis

The per-bind option defaults to `true` as to not break existing
configuration, but setting `allowProxyProtocol=false` on a
`add*Local()` directive disables proxy-protocol handling for this
specific bind.

Use correct compile time values for the NOD and UDR dirs

Respect RUNTIME_DIRECTORY as a default for socket-dir

This was lost with the conversion to the new settings.

dnsdist: More delinting of the DoH3 code

dnsdist: Split the DoH3 event handling loop off the main one

dnsdist: Add showDOH3Frontends()

dnsdist: Fix clang-tidy warnings

dnsdist: doh3 clean some var names

dnsdist: doh3 add support for post queries

dnsdist: doh3 fix a few review points

dnsdist: doh3, appease the CI folks

dnsdist: add some words about doh3 in documentation

dnsdist: refactor some common code between doq/doh3

dnsdist: doh3 clarify fin usage

dnsdist: Handle HTTP/3 error responses

dnsdist: Refactor QUIC tests so that they can be used for DoQ and DoH3

dnsdist: enable doh3 in our CI

dnsdist: doh3, fix formating and clang-tidy warnings

dnsdist: add basic DoHTTP/3 test

dnsdist: add beta support for incoming DNS over HTTP/3

dnsdist: add doh3 protocol

dnsdist: Fix a clang-tidy warning in the rules unit tests

dnsdist: Fix a clang-tidy warning

dnsdist: Add unit tests for PayloadSizeRule

dnsdist: Implement DNSResponseAction.Truncate and TCResponseAction()

To be able to truncate already existing answers.

dnsdist: Add `PayloadSizeRule`

Adding the ability to match on the size of the DNS payload.

dnsdist: Fix a race in the async regression tests

We need to make sure the listener is alive during the duration of
the test, and not destroyed by the garbage collector.

dnsdist: Delint dnsdist-lua-network.cc

dnsdist: Fix a small race in the NetworkListener

The main thread needs to be able to access the data even if the
NetworkListener object has been destroyed first, which usually only
happens when DNSdist is exiting, but could also happen earlier if
the Lua handle is garbage collected.

dnsdist: Fix a clang-tidy warning

dnsdist: Add a helper to hash arbitrary data from Lua FFI

dnsdist: Add a Lua FFI way to know if the query was received over v6

Merge pull request #13587 from rgacogne/rec-dangling-ref-udp-callback

rec: Fix a dangling reference in Lua's UDP Query Response callback

rec: Fix a dangling reference in Lua's UDP Query Response callback

Introduced in 50bd111e3c78e2cc8c2aa916a1f9fc22699f1f60

Merge pull request #13529 from Habbie/mssql-credentials

auth CI: clarify that the mssql password is not a secret

Merge pull request #13521 from omoerbeek/coverity20231120

rec: set of coverity fixes 20231120

Remove redundant coverity annotation

Merge pull request #13562 from omoerbeek/rec-prep-5.0.0-rc1

rec: prep 5.0.0 rc1

US English

Merge pull request #13530 from romeroalx/actions-debian-bookworm

GH Actions: build-and-test-all workflow on Debian Bookworm

Remove redundant word

Co-authored-by: Neil Cook <neil.cook@noware.co.uk>

run build-and-test-test-all workflow on debian bookworm

simplified package version

Merge pull request #13537 from rgacogne/ddist-packetcache-max-size

dnsdist: Make the max size of entries in the packet cache configurable

Merge pull request #13533 from rgacogne/ddist-document-responses-metric-changed

dnsdist: Document that the `responses` metric changed in 1.8

Merge pull request #13506 from rgacogne/ddist-proxy-protocol-ttls-tlv

dnsdist: Add an option to set the SSL proxy protocol TLV

dnsdist: Remove left-over commented code in test_Caching.py

Apply suggestions from code review

Co-authored-by: Remi Gacogne <github@coredump.fr>

Fine tune EOL policy

dnsdist: Fix clang-tidy warnings

dnsdist: Spoof a raw response for ANY queries

This PR adds the ability to spoof a raw response for ``ANY`` queries, as
it would not make sense to use ``ANY`` for the type of the response record.

Merge pull request #13500 from rgacogne/ddist-addaction-makerule-magic

dnsdist: Improve `NetmaskGroupRule`/`SuffixMatchNodeRule`, deprecate `makeRule`

Prep for rec-5.0.0-rc1

Merge pull request #13515 from rgacogne/ddist-suffix-visitor-set-action

dnsdist: Allow setting the action from `setSuffixMatchRule{,FFI}()`'s visitor

dnsdist: Add regression tests for deprecated but not yet removed items

dnsdist: Clarify the passing a string/list of strings to add*Action() is deprecated

dnsdist: Update the example configuration, as suggested by @phonedph1

dnsdist: Add regression tests for the new multiple strings syntax

dnsdist: Apply clang-tidy comments

dnsdist: Document that passing a string to add*Action is deprecated

dnsdist: Stop using `makeRule` in our tests

dnsdist: Improve `NetmaskGroupRule`/`SuffixMatchNodeRule`, deprecate `makeRule`

- `NetmaskGroupRule` now accepts a string or list of strings, instead of requiring the use of `newNMG`
- `SuffixMatchNodeRule` also accepts a string or list of strings, instead of requiring the use of `newSuffixMatchNode`
- Passing a string or list of strings to `addAction` is now deprecated
- `makeRule` is now deprecated

Merge pull request #13503 from rgacogne/ddist-nmg-add-nmg

dnsdist: Add `NetmaskGroup:addNMG()` to merge Netmask groups

Merge pull request #13509 from rgacogne/ddist-teeaction-proxyprotocol

dnsdist: Add Proxy Protocol v2 support to `TeeAction`