fix two nitpicks from clang-scan

- utils.c: overflowing size_t is basically impossible, but well...
- stats.c: NULL would probably not cause a problem with zero length passed

Merge !454: daemon/worker: fix regression from e7c5c102d0eb8

daemon/worker: cleanup errors; missed packet source

Merge branch 'policy_polish' into 'master'

policy: polish policy module up

See merge request knot/knot-resolver!462

CI: test doc build

doc: fix Sphinx warnings

policy: polish policy module documentation

policy: fix generated SOA RR so it can be cached

RFC 6303 section 3 explains that

   The SOA RR is needed to support negative caching [RFC2308] of name
   error responses and to point clients to the primary master for DNS
   dynamic updates.

Now SOA RR owner name matches query name so it can be cached.
Using zone name as owner would be more difficult so it is left for
further optimizations.

I've verified that nsupdate correctly determines that master name
does not exist and stops update process.

policy: add explanatory TXT record to zones blocked by default

policy: refactor policy and view modules

I've removed couple layers of indirection to make it easier to follow.
This should make it easier to extend the policy module.

Merge branch 'respdiff-debug' into 'master'

CI: store respdiff database for debuging purposes

See merge request knot/knot-resolver!443

CI: store respdiff database for debuging purposes

Merge branch 'dockerfile' into 'master'

Dockefile: fix TLS server in demo container

See merge request knot/knot-resolver!463

Dockefile: fix TLS server in demo container

Related: #297

Merge branch 'dockerfile' into 'master'

Docker: fix Dockerfile for demo container

Closes #297

See merge request knot/knot-resolver!461

Docker: fix Dockerfile for demo container

libstdc++ was missing in the Alpine image.
At the same time, I've enabled DNSSEC validation, DNS-over-TLS, HTTP interface
and added explanatory message.

Merge !439: Use common convention for paths and user name

use common convention for configuration path and user name

Merge !405: Support for tracing query execution logs

http module: rename after 2702e0416994

nitpicks from review of !405: query-trace

The deckard change was probably unintentional, so I reverted that.
The only real mistake I found was `sizeof(128)`, though the effect was
just unnecessary reallocations.

On the whole I really like it.  Verbose logging might get slightly
slower, due to increased amount of string allocation and copying,
but it does seem worth it, at least until we can prove otherwise.
I didn't look much into http module changes, etc.

Merge branch 'master'

Merge branch 'fix-sphinx-rtd-theme' into 'master'

doc: fix generating sphinx doc using older packages

See merge request knot/knot-resolver!460

doc: fix generating sphinx doc using older packages

Merge !459: 1.5.3 fixes + nitpicks

CI: ignore the clang -rdynamic problems, for now

nitpicks

Merge tag 'v1.5.3'

Merge branch 'keyfile-arg' into 'master'

Split CLI for managed and unmanaged trust anchor modes

Closes #145 and #168

See merge request knot/knot-resolver!358

docs: update link to IANA web with DNSSEC root TA

TA bootstrap: print obtained values

config-test: refactor config test framework, add keyfile tests

Config tests now have ability to run daemon with different arguments and
to check exit code.

daemon: remove globals, split main into functions

keyfile: added tests

keyfile argument distiguish managed and unmanaged mode

Arguments --keyfile, -k for managed mode
and
--keyfile-ro, -K for unmanaged (readonly) mode.

Automatic setting based on the file permission is removed because it was
confusing and could easily lead to state where automatic update does not
happen because of unexpected file permissions.

Check if folder is writeable was moved into Lua code.

Default unmanaged keyfile path can be specified at compile
time with option KEYFILE_DEFAULT. This default
configuration can be disabled in configuration file with
trust_anchors.keyfile_default = nil.

release 1.5.3

test_cache: disable test_materialize

I'm not sure why the preceding commits broke it.

make: fix Fedora problems with symbols

make: CFLAGS cleanup

Readability, and don't -I embedded lmdb if not using it.

make: use -fvisibility=hidden by default

Symbols not marked by KR_EXPORT shouldn't be visible outside
the same output binary (e.g. sbin/kresd or lib/kdns_modules/hints.so)
Also mark `engine_hint_root_file`.

Merge branch 'draft-huston-kskroll-sentinel' into 'master'

Implement draft-ietf-dnsop-kskroll-sentinel-00

Closes #266

See merge request knot/knot-resolver!382

Implement draft-ietf-dnsop-kskroll-sentinel-00

It is enabled by default.

Add Lua interface for kr_pkt_clear_payload().

Merge branch 'policy_default' into 'master'

policy: load policy module by default

See merge request knot/knot-resolver!457

policy: load policy module by default

RFC 6761 mandates functionality implemented by policy module, so it is
now loaded by default. Users with special needs can still unload the
module.

Merge !456: lib: make map_contains recongize null value

lib map: comment around the change in parent commit

lib: make map_contains recongize null value

Without changing the interface, map_contains is able to tell whether
the item exist in map or not.

Merge !455: Fixup Dockerfile and NEWS

NEWS: fix typo in year

Dockerfile: fixup build after libknot update

Merge !453: merge tag 'v1.5.2', bringing security fixes

Merge tag 'v1.5.2', bringing security fixes

security release 1.5.2

validator nitpick: remove a useless dead store

Discovered by clang scan.

validator: fix NSEC* + delegation -> NXDOMAIN

validator: fix NSEC* -> NODATA

Merge branch 'misc-fix' into 'master'

daemon/worker: worker_process_tcp: cleanup

See merge request knot/knot-resolver!452

daemon/worker: worker_process_tcp: cleanup; there are no need in special processing for qr_task_step return code

Merge branch 'cdn-mozilla' into 'master'

layer/iterate: forwarding; repeat query to upstream if SERVFAIL\REFUSE has been received

See merge request knot/knot-resolver!451

layer/iterate: forwarding; repeat query to upstream if SERVFAIL\REFUSE has been received

Merge branch 'dockerfile-add-flake8' into 'master'

ci: add flake8 to Dockerfile

See merge request knot/knot-resolver!449

ci: docker - add flake8, remove infer

We do not use Infer after all (see MR !435) so it does not make sense to
have it in the image.

Merge branch 'assert-cleanup' into 'master'

daemon/worker: clean up some unnecessary asserts

See merge request knot/knot-resolver!450

daemon/worker: clean up some unnecessary asserts

Merge branch 'tls_polish' into 'master'

TLS polish

See merge request knot/knot-resolver!447

TLS: make GnuTLS priorities compatible with CentOS 7 and Debian 9

gnutls-3.3.26-9.el7.x86_64 and libgnutls30-3.5.8-5+deb9u3 do not support
@SYSTEM keyword and CentOS 7 has problem with -VERS-DTLS-ALL.

We do not configure DTLS sockets so it should be harmless to delete
the DTLS keyword.

@SYSTEM is replaced by NORMAL, oh well.

fixup! TLS client: enforce minimal TLS version and no compression

TLS client: enforce minimal TLS version and no compression

Same change as in a625a0ea1ce03b0707fd421633f21c0aacb786da but for
client.

TLS server: enforce minimal TLS version and no compression

Server side now enforces security requirements from
draft-ietf-dprive-dtls-and-tls-profiles-11 section 9

TLS: use constants for GnuTLS return codes

GnuTLS manual for some functions do not declare that error return code
must be negative, so we should use constants to avoid potential
problems.

TLS client: fix certificate loading from file

gnutls_certificate_set_x509_trust_file could theoretically return 0
to indicate nothing was read, so we need to check for this as well.

Merge !448: daemon: tls forwarding; fix IO error processing

daemon: tls forwarding; fix erroneus task processing when io errors occur

Merge branch 'tmpfiles-create-cache' into 'master'

tmpfiles: create cache and use proper tmpfiles name

See merge request knot/knot-resolver!440

tmpfiles: create cache and use proper tmpfiles name

Merge branch 'tls_tests' into 'master'

policy TLS_FORWARD: add checks and documentation

See merge request knot/knot-resolver!445

policy TLS_FORWARDING: rename pin to pin_sha256

The pin parameter contains SHA-256 encoded using Base64, but this is not
the only option. Explicit name allows us to add alternative formats
later on, and is consistent with GnuTLS naming.

policy TLS_FORWARD: documentation improvements

policy TLS_FORWARD: add documentation

policy TLS_FORWARD: unify logging format

policy TLS_FORWARD: fix error reporting from net.tls_client()

policy TLS_FORWARD: check parameters from user

Policy handling was split into smaller functions to allow easier
checking. The code needs further refactoring, it seems that
net_tls_client is just a thin wrapper around tls_client_params_set in C,
which is unnecessary and error prone.

policy TLS_FORWARD: improve error reporting for invalid parameters

tests: add config tests for TLS_FORWARD

Apparently some corner cases are not handled properly.
We need to fix these in follow-up patches.

Merge branch 'cleanup-errors' into 'master'

fix some errors found by static analyzer

See merge request knot/knot-resolver!446

CI: tweak scan-build configuration

Clang right now does not support cleanup attribute which is causing
false positives, so the check is now disabled.
https://bugs.llvm.org/show_bug.cgi?id=3888

At the same time I've enabled all other checkers to see what happens. We
need to go though them and disable them one-by-one if necessary.

daemon/main: refactored keyfile initialization from main()

this helps avoid false positive leaks caused by combination of
cleanup functions and goto

refs #291

lib/dnssec: variable declaration close to intended to avoid dead stores

daemon/worker: fixed missing return value check

daemon/engine: fixed missing ret

daemon: fixed potential leak - cleanup not being called on longjmp

attribute cleanup (auto_free) gets called when variable goes out of
scope, not on longjmp (in lua_error), so the variable never gets freed

Merge branch 'dockerfile-add-static-analysis-tools' into 'master'

Dockerfile: add static analysis tools

See merge request knot/knot-resolver!444

Dockerfile: add static analysis tools

Merge branch 'tls-hs-timeout' into 'master'

daemon: TLS-handshake timeout timer was not properly activated; fix

See merge request knot/knot-resolver!441

daemon: TLS-handshake timeout timer was not properly activated; fix

Merge branch 'stricter-ci-build' into 'master'

ci: add -Werror to CFLAGS, added clang build target

See merge request knot/knot-resolver!432

lint: enabled several readability linters and fixed issues

this checks things such as inconsistent declarations and definitions

daemon: fixed garbage read when getsockname fails

lib: fixed possible null pointers passed to nonnull arguments

daemon: fixed minor linter problems