Merge !1770: pyproject.toml and poe tasks improvements

.gitlab-ci.yml: updated names and stages for python jobs

pyproject.toml: updated groups dependencies versions

controller/supervisord/__init__.py: sort imports

.gitlab-ci.yml:: updated poe tasks names

Updated poe tasks names in other places.

scripts/po-tasks: better naming for scripts

Also, check-code gets ruff's checks of imports and formatting.

pyproject.toml: better naming for poe tasks

Merge !1772: tests: migrate off cmocka's deprecated APIs

NEWS: consolidate + add entry for cmocka

tests: migrate off cmocka's deprecated APIs

With cmocka-2.0.0 these broke.
I'm not sure if upstream meant to break them,
but either way we'd better avoid deprecated APIs.

Merge !1769: support libdnssec merged into libknot, as planned for knot >= 3.6

treewide: avoid DNSSEC_EOK

It was zero anyway, just as KNOT_EOK or kr_ok()

libdnssec -->> libknot

treewide: centralize inclusion of libdnssec headers

Merge !1768: manager: logging improvement

NEW: added improved logging groups

doc/user/config-logging-monitoring.rst: updated logging groups

manager/logger.py: added debug groups for the manager

logging: debug logging level for individual components(processes)

- datamodel: logging-groups: added LogGroupsProcessesEnum

manager/logger.py: simplified setting of log level and logging handler

manager/logger.py: added constants for logging targets

Merge !1766: cache test: adjust conditions on cache usage

.gitignore: add defer+top

These get created when running kresd without changing
to a different rundir.

cache test: adjust conditions on cache usage

The KRU-based garbage collection reduced the LMDB size a bit
for a particular overall cache size setting.
Apple Silicon uses 16 KiB pages instead of the usual 4 KiB,
so the usage is a bit shifted and that's why we didn't notice earlier
(though before the KRU GC we adjusted in commit adaac913c5)

For example failure, see "not ok" lines in
https://cache.nixos.org/log/1452wsll1fxh38p0fbqa0vw1p7ki6v55-knot-resolver_6-6.0.17.drv

Merge !1764: update meson's minimal version and utilize that

Fixes #714

modules/experimental_dot_auth: fix copy&paste error in meson

There's no ./static dir to even install.
Apparently this snippet came from modules/http.
Discovered thanks to meson reporting:
  NOTICE: Future-deprecated features used:
   * 0.60.0: {'install_subdir with empty directory'}

meson: replace deprecated get_pkgconfig_variable()

meson: utilize the version bump

meson: use summary()

https://mesonbuild.com/Reference-manual_functions.html#summary
- has nicer output
- less code in meson files
- allows defining summary parts closer to where they originate

Also short pieces of meson code are moved around.

I'm not sure how much info to put into those summaries;
this commit keeps the amount about the same.
Also note that (while not documented in meson)
a "User defined options" is appended, so the summary()
may end up repeating entries from that section.

meson minimal version: 0.49 -> 0.53

This gets rid of a warning * 0.52.0: {'priority arg in test'}

There's still Ubuntu 20.04 with meson 0.53.2,
though its standard support ended a few months ago.
Debian 11 with meson 0.56.2 is similar in this respect.

Still well supported: RHEL 9 derivatives with meson 0.63.3
and Ubuntu 22.04 with meson 0.61.2.

Merge branch 'python3.14-support' into 'master'

Support for Python 3.14

See merge request knot/knot-resolver!1767

ci: switch lint:tidy from Arch to Debian 13

The problem was that in Arch the clang-tidy package
updates at random moments, so we have to resolve
the issues when doing urelated refreshes of CI images.

utils/modeling: support for annotations in python3.14

PEP 649 & PEP 749: Deferred evaluation of annotations
The annotations on classes(ConfigSchema classes in our case) are no longer evaluated eagerly.  They are evaluated only when necessary.

.python-version: added 3.14 and updated others

.gitlab-ci.yml: python:unit: added python3.14

Merge !1760: Avoid binding multiple transport protocols to one addr+port

daemon/network: Avoid binding multiple transport protocols to one addr and port combination

Merge !1765: manager: check that supervisord is manager's parent process

manager: check that supervisord is manager's parent process

It might happen that we have a stale PID file, e.g. after a crash,
but some other process has taken the freed PID already.

Merge !1763: /fallback: apply during reload (force kresd restarts)

/fallback: apply during reload (force kresd restarts)

Merge branch 'release-6.0.17' into 'master'

Release 6.0.17

See merge request knot/knot-resolver!1762

NEWS: tweak the cache-kru bullet

NEWS: fix markdown list formatting

release 6.0.17

ci: add pkg:ubuntu-25.10

Merge !1761: lib/rules: allow forcing NODATA answer for a particular name+type

lib/rules: allow forcing NODATA answer for a particular name+type

It's just removing an assertion, and it does make sense to me.
Also expose kr_rule_local_data_ins() in Lua, like other similar functions.

Merge !1726: Use KRU in cache GC

lib/cache: NULL cache->db on failure to open

Otherwise we get use-after-free when attempting to close the cache
after this failure causes the process to shut down.

doc /logging/groups: document the three missing groups

In particular, I was now interested in `cache-gc`
and incorrectly assumed that it's merged with `cache`
(the C code didn't help, as they appear merged on that level).

NEWS: add entry for this "cache-kru" branch

lib/kru + elsewhere nit: avoid message-less static_assert()

With clang they'd cause lots of complaints:
  warning: '_Static_assert' with no message is a C23 extension [-Wc23-extensions]

lib/cache/top performance nits

lib/cache/top: fix a minor `const` nit

lib/cache nit: explicitly free kr_cache_emergency_file_to_remove

Also simplify the related code a little.
I don't think this has any practical impact.

lib/cache kr_cache_open() nit: the `opts` parameter may not be NULL

The code clearly assumes it isn't, and I checked that it never is called
that way (and it would crash anyway).

lib/cache/top: fix counting the whole record size instead of just eh

lib/kru: fix collision when user plays with -march option

Affects just clang, apparently.  This is just a copy from knot-dns changes,
doing a bit more than this resolver commit title says.  See:
https://gitlab.nic.cz/knot/knot-dns/-/commit/ec4a2567b213efdb8ecab6573cebbc74fbb507b2
https://gitlab.nic.cz/knot/knot-dns/-/commit/509d9d82b51c58ea572dccb09f4fdbe1a3c2571e

treewide refactor: avoid kr_cache_top_context_switch()

It seemed to bring more complexity than benefit.
In many parts this meant revert to code before a few commits.

It's slightly tricky that qry or req may be NULL in some cases,
but I believe I've caught all of them by conditions, and moreover
they're cases where it doesn't make sense to update kr_cache_top_*

lib/kru: deduplicate kru_limited_prefetch_hash()

Move the function up unchanged and use it on two places
which have the exact lines as the function.
Also fix its description.

lib/kru nit: shrink the USE_AES version of `struct kru` by 64 bytes

Just by dropping some padding in the header.
Also drop a long outdated part of comment on this.

lib/mmapped.c: refactor static fail() a bit

lib/cache/top.h: avoid issues with inclusion in C++

kru.h would be a bit complicated to adapt, so let's avoid it.
I don't think uint32_t as return price will be an issue,
though we might... e.g. add a static_assert() into top.c

lib/cache/top: remove temp logging, add comments, polish

lib/cache: decrease LMDB size by KRU size

lib/cache: clear and resize cache on size-max decrease

As the resolver fixes the state now, and loss of data is to be expected
on cache size change, vcunat downgraded the log severity of this.

lib/cache: increase bloom size, other minor changes

lib/mmapped: fix persistence, expand comments

lib/cache/top: divide price with size, other minor changes

lib/cache/top: increase bloom filter size

utils/cache_gc: use KRU values in item categorization

lib/cache: count only unique accesses per request in KRU

lib/cache: add basic access counting in KRU

lib/cache: add debug logs where kru will be used

Merge !1759: distro: update add protobuf-compiler package for apkg

distro: update apkg to prefer protobuf-compiler, fall back to protobuf-c-compiler

Merge !1758: manager: basic support for non-Linux systems (macOS, FreeBSD)

controller: use NOTIFY_SUPPORT constant

manager: use WORKERS_SUPPORT constant

constants.py: values determination simplification

constants.py: added WORKERS_SUPPORT and NOTIFY_SUPPORT

Revert "etc/config/config.macos.yaml: new config for macOS"

This reverts commit c75a2ba8b009e3bb332289b8960d79420855f042.

daemon/defer.c: replaced ETIME with ETIMEDOUT for timeout errors

ETIMEDOUT explicitly indicates a timeout condition defined by POSIX and improves portability.

NEWS: update

manager: added FreeBSD support

Multiple workers are supported only on Linux systems or FreeBSD with SO_REUSEPORT_LB socket option.

daemon/main.c: send READY notification only on Linux

manager: no 'set_new_tls_sticket_secret' callback on macOS

Callback is not needed, as only one kresd worker is allowed on macOS.

manager: renamed logging module to logger

On macOS, it caused problems because it had the same name as the built-in logging module.

controller/supervisord: platform portable config

controller/supervisord/plugin/notifymodule.c: platform portable

etc/config/config.macos.yaml: new config for macOS

datamodel: workers: check for macOS platform

Merge !1757: documentation nits

daemon/bindings/net_xdpsrv.rst: updated with declarative config

doc/dev: reinstante the config-debugging section

It apparently got forgotten when splitting the doc/ into doc/{user,dev}/
And as we now removed this from YAML (and doc/user) in 9fbacef1709,
these options completely disappeared from our 6.x docs.
So this PR puts it back into doc/dev on the place where it's in 5.x docs.

doc/user: misc nits

config-fallback: I forgot the config-serve-stale label in there,
now reported as duplicate.  I'm still getting reports of
> WARNING: undefined label: 'config-serve-stale' [ref.ref]
in 3 places (config-cache.rst:170, config-rfc7706.rst:9, rfc-list.rst:337)
but I have no idea why that happens.

treewide nit: reduce visible usage of "blacklist" and "whitelist" words

I can understand that this naming tradition... isn't great.

doc/user: correct the default for /network/listen

I looked into the model, and we do not enable DoT by default.
Which seems fine, as encryption of localhost-only communication
doesn't make much sense anyway.

doc/user/config-network-server-tls.rst: nits

- move an example config closer to the beginning of its section
- less mention of doh-legacy