Skip subject line length check for merge commits

Some merge requests (e.g. those created for release branches) include
merge commits.  Prevent Danger from warning about excessive subject line
length for merge commits.  (While the proper way to detect a merge
commit would be to check the 'parents' attribute of a commit object,
Danger Python does not seem to populate that attribute, so a simple
string search is performed on the commit subject instead.)

Skip length check for lines containing references

The Danger GitLab CI job currently flags excessively long lines in
commit log messages.  Exclude lines containing references (i.e. starting
with "[1]", "[2]", etc.) from this check.  This allows e.g. long URLs to
be included in commit log messages without triggering Danger warnings.

Only warn about fixup commits once per run

The Danger GitLab CI job currently generates a separate error message
about fixup commits being present in a merge request for every such
commit found.  Prevent that by making it only log that error message
once per run.

Flag trailing dots in commit subject lines

Make the Danger GitLab CI job fail when the subject line for any commit
belonging to a merge request contains a trailing dot.

Flag missing pairwise testing markers

Make the Danger GitLab CI job fail when a merge request adds a new
./configure switch without also adding a "# [pairwise: ...]" marker that
the relevant GitLab CI job uses for preparing the pairwise testing
model.  This helps to ensure that any newly added ./configure switches
are tested by the pairwise testing GitLab CI job.

Suggest adding release notes for customer issues

Make Danger suggest adding a release note to a merge request if the
latter is marked with the "Customer" label but not with the "Release
Notes" label.

Handle [placeholder] CHANGES entries

Make the Danger GitLab CI job fail when a merge request targeting a
branch different than "main" adds any [placeholder] entries to the
CHANGES file.  Prevent Danger from flagging missing GitLab identifiers
for [placeholder] CHANGES entries.

Flag missing CVE identifiers

Make Danger ensure that if a merge request fixes a security issue then
that merge request includes a CHANGES entry and a release note, both of
which contain a CVE identifier.

Merge branch '2364-cid314969-coverity-deadcode-zoneconf' into 'main'

Fix control flow issue CID 314969 in zoneconf.c

Closes #2364

See merge request isc-projects/bind9!4573

Fix control flow issue CID 314969 in zoneconf.c

Coverity Scan identified the following issue in bin/named/zoneconf.c:

    *** CID 314969:  Control flow issues  (DEADCODE)
    /bin/named/zoneconf.c: 2212 in named_zone_inlinesigning()

    if (!inline_signing && !zone_is_dynamic &&
        cfg_map_get(zoptions, "dnssec-policy", &signing) == ISC_R_SUCCESS &&
        signing != NULL)
    {
        if (strcmp(cfg_obj_asstring(signing), "none") != 0) {
            inline_signing = true;
    >>>     CID 314969:  Control flow issues  (DEADCODE)
    >>>     Execution cannot reach the expression ""no"" inside this statement: "dns_zone_log(zone, 1, "inli...".
            dns_zone_log(
                zone, ISC_LOG_DEBUG(1), "inline-signing: %s",
                inline_signing
                ? "implicitly through dnssec-policy"
                : "no");
        } else {
                ...
        }
    }

This is because we first set 'inline_signing = true' and then check
its value in 'dns_zone_log'.

Merge branch '2354-placeholder' into 'main'

Add placeholder for GL #2354

Closes #2354

See merge request isc-projects/bind9!4564

Add placeholder for GL #2354

Merge branch '2383-kasp-sig-validity-dnskey-bug' into 'main'

Fix signatures-validity config option

Closes #2383

See merge request isc-projects/bind9!4543

Fix signatures-validity config option

KASP was using 'signatures-validity-dnskey' instead of
'signatures-validity'.

Merge branch 'mnowak/fix-copyright-date-in-man-pages' into 'main'

Update copyright date in man pages

See merge request isc-projects/bind9!4548

Update copyright date in man pages

Make sure ddns-confgen man page stays up to date

Merge branch 'matthijs-fix-notes' into 'main'

Fix current release notes

See merge request isc-projects/bind9!4549

Fix current release notes

Remove entry that was release in 9.17.8 already.

Merge branch '2248-serve-stale-config-defaults' into 'main'

Update serve-stale config defaults

Closes #2248

See merge request isc-projects/bind9!4477

Update serve-stale system test with new defaults

Update serve-stale config defaults

Change the serve-stale configuration defaults so that they match the
recommendations from RFC 8767.

Merge branch '606-add-the-isc-dnssec-guide-as-a-bind-9-arm-appendix' into 'main'

Add the ISC DNSSEC Guide as a BIND 9 ARM appendix

Closes #606

See merge request isc-projects/bind9!4471

Add the ISC DNSSEC Guide as a BIND 9 ARM appendix

Add the ISC DNSSEC Guide to the BIND 9 ARM in order to include the
former in every BIND release.

Merge branch '2366-add-CHANGES-entry' into 'main'

Add CHANGES entry for GL #2366

Closes #2366

See merge request isc-projects/bind9!4544

Add CHANGES entry for GL #2366

Merge branch 'marka-explicitly-add-gen.c' into 'main'

Explicitly add gen.c and gen-unix.h to dist

See merge request isc-projects/bind9!4538

Explicitly add gen.c and gen-unix.h to dist

Merge branch '1978-cross-compilation-doesn-t-work-in-9-17' into 'main'

Resolve "Cross-compilation doesn’t work in 9.17"

Closes #1978

See merge request isc-projects/bind9!4505

don't enable maintainer mode when cross compiling

lib/dns/gen should be built with CC_FOR_BUILD

Merge branch 'jinmei-bind9-fix-async-hook-assertion-failure' into 'main'

fix async hook assertion failure

Closes #2379

See merge request isc-projects/bind9!4537

CHANGES

more s/recurse/async/ for consistency

(no behavior change)

detach fetchhandle before resume query processing

otherwise, another hook async event or DNS recursion would
trigger an assertion failure.

Merge branch '2366-bind-9-16-10-build-fails-with-libmaxminddb-1-4-3-2' into 'main'

Resolve "BIND 9.16.10 build fails with libmaxminddb-1.4.3"

Closes #2366

See merge request isc-projects/bind9!4532

Fix 'configure --with-maxminddb=<path>'

Merge branch '2355-incorrect-increment-of-inactive-in-rbtdb-c-maybe_free_rbtdb' into 'main'

Resolve "Incorrect increment of inactive in rbtdb.c:maybe_free_rbtdb()"

Closes #2317 and #2355

See merge request isc-projects/bind9!4504

Add release note

Add CHANGES

Inactive incorrectly incremented

It is possible to have two threads destroying an rbtdb at the same
time when detachnode() executes and removes the last reference to
a node between exiting being set to true for the node and testing
if the references are zero in maybe_free_rbtdb().  Move NODE_UNLOCK()
to after checking if references is zero to prevent detachnode()
changing the reference count too early.

Merge branch '2359-too-many-newlines-dnssec-signzone-verify' into 'main'

Fix dnssec-signzone and -verify logging (again)

Closes #2359

See merge request isc-projects/bind9!4523

Fix dnssec-signzone and -verify logging (again)

While fixing #2359, 'report()' was changed so that it would print the
newline.

Newlines were missing from the output of 'dnssec-signzone'
and 'dnssec-verify' because change
664b8f04f5f2322086138f5eda5899a62bcc019b moved the printing from
newlines to the library.

This had to be reverted because this also would print redundant
newlines in logfiles.

While doing the revert, some newlines in 'lib/dns/zoneverify.c'
were left in place, now making 'dnssec-signzone' and 'dnssec-verify'
print too many newlines.

This commit removes those newlines, so that the output looks nice
again.

Merge branch 'marka-placeholder' into 'main'

placeholder

See merge request isc-projects/bind9!4521

placeholder

Merge branch '2359-missing-newlines-in-log-messages-dnssec-signzone-dnssec-verify-c' into 'main'

Resolve "missing newlines in log messages dnssec-signzone/dnssec-verify"

Closes #2359

See merge request isc-projects/bind9!4511

Add CHANGES

Fix dnssec-signzone and dnssec-verify logging

The newlines need to be appended to the messages generated by report
in a atomic manner.

Merge branch 'marka-copyrights' into 'main'

update for 2021

See merge request isc-projects/bind9!4518

update for 2021

Merge branch 'matthijs-fixup-notes' into 'main'

Matthijs fixup notes

See merge request isc-projects/bind9!4512

Fixup notes

I screwed up the notes in !4474

Merge branch '1750-dnssec-policy-none' into 'main'

Resolve 'dnssec-policy' graceful transition to insecure

Closes #2341 and #1750

See merge request isc-projects/bind9!4474

Add notes for [#2341]

Mention the bugfix in the release.

Add documentation and notes for [#1750]

Fix a quirky mkeys test failure

The mkeys system test started to fail after introducing support for
zones transitioning to unsigned without going bogus. This is because
there was actually a bug in the code: if you reconfigure a zone and
remove the "auto-dnssec" option, the zone is actually still DNSSEC
maintained. This is because in zoneconf.c there is no call
to 'dns_zone_setkeyopt()' if the configuration option is not used
(cfg_map_get(zoptions, "auto-dnssec", &obj) will return an error).

The mkeys system test implicitly relied on this bug: initially the
root zone is being DNSSEC maintained, then at some point it needs to
reset the root zone in order to prepare for some tests with bad
signatures. Because it needs to inject a bad signature, 'auto-dnssec'
is removed from the configuration.

The test pass but for the wrong reasons:

I:mkeys:reset the root server
I:mkeys:reinitialize trust anchors
I:mkeys:check positive validation (18)

The 'check positive validation' test works because the zone is still
DNSSEC maintained: The DNSSEC records in the signed root zone file on
disk are being ignored.

After fixing the bug/introducing graceful transition to insecure,
the root zone is no longer DNSSEC maintained after the reconfig.

The zone now explicitly needs to be reloaded because otherwise the
'check positive validation' test works against an old version of the
zone (the one with all the revoked keys), and the test will obviously
fail.

Update keymgr to allow transition to insecure mode

The keymgr prevented zones from going to insecure mode. If we
have a policy with an empty key list this is a signal that the zone
wants to go back to insecure mode. In this case allow one extra state
transition to be valid when checking for DNSSEC safety.

Publish CDS/CDNSKEY Delete Records

Check if zone is transitioning from secure to insecure. If so,
delete the CDS/CDNSKEY records, otherwise make sure they are not
part of the RRset.

Treat dnssec-policy "none" as a builtin zone

Configure "none" as a builtin policy. Change the 'cfg_kasp_fromconfig'
api so that the 'name' will determine what policy needs to be
configured.

When transitioning a zone from secure to insecure, there will be
cases when a zone with no DNSSEC policy (dnssec-policy none) should
be using KASP. When there are key state files available, this is an
indication that the zone once was DNSSEC signed but is reconfigured
to become insecure.

If we would not run the keymgr, named would abruptly remove the
DNSSEC records from the zone, making the zone bogus. Therefore,
change the code such that a zone will use kasp if there is a valid
dnssec-policy configured, or if there are state files available.

Add function to see if dst key uses kasp

For purposes of zones transitioning back to insecure mode, it is
practical to see if related keys have a state file associated.

Small adjustments to kasp rndc_checkds function

Slightly better test output, and only call 'load keys' if the
'rndc checkds' call succeeded.

Add tests for going from secure to insecure

Add two test zones that will be reconfigured to go insecure, by
setting the 'dnssec-policy' option to 'none'.

One zone was using inline-signing (implicitly through dnssec-policy),
the other is a dynamic zone.

Two tweaks to the kasp system test are required: we need to set
when to except the CDS/CDS Delete Records, and we need to know
when we are dealing with a dynamic zone (because the logs to look for
are slightly different, inline-signing prints "(signed)" after the
zone name, dynamic zones do not).

Merge branch '2245-bind-9-16-8-does-not-honor-cpu-affinity' into 'main'

Resolve "bind 9.16.8 does not honor CPU affinity"

Closes #2245

See merge request isc-projects/bind9!4395

Add CHANGES and release notes for [GL #2245]

PYTHON may be null

When Python is not present, PYTHON=$(command -v "@PYTHON@") will exit
the script with 1, prevent that by adding "|| true".

Add test for cpu affinity

Add a test to check BIND 9 honors CPU affinity mask. This requires
some changes to the start script, to construct the named command.

Only pick CPUs that are part of the existing CPU affinity set when

assigning a thread to a CPU.

Merge branch '2348-bin-tools-mdig-compile-link-failure-because-of-missing-isccfg-dependency-3' into 'main'

Resolve "bin/tools/mdig: compile/link failure because of missing isccfg dependency"

Closes #2348

See merge request isc-projects/bind9!4497

Handle shared library platforms that don't support inter library dependancies

Reorder in library dependancy order

Merge branch 'jpmens-main-patch-60230' into 'main'

Adjust number of rule types from 13 to the 16 there are. (16 is accurately...

See merge request isc-projects/bind9!4507

Adjust number of rule types from 13 to the 16 there are. (16 is accurately specified further down in the section.)

Merge branch 'v9_17_8-release' into 'main'

Merge 9.17.8 release branch

See merge request isc-projects/bind9!4500

Set up release notes for BIND 9.17.9

Bump BIND_BASELINE_VERSION for ABI checks

Update BIND version to 9.17.8

Add a CHANGES marker

Update library API versions

Merge branch 'michal/prepare-release-notes-for-bind-9.17.8' into 'v9_17_8-release'

Prepare release notes for BIND 9.17.8

See merge request isc-private/bind9!224

Prepare release notes for BIND 9.17.8

Add release note for GL #2321

Add release note for GL #1816

Reorder release notes

Tweak and reword release notes

Tweak and reword recent CHANGES entries

Fix formatting of "dnssec-policy" documentation

Miscellaneous minor documentation updates

Merge branch 'mnowak/fix-rndc-8-reference-in-named-8-man-page' into 'main'

Fix a reference to rndc(8) in named(8) manual page

See merge request isc-projects/bind9!4478

Fix a reference to rndc(8) in named(8) manual page

Merge branch '2058-print-warning-when-fallback-to-soaserial-increment' into 'main'

Resolve "`dnssec-signzone -N unixtime` behaves like `increment`"

Closes #2058

See merge request isc-projects/bind9!4487

Add CHANGES and release notes for GL #2058

Update dnssec-signzone -N soa-serial-format description

document the autoincrement when the serial would go backwards.

Print warning when falling back to increment soa serial method

When using the `unixtime` or `date` method to update the SOA serial,
`named` and `dnssec-signzone` would silently fallback to `increment`
method to prevent the new serial number to be smaller than the old
serial number (using the serial number arithmetics).  Add a warning
message when such fallback happens.

Merge branch '385-add-a-built-in-ipv4only-arpa-default-zone' into 'main'

Resolve "Add a built-in ipv4only.arpa default zone."

Closes #385

See merge request isc-projects/bind9!479

Add CHANGES note

Add release note entry

Add RFC 7050 and RFC 8880 to rfc-compliance

Document ipv4only-enable, ipv4only-contact and ipv4only-server.

Generate PTR records for DNS64 mapped ipv4only.arpa reverses.

Rather than generating CNAMES records pointing into IN-ADDR.ARPA,
generate PTR records directly as the names are known as per RFC 8880.

Checking synthesis of AAAA of builtin ipv4only.arpa