daemon/tls_ephemeral_credentials: fix possible race between read() and fstat()

.gitlab-ci: fail Coverity Scan on HTTP error

modules/hints: fix dname bounds check

This check was introduced to fix Clang-Tidy errors, but was factually
not completely correct, tripping Coverity Scan.

utils/cache_gc: use lib/generic/array instead of dynarray

This should appease Coverity Scan, and make the garbage collector
consistent with the rest of the Resolver.

rrl: truncate only answers sent over pure UDP

fixup! rrl: truncating answers when close to limit, dropping over limit

rrl: switch to CLOCK_THREAD_CPUTIME_ID for measurements

Merge branch 'coverity' into 'master'

daemon, lib, modules: trivial fixes for Coverity issues

See merge request knot/knot-resolver!1541

daemon, lib, modules: trivial fixes for Coverity issues

Merge 'origin/master' into 6.0 - last merge before rename

This is the last commit in `6.0` before it is shifted into `master`,
with 5.x support being moved to `master-5`.

.gitlab-ci: remove SonarCloud Scanner

The detections are mostly academic and useless for our purposes. We have
other static analyzers that better suit our needs.

Merge branch 'ci-overhaul-2' into 'master'

CI/CD overhaul

See merge request knot/knot-resolver!1533

Merge branch 'knot_wire-6.0' into '6.0'

Resolve !1509 with 6.0 (libknot 3.4 compatibility)

See merge request knot/knot-resolver!1539

tests/pytests/utils: handle SSLEOFError

It used to just throw BrokenPipeError, but newer versions of Python have
a separate exception for when the connection is closed in violation of
TLS rules, which Knot Resolver does deliberately so as to not waste time
on properly closing TLS connections with misbehaving peers.

test/pytests/test_tls: remove resumption test

Knot Resolver disables resumption on TLS <=1.2 as it is vulnerable to
replay attacks, so the test makes no sense, as that one was specifically
disabled for TLS >=1.3 (Python had no support for it at the time).

We should make a new test for this with TLS 1.3 support.

tests/pytests: remove deprecated calls

Silence Clang-Tidy

This commit makes lots of changes to the C code to appease the
Clang-Tidy linter. Some of the less obvious ones are due to C's weird
semantics regarding handling of numeric literals.

We also disable a bunch of the detections because they are
super-pedantic, arguably useless, or we have our own unwritten coding
style rules that solve the issues.

.gitlab-ci, tests, modules: adapt to knot-resolver-ci repo

This is the bulk of the CI/CD overhaul.

Most of the changes are to the `.gitlab-ci.yml` file, where the build
images used are replaced with the ones provided by the
`knot-resolver-ci` repository. Some cleanups have also been done.

The commit also adds unit testing with Knot Resolver built against
multiple versions of Knot DNS, including the `master` branch. The
`master` branch image is built nightly in the `knot-resolver-ci` repo.

We have also removed `scan-build`, as its tests change frequently, with
lots of false-positives, which are very different on each version, and
there is no good way to ignore some detections. Clang-Tidy covers some
of the same issues, and we also have Coverity Scan. Should be more than
enough.

A few config tests were also excluded in the AddressSanitizer tests,
because they produce false-positives.

tests/dnstap: Go improvements

- Do `go mod tidy` before running the test, even in CI
- Add `go.sum` to `.gitignore`
- Compatibility with Go 1.15 (Debian 11)

Merge branch 'master' into knot_wire-6.0

Resolve !1509 with 6.0 (libknot 3.4 compatibility)

- some knot_wire_next_label() calls were added since master,
  so those get changed as in a083f3fe63cffbabb19e6b67848151f4bb6d623c
- some code has moved since master (to lib/resolve-produce.c),
  and unfortunately the MR !1509 did change some of it,
  and git was unable to handle this automatically

This merge commit is separate, only bringing !1509 and no other
changes from master, so that it's easier to understand.

Merge !1538: ci nixos: switch container image tag

ci nixos: switch container image tag

Unfortunately the `latest` tag is amd64 only right now,
even though it did have both recently. I hope this will work reliably.

Merge remote-tracking branch 'origin/6.0' into rrl-wip

fixup! rrl: truncating answers when close to limit, dropping over limit

daemon/rrl WIP: estimate CPU work done on behalf of clients

rrl: truncating answers when close to limit, dropping over limit

Merge !1509: treewide: more compatibility with future libknot 3.4

treewide: more compatibility with future libknot 3.4

knot_wire_next_label used to return NULL when applied to . (root)
but that's not allowed anymore, and some of our calls relied on that.

treewide: more compatibility with future libknot 3.4

knot_wire_next_label isn't allowed with NULL wire anymore.

Merge remote-tracking branch 'origin/master' into 6.0

Merge !1536: distro/pkg/arch: fix after they renamed a dependency

distro/pkg/arch: fix after they renamed a dependency

Merge branch 'doc-news-nits' into '6.0'

nits: NEWS and predict module doc

See merge request knot/knot-resolver!1535

Merge branch 'macos-fix' into 'master'

Fix macOS GitHub actions

See merge request knot/knot-resolver!1537

modules/*/meson.build: add missing dependencies

.github/workflows/macOS: fix prefix for ARM macOS

lint: satisfy new mypy version

doc/user/config-cache-predict.rst: use slashes (JSON pointer) instead of dots when reffering to stats node

NEWS: use slashes (JSON pointer) instead of dots when referring to configuration node

Merge branch 'cache-prediction-split' into '6.0'

cache: new module to prefetch expiring records

See merge request knot/knot-resolver!1532

manager: statistics: prometheus format for 'predict' module

modules/stats: make custom stats hierarchical

Forgotten feature from !1527

NEWS: cache prefetching improvements

doc/dev: new page for cache records prefetch

modules: prefetch: new module for prefetching expiring records

modules: predict: prefetching expired records has been removed

datamodel: cache: prefetch for expiring record is separated from prediction

rrl nit: factor out using_avx()

fixup! rrl: improve error messages

fixup! rrl: modify KRU api to return maximum final load value

- reordering saves 8 bytes per struct (on typical 64-bit platforms)
- don't assume that *max_load_out is initialized reasonably
  (the doc-comment doesn't suggest that it's needed)

Merge remote-tracking branch 'origin/master' into 6.0

Merge branch 'website-push-docs' into 'master'

gitlab-ci: push docs to the website (manual CI)

See merge request knot/knot-resolver!1530

Merge branch 'manager-optional-prometheus' into '6.0'

manager: /metrics API improvements

See merge request knot/knot-resolver!1527

NEWS: reword of Prometheus changes

kresctl: add message when Prometheus is missing

distro/pkg/rpm: recommend python3-prometheus_client

distro/pkg/deb: recommend python3-prometheus-client

NEWS: improvements about metrics API

tests/packaging: management API /metrics update

kresctl: metrics: support for new API

manager: api: metrics: JSON support as default

- /metrics - returns 301, redirects to /metrics/json
- /metrics/json - exports metrics in JSON format
- /metrics/prometheus - optional, exports metrics in Prometheus format, returns 404 if not supported

modules/{stats,http}: fix built-in Prometheus and tests

modules/stats: split stats.list() into sub-objects

poetry: prometheus-client is now optional

Description and authors update. New setup.py also generated.

rrl: modify KRU api to return maximum final load value

rrl: improve error messages

gitlab-ci: push docs to the website (manual CI)

Merge remote-tracking branch 'origin/master' into 6.0

Merge branch 'rrl-wip' of gitlab.nic.cz:knot/knot-resolver into rrl-wip

Merge branch 'nits' into 'master'

nits: unused variable, improved #include path

See merge request knot/knot-resolver!1529

rrl: disable parallel tests under valgrind in CI

fixup! rrl: configurable limits in yaml, deinit

I see no reason for these removed parts.

fixup! rrl: porting unit tests from Knot DNS

fixup! rrl: porting unit tests from Knot DNS

lib/dnssec nit: improve #include path

The issue was exposed when working on rrl-wip branch:
  lib/dnssec/nsec.c:19:10: fatal error: resolve.h: No such file or director

daemon/engine nit: drop an unused variable

Reported by clang.

lib/dnssec nit: improve #include path

No idea why it started causing issues now and for me, with:
lib/dnssec/nsec.c:19:10: fatal error: resolve.h: No such file or director

Merge branch 'tls-priority' into '6.0'

daemon/tls: respect crypto policy overrides in OS

See merge request knot/knot-resolver!1526

daemon/tls: respect crypto policy overrides in OS

Merge branch 'shared-libkres-fix' into 'master'

daemon/meson.build: add install_rpath to kresd

See merge request knot/knot-resolver!1528

daemon/meson.build: add install_rpath to kresd

This fixes the default use-case for developers when they put their
install prefix somewhere where the system `LD_LIBRARY_PATH` does not
point. Before this, `kresd` would fail to start after `ninja install`
because it would not be able to find the `libkres.so` library.

The original workaround to this was to use `meson configure
-Ddefault_library=static`, but firstly, we would like it to be working
with the default settings, and secondly, we would like to have it as
similar to what most users will encounter as possible.

rrl: porting unit tests from Knot DNS

fixup! rrl: allow changing configuration on reload

fixup! fixup! rrl: configurable limits in yaml, deinit

fixup! rrl: configurable limits in yaml, deinit

rrl: allow changing configuration on reload

Merge !1525: distro/pkg/rpm: use noreplace for config.yaml

distro/pkg/arch: put config.yaml into backup

Same as previous commit, but for Arch Linux.

distro/pkg/rpm: use noreplace for config.yaml

Adds `%config(noreplace)` to `config.yaml`. This prevents the package
from overwriting the user's edited configuration upon update, and
instead adds the new default configuration as a `.rpmnew` file for the
user to potentially consider.

Merge branch 'upstream-version' into '6.0'

distro: auto-detect latest Knot Resolver version

See merge request knot/knot-resolver!1524

distro: auto-detect latest Knot Resolver version

New scripts/upstream-version.sh returns latest Knot Resolver version
based on upstream repo tags.

It's set as upstream.version_script in apkg config which enables:

    $ apkg info upstream-version
    upstream version: 6.0.7

and later `apkg build --upstream` when tarballs are available.

rrl: configurable limits in yaml, deinit

Merge branch 'release-6.0.7' into '6.0'

release 6.0.7

See merge request knot/knot-resolver!1523

Merge branch 'release-5.7.2' into 'master'

Release 5.7.2

See merge request knot/knot-resolver!1522

release 6.0.7

ci: obs: create venv and install apkg

scripts/update-authors: explicit '--no-show-signature'

Fixes the script for users who have `log.showSignature` set to `true` in
their git config.

Release 5.7.2

Dockerfile: fix typo 'update' -> 'upgrade'