Style fixes

Clever trick to drop some code

implementation of arch_mmap_rnd checks

Don't crash if `sysctl.conf` has no options for parsing

This fixes the broken Codeberg CI.

Update python versions in CI

Add the SECCOMP_CACHE_DEBUG check

Thanks to @izh1979 for the idea.

Merge branch 'from-flipthewho'

Refers to #153, #157

implementation of vm.mmap_min_addr check

Improve the output

Drop some unneeded assertions

Use perform_checking() for separate sysctl checking

There should be no functional changes.

Add perform_checking()

There should be no functional changes.

Reorder populating the checklist with data

First, we should add the version data.

Then we should populate the checklist with the parsed Kconfig data
and do the kconfig refinement.

Detect the kernel version before the arch

Add thanks!

Improve the functional test coverage

Fix the sysctl.conf test at github

Improve and reorder the functional tests

Drop some duplicated code (thanks to the coverage report)

Handle empty files properly

engine: Improve the object oriented model

Merge branch 'from-flipthewho'

Refers to #158, #161

style fix

implementation of detect_arch_sysctl()

Merge branch 'from-flipthewho-1'

Refers to #149, #156

Style fixes

implementation of `CONFIG_CFI_AUTO_DEFAULT`

Merge branch 'sysctl-fixes'

Refers to #159, #160.

sysctl parsing: change parsing errors to warnings and improve the messages

sysctl parsing: Allow comments (they usually exist in sysctl.conf)

sysctl parsing: Allow missing space before '='

Drop the UNWIND_PATCH_PAC_INTO_SCS recommendation for now

Currently, there is no consensus about this feature:
https://github.com/KSPP/kspp.github.io/issues/2

Refers to #105

Ready for the release 0.6.10

Update issues.md

Update the README

Fix style (quotation marks)

Update the NixOS kernel configs

Don't normalize the `cfi` cmdline parameter

Split the cut_attack_surface checks that contain the renamed options

Update the BCACHE_CLOSURES_DEBUG check

It has been renamed to DEBUG_CLOSURES.

Fix `if arch` for the 'mitigations' cmdline check

Remove `if arch` for the CPU_MITIGATIONS check

It exists on all the platforms now.

Remove `if arch` for the X86_VSYSCALL_EMULATION check

It requires 'is not set' anyway.

Add the ARM_SMMU* kconfig checks for ARM

Update the DEBUG_WX check for ARM64 and ARM

It was renamed for ARM in the commit a90f0a02f139a13d3c26dd20644b50fc731f17da.

Add `if arch` for PAGE_TABLE_CHECK*

Update the AMD_IOMMU_V2 kconfig check

AMD_IOMMU_V2 was dropped in v6.7 in the commit
5a0b11a180a9b82b4437a4be1cf73530053f139b

Update the UBSAN_SANITIZE_ALL kconfig check

It was enabled by default in UBSAN and removed in the commit
918327e9b7ffb45321cbb4b9b86b58ec555fe6b3 in Linux v6.9.

Merge branch 'from-willenst-1'

Refers to #152

unittest: test VersionCheck.table_print() to hit the coverage

Refers to #145, #155

Merge branch 'from-willenst-2'

Refers to #145, #155

remove engine debug output

remove unused libs

Remove engine debug output

Add test for `colorize_result`

Add test for `print_unknown_options`

Add io_uring_disabled sysctl check

Merge branch 'from-jvoisin'

Refers to #138

Add the `TEST_DEBUG_VIRTUAL` kconfig check

Change the `reason` for the `IP_SCTP` and `KGDB` kconfig checks

Remove the `PAGE_OWNER` kconfig check

It is not relevant any more.

Disabling VCAP_KUNIT_TEST and BUILD_SALT doesn't look security relevant

Fix the check order, no functional changes

Introduce the ARM_PTDUMP_DEBUGFS check

`X86_PTDUMP` is the old name of `PTDUMP_DEBUGFS`,
see the upstream kernel commit 2ae27137b2db89365f623a7694786cf6d1acb6c7.

`ARM_PTDUMP` is the old name of `ARM_PTDUMP_DEBUGFS`,
see the upstream kernel commit 4fb69cc4566f175839615cc4ef8828ae4d5341d9.

Merge branch 'master' into from-jvoisin

Merge remote-tracking branch 'citypw/patch-1'

Thanks, @citypw

Add ARM SMMU check options

Threat model:
https://github.com/hardenedlinux/grsecurity-101-tutorials/blob/master/embedded_platform_security.md

Add missing UBSAN_SIGNED_WRAP mentioned in kernel/configs/hardening.config

Improve the CONFIG_GCC_PLUGIN_STRUCTLEAK check

Update the KSPP recommendations (II)

Update the KSPP recommendations

Add the comments about `vm.mmap_rnd_bits` and `vm.mmap_rnd_compat_bits` sysctls

Refers to #146

Mark the sysrq checks as GrapheneOS recommendations

And update the README by the way.

See #104

Reorder some checks

Improve the reflections on CONFIG_PANIC_ON_OOPS

Add the LKDTM check

Thanks to @izh1979 for the idea.

Add defconfigs for Linux v6.10

And remove the unneeded one for Linux v6.6 by the way.

Merge branch 'simp_detect_arch'

Looks good to me. Thanks, @jvoisin.

Simplify a bit the detect_arch function

- Use a regex to extract the arch instead of doing the extraction "by hand".
- Reduce nested indentation.
- Reduce the amount of code in the loop.
- Remove a forceful `re.compile`: python will cache regex in a compiled form if
  necessary.

Add the FAULT_INJECTION check

Thanks to @izh1979 for the idea.

Add the CONFIG_N_GSM check

See https://www.openwall.com/lists/oss-security/2024/04/17/1.

Refers to #122.

Add the CRASH_DUMP check

Refers to #84.

Update the `kfence.sample_interval` check

Allow the empty values for Kconfig options

This prevents breaking on handling the strange Broadcom configs.

Refers to #143.

Add the missing SPDX info

Improve the README

Specify the `GPL-3.0-only` license explicitly

Update the `decision` for the SLAB_MERGE_DEFAULT check

Update the KFENCE_SAMPLE_INTERVAL check

Merge branch 'master' into grsecurity

Comment out the RANDSTRUCT_PERFORMANCE check

Update the KSPP recommendations (https://github.com/KSPP/linux/issues/362)

Thanks to @kees!

Update the 'kernel.modules_disabled' check

Add the 'kernel.oops_limit' and 'kernel.warn_limit' checks

Add the "cfi" check

Add the "MAGIC_SYSRQ_SERIAL" check

Thanks to @thestinger.

Refers to #104.

Add the "kernel.sysrq" check

Thanks to @thestinger.

Refers to #104.

Add the MAGIC_SYSRQ_DEFAULT_ENABLE check

Thanks to @thestinger.

Refers to #104.

Sync with KSPP: update the `decision` for some checks

Thanks to @kees for the collaboration.

Add CONFIG_CC_IS_CLANG and CONFIG_CC_IS_GCC to the KSPP recommendations

It makes the tool show less FAILs.

ruff: Fix EXE001 "Shebang is present but file is not executable"

Add the comment about 'if arch' for the 'cut_attack_surface' checks

Refers to #135.