Merge branch 'from-willenst-2'

Refers to #145, #155

remove engine debug output

remove unused libs

Remove engine debug output

Add test for `colorize_result`

Add test for `print_unknown_options`

Merge branch 'from-jvoisin'

Refers to #138

Add the `TEST_DEBUG_VIRTUAL` kconfig check

Change the `reason` for the `IP_SCTP` and `KGDB` kconfig checks

Remove the `PAGE_OWNER` kconfig check

It is not relevant any more.

Disabling VCAP_KUNIT_TEST and BUILD_SALT doesn't look security relevant

Fix the check order, no functional changes

Introduce the ARM_PTDUMP_DEBUGFS check

`X86_PTDUMP` is the old name of `PTDUMP_DEBUGFS`,
see the upstream kernel commit 2ae27137b2db89365f623a7694786cf6d1acb6c7.

`ARM_PTDUMP` is the old name of `ARM_PTDUMP_DEBUGFS`,
see the upstream kernel commit 4fb69cc4566f175839615cc4ef8828ae4d5341d9.

Merge branch 'master' into from-jvoisin

Merge remote-tracking branch 'citypw/patch-1'

Thanks, @citypw

Add ARM SMMU check options

Threat model:
https://github.com/hardenedlinux/grsecurity-101-tutorials/blob/master/embedded_platform_security.md

Add missing UBSAN_SIGNED_WRAP mentioned in kernel/configs/hardening.config

Improve the CONFIG_GCC_PLUGIN_STRUCTLEAK check

Update the KSPP recommendations (II)

Update the KSPP recommendations

Add the comments about `vm.mmap_rnd_bits` and `vm.mmap_rnd_compat_bits` sysctls

Refers to #146

Mark the sysrq checks as GrapheneOS recommendations

And update the README by the way.

See #104

Reorder some checks

Improve the reflections on CONFIG_PANIC_ON_OOPS

Add the LKDTM check

Thanks to @izh1979 for the idea.

Add defconfigs for Linux v6.10

And remove the unneeded one for Linux v6.6 by the way.

Merge branch 'simp_detect_arch'

Looks good to me. Thanks, @jvoisin.

Simplify a bit the detect_arch function

- Use a regex to extract the arch instead of doing the extraction "by hand".
- Reduce nested indentation.
- Reduce the amount of code in the loop.
- Remove a forceful `re.compile`: python will cache regex in a compiled form if
  necessary.

Add the FAULT_INJECTION check

Thanks to @izh1979 for the idea.

Add the CONFIG_N_GSM check

See https://www.openwall.com/lists/oss-security/2024/04/17/1.

Refers to #122.

Add the CRASH_DUMP check

Refers to #84.

Update the `kfence.sample_interval` check

Allow the empty values for Kconfig options

This prevents breaking on handling the strange Broadcom configs.

Refers to #143.

Add the missing SPDX info

Improve the README

Specify the `GPL-3.0-only` license explicitly

Update the `decision` for the SLAB_MERGE_DEFAULT check

Update the KFENCE_SAMPLE_INTERVAL check

Merge branch 'master' into grsecurity

Comment out the RANDSTRUCT_PERFORMANCE check

Update the KSPP recommendations (https://github.com/KSPP/linux/issues/362)

Thanks to @kees!

Update the 'kernel.modules_disabled' check

Add the 'kernel.oops_limit' and 'kernel.warn_limit' checks

Add the "cfi" check

Add the "MAGIC_SYSRQ_SERIAL" check

Thanks to @thestinger.

Refers to #104.

Add the "kernel.sysrq" check

Thanks to @thestinger.

Refers to #104.

Add the MAGIC_SYSRQ_DEFAULT_ENABLE check

Thanks to @thestinger.

Refers to #104.

Sync with KSPP: update the `decision` for some checks

Thanks to @kees for the collaboration.

Add CONFIG_CC_IS_CLANG and CONFIG_CC_IS_GCC to the KSPP recommendations

It makes the tool show less FAILs.

ruff: Fix EXE001 "Shebang is present but file is not executable"

Add the comment about 'if arch' for the 'cut_attack_surface' checks

Refers to #135.

Update the KSPP recommendations

Thanks to Kees for working together!

Code refactoring to improve test coverage (II)

Test the `-v` argument.

Code refactoring to improve test coverage (I)

Merge branch 'scs-pac'

Refers to #131

Thanks @jvoisin

Merge branch 'page-table-check'

Refers to #140

Thanks to @jvoisin

Merge branch 'open_check'

Refers to #134.

CI: Add the test for the code checking that the cmdline file is not empty

CI: Add the tests for the code checking that the config files exist

Check that the cmdline file is not empty

Also check that the cmdline file and sysctl file exist

Merge branch 'master' into open-check

Check MITIGATION_SPECTRE_BHI and spectre_bhi

Check MITIGATION_RFDS and reg_file_data_sampling

Refers to #116

Add the new name of SPECULATION_MITIGATIONS

Since Linux v6.9 it's called CONFIG_CPU_MITIGATIONS.

Refers to #127, #117

Add the new names of RETPOLINE, CPU_SRSO, SLS

Since Linux v6.9 they are renamed:
  RETPOLINE -> MITIGATION_RETPOLINE
  CPU_SRSO -> MITIGATION_SRSO
  SLS -> MITIGATION_SLS

Refers to #127, #117

Add the new name of PAGE_TABLE_ISOLATION

Since Linux v6.9 it's called CONFIG_MITIGATION_PAGE_TABLE_ISOLATION.

Refers to #127, #117

Add two PAGE_TABLE_CHECK related checks from kspp

Newly added in https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=87caef42200cd44f8b808ec2f8ac2257f3e0a8c1

Merge branch 'master' into scs_pac

Add a couple of grsecurity disabled options

This is based on a grsecurity 6.6 patch

Merge remote-tracking branch 'origin/pylint'

Refers to #136

Don't use TODO to avoid pylint warnings

CI: add pylint

Drop 'disable=invalid-name' for pylint

Drop __about__.py and use 'version = attr:' in setup.cfg

CI: Add the mypy arguments to the WoodPecker CI

Merge branch 'typing'

Refers to #121

CI: Put mypy into a separate workflow and add some useful arguments

Introduce ResultType and improve static typing in test_engine.py

Improve the VersionCheck static typing

Improve typing and drop the unused **kwargs in the KconfigCheck constructor

Improve _open() to avoid mypy and pylint warnings

No untyped *args and **kwargs.
Explicit encoding.

Nice!

CI: Check static typing with mypy during the functional test

Style fixes for engine import

Use dict instead of OrderedDict

Changed in Python version 3.7:
Dictionary order is guaranteed to be insertion order.

This makes the code simpler and faster.

Add more typing annotations to test_engine.py

Annotate all functions to enable mypy checking for them.

Fix mypy typing warnings for ChecklistObjType

Add more precise typing for checklist: List[ChecklistObjType]

Fix assertion style

Make assertions look similarly.

Fix mypy typing warnings in engine.py

Add more typing annotations to engine.py

Annotate all functions to enable mypy checking for them.

Move print_unknown_options() to engine.py

That is better for specifying typing.

Add more precise typing for OrderedDict

Add more typing annotations to checks.py

Annotate all functions to enable mypy checking for them.

Make the static typing work for Python v3.8

Kind of hackish :)

Fix mypy typing warnings in __init__.py

Add more typing annotations to __init__.py

Annotate all functions to enable mypy checking for them.

Fix pylint warnings in _open

Add a check to `_open`

This shall transform ugly stacktraces into aesthetically pleasant error
messages.

Fix mypy warning in _open()

kernel_hardening_checker/__init__.py:28: error: Incompatible types in assignment (expression has type overloaded function, variable has type overloaded function)  [assignment]

Refactor the _open function to fix this and add the type hint by the way.

Fix mypy warning in json_dump()

kernel_hardening_checker/engine.py:119: error: "None" has no attribute "startswith"  [attr-defined]

The `json_dump()` function printing the results should not be called
for the OptCheck and ComplexOptCheck objects with empty results.

Add a check for CONFIG_UNWIND_PATCH_PAC_INTO_SCS

It allows to fallback to a shadow call stack on aarch64 if PAC isn't supported.