Add a template for unit-tests

Erase coverage to prepare for unit-testing

Limit the number of parallel GitHub Action jobs to 3

That hopefully prevents the error "codecov failed with exit code 255".

Add more automatic tests (and increase the coverage)

Update the GitHub Actions to newer versions

Drop a useless 'if'

This condition has been checked at the beginning of the function.

Noticed this in the code coverage report.

Refactor normalize_cmdline_options() for better style and test coverage

Drop the 'kvm.nx_huge_pages' check

It's not really about security

Fix the bug in OptCheck.check() introduced in cb779a71bf57d95b

Use 'elif' instead of 'if' to avoid wrong self.result when
self.state is 'off'.

We need unit-tests for the engine checking the correctness: #79

Improve the test coverage

Fix style in the CI script

Improve the slab_nomerge check

Add my files to gitignore

Use similar f-strings for more cases

Compare with None explicitly

These objects should be compared for identity with None using 'is' operator.

Add the GitHub link

Allow not setting specific CPU bug mitigations only if 'mitigations=auto,nosmt'

Improve the 'pylint disable' statements

Add docstrings for the modules

Split into Python modules

Fix pylint: Using open without explicitly specifying an encoding

Fix pylint warning: formatting a regular string which could be a f-string (IV)

Part IV, sys.exit()

Fix pylint warning: formatting a regular string which could be a f-string (III)

Part III, strings

Fix pylint warning: formatting a regular string which could be a f-string (II)

Part II, assert()

Fix pylint warning: formatting a regular string which could be a f-string (I)

Part I, print()

Improve the 'mitigations' check

Thanks to @izh1979

Add more info about perf_event_paranoid

Thanks to @izh1979

Return the AIO check

Linus about AIO: https://lwn.net/Articles/671657/
LWN: Fixing asynchronous I/O, again: https://lwn.net/Articles/671649/

Add the NOUVEAU_LEGACY_CTX_SUPPORT check

See https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b30a43ac7132cdda833ac4b13dd1ebd35ace14b7

Dave Airlie:
There was a nouveau DDX that relied on legacy context ioctls to work,
but we fixed it years ago, give distros that have a modern DDX the
option to break the uAPI and close the mess of holes that legacy
context support is.

Don't use the uninitialized 'parsed_cmdline_options' variable

Update the README

Ready for release 0.6.1.

Fix the 'decision' for the slub_merge check

Fix the pylint R1714 issues

No functional changes

Add the check for the 'kvm.nx_huge_pages' cmdline parameter

Add the check for the slub_merge cmdline parameter

Rename the file with the KSPP cmdline recommendations to avoid breaking the CI

Clean up the comments

Add the check for the iommu cmdline option

Refers to #76

Add the KSPP cmdline recommendations for x86_64

Include parsed_cmdline_options in the print_unknown_options() call

Rename the files with the KSPP recommendations

Drop get-nix-kconfig.py (`nix-build get-nixos-kconfig.nix` does the job)

Refers to #77 and #63.

Add the NixOS kernel configs

Refers to #77

Merge branch 'from-o8opi-2'

Thanks, @o8opi

Update the VMAP_STACK check: it is available for ARM

Fix the arch condition for the SCHED_CORE check (II)

Update the KSPP recommendations

Fix the IOMMU_DEFAULT_DMA_STRICT check: it is in defconfig for arm64 and arm

Add the COMPAT and X86_X32_ABI checks

KSPP has added them to the recommendations.

Refers to #74.

Fix the WERROR check: it is in defconfig for X86_64 and X86_32 now

Fix the DEBUG_WX check: it is in defconfig for X86_64 and X86_32 now

Add defconfigs for Linux v6.1

add get-nixos-kconfig nix script

Add the repository mirrors

Backup the pull requests and issues into a Markdown file using gh2md

That would allow to have more information in the mirror repositories.

I used the mattduck/gh2md tool for that purpose.
It employs https://api.github.com/graphql, so I had to generate
a GitHub personal access token (classic) with public access.

Remove the AIO check

Currently GrapheneOS doesn't have it.

Remember about the nosmt sysfs control file

Drop the comment about mitigations of CPU vulnerabilities

The corresponding checks have been developed.

Save the list of disabled mitigations of CPU vulnerabilities (for history)

Add the nospectre_bhb check

Add the kpti check

1. Don't add an exception to normalize_cmdline_options() since strtobool()
is used for kpti

2. Use new '0' check of 'is not off'

Compare against '0' in the 'is not off' check

Add the tsx check

Change the 'decision' of X86_INTEL_TSX_MODE_OFF check to defconfig

Add the nomte check

Add the nopauth check

Add the nobti check

Add the sysrq_always_enabled check

Add the ssbd check

Avoid the YAML parsing mistake

3.10 is parsed as a number and it is trimmed to 3.1.
That is expected behavior for numbers, but it's crazy for versions.

Fix `python-version` in the GitHub Actions

Current `ubuntu-latest` (Ubuntu 22.04 for x86_64) provides the following
versions of Python:
 - 3.10.8
 - 3.11.0
 - 3.7.15
 - 3.8.15
 - 3.9.15

Reorder some checks, no functional changes

Add the srbds check

Add the retbleed check

Add the mmio_stale_data check

Add the tsx_async_abort check

Add the mds check

Add the l1tf check

Add the spectre_v2_user check

Do refactoring in normalize_cmdline_options()

Add the spec_store_bypass_disable check

Add the spectre_v2 check

Introduce the 'is present' check instead of expected=None constructor parameter

Add the 'mitigations' check

The default value for the 'mitigations' option is 'auto'.

So this option should be enabled ('is not off') or not set at all.

Add the nosmt check

Add a special 'desired val' -- 'is not off'

This check gives FAIL if the option value is 'off' or
the option is not found. In other cases this check gives OK.

This feature is needed for checking that the CPU vulnerability mitigations
are not disabled. Let's see how it works and maybe improve it in future.

Improve the result descriptions

Add assertions to check arguments of the Class constructors

Update the README

Add the ARM64_E0PD check

Fix the SCHED_CORE check: it's now available for ARM64 and ARM

Update the self-protection checks adopted by KSPP (part V)

Thanks to @kees

Update the self-protection checks adopted by KSPP (part IV): IOMMU

Thanks to @kees

Update the self-protection checks adopted by KSPP (part III)

Thanks to @kees

Update the KSPP recommendations again

Update the self-protection checks adopted by KSPP (part II)

Thanks to @kees

Update the self-protection checks adopted by KSPP (part I)

Thanks to @kees

Update the HW_RANDOM_TPM check

Clip OS says that RANDOM_TRUST_BOOTLOADER and RANDOM_TRUST_CPU should be
disabled if HW_RANDOM_TPM is enabled. The Clip OS description:
  Do not credit entropy included in Linux’s entropy pool when generated
  by the CPU manufacturer’s HWRNG, the bootloader or the UEFI firmware.
  Fast and robust initialization of Linux’s CSPRNG is instead achieved
  thanks to the TPM’s HWRNG.

At the same time KSPP recommends to enable RANDOM_TRUST_BOOTLOADER and
RANDOM_TRUST_CPU anyway:
  Get as much entropy as possible from external sources. The Chacha mixer
  isn't vulnerable to injected entropy, so even malicious sources
  should not cause problems.

In this situation, I think kconfig-hardened-check should check
only HW_RANDOM_TPM (there is no contradiction about it)
and leave the decision about RANDOM_TRUST_BOOTLOADER and
RANDOM_TRUST_CPU to the owner of the system.

Update the UBSAN checks according to the KSPP recommendations

Thanks to @kees

Update the security policy checks adopted by KSPP

Thanks to @kees