@nitra/cursor 1.10.0 → 1.11.0

package/rules/abie/utils/env-dns.mjs

@@ -0,0 +1,81 @@
+/**
+ * Перевірка кластерного DNS у abie env-файлах (`*.dev.env`, `*.ua.env`).
+ *
+ * abie живе у двох GKE-кластерах (`abie-dev.internal`, `abie-ua.internal`); внутрішньокластерні
+ * URL у env-файлі мусять відповідати кластеру за іменем файла. `validateAbieEnvInternalUrls`
+ * сканує всі URL виду `http://<svc>.<ns>.svc.<dns>` і вимагає коректний `<dns>` + namespace-префікс.
+ * Файл `.env` без імені (локальний для розробника) виключено.
+ */
+import { basename } from 'node:path'
+
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+
+const ABIE_ENV_FILE_BASENAME_RE = /^\.?(dev|ua)\.env$/u
+
+const ABIE_INTERNAL_URL_GLOBAL_RE =
+  /\bhttp:\/\/([a-z0-9][a-z0-9-]*)\.([a-z0-9][a-z0-9-]*)\.svc\.([a-z0-9][a-z0-9-]*\.internal)(?::\d+)?(?:\/[^\s"'`]*)?/giu
+
+const ABIE_ENV_CLUSTER_DNS_MAP = Object.freeze({
+  dev: Object.freeze({ clusterDns: 'abie-dev.internal', namespacePrefix: 'dev-' }),
+  ua: Object.freeze({ clusterDns: 'abie-ua.internal', namespacePrefix: 'ua-' })
+})
+
+/**
+ * Дістає `dev` / `ua` з basename env-файлу abie.
+ * Не-abie env-файли (`production.env`, `.env` без імені) → null.
+ * @param {string} basenameOfEnvFile
+ * @returns {('dev' | 'ua') | null}
+ */
+export function abieEnvNameFromBasename(basenameOfEnvFile) {
+  const m = basenameOfEnvFile.match(ABIE_ENV_FILE_BASENAME_RE)
+  return m ? /** @type {'dev' | 'ua'} */ (m[1]) : null
+}
+
+/**
+ * Сканує вміст env-файла, повертає помилки невідповідності кластерного DNS / namespace
+ * для кожного internal URL (один URL у двох змінних = дві окремі помилки).
+ * @param {string} content вміст env-файла (UTF-8)
+ * @param {'dev' | 'ua'} envName
+ * @returns {string[]} порожній масив, якщо все OK
+ */
+export function validateAbieEnvInternalUrls(content, envName) {
+  const expected = ABIE_ENV_CLUSTER_DNS_MAP[envName]
+  if (!expected) return []
+  /** @type {string[]} */
+  const errors = []
+  for (const match of content.matchAll(ABIE_INTERNAL_URL_GLOBAL_RE)) {
+    const [fullUrl, , namespace, clusterDns] = match
+    if (clusterDns !== expected.clusterDns) {
+      errors.push(
+        `${fullUrl}: кластерний DNS "${clusterDns}" не відповідає env "${envName}" (очікується "${expected.clusterDns}")`
+      )
+    }
+    if (!namespace.startsWith(expected.namespacePrefix)) {
+      errors.push(
+        `${fullUrl}: namespace "${namespace}" не починається з "${expected.namespacePrefix}" (env "${envName}")`
+      )
+    }
+  }
+  return errors
+}
+
+/**
+ * Збирає `*.env` файли, які є abie env (`dev.env`/`ua.env`, опц. з провідною крапкою).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} ignorePaths абсолютні шляхи каталогів-виключень
+ * @returns {Promise<string[]>}
+ */
+export async function collectAbieEnvFiles(root, ignorePaths) {
+  /** @type {string[]} */
+  const out = []
+  await walkDir(
+    root,
+    absPath => {
+      if (abieEnvNameFromBasename(basename(absPath)) !== null) {
+        out.push(absPath)
+      }
+    },
+    ignorePaths
+  )
+  return out.toSorted((a, b) => a.localeCompare(b))
+}

package/rules/abie/utils/hc-yaml.mjs

@@ -0,0 +1,27 @@
+/**
+ * Валідація modeline у `hc.yaml` для abie.
+ * Per-document структурна валідація `HealthCheckPolicy` живе у
+ * `policy/health_check_policy/health_check_policy.rego` (CLI прогонить через target.json).
+ */
+import { LINE_SPLIT_RE, MODELINE_RE, stripBom } from './yaml.mjs'
+
+/** Очікуваний URL `$schema` для **hc.yaml** (abie.mdc). */
+export const ABIE_HC_SCHEMA_URL = 'https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json'
+
+/**
+ * Перевіряє modeline (`# yaml-language-server: $schema=...`) у `hc.yaml`.
+ * @param {string} raw вміст файла
+ * @param {string} relPath відносний шлях (для повідомлень)
+ * @returns {string | null} текст помилки або null, якщо OK
+ */
+export function validateAbieHcModeline(raw, relPath) {
+  const body = stripBom(raw)
+  const lines = body.split(LINE_SPLIT_RE)
+  if (lines.length === 0 || lines[0].trim() === '') {
+    return `${relPath}: перший рядок порожній — потрібен # yaml-language-server: $schema=… (abie.mdc)`
+  }
+  const m = lines[0].match(MODELINE_RE)
+  if (!m) return `${relPath}: перший рядок має бути modeline $schema (abie.mdc)`
+  if (m[1] !== ABIE_HC_SCHEMA_URL) return `${relPath}: $schema має бути\n     ${ABIE_HC_SCHEMA_URL}\n     (abie.mdc)`
+  return null
+}

package/rules/abie/utils/http-route.mjs

@@ -0,0 +1,93 @@
+/**
+ * Cross-документна аналітика abie HTTPRoute: підрахунок `backendRefs` до спільних
+ * сервісів (`auth-run-hl`, `file-link-hl`) у base-маніфестах пакета (поза overlay `ua`).
+ * Використовується ua_http_route-концерном для синхронізації числа patch-ів namespace
+ * у overlay із кількістю base-referencе.
+ */
+import { relative } from 'node:path'
+
+import { isK8sYamlInAbiePackageExcludingUaOverlay } from './overlay-paths.mjs'
+import { readAndParseYamlDocs, silentFail } from './yaml.mjs'
+
+export const ABIE_SHARED_CROSS_NS_BACKEND_NAMES = Object.freeze(['auth-run-hl', 'file-link-hl'])
+const ABIE_SHARED_CROSS_NS_BACKEND_SET = new Set(ABIE_SHARED_CROSS_NS_BACKEND_NAMES)
+
+/**
+ * Перевіряє один `backendRef`: якщо це спільний `-hl` сервіс, має бути `namespace: dev`.
+ * @param {unknown} br
+ * @param {string} rel rel-шлях файла
+ * @param {string[]} errors мутабельний список помилок
+ * @returns {number} 1 — це shared backend, 0 — інакше
+ */
+function checkSharedBackendRef(br, rel, errors) {
+  if (br === null || typeof br !== 'object' || Array.isArray(br)) return 0
+  const brRec = /** @type {Record<string, unknown>} */ (br)
+  const name = brRec.name
+  if (typeof name !== 'string' || !ABIE_SHARED_CROSS_NS_BACKEND_SET.has(name)) return 0
+  if (typeof brRec.namespace !== 'string' || brRec.namespace !== 'dev') {
+    errors.push(`${rel}: HTTPRoute backendRefs до ${name} має містити namespace: dev (abie.mdc)`)
+  }
+  return 1
+}
+
+/**
+ * Збирає по HTTPRoute-документу кількість посилань на shared backends і порушення namespace.
+ * @param {unknown} obj корінь YAML
+ * @param {string} rel
+ * @returns {{ refCount: number, errors: string[] }}
+ */
+function httpRouteDocSharedCrossNsBackendStats(obj, rel) {
+  /** @type {string[]} */
+  const errors = []
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) return { refCount: 0, errors }
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  if (rec.kind !== 'HTTPRoute') return { refCount: 0, errors }
+  const spec = rec.spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return { refCount: 0, errors }
+  const rules = /** @type {Record<string, unknown>} */ (spec).rules
+  if (!Array.isArray(rules)) return { refCount: 0, errors }
+  let refCount = 0
+  for (const rule of rules) {
+    if (rule !== null && typeof rule === 'object' && !Array.isArray(rule)) {
+      const brs = /** @type {Record<string, unknown>} */ (rule).backendRefs
+      if (Array.isArray(brs)) {
+        for (const br of brs) {
+          refCount += checkSharedBackendRef(br, rel, errors)
+        }
+      }
+    }
+  }
+  return { refCount, errors }
+}
+
+/**
+ * Збирає по yaml-файлах пакета (поза overlay ua) кількість shared-`-hl` `backendRefs`
+ * і базові помилки (без `namespace: dev`).
+ * @param {string} root корінь репозиторію
+ * @param {string} pkgAbs абсолютний шлях каталогу пакета
+ * @param {string[]} yamlFilesAbs усі yaml під k8s
+ * @returns {Promise<{ refCount: number, baseErrors: string[] }>}
+ */
+export async function analyzeAbieSharedBackendRefsInPackageK8s(root, pkgAbs, yamlFilesAbs) {
+  const pkgRel = relative(root, pkgAbs).replaceAll('\\', '/') || pkgAbs
+  let refCount = 0
+  /** @type {string[]} */
+  const baseErrors = []
+  for (const abs of yamlFilesAbs) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    if (isK8sYamlInAbiePackageExcludingUaOverlay(rel, pkgRel)) {
+      const docs = await readAndParseYamlDocs(abs, rel, silentFail)
+      if (docs) {
+        for (const doc of docs) {
+          if (doc.errors.length === 0) {
+            const json = doc.toJSON()
+            const st = httpRouteDocSharedCrossNsBackendStats(json, rel)
+            refCount += st.refCount
+            baseErrors.push(...st.errors)
+          }
+        }
+      }
+    }
+  }
+  return { refCount, baseErrors }
+}

package/rules/abie/utils/k8s-tree.mjs

@@ -0,0 +1,102 @@
+/**
+ * Обхід k8s-дерева abie з кешуванням на час одного прогону:
+ *   - `findK8sYamlFiles(root, ignorePaths)` — yaml/yml файли під сегментом `k8s/`.
+ *   - `collectDeploymentDirs(root, yamlAbs)` — каталоги, де знайдено `kind: Deployment`.
+ *
+ * Кеш — module-level singleton, ключований за `(root, ignorePaths)`. Перший виклик
+ * платить за обхід; наступні концерни в межах того ж прогону отримують готове.
+ * Для тестів — `resetAbieK8sTreeCache()` (інакше withTmpCwd-фікстури злипатимуться).
+ */
+import { dirname, relative } from 'node:path'
+
+import { pathHasK8sSegment } from '../../k8s/js/check.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+import { isDeploymentDoc, readAndParseYamlDocs } from './yaml.mjs'
+
+const YAML_EXTENSION_RE = /\.ya?ml$/iu
+
+/** @type {Map<string, Promise<string[]>>} */
+const yamlCache = new Map()
+/** @type {Map<string, Promise<Set<string>>>} */
+const deploymentCache = new Map()
+
+/**
+ * Скидає кеш — тести мусять викликати між фікстурами.
+ * @returns {void}
+ */
+export function resetAbieK8sTreeCache() {
+  yamlCache.clear()
+  deploymentCache.clear()
+}
+
+/**
+ * Стабільний ключ кешу за (root, ignorePaths).
+ * @param {string} root
+ * @param {string[]} ignorePaths
+ * @returns {string}
+ */
+function cacheKey(root, ignorePaths) {
+  return `${root}|${[...ignorePaths].toSorted((a, b) => a.localeCompare(b)).join(':')}`
+}
+
+/**
+ * Збирає абсолютні шляхи до `.yaml`/`.yml` під деревом, де є сегмент `k8s/`.
+ * Каталог `.github/` свідомо пропускається (належить `ga.mdc`).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} [ignorePaths] абсолютні шляхи каталогів-виключень
+ * @returns {Promise<string[]>}
+ */
+export function findK8sYamlFiles(root, ignorePaths = []) {
+  const key = cacheKey(root, ignorePaths)
+  const cached = yamlCache.get(key)
+  if (cached) return cached
+  const promise = (async () => {
+    /** @type {string[]} */
+    const out = []
+    await walkDir(
+      root,
+      p => {
+        const rel = relative(root, p).replaceAll('\\', '/')
+        if (rel.startsWith('.github/')) return
+        if (!pathHasK8sSegment(p, root)) return
+        if (!YAML_EXTENSION_RE.test(p)) return
+        out.push(p)
+      },
+      ignorePaths
+    )
+    return [...out].toSorted((a, b) => a.localeCompare(b))
+  })()
+  yamlCache.set(key, promise)
+  return promise
+}
+
+/**
+ * Каталоги, де є хоча б один `kind: Deployment` у YAML під `k8s/`.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlAbs абсолютні шляхи `.yaml`/`.yml` під `k8s/` (як з `findK8sYamlFiles`)
+ * @param {(msg: string) => void} [fail] репортер помилок парсингу (опц.)
+ * @returns {Promise<Set<string>>} абсолютні шляхи директорій
+ */
+export function collectDeploymentDirs(root, yamlAbs, fail = () => {}) {
+  const key = `${root}|${[...yamlAbs].toSorted((a, b) => a.localeCompare(b)).join(':')}`
+  const cached = deploymentCache.get(key)
+  if (cached) return cached
+  const promise = (async () => {
+    /** @type {Set<string>} */
+    const dirs = new Set()
+    for (const abs of yamlAbs) {
+      const rel = relative(root, abs).replaceAll('\\', '/') || abs
+      const docs = await readAndParseYamlDocs(abs, rel, fail)
+      if (docs) {
+        for (const doc of docs) {
+          if (doc.errors.length === 0 && isDeploymentDoc(doc.toJSON())) {
+            dirs.add(dirname(abs))
+          }
+        }
+      }
+    }
+    return dirs
+  })()
+  deploymentCache.set(key, promise)
+  return promise
+}

package/rules/abie/utils/kustomization-patches.mjs

@@ -0,0 +1,224 @@
+/**
+ * Парсинг inline JSON6902-патчів у abie ua-kustomization:
+ *   - **nodeSelector** patch на `Deployment` (preem: false);
+ *   - **HTTPRoute** patch (hostnames, parentRefs namespace, backendRefs namespace).
+ *
+ * Regex використовуються, бо `patch:` — це YAML-string з вкладеним JSON6902, який ми не парсимо
+ * вдруге; підрядки на кшталт `path: /spec/hostnames` і `value: ua` достатньо інформативні.
+ */
+import { parseAllDocuments } from 'yaml'
+
+import { LINE_SPLIT_RE, MODELINE_RE, stripBom } from './yaml.mjs'
+
+const PATCH_NODE_SELECTOR_PATH_RE = /path:\s*\/spec\/template\/spec\/nodeSelector\b/u
+const PATCH_PREEM_FALSE_RE = /\bpreem:\s*['"]?false['"]?\b/u
+const PATCH_HOSTNAMES_PATH_RE = /path:\s*\/spec\/hostnames\b/mu
+// Overlay namespaces: дозволено `ua` і `ua-*` (наприклад `ua-b2b`).
+const PATCH_PARENT_REF_NS_UA_RE =
+  /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua(?:-[a-z0-9][a-z0-9-]*)?['"]?(?:\s|$)/imu
+
+/** Домени `hostnames` для overlay `ua` (підрядки у JSON6902-тексті patch). */
+const ABIE_UA_HTTPROUTE_HOST_MARKERS = ['abie.app', 'vybeerai.com.ua', '*.abie.app', '*.vybeerai.com.ua']
+
+// ── nodeSelector (ua) ─────────────────────────────────────────────────────
+
+/**
+ * Чи patch-рядок містить очікуваний ua nodeSelector (preem: false).
+ * @param {string} patchText
+ * @returns {boolean}
+ */
+function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
+  if (typeof patchText !== 'string' || patchText.trim() === '') return false
+  if (!PATCH_NODE_SELECTOR_PATH_RE.test(patchText)) return false
+  if (!PATCH_PREEM_FALSE_RE.test(patchText)) return false
+  return true
+}
+
+/**
+ * Чи один елемент `patches` відповідає abie nodeSelector для `mode`.
+ * @param {unknown} p
+ * @param {'ua'} mode
+ * @returns {boolean}
+ */
+function inlineKustomizationPatchMatchesAbieMode(p, mode) {
+  if (p === null || typeof p !== 'object' || Array.isArray(p)) return false
+  const pr = /** @type {Record<string, unknown>} */ (p)
+  const target = pr.target
+  if (target === null || typeof target !== 'object' || Array.isArray(target)) return false
+  const tg = /** @type {Record<string, unknown>} */ (target)
+  if (tg.kind !== 'Deployment') return false
+  const patchStr = pr.patch
+  if (typeof patchStr !== 'string') return false
+  if (mode === 'ua' && jsonPatchTextHasUaDeploymentNodeSelector(patchStr)) return true
+  return false
+}
+
+/**
+ * Чи документ Kustomization містить відповідний inline patch на Deployment.
+ * @param {import('yaml').Document} doc
+ * @param {'ua'} mode
+ * @returns {boolean}
+ */
+function kustomizationDocumentHasAbieDeploymentNodeSelectorPatch(doc, mode) {
+  if (doc.errors.length > 0) return false
+  const root = doc.toJSON()
+  if (root === null || typeof root !== 'object' || Array.isArray(root)) return false
+  const rec = /** @type {Record<string, unknown>} */ (root)
+  if (rec.kind !== 'Kustomization') return false
+  const patches = rec.patches
+  if (!Array.isArray(patches)) return false
+  for (const p of patches) {
+    if (inlineKustomizationPatchMatchesAbieMode(p, mode)) return true
+  }
+  return false
+}
+
+/**
+ * Чи `kustomization.yaml` містить валідні inline patch для Deployment nodeSelector (ua).
+ * @param {string} raw повний текст файла
+ * @param {'ua'} mode
+ * @returns {boolean}
+ */
+export function kustomizationHasAbieDeploymentNodeSelectorPatch(raw, mode) {
+  const body = stripBom(raw)
+  const lines = body.split(LINE_SPLIT_RE)
+  const first = lines[0] ?? ''
+  const rest = MODELINE_RE.test(first.trim()) ? lines.slice(1).join('\n') : body
+  /** @type {import('yaml').Document[]} */
+  let docs
+  try {
+    docs = parseAllDocuments(rest)
+  } catch {
+    return false
+  }
+  for (const doc of docs) {
+    if (kustomizationDocumentHasAbieDeploymentNodeSelectorPatch(doc, mode)) return true
+  }
+  return false
+}
+
+// ── HTTPRoute (ua) ────────────────────────────────────────────────────────
+
+/**
+ * @param {unknown} p
+ * @returns {string | null}
+ */
+function extractHttpRoutePatchString(p) {
+  if (p === null || typeof p !== 'object' || Array.isArray(p)) return null
+  const pr = /** @type {Record<string, unknown>} */ (p)
+  const target = pr.target
+  if (target === null || typeof target !== 'object' || Array.isArray(target)) return null
+  const tg = /** @type {Record<string, unknown>} */ (target)
+  if (tg.kind !== 'HTTPRoute' || typeof tg.name !== 'string' || tg.name.trim() === '') return null
+  const patchStr = pr.patch
+  return typeof patchStr === 'string' && patchStr.trim() !== '' ? patchStr : null
+}
+
+/**
+ * Збирає inline `patch`-рядки для HTTPRoute (непорожній `target.name`) з одного Kustomization-документа.
+ * @param {import('yaml').Document} doc
+ * @returns {string[]}
+ */
+function collectAbieHttpRoutePatchStringsFromKustomizationDoc(doc) {
+  if (doc.errors.length > 0) return []
+  const root = doc.toJSON()
+  if (root === null || typeof root !== 'object' || Array.isArray(root)) return []
+  const rec = /** @type {Record<string, unknown>} */ (root)
+  if (rec.kind !== 'Kustomization' || !Array.isArray(rec.patches)) return []
+  /** @type {string[]} */
+  const out = []
+  for (const p of rec.patches) {
+    const s = extractHttpRoutePatchString(p)
+    if (s !== null) out.push(s)
+  }
+  return out
+}
+
+/**
+ * Збирає всі inline JSON6902-фрагменти HTTPRoute (непорожній `target.name`) у kustomization.yaml.
+ * @param {string} raw повний текст файла
+ * @returns {string}
+ */
+export function getCombinedNginxRunPatchTextFromKustomization(raw) {
+  const body = stripBom(raw)
+  const lines = body.split(LINE_SPLIT_RE)
+  const first = lines[0] ?? ''
+  const rest = MODELINE_RE.test(first.trim()) ? lines.slice(1).join('\n') : body
+  /** @type {import('yaml').Document[]} */
+  let docs
+  try {
+    docs = parseAllDocuments(rest)
+  } catch {
+    return ''
+  }
+  /** @type {string[]} */
+  const chunks = []
+  for (const doc of docs) {
+    chunks.push(...collectAbieHttpRoutePatchStringsFromKustomizationDoc(doc))
+  }
+  return chunks.join('\n')
+}
+
+/**
+ * Рахує операції JSON6902 з `path: /spec/rules/.../backendRefs/.../namespace` і `value: ua[-…]`.
+ * @param {string} combined сукупний текст patch
+ * @param {'ua'} mode
+ * @returns {number}
+ */
+function countAbieHttpRouteBackendRefNamespacePatchesInCombined(combined, mode) {
+  if (mode !== 'ua') return 0
+  const re =
+    /path:\s*\/spec\/rules\/\d+\/backendRefs\/\d+\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua(?:-[a-z0-9][a-z0-9-]*)?['"]?(?:\s|$)/gimu
+  return [...combined.matchAll(re)].length
+}
+
+/**
+ * Перевіряє сукупний текст patch(ів) HTTPRoute на відповідність abie.mdc.
+ * @param {string} combined сукупний текст patch
+ * @param {'ua'} mode
+ * @param {string} [_fullKustomizationRaw] зберігається для API-сумісності, не використовується
+ * @param {number} [sharedCrossNsBackendRefCount] кількість `auth-run-hl`/`file-link-hl` у base HTTPRoute
+ * @returns {string | null} повідомлення про помилку або null
+ */
+export function validateAbieNginxRunHttpRoutePatches(
+  combined,
+  mode,
+  _fullKustomizationRaw,
+  sharedCrossNsBackendRefCount = 0
+) {
+  if (typeof combined !== 'string' || combined.trim() === '') {
+    return `очікується patch target kind HTTPRoute з непорожнім target.name (hostnames, parentRefs namespace ${mode}) — abie.mdc`
+  }
+  if (!PATCH_HOSTNAMES_PATH_RE.test(combined)) {
+    return 'HTTPRoute: потрібен path /spec/hostnames у patch (abie.mdc)'
+  }
+  const markers = ABIE_UA_HTTPROUTE_HOST_MARKERS
+  if (!markers.some(m => combined.includes(m))) {
+    return `HTTPRoute: у value для /spec/hostnames має бути один із доменів abie (${markers.join(', ')}) — abie.mdc`
+  }
+  if (!PATCH_PARENT_REF_NS_UA_RE.test(combined)) {
+    return `HTTPRoute: потрібен path /spec/parentRefs/0/namespace з value ${mode} (abie.mdc)`
+  }
+  const sharedCount =
+    typeof sharedCrossNsBackendRefCount === 'number' && Number.isFinite(sharedCrossNsBackendRefCount)
+      ? Math.max(0, Math.floor(sharedCrossNsBackendRefCount))
+      : 0
+  if (sharedCount > 0) {
+    const patchHits = countAbieHttpRouteBackendRefNamespacePatchesInCombined(combined, mode)
+    if (patchHits < sharedCount) {
+      return `HTTPRoute: для backendRefs до спільних сервісів auth-run-hl, file-link-hl очікується ${sharedCount} JSON6902 patch(ів) з path /spec/rules/…/backendRefs/…/namespace та value ${mode} (зараз ${patchHits}) — abie.mdc`
+    }
+  }
+  return null
+}
+
+/**
+ * Чи kustomization містить валідні patch для HTTPRoute (ua).
+ * @param {string} raw повний текст kustomization.yaml
+ * @param {'ua'} mode
+ * @returns {boolean}
+ */
+export function kustomizationHasAbieNginxRunHttpRoutePatch(raw, mode) {
+  const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
+  return validateAbieNginxRunHttpRoutePatches(combined, mode, raw) === null
+}

package/rules/abie/utils/overlay-paths.mjs

@@ -0,0 +1,97 @@
+/**
+ * Path-хелпери для overlay-перевірок abie:
+ *   - класифікація шляхів (`isUaKustomizationPath`, `isAbieK8sBaseYamlPath`),
+ *   - вилучення каталогу пакета з overlay-шляху (`abiePackageDirFromK8sOverlay`),
+ *   - умовний gate для HTTPRoute через наявність `vite.config.*` (`abieOverlayRequiresHttpRouteByVite`),
+ *   - перевірка наявності `Deployment` у дереві пакета (`abieOverlayK8sTreeHasDeployment`),
+ *   - чи yaml належить base-шару пакета (`isK8sYamlInAbiePackageExcludingUaOverlay`).
+ */
+import { existsSync } from 'node:fs'
+import { join, relative } from 'node:path'
+
+const UA_KUSTOMIZATION_PATH_RE = /(^|\/)ua\/kustomization\.yaml$/u
+const OVERLAY_PACKAGE_DIR_RE = /^(.+)\/k8s\/ua\/kustomization\.yaml$/u
+const BASE_SEGMENT_RE = /(^|\/)base\//u
+const TRAILING_SLASH_RE = /\/$/u
+
+/**
+ * Чи `rel` — це `…/ua/kustomization.yaml` (abie overlay).
+ * @param {string} rel посі від кореня репозиторію
+ * @returns {boolean}
+ */
+export function isUaKustomizationPath(rel) {
+  const norm = rel.replaceAll('\\', '/')
+  return UA_KUSTOMIZATION_PATH_RE.test(norm)
+}
+
+/**
+ * Каталог пакета (батько `k8s/`) для overlay `…/k8s/ua/kustomization.yaml`.
+ * @param {string} root корінь репозиторію
+ * @param {string} kustomizationAbs абсолютний шлях до ua kustomization
+ * @returns {string | null}
+ */
+export function abiePackageDirFromK8sOverlay(root, kustomizationAbs) {
+  const rel = relative(root, kustomizationAbs).replaceAll('\\', '/') || kustomizationAbs
+  const m = rel.match(OVERLAY_PACKAGE_DIR_RE)
+  return m ? join(root, m[1]) : null
+}
+
+/**
+ * Чи у каталозі пакета (батько `k8s/`) є `vite.config.{js,mjs,ts}` — HTTPRoute-вимога abie
+ * застосовується лише до Vite-пакетів.
+ * @param {string} root корінь репозиторію
+ * @param {string} kustomizationAbs абсолютний шлях до ua kustomization
+ * @returns {boolean}
+ */
+export function abieOverlayRequiresHttpRouteByVite(root, kustomizationAbs) {
+  const pkg = abiePackageDirFromK8sOverlay(root, kustomizationAbs)
+  if (!pkg) return false
+  return (
+    existsSync(join(pkg, 'vite.config.js')) ||
+    existsSync(join(pkg, 'vite.config.mjs')) ||
+    existsSync(join(pkg, 'vite.config.ts'))
+  )
+}
+
+/**
+ * Чи у дереві `k8s/` пакета є `Deployment` (за каталогами з `collectDeploymentDirs`).
+ * @param {Set<string>} deploymentDirs абсолютні каталоги з Deployment
+ * @param {string} root корінь репозиторію
+ * @param {string} kustomizationAbs абсолютний шлях до ua kustomization
+ * @returns {boolean}
+ */
+export function abieOverlayK8sTreeHasDeployment(deploymentDirs, root, kustomizationAbs) {
+  const pkg = abiePackageDirFromK8sOverlay(root, kustomizationAbs)
+  if (!pkg) return false
+  const k8sRoot = join(pkg, 'k8s').replaceAll('\\', '/')
+  for (const dir of deploymentDirs) {
+    const norm = dir.replaceAll('\\', '/')
+    if (norm === k8sRoot || norm.startsWith(`${k8sRoot}/`)) return true
+  }
+  return false
+}
+
+/**
+ * Чи rel-шлях `…/k8s/base/…` (base-шар abie, не overlay).
+ * @param {string} rel
+ * @returns {boolean}
+ */
+export function isAbieK8sBaseYamlPath(rel) {
+  const norm = rel.replaceAll('\\', '/')
+  return BASE_SEGMENT_RE.test(norm)
+}
+
+/**
+ * Чи yaml належить до `<pkgRel>/k8s/**` поза `ua/` піддеревом (base-шар abie).
+ * @param {string} relFromRoot шлях від кореня
+ * @param {string} pkgRelFromRoot каталог пакета від кореня
+ * @returns {boolean}
+ */
+export function isK8sYamlInAbiePackageExcludingUaOverlay(relFromRoot, pkgRelFromRoot) {
+  const normRel = relFromRoot.replaceAll('\\', '/')
+  const pkg = pkgRelFromRoot.replaceAll('\\', '/').replace(TRAILING_SLASH_RE, '')
+  const prefix = `${pkg}/k8s/`
+  if (!normRel.startsWith(prefix)) return false
+  const after = normRel.slice(prefix.length)
+  return !after.startsWith('ua/')
+}