npm - @nitra/cursor - Versions diffs - 1.13.31 → 1.13.34 - Mend

@nitra/cursor 1.13.31 → 1.13.34

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (7) hide show

package/CHANGELOG.md +18 -0
package/package.json +1 -1
package/rules/image-avif/image-avif.mdc +2 -2
package/rules/k8s/fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json +21 -0
package/rules/k8s/k8s.mdc +9 -1
package/rules/k8s/lint/lint.mjs +29 -4
package/rules/style-lint/style-lint.mdc +20 -1

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,24 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.13.34] - 2026-05-18
+### Changed
+- `k8s` rule: винесено канонічний приклад `.kubescape-exceptions.json` з inline-fenced-блоку в `k8s.mdc` у `fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json`; `.mdc` тепер посилається на template markdown-лінком, `inlineTemplateLinks` підставить вміст у `.cursor/rules/n-k8s.mdc` під час sync. Dogfood новій клаузі `scripts.mdc` ("Принцип поширюється і на pure-doc канони"). Bump `k8s.mdc` `1.30` → `1.31`.
+## [1.13.33] - 2026-05-18
+### Fixed
+- `style-lint`, `image-avif` rules: markdown-посилання на `policy/*/template/*` у канонічних `<id>.mdc` — `findMissingMdcRefs` (викликається з `run-rule.mjs`) падав, бо шаблони не були згадані в `npm/rules/<id>/<id>.mdc`. Bump: `style-lint.mdc` `1.3` → `1.4`, `image-avif.mdc` `1.2` → `1.3`.
+## [1.13.32] - 2026-05-18
+### Added
+- `k8s` rule (`lint-k8s`): підтримка per-project винятків kubescape — якщо в корені проєкту є `.kubescape-exceptions.json`, `runKubescape` автоматично передає його через `--exceptions <file>`. Канонічний приклад — control **C-0012** (`Applications credentials in configuration files`) на ConfigMap з публічним JWT-конфігом (`HASURA_GRAPHQL_JWT_SECRET={"jwk_url": "https://…"}`): control тригериться лише на імʼя env, не на значення, тому точкове `postureExceptionPolicy` з `kind: ConfigMap` + `attributes.name` знімає false-positive без глобального вимкнення контролю. Bump `k8s.mdc` `1.29` → `1.30`. Документація — секція "Винятки kubescape" в `k8s.mdc`.
 ## [1.13.31] - 2026-05-18
 ### Changed

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.31",
+  "version": "1.13.34",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/image-avif/image-avif.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: AVIF-двійники для raster-зображень з ув'язуванням у .vue/.html
-version: '1.2'
+version: '1.3'
 globs: "**/*.{png,jpg,jpeg,gif,avif,vue,html}"
 alwaysApply: false
 ---
@@ -31,7 +31,7 @@ AVIF-двійники **зберігаємо в git** — це готові ар
 ## Опт-аут для конкретного пакета
-У workspace-пакеті, де AVIF-імпорти небажані (наприклад, мобільний бандл або публічний сайт без гарантованої AVIF-підтримки), додай у `package.json` цього пакета:
+У workspace-пакеті, де AVIF-імпорти небажані (наприклад, мобільний бандл або публічний сайт без гарантованої AVIF-підтримки), додай у `package.json` цього пакета. Заборонений typo `disabled-avif` (канон — `disable-avif`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).
 ```json title="apps/site/package.json"
 {

package/rules/k8s/fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json ADDED Viewed

@@ -0,0 +1,21 @@
+[
+  {
+    "name": "hasura-jwt-public-config",
+    "policyType": "postureExceptionPolicy",
+    "actions": ["alertOnly"],
+    "resources": [
+      {
+        "designatorType": "Attributes",
+        "attributes": {
+          "kind": "ConfigMap",
+          "name": "hasura-config"
+        }
+      }
+    ],
+    "posturePolicies": [
+      {
+        "controlID": "C-0012"
+      }
+    ]
+  }
+]

package/rules/k8s/k8s.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.29'
+version: '1.31'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -35,6 +35,14 @@ alwaysApply: false
 **kubescape:** типово **`kubescape scan <каталог-k8s>`**; поріг серйозності підлаштуй під проєкт (наприклад **`--severity-threshold high`**). Перший запуск може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+### Винятки kubescape: `.kubescape-exceptions.json`
+Якщо в **корені проєкту** є файл **`.kubescape-exceptions.json`** — `lint-k8s` автоматично передає його в `kubescape scan` через **`--exceptions`** ([postureExceptionPolicy](https://github.com/kubescape/kubescape/blob/master/docs/exceptions.md)). Файл — JSON-масив об'єктів з полями `name`, `policyType: "postureExceptionPolicy"`, `actions` (`["alertOnly"]` — знижує fail до alert, не блокує lint), `resources` (resource designator) і `posturePolicies` (масив `controlID`).
+Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json)
+Підстав свою `attributes.name` (рядок або regex), якщо ConfigMap зветься інакше; виключай контрольно, а не глобально (не додавай винятки без `attributes.name`/`labels`, бо тоді C-0012 знімається для усіх ConfigMap-ів проєкту і реальні витоки credentials теж пройдуть).
 У репозиторії пакета **`@nitra/cursor`** скрипт **`lint-k8s`** делегує до CLI **`n-cursor lint-k8s`** (реалізація — **`npm/rules/k8s/js/run.mjs`**). У інших проєктах достатньо встановити **`@nitra/cursor`** у `devDependencies` — бінарка **`n-cursor`** буде у **`node_modules/.bin/`**.
 ```json title="package.json"

package/rules/k8s/lint/lint.mjs CHANGED Viewed

@@ -13,13 +13,17 @@
  * Kubescape не має аналога цього прапорця; орієнтир цільового кластера — та сама лінія релізу (див. k8s.mdc).
  */
 import { spawnSync } from 'node:child_process'
-import { basename, dirname, relative } from 'node:path'
+import { existsSync } from 'node:fs'
+import { basename, dirname, join, relative } from 'node:path'
 import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+/** Per-project kubescape exceptions file; підмішується через --exceptions, якщо існує в корені. */
+const KUBESCAPE_EXCEPTIONS_FILE = '.kubescape-exceptions.json'
 const PATH_SEPARATOR_RE = /[/\\]/u
 const YAML_EXT_RE = /\.yaml$/iu
@@ -118,20 +122,41 @@ function runKubeconform(dirs) {
   return r.status ?? 1
 }
+/**
+ * Будує аргументи `--exceptions <file>` для kubescape, якщо в корені проєкту є
+ * `.kubescape-exceptions.json`. Інакше — порожній масив.
+ * @param {string} root корінь репозиторію
+ * @returns {string[]} `['--exceptions', '<abs-path>']` або `[]`
+ */
+export function buildKubescapeExceptionsArgs(root) {
+  const exceptionsPath = join(root, KUBESCAPE_EXCEPTIONS_FILE)
+  return existsSync(exceptionsPath) ? ['--exceptions', exceptionsPath] : []
+}
 /**
  * Запускає kubescape scan для кожного каталогу окремо (узгоджено з прикладами CLI).
  * Немає прапорця версії Kubernetes — за потреби додай `scan framework <ім’я>` під CIS/інші набори.
+ *
+ * Якщо в корені проєкту є `.kubescape-exceptions.json` — підмішується через `--exceptions <file>`.
+ * Файл потрібен для точкових винятків control'ів kubescape (напр. C-0012 на ConfigMap, що містить
+ * публічний JWT-конфіг типу `HASURA_GRAPHQL_JWT_SECRET={"jwk_url": "https://…"}` — control тригериться
+ * на ім'я env, а не на значення; див. приклад у `k8s.mdc`).
  * @param {string[]} dirs абсолютні шляхи до `…/k8s`
+ * @param {string} root корінь репозиторію (для пошуку exceptions-файлу)
  * @returns {number} 0 при успіху, інакше код останнього невдалого scan або 127, якщо kubescape відсутній у PATH
  */
-function runKubescape(dirs) {
+function runKubescape(dirs, root) {
+  const exceptionsArgs = buildKubescapeExceptionsArgs(root)
+  if (exceptionsArgs.length > 0) {
+    console.log(`run-k8s: kubescape exceptions — ${KUBESCAPE_EXCEPTIONS_FILE}`)
+  }
   for (const d of dirs) {
     const kubescapePath = resolveCmd('kubescape')
     if (!kubescapePath) {
       console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
       return 127
     }
-    const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high'], {
+    const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high', ...exceptionsArgs], {
       stdio: 'inherit',
       shell: false
     })
@@ -165,7 +190,7 @@ export async function runLintK8s() {
   const kc = runKubeconform(dirs)
   if (kc !== 0) return kc
-  const ks = runKubescape(dirs)
+  const ks = runKubescape(dirs, root)
   return ks
 }

package/rules/style-lint/style-lint.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: Правила стилів CSS та SCSS
-version: '1.3'
+version: '1.4'
 globs: "**/*.{css,scss,vue}"
 alwaysApply: false
 ---
@@ -12,6 +12,25 @@ alwaysApply: false
 - **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний `bun run lint` (навичка **`/n-lint`**).
 - **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** без потреби; краще підлаштувати стилі під правила проєкту.
+## Канон
+### `package.json`
+- `lint-style` (substring requirement): [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
+- `stylelint.extends`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+### `.vscode/extensions.json`
+- Канон `recommendations`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+### `.vscode/settings.json`
+- Вимкнення вбудованої CSS-валідації VS Code: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+### CI: `.github/workflows/lint-style.yml`
+- Канон: [lint-style.yml.snippet.yml](./policy/lint_style_yml/template/lint-style.yml.snippet.yml)
 **`package.json`:**
 ```json title="package.json"