@nitra/cursor 1.13.31 → 1.13.38

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.29'
+version: '1.34'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -35,6 +35,14 @@ alwaysApply: false
 
 **kubescape:** типово **`kubescape scan <каталог-k8s>`**; поріг серйозності підлаштуй під проєкт (наприклад **`--severity-threshold high`**). Перший запуск може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
+### Винятки kubescape: `.kubescape-exceptions.json`
+
+Якщо в **корені проєкту** є файл **`.kubescape-exceptions.json`** — `lint-k8s` автоматично передає його в `kubescape scan` через **`--exceptions`** ([postureExceptionPolicy](https://github.com/kubescape/kubescape/blob/master/docs/exceptions.md)). Файл — JSON-масив об'єктів з полями `name`, `policyType: "postureExceptionPolicy"`, `actions` (`["alertOnly"]` — знижує fail до alert, не блокує lint), `resources` (resource designator) і `posturePolicies` (масив `controlID`).
+
+Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json)
+
+Підстав свою `attributes.name` (рядок або regex), якщо ConfigMap зветься інакше; виключай контрольно, а не глобально (не додавай винятки без `attributes.name`/`labels`, бо тоді C-0012 знімається для усіх ConfigMap-ів проєкту і реальні витоки credentials теж пройдуть).
+
 У репозиторії пакета **`@nitra/cursor`** скрипт **`lint-k8s`** делегує до CLI **`n-cursor lint-k8s`** (реалізація — **`npm/rules/k8s/js/run.mjs`**). У інших проєктах достатньо встановити **`@nitra/cursor`** у `devDependencies` — бінарка **`n-cursor`** буде у **`node_modules/.bin/`**.
 
 ```json title="package.json"
@@ -110,7 +118,7 @@ resources:
     memory: '128Mi'
 ```
 
-**HPA і PDB у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` поруч із `Deployment`, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/` (див. розділ нижче).
+**HPA, PDB і NetworkPolicy у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` / `networkpolicy.yaml` поруч із workload-маніфестами, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/` (див. розділ нижче).
 
 ### Поза base (оверлеї, окремі каталоги)
 
@@ -372,12 +380,15 @@ images:
 
 ## Deployment: `topologySpreadConstraints`, HPA / PDB через `components/`
 
-Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB також **не дозволені** через `resources` / `components` / `bases`.
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB / NetworkPolicy також **не дозволені** через `resources` / `components` / `bases`.
+
+Для **кожного** з **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s` обов'язковий **NetworkPolicy**: у **`…/k8s/…/base/`** — у **`components/networkpolicy.yaml`** (multi-doc, якщо workload-ів кілька); у **не-base** — **`networkpolicy.yaml`** поруч із маніфестом workload у тому ж каталозі. `metadata.name` NetworkPolicy **= `metadata.name`** workload; `spec.podSelector.matchLabels.app` **= мітка `app`** з `spec.selector.matchLabels` (для **CronJob** — з `spec.jobTemplate.spec.selector.matchLabels`). Відсутні документи **`check k8s`** створює автоматично.
 
 **Канонічна структура `<pkg>/k8s/components/`** (sibling до `base/`):
 
-- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, pdb.yaml]`.
+- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, networkpolicy.yaml, pdb.yaml]` (відсортовано за алфавітом).
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
+- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **інші порти** — лише in-cluster через `to.namespaceSelector: {}` (трафік на `*.svc` / Pod-и в кластері; Postgres лише `*.svc`, без Cloud SQL). Заборонено `egress: [{}]`. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
@@ -386,13 +397,14 @@ images:
 
 **`<pkg>/k8s/components/kustomization.yaml`** має `kind: Component` (не `kind: Kustomization`) — це **джерело** канонічних HPA/PDB для всіх overlays, а не overlay сам по собі. Прод-перезаписи (`/spec/minReplicas`, `/spec/maxReplicas`, `/spec/minAvailable`) живуть у `<env>/kustomization.yaml`, що підключає Component через `components:`. У самому Component patches не потрібні — він env-неутральний; **`check k8s`** не вимагає прод-патчів від `components/kustomization.yaml`.
 
-У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремий **`hpa.yaml`** / **`pdb.yaml`**, якщо такі потрібні для цього середовища. **`check k8s`** звіряє прив'язку за іменами:
+У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремі **`hpa.yaml`**, **`networkpolicy.yaml`** і **`pdb.yaml`**, якщо такі потрібні для цього середовища. Для **StatefulSet**, **DaemonSet**, **Job**, **CronJob** у не-base — обов'язковий лише **`networkpolicy.yaml`** (HPA/PDB лишаються прив'язаними до **Deployment**, якщо є). **`check k8s`** звіряє прив'язку за іменами (і **дописує** відсутні NetworkPolicy-документи автоматично):
 
 - **`hpa.yaml`** (поза **`…/base/`**) — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
+- **`networkpolicy.yaml`** — той самий канон egress/ingress, що в `components/` (multi-doc, якщо у каталозі кілька workload-ів).
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
+**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 
@@ -454,9 +466,51 @@ apiVersion: kustomize.config.k8s.io/v1alpha1
 kind: Component
 resources:
   - hpa.yaml
+  - networkpolicy.yaml
   - pdb.yaml
 ```
 
+```yaml title="k8s/components/networkpolicy.yaml"
+# yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/networkpolicy-networking-k8s-io-v1.json
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: backend-api
+spec:
+  podSelector:
+    matchLabels:
+      app: backend-api
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+  egress:
+    - to:
+        - namespaceSelector:
+            matchLabels:
+              kubernetes.io/metadata.name: kube-system
+          podSelector:
+            matchLabels:
+              k8s-app: kube-dns
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 0.0.0.0/0
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+    - to:
+        - namespaceSelector: {}
+```
+
 ```yaml title="k8s/components/hpa.yaml"
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2

package/rules/k8s/lint/lint.mjs

@@ -13,13 +13,17 @@
  * Kubescape не має аналога цього прапорця; орієнтир цільового кластера — та сама лінія релізу (див. k8s.mdc).
  */
 import { spawnSync } from 'node:child_process'
-import { basename, dirname, relative } from 'node:path'
+import { existsSync } from 'node:fs'
+import { basename, dirname, join, relative } from 'node:path'
 
 import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 
+/** Per-project kubescape exceptions file; підмішується через --exceptions, якщо існує в корені. */
+const KUBESCAPE_EXCEPTIONS_FILE = '.kubescape-exceptions.json'
+
 const PATH_SEPARATOR_RE = /[/\\]/u
 const YAML_EXT_RE = /\.yaml$/iu
 
@@ -118,20 +122,41 @@ function runKubeconform(dirs) {
   return r.status ?? 1
 }
 
+/**
+ * Будує аргументи `--exceptions <file>` для kubescape, якщо в корені проєкту є
+ * `.kubescape-exceptions.json`. Інакше — порожній масив.
+ * @param {string} root корінь репозиторію
+ * @returns {string[]} `['--exceptions', '<abs-path>']` або `[]`
+ */
+export function buildKubescapeExceptionsArgs(root) {
+  const exceptionsPath = join(root, KUBESCAPE_EXCEPTIONS_FILE)
+  return existsSync(exceptionsPath) ? ['--exceptions', exceptionsPath] : []
+}
+
 /**
  * Запускає kubescape scan для кожного каталогу окремо (узгоджено з прикладами CLI).
  * Немає прапорця версії Kubernetes — за потреби додай `scan framework <ім’я>` під CIS/інші набори.
+ *
+ * Якщо в корені проєкту є `.kubescape-exceptions.json` — підмішується через `--exceptions <file>`.
+ * Файл потрібен для точкових винятків control'ів kubescape (напр. C-0012 на ConfigMap, що містить
+ * публічний JWT-конфіг типу `HASURA_GRAPHQL_JWT_SECRET={"jwk_url": "https://…"}` — control тригериться
+ * на ім'я env, а не на значення; див. приклад у `k8s.mdc`).
  * @param {string[]} dirs абсолютні шляхи до `…/k8s`
+ * @param {string} root корінь репозиторію (для пошуку exceptions-файлу)
  * @returns {number} 0 при успіху, інакше код останнього невдалого scan або 127, якщо kubescape відсутній у PATH
  */
-function runKubescape(dirs) {
+function runKubescape(dirs, root) {
+  const exceptionsArgs = buildKubescapeExceptionsArgs(root)
+  if (exceptionsArgs.length > 0) {
+    console.log(`run-k8s: kubescape exceptions — ${KUBESCAPE_EXCEPTIONS_FILE}`)
+  }
   for (const d of dirs) {
     const kubescapePath = resolveCmd('kubescape')
     if (!kubescapePath) {
       console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
       return 127
     }
-    const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high'], {
+    const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high', ...exceptionsArgs], {
       stdio: 'inherit',
       shell: false
     })
@@ -165,7 +190,7 @@ export async function runLintK8s() {
   const kc = runKubeconform(dirs)
   if (kc !== 0) return kc
 
-  const ks = runKubescape(dirs)
+  const ks = runKubescape(dirs, root)
   return ks
 }
 

package/rules/k8s/policy/base_kustomization/base_kustomization.rego

@@ -41,16 +41,16 @@ deny contains base_namespace_required_msg if {
 # (із зануренням у вкладені kustomization.yaml) — JS-оркестратор
 # `verifyK8sBaseKustomizeHasNoHpaPdb` у `check-k8s.mjs` (потребує fs-доступу). Цей
 # rego-deny — defense-in-depth: спрацює навіть якщо JS-крок упаде з винятку раніше.
-deny contains hpa_pdb_in_base_resources_msg(r) if {
+deny contains hpa_pdb_np_in_base_resources_msg(r) if {
 	is_kustomization
 	some r in object.get(input, "resources", [])
 	is_string(r)
-	is_hpa_or_pdb_filename(r)
+	is_hpa_pdb_or_np_filename(r)
 }
 
-hpa_pdb_in_base_resources_msg(file) := sprintf(
+hpa_pdb_np_in_base_resources_msg(file) := sprintf(
 	concat("", [
-		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB заборонені у base, ",
+		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB/NetworkPolicy заборонені у base, ",
 		"перенесіть у sibling каталог components/ і підключайте з overlay (k8s.mdc)",
 	]),
 	[file],
@@ -61,8 +61,15 @@ is_kustomization if {
 	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
 }
 
-is_hpa_or_pdb_filename(p) if {
-	basename(p) in {"hpa.yaml", "pdb.yaml", "hpa.yml", "pdb.yml"}
+is_hpa_pdb_or_np_filename(p) if {
+	basename(p) in {
+		"hpa.yaml",
+		"pdb.yaml",
+		"networkpolicy.yaml",
+		"hpa.yml",
+		"pdb.yml",
+		"networkpolicy.yml",
+	}
 }
 
 basename(p) := parts[count(parts) - 1] if {

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -0,0 +1,158 @@
+# Пер-документна структурна перевірка NetworkPolicy (k8s.mdc).
+# Cross-file (metadata.name = workload, podSelector.app = мітка app) — JS
+# (`networkPolicyManifestViolations`, `validateNetworkPolicyForWorkload`).
+#
+# Канон egress: kube-dns; TCP 80/443 на 0.0.0.0/0; інші порти — namespaceSelector: {}
+# (in-cluster, зокрема *.svc). Заборонено egress: [{}] (allow-all).
+#
+# Запуск:
+#   conftest test path/to/networkpolicy.yaml -p npm/policy/k8s/network_policy \
+#     --namespace k8s.network_policy
+package k8s.network_policy
+
+import rego.v1
+
+np_kind_template := "kind має бути NetworkPolicy (зараз: %v) (k8s.mdc)"
+
+np_api_template := "apiVersion має бути networking.k8s.io/v1 (зараз: %v) (k8s.mdc)"
+
+deny contains msg if {
+	is_np_doc
+	input.kind != "NetworkPolicy"
+	msg := sprintf(np_kind_template, [input.kind])
+}
+
+deny contains msg if {
+	is_np_doc
+	input.apiVersion != "networking.k8s.io/v1"
+	msg := sprintf(np_api_template, [input.apiVersion])
+}
+
+deny contains "spec відсутній або некоректний (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	not is_object(object.get(input, "spec", null))
+}
+
+deny contains "spec.podSelector.matchLabels відсутній (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	selector := object.get(spec, "podSelector", null)
+	is_object(selector)
+	not is_object(object.get(selector, "matchLabels", null))
+}
+
+deny contains "spec.policyTypes має містити Ingress і Egress (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	types := object.get(spec, "policyTypes", [])
+	not policy_types_has_ingress_and_egress(types)
+}
+
+deny contains "spec.ingress має містити from.podSelector (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not ingress_has_pod_selector_rule(spec)
+}
+
+deny contains "spec.egress має бути непорожнім масивом (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not is_non_empty_array(object.get(spec, "egress", null))
+}
+
+deny contains "spec.egress: заборонено allow-all {} — канон k8s.mdc (80/443 назовні, інше — in-cluster)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	egress_allows_all(object.get(spec, "egress", null))
+}
+
+deny contains "spec.egress: потрібен ipBlock 0.0.0.0/0 з ports 80 і 443 (HTTP/HTTPS назовні; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not egress_has_internet_http_https(spec)
+}
+
+deny contains "spec.egress: потрібен to.namespaceSelector: {} (інші порти лише in-cluster / *.svc; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not egress_has_cluster_namespace_selector(spec)
+}
+
+is_np_doc if input.kind == "NetworkPolicy"
+
+is_np_doc if startswith(object.get(input, "apiVersion", ""), "networking.k8s.io/")
+
+policy_types_has_ingress_and_egress(types) if {
+	is_array(types)
+	"Ingress" in types
+	"Egress" in types
+}
+
+ingress_has_pod_selector_rule(spec) if {
+	ingress := object.get(spec, "ingress", null)
+	is_array(ingress)
+	some rule in ingress
+	is_object(rule)
+	from_list := object.get(rule, "from", null)
+	is_array(from_list)
+	some peer in from_list
+	is_object(peer)
+	object.get(peer, "podSelector", null) != null
+}
+
+is_non_empty_array(x) if {
+	is_array(x)
+	count(x) > 0
+}
+
+egress_allows_all(egress) if {
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	count(object.keys(rule)) == 0
+}
+
+egress_has_internet_http_https(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ipb := object.get(peer, "ipBlock", null)
+	is_object(ipb)
+	object.get(ipb, "cidr", "") == "0.0.0.0/0"
+	ports := object.get(rule, "ports", null)
+	is_array(ports)
+	egress_ports_include(ports, 80)
+	egress_ports_include(ports, 443)
+}
+
+egress_ports_include(ports, want) if {
+	some p in ports
+	is_object(p)
+	object.get(p, "port", null) == want
+}
+
+egress_has_cluster_namespace_selector(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ns := object.get(peer, "namespaceSelector", null)
+	is_object(ns)
+	count(ns) == 0
+}

package/rules/k8s/policy/network_policy/template/networkpolicy.snippet.yaml

@@ -0,0 +1,32 @@
+spec:
+  podSelector:
+    matchLabels: {}
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+  egress:
+    - to:
+        - namespaceSelector:
+            matchLabels:
+              kubernetes.io/metadata.name: kube-system
+          podSelector:
+            matchLabels:
+              k8s-app: kube-dns
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 0.0.0.0/0
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+    - to:
+        - namespaceSelector: {}

package/rules/security/fix/trufflehog/check.mjs

@@ -17,6 +17,9 @@ import { checkTextSubset } from '../../../../scripts/utils/template.mjs'
 const HERE = dirname(fileURLToPath(import.meta.url))
 const SNIPPET_PATH = join(HERE, 'template', '.trufflehog-exclude.snippet.txt')
 
+/**
+ * @returns {Promise<number>} exit-код перевірки
+ */
 export async function check() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter

package/rules/security/policy/package_json/template/package.json.snippet.json

@@ -1 +1,5 @@
-{ "scripts": { "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail" } }
+{
+  "scripts": {
+    "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail"
+  }
+}

package/rules/style-lint/style-lint.mdc

@@ -1,6 +1,6 @@
 ---
 description: Правила стилів CSS та SCSS
-version: '1.3'
+version: '1.4'
 globs: "**/*.{css,scss,vue}"
 alwaysApply: false
 ---
@@ -12,6 +12,25 @@ alwaysApply: false
 - **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний `bun run lint` (навичка **`/n-lint`**).
 - **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** без потреби; краще підлаштувати стилі під правила проєкту.
 
+## Канон
+
+### `package.json`
+
+- `lint-style` (substring requirement): [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
+- `stylelint.extends`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+
+### `.vscode/extensions.json`
+
+- Канон `recommendations`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+### `.vscode/settings.json`
+
+- Вимкнення вбудованої CSS-валідації VS Code: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+
+### CI: `.github/workflows/lint-style.yml`
+
+- Канон: [lint-style.yml.snippet.yml](./policy/lint_style_yml/template/lint-style.yml.snippet.yml)
+
 **`package.json`:**
 
 ```json title="package.json"

package/rules/text/policy/cspell/cspell.rego

@@ -53,9 +53,9 @@ deny contains msg if {
 # ── deny: import substrings forbidden ────────────────────────────────────
 
 deny contains msg if {
-	some forbidden, reason in data.template.deny["import-substrings"]
 	imports := object.get(input, "import", [])
 	is_array(imports)
+	some forbidden, reason in data.template.deny["import-substrings"]
 	some imp in imports
 	is_string(imp)
 	contains(imp, forbidden)

package/rules/text/policy/markdownlint/markdownlint.rego

@@ -47,7 +47,7 @@ deny contains msg if {
 	msg := sprintf(".markdownlint-cli2.jsonc: %s.%s.%s має бути %v (text.mdc)", [section, inner_key, leaf, expected])
 }
 
-# ── deny: vкладеного обʼєкта взагалі немає ──────────────────────────────
+# ── deny: вкладеного обʼєкта взагалі немає ──────────────────────────────
 
 deny contains msg if {
 	some section, expected_inner in data.template.snippet

package/rules/text/policy/oxfmtrc/template/.oxfmtrc.json.snippet.json

@@ -4,9 +4,5 @@
   "tabWidth": 2,
   "useTabs": false,
   "printWidth": 120,
-  "ignorePatterns": [
-    "**/hasura/metadata/**",
-    "**/schema.graphql",
-    "**/auto-imports.d.ts"
-  ]
+  "ignorePatterns": ["**/hasura/metadata/**", "**/schema.graphql", "**/auto-imports.d.ts"]
 }

package/rules/text/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -1,7 +1,3 @@
 {
-  "recommendations": [
-    "DavidAnson.vscode-markdownlint",
-    "oxc.oxc-vscode",
-    "timonwong.shellcheck"
-  ]
+  "recommendations": ["DavidAnson.vscode-markdownlint", "oxc.oxc-vscode", "timonwong.shellcheck"]
 }

package/rules/vue/vue.mdc

@@ -118,6 +118,7 @@ GlobalRegistrator.register()
 ```
 
 `jsdom` не використовуй — happy-dom швидший і достатній для типових Vue-компонентних тестів.
+
 - **E2E:** **Playwright** змістовні сценарії користувацьких потоків.
 
 ### Інструменти (узгоджено з Vite і цим правилом)

package/scripts/sync-claude-config.mjs

@@ -84,7 +84,7 @@ const ADR_NORMALIZE_STOP_HOOK_GROUP = Object.freeze({
 /** Канонічний Cursor stop-hook для ADR capture. Cursor передає payload через stdin JSON. */
 const CURSOR_ADR_STOP_HOOK = Object.freeze({
   command: [
-    "bash -lc 'root=\"$PWD\";",
+    'bash -lc \'root="$PWD";',
     `if [ ! -f "$root/${CURSOR_ADR_HOOK_COMMAND_MARKER}" ] && [ -f "$root/../${CURSOR_ADR_HOOK_COMMAND_MARKER}" ]; then root="$root/.."; fi;`,
     `bash "$root/${CURSOR_ADR_HOOK_COMMAND_MARKER}"'`
   ].join(' '),
@@ -94,7 +94,7 @@ const CURSOR_ADR_STOP_HOOK = Object.freeze({
 /** Канонічний Cursor stop-hook для ADR normalize. */
 const CURSOR_ADR_NORMALIZE_STOP_HOOK = Object.freeze({
   command: [
-    "bash -lc 'root=\"$PWD\";",
+    'bash -lc \'root="$PWD";',
     `if [ ! -f "$root/${CURSOR_ADR_NORMALIZE_HOOK_COMMAND_MARKER}" ] && [ -f "$root/../${CURSOR_ADR_NORMALIZE_HOOK_COMMAND_MARKER}" ]; then root="$root/.."; fi;`,
     `bash "$root/${CURSOR_ADR_NORMALIZE_HOOK_COMMAND_MARKER}"'`
   ].join(' '),

package/scripts/utils/check-mdc-template-refs.mjs

@@ -1,15 +1,15 @@
 /**
  * Returns list of template/ files that are NOT referenced in <id>.mdc as
  * markdown link targets. Paths returned are relative to ruleDir.
- *
- * @param {string} ruleDir absolute path to npm/rules/<id>/
- * @param {string} ruleId basename (e.g. "security")
- * @returns {Promise<string[]>}
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile, stat } from 'node:fs/promises'
 import { join, relative } from 'node:path'
 
+/**
+ * @param {string} ruleDir абсолютний шлях до каталогу правила
+ * @returns {Promise<string[]>} абсолютні шляхи всіх файлів у template/
+ */
 async function walkTemplateDirs(ruleDir) {
   const out = []
   for (const kind of ['fix', 'policy']) {
@@ -18,13 +18,18 @@ async function walkTemplateDirs(ruleDir) {
     for (const concern of await readdir(kindDir)) {
       const tpl = join(kindDir, concern, 'template')
       if (!existsSync(tpl)) continue
-      if (!(await stat(tpl)).isDirectory()) continue
+      const tplStat = await stat(tpl)
+      if (!tplStat.isDirectory()) continue
       out.push(...(await collectFiles(tpl)))
     }
   }
   return out.map(p => relative(ruleDir, p))
 }
 
+/**
+ * @param {string} dir каталог для обходу
+ * @returns {Promise<string[]>} абсолютні шляхи знайдених файлів
+ */
 async function collectFiles(dir) {
   const out = []
   for (const entry of await readdir(dir, { withFileTypes: true })) {
@@ -35,6 +40,11 @@ async function collectFiles(dir) {
   return out
 }
 
+/**
+ * @param {string} ruleDir абсолютний шлях до npm/rules/<id>/
+ * @param {string} ruleId basename правила (напр. "security")
+ * @returns {Promise<string[]>} відносні шляхи template-файлів без посилань у .mdc
+ */
 export async function findMissingMdcRefs(ruleDir, ruleId) {
   const mdcPath = join(ruleDir, `${ruleId}.mdc`)
   if (!existsSync(mdcPath)) return []