@nitra/cursor 1.13.44 → 1.13.48

package/CHANGELOG.md

@@ -4,11 +4,36 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.48] - 2026-05-19
+
+### Changed
+
+- `k8s.network_policy`: канонічний egress NetworkPolicy більше **не дозволяє** `to.namespaceSelector: {}` без `ports:` (catch-all). У шаблоні `networkpolicy.snippet.yaml`, генераторі `buildNetworkPolicyYaml` і rego-policy `network_policy.rego` тепер in-cluster rule має явний список TCP-портів: `80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`. Додатково: `fix k8s` під час прогону знаходить існуючі `networkpolicy.yaml` з legacy catch-all egress і **перезаписує** їх через `buildNetworkPolicyYaml` (повний rebuild за `metadata.name` + `app`-міткою). JS-валідатор `networkPolicyManifestViolations` не змінюється (порти enforce-ить rego). Bump `k8s.mdc` `1.35` → `1.36`. Спец: [docs/superpowers/specs/2026-05-19-networkpolicy-egress-explicit-ports-design.md](../../docs/superpowers/specs/2026-05-19-networkpolicy-egress-explicit-ports-design.md).
+
+## [1.13.47] - 2026-05-19
+
+### Fixed
+
+- `js-bun-db`, `js-bun-redis` rules: додано markdown-посилання на `policy/package_json/template/package.json.deny.json` у канонічних `<id>.mdc` — `findMissingMdcRefs` (викликається з `run-rule.mjs`) падав, бо канонічні `.mdc` не містили `[package.json.deny.json](./policy/package_json/template/package.json.deny.json)`. Bump rule versions: `js-bun-db.mdc` `1.7` → `1.8`, `js-bun-redis.mdc` `1.1` → `1.2`.
+
+## [1.13.46] - 2026-05-19
+
+### Changed
+
+- `image-avif` rule: двопрохідний rewrite у `check image-avif` — спочатку pre-scan `.vue`/`.html` на raster-посилання (`VUE_RASTER_IMPORT_RE` + `VUE_RASTER_STATIC_SRC_RE`), і лише якщо є хоча б одне — запускається `npx @nitra/minify-image --avif`, rewrite та cleanup AVIF-сиріт. Якщо raster-посилань нема — вихід `0` без жодного side-effect. Bump `image-avif.mdc` `1.3` → `1.4`.
+
+## [1.13.45] - 2026-05-19
+
+### Fixed
+
+- `inlineTemplateLinks` tests: оновлено очікувані рядки для фікстури `__fixtures__/inline-template/fix/foo/template/snippet.json` (перейшла на форматований варіант `{ "key": "val" }` ще в 1.13.38) та для інтеграційного тесту `security.mdc` (snippet `package.json` тепер multi-line після lint-проходу). Без зміни рантайм-логіки.
+- `check-ga` тестова фікстура `setupCanonicalGaProject`: додано крок `Install conftest` у `.github/workflows/lint-ga.yml`, без якого `ga.lint_ga` rego-полісі забороняє workflow і `check()` повертав 1.
+
 ## [1.13.44] - 2026-05-18
 
 ### Added
 
-- `abie` rule: новий policy-концерн `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). Реалізація: `npm/rules/abie/policy/package_json_docs/` (target.json + .rego + _test.rego). Bump `abie.mdc` `1.20` → `1.21`.
+- `abie` rule: новий policy-концерн `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). Реалізація: `npm/rules/abie/policy/package_json_docs/` (target.json + .rego + \_test.rego). Bump `abie.mdc` `1.20` → `1.21`.
 - `efes` rule: перший policy-концерн `efes.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/efes-docs` (узгоджено з `graphql.mdc`, де схема береться з `node_modules/@nitra/efes-docs/schema/maya.graphql`). Реалізація: `npm/rules/efes/policy/package_json_docs/`. Bump `efes.mdc` `1.0` → `1.1`.
 
 ## [1.13.43] - 2026-05-18

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.44",
+  "version": "1.13.48",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/image-avif/fix/avif_generation/check.mjs

@@ -3,11 +3,16 @@
  * ув'язування `.avif`-двійників з посиланнями у `.vue`/`.html`.
  *
  * Дії під час `check image-avif`:
- * 1. `npx \@nitra/minify-image --src=. --write --avif` — генерує AVIF-двійники.
- * 2. У кожному workspace-пакеті переписує raster-посилання у `.vue`/`.html` на `.avif`
+ * 1. **Pre-scan**: знайти в `.vue`/`.html` хоча б одне raster-посилання, яке потенційно
+ *    можна переписати на AVIF-двійник (через `import x from '...png'` або
+ *    `<img src="...png" />`). Пакети з opt-out `disable-avif: true` пропускаються.
+ *    Якщо жодного raster-посилання не знайдено → exit 0 одразу (`npx --avif` не запускаємо,
+ *    rewrite/cleanup-пасс теж пропускаємо — нічого не змінилось би).
+ * 2. `npx \@nitra/minify-image --src=. --write --avif` — генерує AVIF-двійники.
+ * 3. У кожному workspace-пакеті переписує raster-посилання у `.vue`/`.html` на `.avif`
  *    (де AVIF-двійник реально існує на диску). Pakety з `"\@nitra/minify-image": {
  *    "disable-avif": true }` у `package.json` пропускаються.
- * 3. Прибирає AVIF-сироти — `<name>.<ext>.avif`, на які не лишилось жодного посилання
+ * 4. Прибирає AVIF-сироти — `<name>.<ext>.avif`, на які не лишилось жодного посилання
  *    у `.vue`/`.html` репозиторію, видаляються (умова правила: «AVIF лишається лише
  *    там, де заміна вдалася»).
  *
@@ -69,7 +74,6 @@ const VUE_RASTER_STATIC_SRC_RE = /(?<![:\-_.])\bsrc\s*=\s*['"]([^'"\s]+\.(?:png|
  * є сиротами і підлягають видаленню.
  */
 const VUE_AVIF_REF_RE = /['"]([^'"\s]+\.(?:png|jpe?g|gif)\.avif)['"]/giu
-const RASTER_IMAGE_EXT_RE = /\.(?:png|jpe?g|gif)$/iu
 
 /**
  * Чи у `package.json` пакета вимкнено avif-перевірку Vue-імпортів.
@@ -279,24 +283,51 @@ async function checkVueAvifImports(ignorePaths, usedAvifAbs, stats, pass, fail)
 }
 
 /**
- * Чи є в репозиторії хоч один raster-файл, який мав би сенс конвертувати у AVIF.
- * Якщо немає — `npx \@nitra/minify-image` нема що робити, тож зайвий запуск пропускаємо
- * (важливо у тестах: фікстурні `.png`-імпорти посилаються на неіснуючі файли, тож
- * minify-image все одно нічого не згенерує — а зайвий npx-спавн повільний і робить шум).
+ * Pre-scan: чи є в `.vue`/`.html` хоча б одне raster-посилання, яке потенційно треба
+ * переписати на AVIF-двійник (через `import x from '...png'` або `<img src="...png" />`).
+ *
+ * Якщо false — весь подальший етап `image-avif` пропускаємо: ні `npx --avif`, ні rewrite,
+ * ні cleanup-сиріт не дали б ніяких змін. Сенс — не запускати дорогий `npx @nitra/minify-image`
+ * у проєктах, де AVIF не вживається (а опційно і не плануються).
+ *
+ * Скан робиться тими самими regexp-ами, що й основний rewrite-пасс (`VUE_RASTER_IMPORT_RE`
+ * + `VUE_RASTER_STATIC_SRC_RE`), і ходить лише по `.vue`/`.html` у workspace-пакетах, що НЕ
+ * мають opt-out `"@nitra/minify-image": { "disable-avif": true }` (інакше їхні шаблони ми
+ * все одно не сканували б, тож вони не мають провокувати запуск AVIF-етапу).
  * @param {string[]} ignorePaths абсолютні шляхи каталогів, повністю виключених з обходу
- * @returns {Promise<boolean>} `true`, якщо знайдено принаймні один `.png/.jpe?g/.gif`
+ * @returns {Promise<boolean>} `true`, якщо знайдено принаймні одне raster-посилання
  */
-async function hasAnyRasterImage(ignorePaths) {
-  let found = false
-  await walkDir(
-    process.cwd(),
-    absPath => {
-      if (found) return
-      if (RASTER_IMAGE_EXT_RE.test(absPath)) found = true
-    },
-    ignorePaths
-  )
-  return found
+async function hasAnyVueRasterReference(ignorePaths) {
+  const roots = await getMonorepoPackageRootDirs()
+  const absRootsByRel = new Map(roots.map(r => [r, join(process.cwd(), r)]))
+  for (const root of roots) {
+    const pkgPath = join(root, 'package.json')
+    if (existsSync(pkgPath)) {
+      const pkg = JSON.parse(await readFile(pkgPath, 'utf8'))
+      if (packageHasAvifDisabled(pkg)) continue
+    }
+    const absRoot = absRootsByRel.get(root) ?? join(process.cwd(), root)
+    const otherRootsAbs = roots.filter(r => r !== root && r !== '.').map(r => absRootsByRel.get(r) ?? '')
+    /** @type {string[]} */
+    const targetFiles = []
+    await walkDir(
+      absRoot,
+      absPath => {
+        if (!absPath.endsWith('.vue') && !absPath.endsWith('.html')) return
+        if (otherRootsAbs.some(other => absPath.startsWith(`${other}/`))) return
+        targetFiles.push(absPath)
+      },
+      ignorePaths
+    )
+    for (const absPath of targetFiles) {
+      const content = await readFile(absPath, 'utf8')
+      VUE_RASTER_IMPORT_RE.lastIndex = 0
+      if (VUE_RASTER_IMPORT_RE.test(content)) return true
+      VUE_RASTER_STATIC_SRC_RE.lastIndex = 0
+      if (VUE_RASTER_STATIC_SRC_RE.test(content)) return true
+    }
+  }
+  return false
 }
 
 /**
@@ -381,10 +412,15 @@ export async function check() {
 
   const ignorePaths = await loadCursorIgnorePaths(process.cwd())
 
-  if (await hasAnyRasterImage(ignorePaths)) {
-    runAvifGeneration()
+  if (!(await hasAnyVueRasterReference(ignorePaths))) {
+    pass(
+      'image-avif: у .vue/.html немає raster-посилань для переписування — AVIF-генерація і cleanup пропущені'
+    )
+    return reporter.getExitCode()
   }
 
+  runAvifGeneration()
+
   /** @type {Set<string>} */
   const usedAvifAbs = new Set()
   /** @type {RewriteStats} */

package/rules/image-avif/image-avif.mdc

@@ -1,17 +1,18 @@
 ---
 description: AVIF-двійники для raster-зображень з ув'язуванням у .vue/.html
-version: '1.3'
+version: '1.4'
 globs: "**/*.{png,jpg,jpeg,gif,avif,vue,html}"
 alwaysApply: false
 ---
 
-AVIF-двійники (`<name>.<ext>.avif`) генерує **виключно** `npx @nitra/cursor check image-avif` — у `lint-image` прапорець `--avif` заборонений (це валідує правило `image-compress`). Перевірка робить три кроки в порядку:
+AVIF-двійники (`<name>.<ext>.avif`) генерує **виключно** `npx @nitra/cursor check image-avif` — у `lint-image` прапорець `--avif` заборонений (це валідує правило `image-compress`). Перевірка робить чотири кроки в порядку:
 
-1. Запускає `npx @nitra/minify-image --src=. --write --avif` (≥ **3.3.1**) — генерує `<name>.<ext>.avif` поряд з кожним PNG/JPEG/GIF. CLI порівнює sha1 кожного raster-сорсу зі збереженим у `.n-minify-image.tsv` і перезаписує `<source>.avif` при зміні оригіналу.
-2. Сканує `.vue` (а також `.html`) файли в кожному workspace-пакеті (root + workspaces) і автоматично переписує raster-посилання на AVIF-двійник у двох формах:
+1. **Pre-scan**: шукає у `.vue`/`.html` хоча б одне raster-посилання, яке потенційно треба переписати на AVIF-двійник (`import x from '...png'` або `<img src="...png" />`). Пакети з opt-out `disable-avif: true` пропускаються. **Якщо жодного raster-посилання не знайдено — `check image-avif` завершується успіхом одразу: ні `npx --avif`, ні rewrite, ні cleanup-сиріт не виконуються** (нічого було б змінювати). Так уникаємо дорогого `npx @nitra/minify-image` у проєктах, де AVIF не вживається.
+2. Запускає `npx @nitra/minify-image --src=. --write --avif` (≥ **3.3.1**) — генерує `<name>.<ext>.avif` поряд з кожним PNG/JPEG/GIF. CLI порівнює sha1 кожного raster-сорсу зі збереженим у `.n-minify-image.tsv` і перезаписує `<source>.avif` при зміні оригіналу.
+3. Сканує `.vue` (а також `.html`) файли в кожному workspace-пакеті (root + workspaces) і автоматично переписує raster-посилання на AVIF-двійник у двох формах:
    - **Імпорт-пов'язані** — `import x from '...png|jpg|jpeg|gif'` (далі `:src="x"` у шаблоні);
    - **Прямі статичні** — `<img src="...png" />` у `<template>` (Vite перетворює такий шлях на asset-імпорт на етапі збірки, тож вимога та сама).
-3. Видаляє AVIF-сироти: ходить по всіх `<...>.avif` у репозиторії; якщо на двійник не лишилось жодного посилання у `.vue`/`.html` — файл видаляється. **AVIF на диску лишається лише там, де заміна реально відбулась** — тому невикористані оригінали не накопичують `.avif`-«хвости».
+4. Видаляє AVIF-сироти: ходить по всіх `<...>.avif` у репозиторії; якщо на двійник не лишилось жодного посилання у `.vue`/`.html` — файл видаляється. **AVIF на диску лишається лише там, де заміна реально відбулась** — тому невикористані оригінали не накопичують `.avif`-«хвости». **Зауваж**: cleanup виконується ЛИШЕ якщо pre-scan на кроці 1 знайшов хоча б одне raster-посилання — інакше осиротілі `.avif` залишаються недоторканими (видаляться вже наступним прогоном, коли в `.vue`/`.html` зʼявиться raster для конвертації).
 
 ```vue title="App.vue (після check image-avif)"
 <script setup>

package/rules/js-bun-db/js-bun-db.mdc

@@ -2,7 +2,7 @@
 description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
 globs: "**/package.json,**/src/conn/**"
 alwaysApply: false
-version: '1.7'
+version: '1.8'
 ---
 
 ## Підтримувані версії баз даних
@@ -17,6 +17,8 @@ PostgreSQL 18+, MariaDB 10.6+ (сумісний з MySQL-протоколом,
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { sql, SQL } from 'bun'` — Bun має вбудований клієнт із пулом, prepared statements та tagged templates.
 
+Канон заборонених `dependencies` (`pg`, `pg-format`, `mysql2`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).
+
 `pg-format` — це ручне форматування SQL через escape (`format('... %L ...', value)`); такі рядки легко поламати неправильним типом, locale-залежним escape або забутим `%L`. Tagged template Bun SQL параметризує значення нативно (`sql\`... ${value} ...\``) і не лишає простору для injection — окремий «форматер» не потрібен.
 
 ## `pg-format`: повне видалення, без шимів

package/rules/js-bun-redis/js-bun-redis.mdc

@@ -2,7 +2,7 @@
 description: Використання Redis/Valkey з Bun
 globs: "**/package.json,**/src/conn/**"
 alwaysApply: false
-version: '1.1'
+version: '1.2'
 ---
 
 ## Підтримувані версії redis
@@ -16,3 +16,5 @@ Redis 7.2+
 - Видалити з `dependencies`: `ioredis`, `node-redis`.
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { redis } from 'bun'`
+
+Канон заборонених `dependencies` (`ioredis`, `node-redis`, `redis`, `@redis/*`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).

package/rules/k8s/fix/manifests/check.mjs

@@ -4252,9 +4252,16 @@ export function pdbManifestViolations(manifest, expectedAppLabel, isDevLike) {
   return errs
 }
 
+/**
+ * Канонічний список in-cluster TCP-портів у `to: [{namespaceSelector: {}}]` rule (k8s.mdc).
+ * Зовнішній доступ (80/443 → 0.0.0.0/0) і kube-dns (53 UDP/TCP) — окремі rule вище.
+ * Catch-all (`namespaceSelector: {}` без `ports:`) — заборонено.
+ */
+const NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS = [80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318]
+
 /**
  * Канонічний блок `spec.egress` NetworkPolicy (k8s.mdc): kube-dns; TCP 80/443 на 0.0.0.0/0;
- * інші порти — `namespaceSelector: {}` (in-cluster, зокрема `*.svc`).
+ * in-cluster `namespaceSelector: {}` зі списком `NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS`.
  */
 const NETWORK_POLICY_EGRESS_YAML = `  egress:
     - to:
@@ -4279,6 +4286,8 @@ const NETWORK_POLICY_EGRESS_YAML = `  egress:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+${NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS.map(p => `        - protocol: TCP\n          port: ${p}`).join('\n')}
 `
 
 /**
@@ -6406,6 +6415,76 @@ async function appendNetworkPolicyDocuments(npAbs, toAdd, npRel, passFn) {
   }
 }
 
+/**
+ * Перевіряє, чи `spec.egress` містить in-cluster rule з порожнім namespaceSelector БЕЗ ports
+ * (legacy catch-all — заборонено новим каноном k8s.mdc).
+ * @param {unknown} doc розпарсений NetworkPolicy-документ
+ * @returns {boolean} true якщо doc має legacy catch-all rule
+ */
+function networkPolicyHasLegacyCatchAllEgress(doc) {
+  if (doc === null || typeof doc !== 'object' || Array.isArray(doc)) return false
+  const spec = /** @type {Record<string, unknown>} */ (doc).spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return false
+  const egress = /** @type {Record<string, unknown>} */ (spec).egress
+  if (!Array.isArray(egress)) return false
+  for (const rule of egress) {
+    if (rule === null || typeof rule !== 'object' || Array.isArray(rule)) continue
+    const ruleRec = /** @type {Record<string, unknown>} */ (rule)
+    const to = ruleRec.to
+    if (!Array.isArray(to)) continue
+    const hasEmptyNsPeer = to.some(peer => {
+      if (peer === null || typeof peer !== 'object' || Array.isArray(peer)) return false
+      const ns = /** @type {Record<string, unknown>} */ (peer).namespaceSelector
+      return ns !== null && typeof ns === 'object' && !Array.isArray(ns) && Object.keys(ns).length === 0
+    })
+    if (!hasEmptyNsPeer) continue
+    const ports = ruleRec.ports
+    if (!Array.isArray(ports) || ports.length === 0) return true
+  }
+  return false
+}
+
+/**
+ * Migrate legacy `networkpolicy.yaml`: якщо хоч один документ має catch-all in-cluster egress —
+ * перезаписати **всі** документи у файлі через `buildNetworkPolicyYaml(name, appLabel)`. Деталі — k8s.mdc.
+ * @param {string} npAbs абсолютний шлях до networkpolicy.yaml
+ * @returns {Promise<boolean>} true якщо файл переписаний
+ */
+export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
+  if (!existsSync(npAbs)) return false
+  const docs = await readAllDocsByKindFromFile(npAbs, 'NetworkPolicy')
+  if (docs.length === 0) return false
+  const needsMigration = docs.some(d => networkPolicyHasLegacyCatchAllEgress(d))
+  if (!needsMigration) return false
+  /**
+  @type {Array<{ name: string, appLabel: string }>}
+   */
+  const specs = []
+  for (const doc of docs) {
+    const name = manifestMetadataName(doc)
+    const spec = /** @type {Record<string, unknown>} */ (doc).spec
+    let appLabel = ''
+    if (spec !== null && typeof spec === 'object' && !Array.isArray(spec)) {
+      const podSelector = /** @type {Record<string, unknown>} */ (spec).podSelector
+      if (podSelector !== null && typeof podSelector === 'object' && !Array.isArray(podSelector)) {
+        const matchLabels = /** @type {Record<string, unknown>} */ (podSelector).matchLabels
+        if (matchLabels !== null && typeof matchLabels === 'object' && !Array.isArray(matchLabels)) {
+          const a = /** @type {Record<string, unknown>} */ (matchLabels).app
+          if (typeof a === 'string') appLabel = a
+        }
+      }
+    }
+    if (typeof name === 'string' && name !== '' && appLabel !== '') specs.push({ name, appLabel })
+  }
+  if (specs.length === 0) return false
+  const blocks = specs.map(({ name, appLabel }, i) => {
+    const block = buildNetworkPolicyYaml(name, appLabel)
+    return i === 0 ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd()
+  })
+  await writeFile(npAbs, `${blocks.join('\n---\n')}\n`, 'utf8')
+  return true
+}
+
 /**
  * Створює відсутні NetworkPolicy для workload-ів у каталозі (base → `components/`, інакше — поруч).
  * @param {string} dir абсолютний каталог workload-маніфесту
@@ -6420,6 +6499,12 @@ async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm,
   const isBase = isK8sYamlUnderBaseDirectory(`${relDir}/probe.yaml`)
   const npAbs = isBase ? join(dir, '..', COMPONENTS_DIR, NETWORK_POLICY_FILENAME) : join(dir, NETWORK_POLICY_FILENAME)
   const npRel = (relative(rootNorm, npAbs) || npAbs).replaceAll('\\', '/')
+  if (existsSync(npAbs)) {
+    const migrated = await regenerateLegacyNetworkPolicyDocsInFile(npAbs)
+    if (migrated) {
+      passFn(`${npRel}: міграція legacy catch-all egress → канон з явними in-cluster портами (k8s.mdc)`)
+    }
+  }
   const existing = await existingNetworkPolicyNames(npAbs)
   /**
   @type {Array<{ name: string, appLabel: string, kind: string }>}

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.35'
+version: '1.36'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -388,7 +388,7 @@ images:
 
 - **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, networkpolicy.yaml, pdb.yaml]` (відсортовано за алфавітом).
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
-- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **інші порти** — лише in-cluster через `to.namespaceSelector: {}` (трафік на `*.svc` / Pod-и в кластері; Postgres лише `*.svc`, без Cloud SQL). Заборонено `egress: [{}]`. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
+- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові in-cluster порти можна додати вручну у `ports:` цього rule. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
@@ -509,6 +509,25 @@ spec:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+        - protocol: TCP
+          port: 5432
+        - protocol: TCP
+          port: 3306
+        - protocol: TCP
+          port: 1433
+        - protocol: TCP
+          port: 6379
+        - protocol: TCP
+          port: 8080
+        - protocol: TCP
+          port: 4317
+        - protocol: TCP
+          port: 4318
 ```
 
 ```yaml title="k8s/components/hpa.yaml"

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -85,6 +85,13 @@ deny contains "spec.egress: потрібен to.namespaceSelector: {} (інші
 	not egress_has_cluster_namespace_selector(spec)
 }
 
+deny contains "spec.egress: to.namespaceSelector: {} мусить мати непорожні ports — catch-all заборонено (k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	cluster_egress_rule_without_ports(spec)
+}
+
 is_np_doc if input.kind == "NetworkPolicy"
 
 is_np_doc if startswith(object.get(input, "apiVersion", ""), "networking.k8s.io/")
@@ -156,3 +163,19 @@ egress_has_cluster_namespace_selector(spec) if {
 	is_object(ns)
 	count(ns) == 0
 }
+
+cluster_egress_rule_without_ports(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ns := object.get(peer, "namespaceSelector", null)
+	is_object(ns)
+	count(ns) == 0
+	ports := object.get(rule, "ports", [])
+	count(ports) == 0
+}

package/rules/k8s/policy/network_policy/template/networkpolicy.snippet.yaml

@@ -30,3 +30,22 @@ spec:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+        - protocol: TCP
+          port: 5432
+        - protocol: TCP
+          port: 3306
+        - protocol: TCP
+          port: 1433
+        - protocol: TCP
+          port: 6379
+        - protocol: TCP
+          port: 8080
+        - protocol: TCP
+          port: 4317
+        - protocol: TCP
+          port: 4318