@nitra/cursor 1.13.45 → 1.13.48

package/CHANGELOG.md

@@ -4,6 +4,24 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.48] - 2026-05-19
+
+### Changed
+
+- `k8s.network_policy`: канонічний egress NetworkPolicy більше **не дозволяє** `to.namespaceSelector: {}` без `ports:` (catch-all). У шаблоні `networkpolicy.snippet.yaml`, генераторі `buildNetworkPolicyYaml` і rego-policy `network_policy.rego` тепер in-cluster rule має явний список TCP-портів: `80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`. Додатково: `fix k8s` під час прогону знаходить існуючі `networkpolicy.yaml` з legacy catch-all egress і **перезаписує** їх через `buildNetworkPolicyYaml` (повний rebuild за `metadata.name` + `app`-міткою). JS-валідатор `networkPolicyManifestViolations` не змінюється (порти enforce-ить rego). Bump `k8s.mdc` `1.35` → `1.36`. Спец: [docs/superpowers/specs/2026-05-19-networkpolicy-egress-explicit-ports-design.md](../../docs/superpowers/specs/2026-05-19-networkpolicy-egress-explicit-ports-design.md).
+
+## [1.13.47] - 2026-05-19
+
+### Fixed
+
+- `js-bun-db`, `js-bun-redis` rules: додано markdown-посилання на `policy/package_json/template/package.json.deny.json` у канонічних `<id>.mdc` — `findMissingMdcRefs` (викликається з `run-rule.mjs`) падав, бо канонічні `.mdc` не містили `[package.json.deny.json](./policy/package_json/template/package.json.deny.json)`. Bump rule versions: `js-bun-db.mdc` `1.7` → `1.8`, `js-bun-redis.mdc` `1.1` → `1.2`.
+
+## [1.13.46] - 2026-05-19
+
+### Changed
+
+- `image-avif` rule: двопрохідний rewrite у `check image-avif` — спочатку pre-scan `.vue`/`.html` на raster-посилання (`VUE_RASTER_IMPORT_RE` + `VUE_RASTER_STATIC_SRC_RE`), і лише якщо є хоча б одне — запускається `npx @nitra/minify-image --avif`, rewrite та cleanup AVIF-сиріт. Якщо raster-посилань нема — вихід `0` без жодного side-effect. Bump `image-avif.mdc` `1.3` → `1.4`.
+
 ## [1.13.45] - 2026-05-19
 
 ### Fixed
@@ -15,7 +33,7 @@
 
 ### Added
 
-- `abie` rule: новий policy-концерн `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). Реалізація: `npm/rules/abie/policy/package_json_docs/` (target.json + .rego + _test.rego). Bump `abie.mdc` `1.20` → `1.21`.
+- `abie` rule: новий policy-концерн `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). Реалізація: `npm/rules/abie/policy/package_json_docs/` (target.json + .rego + \_test.rego). Bump `abie.mdc` `1.20` → `1.21`.
 - `efes` rule: перший policy-концерн `efes.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/efes-docs` (узгоджено з `graphql.mdc`, де схема береться з `node_modules/@nitra/efes-docs/schema/maya.graphql`). Реалізація: `npm/rules/efes/policy/package_json_docs/`. Bump `efes.mdc` `1.0` → `1.1`.
 
 ## [1.13.43] - 2026-05-18

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.45",
+  "version": "1.13.48",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/js-bun-db/js-bun-db.mdc

@@ -2,7 +2,7 @@
 description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
 globs: "**/package.json,**/src/conn/**"
 alwaysApply: false
-version: '1.7'
+version: '1.8'
 ---
 
 ## Підтримувані версії баз даних
@@ -17,6 +17,8 @@ PostgreSQL 18+, MariaDB 10.6+ (сумісний з MySQL-протоколом,
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { sql, SQL } from 'bun'` — Bun має вбудований клієнт із пулом, prepared statements та tagged templates.
 
+Канон заборонених `dependencies` (`pg`, `pg-format`, `mysql2`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).
+
 `pg-format` — це ручне форматування SQL через escape (`format('... %L ...', value)`); такі рядки легко поламати неправильним типом, locale-залежним escape або забутим `%L`. Tagged template Bun SQL параметризує значення нативно (`sql\`... ${value} ...\``) і не лишає простору для injection — окремий «форматер» не потрібен.
 
 ## `pg-format`: повне видалення, без шимів

package/rules/js-bun-redis/js-bun-redis.mdc

@@ -2,7 +2,7 @@
 description: Використання Redis/Valkey з Bun
 globs: "**/package.json,**/src/conn/**"
 alwaysApply: false
-version: '1.1'
+version: '1.2'
 ---
 
 ## Підтримувані версії redis
@@ -16,3 +16,5 @@ Redis 7.2+
 - Видалити з `dependencies`: `ioredis`, `node-redis`.
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { redis } from 'bun'`
+
+Канон заборонених `dependencies` (`ioredis`, `node-redis`, `redis`, `@redis/*`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).

package/rules/k8s/fix/manifests/check.mjs

@@ -4252,9 +4252,16 @@ export function pdbManifestViolations(manifest, expectedAppLabel, isDevLike) {
   return errs
 }
 
+/**
+ * Канонічний список in-cluster TCP-портів у `to: [{namespaceSelector: {}}]` rule (k8s.mdc).
+ * Зовнішній доступ (80/443 → 0.0.0.0/0) і kube-dns (53 UDP/TCP) — окремі rule вище.
+ * Catch-all (`namespaceSelector: {}` без `ports:`) — заборонено.
+ */
+const NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS = [80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318]
+
 /**
  * Канонічний блок `spec.egress` NetworkPolicy (k8s.mdc): kube-dns; TCP 80/443 на 0.0.0.0/0;
- * інші порти — `namespaceSelector: {}` (in-cluster, зокрема `*.svc`).
+ * in-cluster `namespaceSelector: {}` зі списком `NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS`.
  */
 const NETWORK_POLICY_EGRESS_YAML = `  egress:
     - to:
@@ -4279,6 +4286,8 @@ const NETWORK_POLICY_EGRESS_YAML = `  egress:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+${NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS.map(p => `        - protocol: TCP\n          port: ${p}`).join('\n')}
 `
 
 /**
@@ -6406,6 +6415,76 @@ async function appendNetworkPolicyDocuments(npAbs, toAdd, npRel, passFn) {
   }
 }
 
+/**
+ * Перевіряє, чи `spec.egress` містить in-cluster rule з порожнім namespaceSelector БЕЗ ports
+ * (legacy catch-all — заборонено новим каноном k8s.mdc).
+ * @param {unknown} doc розпарсений NetworkPolicy-документ
+ * @returns {boolean} true якщо doc має legacy catch-all rule
+ */
+function networkPolicyHasLegacyCatchAllEgress(doc) {
+  if (doc === null || typeof doc !== 'object' || Array.isArray(doc)) return false
+  const spec = /** @type {Record<string, unknown>} */ (doc).spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return false
+  const egress = /** @type {Record<string, unknown>} */ (spec).egress
+  if (!Array.isArray(egress)) return false
+  for (const rule of egress) {
+    if (rule === null || typeof rule !== 'object' || Array.isArray(rule)) continue
+    const ruleRec = /** @type {Record<string, unknown>} */ (rule)
+    const to = ruleRec.to
+    if (!Array.isArray(to)) continue
+    const hasEmptyNsPeer = to.some(peer => {
+      if (peer === null || typeof peer !== 'object' || Array.isArray(peer)) return false
+      const ns = /** @type {Record<string, unknown>} */ (peer).namespaceSelector
+      return ns !== null && typeof ns === 'object' && !Array.isArray(ns) && Object.keys(ns).length === 0
+    })
+    if (!hasEmptyNsPeer) continue
+    const ports = ruleRec.ports
+    if (!Array.isArray(ports) || ports.length === 0) return true
+  }
+  return false
+}
+
+/**
+ * Migrate legacy `networkpolicy.yaml`: якщо хоч один документ має catch-all in-cluster egress —
+ * перезаписати **всі** документи у файлі через `buildNetworkPolicyYaml(name, appLabel)`. Деталі — k8s.mdc.
+ * @param {string} npAbs абсолютний шлях до networkpolicy.yaml
+ * @returns {Promise<boolean>} true якщо файл переписаний
+ */
+export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
+  if (!existsSync(npAbs)) return false
+  const docs = await readAllDocsByKindFromFile(npAbs, 'NetworkPolicy')
+  if (docs.length === 0) return false
+  const needsMigration = docs.some(d => networkPolicyHasLegacyCatchAllEgress(d))
+  if (!needsMigration) return false
+  /**
+  @type {Array<{ name: string, appLabel: string }>}
+   */
+  const specs = []
+  for (const doc of docs) {
+    const name = manifestMetadataName(doc)
+    const spec = /** @type {Record<string, unknown>} */ (doc).spec
+    let appLabel = ''
+    if (spec !== null && typeof spec === 'object' && !Array.isArray(spec)) {
+      const podSelector = /** @type {Record<string, unknown>} */ (spec).podSelector
+      if (podSelector !== null && typeof podSelector === 'object' && !Array.isArray(podSelector)) {
+        const matchLabels = /** @type {Record<string, unknown>} */ (podSelector).matchLabels
+        if (matchLabels !== null && typeof matchLabels === 'object' && !Array.isArray(matchLabels)) {
+          const a = /** @type {Record<string, unknown>} */ (matchLabels).app
+          if (typeof a === 'string') appLabel = a
+        }
+      }
+    }
+    if (typeof name === 'string' && name !== '' && appLabel !== '') specs.push({ name, appLabel })
+  }
+  if (specs.length === 0) return false
+  const blocks = specs.map(({ name, appLabel }, i) => {
+    const block = buildNetworkPolicyYaml(name, appLabel)
+    return i === 0 ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd()
+  })
+  await writeFile(npAbs, `${blocks.join('\n---\n')}\n`, 'utf8')
+  return true
+}
+
 /**
  * Створює відсутні NetworkPolicy для workload-ів у каталозі (base → `components/`, інакше — поруч).
  * @param {string} dir абсолютний каталог workload-маніфесту
@@ -6420,6 +6499,12 @@ async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm,
   const isBase = isK8sYamlUnderBaseDirectory(`${relDir}/probe.yaml`)
   const npAbs = isBase ? join(dir, '..', COMPONENTS_DIR, NETWORK_POLICY_FILENAME) : join(dir, NETWORK_POLICY_FILENAME)
   const npRel = (relative(rootNorm, npAbs) || npAbs).replaceAll('\\', '/')
+  if (existsSync(npAbs)) {
+    const migrated = await regenerateLegacyNetworkPolicyDocsInFile(npAbs)
+    if (migrated) {
+      passFn(`${npRel}: міграція legacy catch-all egress → канон з явними in-cluster портами (k8s.mdc)`)
+    }
+  }
   const existing = await existingNetworkPolicyNames(npAbs)
   /**
   @type {Array<{ name: string, appLabel: string, kind: string }>}

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.35'
+version: '1.36'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -388,7 +388,7 @@ images:
 
 - **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, networkpolicy.yaml, pdb.yaml]` (відсортовано за алфавітом).
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
-- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **інші порти** — лише in-cluster через `to.namespaceSelector: {}` (трафік на `*.svc` / Pod-и в кластері; Postgres лише `*.svc`, без Cloud SQL). Заборонено `egress: [{}]`. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
+- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові in-cluster порти можна додати вручну у `ports:` цього rule. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
@@ -509,6 +509,25 @@ spec:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+        - protocol: TCP
+          port: 5432
+        - protocol: TCP
+          port: 3306
+        - protocol: TCP
+          port: 1433
+        - protocol: TCP
+          port: 6379
+        - protocol: TCP
+          port: 8080
+        - protocol: TCP
+          port: 4317
+        - protocol: TCP
+          port: 4318
 ```
 
 ```yaml title="k8s/components/hpa.yaml"

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -85,6 +85,13 @@ deny contains "spec.egress: потрібен to.namespaceSelector: {} (інші
 	not egress_has_cluster_namespace_selector(spec)
 }
 
+deny contains "spec.egress: to.namespaceSelector: {} мусить мати непорожні ports — catch-all заборонено (k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	cluster_egress_rule_without_ports(spec)
+}
+
 is_np_doc if input.kind == "NetworkPolicy"
 
 is_np_doc if startswith(object.get(input, "apiVersion", ""), "networking.k8s.io/")
@@ -156,3 +163,19 @@ egress_has_cluster_namespace_selector(spec) if {
 	is_object(ns)
 	count(ns) == 0
 }
+
+cluster_egress_rule_without_ports(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ns := object.get(peer, "namespaceSelector", null)
+	is_object(ns)
+	count(ns) == 0
+	ports := object.get(rule, "ports", [])
+	count(ports) == 0
+}

package/rules/k8s/policy/network_policy/template/networkpolicy.snippet.yaml

@@ -30,3 +30,22 @@ spec:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+        - protocol: TCP
+          port: 5432
+        - protocol: TCP
+          port: 3306
+        - protocol: TCP
+          port: 1433
+        - protocol: TCP
+          port: 6379
+        - protocol: TCP
+          port: 8080
+        - protocol: TCP
+          port: 4317
+        - protocol: TCP
+          port: 4318