@nitra/cursor 1.13.45 → 1.13.49

package/CHANGELOG.md

@@ -4,6 +4,30 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.49] - 2026-05-19
+
+### Changed
+
+- `lint-k8s`: kubescape тепер сканує **зібраний kustomize-маніфест** через stdin (`kustomize build <dir> | kubescape scan -`) для кожного dir-у з `kustomization.yaml` під `…/k8s` (Kustomize Components — `kind: Component` — пропускаються, вони не білдяться окремо). Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling `components/networkpolicy.yaml` без `metadata.namespace`: сирий dir-скан не виконував kustomize, бачив порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, через що `podSelector` не матчився. Якщо `kustomization.yaml` під коренем `…/k8s` немає — fallback на старий dir-скан. Нова PATH-залежність — `kustomize` (додано крок у GHA-шаблоні `lint-k8s.yml`). Bump `k8s.mdc` `1.36` → `1.37`.
+
+## [1.13.48] - 2026-05-19
+
+### Changed
+
+- `k8s.network_policy`: канонічний egress NetworkPolicy більше **не дозволяє** `to.namespaceSelector: {}` без `ports:` (catch-all). У шаблоні `networkpolicy.snippet.yaml`, генераторі `buildNetworkPolicyYaml` і rego-policy `network_policy.rego` тепер in-cluster rule має явний список TCP-портів: `80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`. Додатково: `fix k8s` під час прогону знаходить існуючі `networkpolicy.yaml` з legacy catch-all egress і **перезаписує** їх через `buildNetworkPolicyYaml` (повний rebuild за `metadata.name` + `app`-міткою). JS-валідатор `networkPolicyManifestViolations` не змінюється (порти enforce-ить rego). Bump `k8s.mdc` `1.35` → `1.36`. Спец: [docs/superpowers/specs/2026-05-19-networkpolicy-egress-explicit-ports-design.md](../../docs/superpowers/specs/2026-05-19-networkpolicy-egress-explicit-ports-design.md).
+
+## [1.13.47] - 2026-05-19
+
+### Fixed
+
+- `js-bun-db`, `js-bun-redis` rules: додано markdown-посилання на `policy/package_json/template/package.json.deny.json` у канонічних `<id>.mdc` — `findMissingMdcRefs` (викликається з `run-rule.mjs`) падав, бо канонічні `.mdc` не містили `[package.json.deny.json](./policy/package_json/template/package.json.deny.json)`. Bump rule versions: `js-bun-db.mdc` `1.7` → `1.8`, `js-bun-redis.mdc` `1.1` → `1.2`.
+
+## [1.13.46] - 2026-05-19
+
+### Changed
+
+- `image-avif` rule: двопрохідний rewrite у `check image-avif` — спочатку pre-scan `.vue`/`.html` на raster-посилання (`VUE_RASTER_IMPORT_RE` + `VUE_RASTER_STATIC_SRC_RE`), і лише якщо є хоча б одне — запускається `npx @nitra/minify-image --avif`, rewrite та cleanup AVIF-сиріт. Якщо raster-посилань нема — вихід `0` без жодного side-effect. Bump `image-avif.mdc` `1.3` → `1.4`.
+
 ## [1.13.45] - 2026-05-19
 
 ### Fixed
@@ -15,7 +39,7 @@
 
 ### Added
 
-- `abie` rule: новий policy-концерн `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). Реалізація: `npm/rules/abie/policy/package_json_docs/` (target.json + .rego + _test.rego). Bump `abie.mdc` `1.20` → `1.21`.
+- `abie` rule: новий policy-концерн `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). Реалізація: `npm/rules/abie/policy/package_json_docs/` (target.json + .rego + \_test.rego). Bump `abie.mdc` `1.20` → `1.21`.
 - `efes` rule: перший policy-концерн `efes.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/efes-docs` (узгоджено з `graphql.mdc`, де схема береться з `node_modules/@nitra/efes-docs/schema/maya.graphql`). Реалізація: `npm/rules/efes/policy/package_json_docs/`. Bump `efes.mdc` `1.0` → `1.1`.
 
 ## [1.13.43] - 2026-05-18

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.45",
+  "version": "1.13.49",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/js-bun-db/js-bun-db.mdc

@@ -2,7 +2,7 @@
 description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
 globs: "**/package.json,**/src/conn/**"
 alwaysApply: false
-version: '1.7'
+version: '1.8'
 ---
 
 ## Підтримувані версії баз даних
@@ -17,6 +17,8 @@ PostgreSQL 18+, MariaDB 10.6+ (сумісний з MySQL-протоколом,
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { sql, SQL } from 'bun'` — Bun має вбудований клієнт із пулом, prepared statements та tagged templates.
 
+Канон заборонених `dependencies` (`pg`, `pg-format`, `mysql2`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).
+
 `pg-format` — це ручне форматування SQL через escape (`format('... %L ...', value)`); такі рядки легко поламати неправильним типом, locale-залежним escape або забутим `%L`. Tagged template Bun SQL параметризує значення нативно (`sql\`... ${value} ...\``) і не лишає простору для injection — окремий «форматер» не потрібен.
 
 ## `pg-format`: повне видалення, без шимів

package/rules/js-bun-redis/js-bun-redis.mdc

@@ -2,7 +2,7 @@
 description: Використання Redis/Valkey з Bun
 globs: "**/package.json,**/src/conn/**"
 alwaysApply: false
-version: '1.1'
+version: '1.2'
 ---
 
 ## Підтримувані версії redis
@@ -16,3 +16,5 @@ Redis 7.2+
 - Видалити з `dependencies`: `ioredis`, `node-redis`.
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { redis } from 'bun'`
+
+Канон заборонених `dependencies` (`ioredis`, `node-redis`, `redis`, `@redis/*`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).

package/rules/k8s/fix/manifests/check.mjs

@@ -4252,9 +4252,16 @@ export function pdbManifestViolations(manifest, expectedAppLabel, isDevLike) {
   return errs
 }
 
+/**
+ * Канонічний список in-cluster TCP-портів у `to: [{namespaceSelector: {}}]` rule (k8s.mdc).
+ * Зовнішній доступ (80/443 → 0.0.0.0/0) і kube-dns (53 UDP/TCP) — окремі rule вище.
+ * Catch-all (`namespaceSelector: {}` без `ports:`) — заборонено.
+ */
+const NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS = [80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318]
+
 /**
  * Канонічний блок `spec.egress` NetworkPolicy (k8s.mdc): kube-dns; TCP 80/443 на 0.0.0.0/0;
- * інші порти — `namespaceSelector: {}` (in-cluster, зокрема `*.svc`).
+ * in-cluster `namespaceSelector: {}` зі списком `NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS`.
  */
 const NETWORK_POLICY_EGRESS_YAML = `  egress:
     - to:
@@ -4279,6 +4286,8 @@ const NETWORK_POLICY_EGRESS_YAML = `  egress:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+${NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS.map(p => `        - protocol: TCP\n          port: ${p}`).join('\n')}
 `
 
 /**
@@ -6406,6 +6415,76 @@ async function appendNetworkPolicyDocuments(npAbs, toAdd, npRel, passFn) {
   }
 }
 
+/**
+ * Перевіряє, чи `spec.egress` містить in-cluster rule з порожнім namespaceSelector БЕЗ ports
+ * (legacy catch-all — заборонено новим каноном k8s.mdc).
+ * @param {unknown} doc розпарсений NetworkPolicy-документ
+ * @returns {boolean} true якщо doc має legacy catch-all rule
+ */
+function networkPolicyHasLegacyCatchAllEgress(doc) {
+  if (doc === null || typeof doc !== 'object' || Array.isArray(doc)) return false
+  const spec = /** @type {Record<string, unknown>} */ (doc).spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return false
+  const egress = /** @type {Record<string, unknown>} */ (spec).egress
+  if (!Array.isArray(egress)) return false
+  for (const rule of egress) {
+    if (rule === null || typeof rule !== 'object' || Array.isArray(rule)) continue
+    const ruleRec = /** @type {Record<string, unknown>} */ (rule)
+    const to = ruleRec.to
+    if (!Array.isArray(to)) continue
+    const hasEmptyNsPeer = to.some(peer => {
+      if (peer === null || typeof peer !== 'object' || Array.isArray(peer)) return false
+      const ns = /** @type {Record<string, unknown>} */ (peer).namespaceSelector
+      return ns !== null && typeof ns === 'object' && !Array.isArray(ns) && Object.keys(ns).length === 0
+    })
+    if (!hasEmptyNsPeer) continue
+    const ports = ruleRec.ports
+    if (!Array.isArray(ports) || ports.length === 0) return true
+  }
+  return false
+}
+
+/**
+ * Migrate legacy `networkpolicy.yaml`: якщо хоч один документ має catch-all in-cluster egress —
+ * перезаписати **всі** документи у файлі через `buildNetworkPolicyYaml(name, appLabel)`. Деталі — k8s.mdc.
+ * @param {string} npAbs абсолютний шлях до networkpolicy.yaml
+ * @returns {Promise<boolean>} true якщо файл переписаний
+ */
+export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
+  if (!existsSync(npAbs)) return false
+  const docs = await readAllDocsByKindFromFile(npAbs, 'NetworkPolicy')
+  if (docs.length === 0) return false
+  const needsMigration = docs.some(d => networkPolicyHasLegacyCatchAllEgress(d))
+  if (!needsMigration) return false
+  /**
+  @type {Array<{ name: string, appLabel: string }>}
+   */
+  const specs = []
+  for (const doc of docs) {
+    const name = manifestMetadataName(doc)
+    const spec = /** @type {Record<string, unknown>} */ (doc).spec
+    let appLabel = ''
+    if (spec !== null && typeof spec === 'object' && !Array.isArray(spec)) {
+      const podSelector = /** @type {Record<string, unknown>} */ (spec).podSelector
+      if (podSelector !== null && typeof podSelector === 'object' && !Array.isArray(podSelector)) {
+        const matchLabels = /** @type {Record<string, unknown>} */ (podSelector).matchLabels
+        if (matchLabels !== null && typeof matchLabels === 'object' && !Array.isArray(matchLabels)) {
+          const a = /** @type {Record<string, unknown>} */ (matchLabels).app
+          if (typeof a === 'string') appLabel = a
+        }
+      }
+    }
+    if (typeof name === 'string' && name !== '' && appLabel !== '') specs.push({ name, appLabel })
+  }
+  if (specs.length === 0) return false
+  const blocks = specs.map(({ name, appLabel }, i) => {
+    const block = buildNetworkPolicyYaml(name, appLabel)
+    return i === 0 ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd()
+  })
+  await writeFile(npAbs, `${blocks.join('\n---\n')}\n`, 'utf8')
+  return true
+}
+
 /**
  * Створює відсутні NetworkPolicy для workload-ів у каталозі (base → `components/`, інакше — поруч).
  * @param {string} dir абсолютний каталог workload-маніфесту
@@ -6420,6 +6499,12 @@ async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm,
   const isBase = isK8sYamlUnderBaseDirectory(`${relDir}/probe.yaml`)
   const npAbs = isBase ? join(dir, '..', COMPONENTS_DIR, NETWORK_POLICY_FILENAME) : join(dir, NETWORK_POLICY_FILENAME)
   const npRel = (relative(rootNorm, npAbs) || npAbs).replaceAll('\\', '/')
+  if (existsSync(npAbs)) {
+    const migrated = await regenerateLegacyNetworkPolicyDocsInFile(npAbs)
+    if (migrated) {
+      passFn(`${npRel}: міграція legacy catch-all egress → канон з явними in-cluster портами (k8s.mdc)`)
+    }
+  }
   const existing = await existingNetworkPolicyNames(npAbs)
   /**
   @type {Array<{ name: string, appLabel: string, kind: string }>}

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.35'
+version: '1.37'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -29,11 +29,11 @@ alwaysApply: false
 
 Окремо від modeline `$schema` у редакторі варто ганяти CLI-лінтери (**kubeconform** і **kubescape**) по тих самих дерев’ях **`…/k8s`**.
 
-**Залежності:** виконувані файли kubeconform і kubescape у **PATH**; не додавай їх у **devDependencies**.
+**Залежності:** виконувані файли kubeconform, kubescape і kustomize у **PATH**; не додавай їх у **devDependencies**.
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape:** типово **`kubescape scan <каталог-k8s>`**; поріг серйозності підлаштуй під проєкт (наприклад **`--severity-threshold high`**). Перший запуск може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kustomize build <dir> | kubescape scan -`** з порогом **`--severity-threshold high`**. Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 
@@ -99,6 +99,11 @@ jobs:
           curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
           echo "$HOME/.kubescape/bin" >> $GITHUB_PATH
 
+      - name: Install kustomize
+        run: |
+          curl -s "https://raw.githubusercontent.com/kubernetes-sigs/kustomize/master/hack/install_kustomize.sh" | bash
+          sudo mv kustomize /usr/local/bin/
+
       - name: Lint K8s
         run: bun run lint-k8s
 ```
@@ -388,7 +393,7 @@ images:
 
 - **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, networkpolicy.yaml, pdb.yaml]` (відсортовано за алфавітом).
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
-- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **інші порти** — лише in-cluster через `to.namespaceSelector: {}` (трафік на `*.svc` / Pod-и в кластері; Postgres лише `*.svc`, без Cloud SQL). Заборонено `egress: [{}]`. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
+- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові in-cluster порти можна додати вручну у `ports:` цього rule. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
@@ -509,6 +514,25 @@ spec:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+        - protocol: TCP
+          port: 5432
+        - protocol: TCP
+          port: 3306
+        - protocol: TCP
+          port: 1433
+        - protocol: TCP
+          port: 6379
+        - protocol: TCP
+          port: 8080
+        - protocol: TCP
+          port: 4317
+        - protocol: TCP
+          port: 4318
 ```
 
 ```yaml title="k8s/components/hpa.yaml"

package/rules/k8s/lint/lint.mjs

@@ -14,8 +14,11 @@
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
 import { basename, dirname, join, relative } from 'node:path'
 
+import { parse } from 'yaml'
+
 import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
@@ -24,6 +27,9 @@ import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /** Per-project kubescape exceptions file; підмішується через --exceptions, якщо існує в корені. */
 const KUBESCAPE_EXCEPTIONS_FILE = '.kubescape-exceptions.json'
 
+/** Назва kustomization-файлу (під `k8s` дозволено лише `.yaml`, див. k8s.mdc). */
+const KUSTOMIZATION_FILE = 'kustomization.yaml'
+
 const PATH_SEPARATOR_RE = /[/\\]/u
 const YAML_EXT_RE = /\.yaml$/iu
 
@@ -134,37 +140,136 @@ export function buildKubescapeExceptionsArgs(root) {
 }
 
 /**
- * Запускає kubescape scan для кожного каталогу окремо (узгоджено з прикладами CLI).
- * Немає прапорця версії Kubernetes — за потреби додай `scan framework <ім’я>` під CIS/інші набори.
+ * Знаходить каталоги-«точки входу» Kustomize під `dir` — ті, що містять `kustomization.yaml`,
+ * чий перший YAML-документ має `kind: Kustomization` (або без `kind` — типово Kustomization).
+ * Kustomize Components (`kind: Component`) пропускаються: вони не білдяться окремо,
+ * а підключаються через `components:` із overlay (див. k8s.mdc, секція «Kustomize: структура каталогів»).
  *
- * Якщо в корені проєкту є `.kubescape-exceptions.json` — підмішується через `--exceptions <file>`.
- * Файл потрібен для точкових винятків control'ів kubescape (напр. C-0012 на ConfigMap, що містить
- * публічний JWT-конфіг типу `HASURA_GRAPHQL_JWT_SECRET={"jwk_url": "https://…"}` — control тригериться
- * на ім'я env, а не на значення; див. приклад у `k8s.mdc`).
+ * Семантика збігається з реальною поведінкою `kustomize build <dir>`: воно зчитує саме
+ * `kustomization.yaml`, тож пошук іде за назвою файлу (без `.yml`-варіанту — заборонено каноном).
+ * @param {string} dir абсолютний шлях до `…/k8s`
+ * @returns {Promise<string[]>} відсортовані абсолютні шляхи до dir-ів з білдабельним `kustomization.yaml`
+ */
+export async function findKustomizationDirs(dir) {
+  /** @type {string[]} */
+  const candidates = []
+  await walkDir(dir, p => {
+    if (basename(p) === KUSTOMIZATION_FILE) candidates.push(p)
+  })
+  /** @type {Set<string>} */
+  const result = new Set()
+  for (const p of candidates) {
+    let text
+    try {
+      text = await readFile(p, 'utf8')
+    } catch {
+      continue
+    }
+    let doc
+    try {
+      doc = parse(text)
+    } catch {
+      continue
+    }
+    if (doc && typeof doc === 'object' && doc.kind === 'Component') continue
+    result.add(dirname(p))
+  }
+  return [...result].toSorted((a, b) => a.localeCompare(b))
+}
+
+/**
+ * Запускає `kustomize build <dir>` і повертає stdout як буфер. stderr інхеритимо в термінал,
+ * щоб помилки збірки (биті посилання, недозволені плагіни) було видно одразу.
+ * @param {string} kustomizePath абсолютний шлях до бінарника kustomize
+ * @param {string} dir абсолютний шлях до каталогу з `kustomization.yaml`
+ * @returns {{ status: number, stdout: Buffer }} статус процесу і зібраний маніфест
+ */
+function runKustomizeBuild(kustomizePath, dir) {
+  const r = spawnSync(kustomizePath, ['build', dir], {
+    stdio: ['ignore', 'pipe', 'inherit'],
+    shell: false
+  })
+  return { status: r.status ?? 1, stdout: r.stdout ?? Buffer.alloc(0) }
+}
+
+/**
+ * Запускає `kubescape scan -` зі stdin (буфер `manifest`). stdout/stderr інхерит у термінал.
+ * @param {string} kubescapePath абсолютний шлях до бінарника kubescape
+ * @param {Buffer} manifest зібраний kustomize-маніфест
+ * @param {string[]} exceptionsArgs `['--exceptions', '<file>']` або `[]`
+ * @returns {{ status: number, enoent: boolean }} статус процесу і прапор ENOENT
+ */
+function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
+  const r = spawnSync(kubescapePath, ['scan', '-', '--severity-threshold', 'high', ...exceptionsArgs], {
+    input: manifest,
+    stdio: ['pipe', 'inherit', 'inherit'],
+    shell: false
+  })
+  const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
+  return { status: r.status ?? 1, enoent }
+}
+
+/**
+ * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
+ * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kustomize build <dir>` і піпимо
+ * stdout у `kubescape scan -`. Це усуває false-positive C-0260 (`Missing network policy`) у випадках,
+ * коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс інжектить
+ * overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить порожній
+ * `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
+ *
+ * Якщо в `…/k8s`-корені немає жодного білдабельного kustomization.yaml (проєкт без Kustomize) —
+ * fallback на старий dir-скан, щоб не блокувати чистий YAML-only набір маніфестів.
+ *
+ * Якщо в корені репо є `.kubescape-exceptions.json` — підмішується через `--exceptions <file>`
+ * (точкові винятки control'ів, напр. C-0012 на ConfigMap з публічним JWT-конфігом; див. k8s.mdc).
  * @param {string[]} dirs абсолютні шляхи до `…/k8s`
  * @param {string} root корінь репозиторію (для пошуку exceptions-файлу)
- * @returns {number} 0 при успіху, інакше код останнього невдалого scan або 127, якщо kubescape відсутній у PATH
+ * @returns {Promise<number>} 0 при успіху, інакше код невдалого процесу або 127, якщо kubescape/kustomize відсутні
  */
-function runKubescape(dirs, root) {
+async function runKubescape(dirs, root) {
   const exceptionsArgs = buildKubescapeExceptionsArgs(root)
   if (exceptionsArgs.length > 0) {
     console.log(`run-k8s: kubescape exceptions — ${KUBESCAPE_EXCEPTIONS_FILE}`)
   }
+  const kubescapePath = resolveCmd('kubescape')
+  if (!kubescapePath) {
+    console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+    return 127
+  }
+  let kustomizePath = null
   for (const d of dirs) {
-    const kubescapePath = resolveCmd('kubescape')
-    if (!kubescapePath) {
-      console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
-      return 127
+    const kdirs = await findKustomizationDirs(d)
+    if (kdirs.length === 0) {
+      console.log(`run-k8s: kubescape scan ${d} (без kustomization — сирий dir-скан)`)
+      const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high', ...exceptionsArgs], {
+        stdio: 'inherit',
+        shell: false
+      })
+      if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
+        console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+        return 127
+      }
+      if (r.status !== 0) return r.status ?? 1
+      continue
+    }
+    if (kustomizePath === null) {
+      kustomizePath = resolveCmd('kustomize')
+      if (!kustomizePath) {
+        console.error('kustomize не знайдено в PATH. Встанови з https://kubectl.docs.kubernetes.io/installation/kustomize/')
+        return 127
+      }
     }
-    const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high', ...exceptionsArgs], {
-      stdio: 'inherit',
-      shell: false
-    })
-    if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
-      console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
-      return 127
+    for (const kdir of kdirs) {
+      console.log(`run-k8s: kustomize build ${kdir} | kubescape scan -`)
+      const build = runKustomizeBuild(kustomizePath, kdir)
+      if (build.status !== 0) return build.status
+      const ks = runKubescapeStdin(kubescapePath, build.stdout, exceptionsArgs)
+      if (ks.enoent) {
+        console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+        return 127
+      }
+      if (ks.status !== 0) return ks.status
     }
-    if (r.status !== 0) return r.status ?? 1
   }
   return 0
 }
@@ -190,7 +295,7 @@ export async function runLintK8s() {
   const kc = runKubeconform(dirs)
   if (kc !== 0) return kc
 
-  const ks = runKubescape(dirs, root)
+  const ks = await runKubescape(dirs, root)
   return ks
 }
 

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -85,6 +85,13 @@ deny contains "spec.egress: потрібен to.namespaceSelector: {} (інші
 	not egress_has_cluster_namespace_selector(spec)
 }
 
+deny contains "spec.egress: to.namespaceSelector: {} мусить мати непорожні ports — catch-all заборонено (k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	cluster_egress_rule_without_ports(spec)
+}
+
 is_np_doc if input.kind == "NetworkPolicy"
 
 is_np_doc if startswith(object.get(input, "apiVersion", ""), "networking.k8s.io/")
@@ -156,3 +163,19 @@ egress_has_cluster_namespace_selector(spec) if {
 	is_object(ns)
 	count(ns) == 0
 }
+
+cluster_egress_rule_without_ports(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ns := object.get(peer, "namespaceSelector", null)
+	is_object(ns)
+	count(ns) == 0
+	ports := object.get(rule, "ports", [])
+	count(ports) == 0
+}

package/rules/k8s/policy/network_policy/template/networkpolicy.snippet.yaml

@@ -30,3 +30,22 @@ spec:
           port: 443
     - to:
         - namespaceSelector: {}
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+        - protocol: TCP
+          port: 5432
+        - protocol: TCP
+          port: 3306
+        - protocol: TCP
+          port: 1433
+        - protocol: TCP
+          port: 6379
+        - protocol: TCP
+          port: 8080
+        - protocol: TCP
+          port: 4317
+        - protocol: TCP
+          port: 4318