@nitra/cursor 1.13.48 → 1.13.50

package/CHANGELOG.md

@@ -4,6 +4,18 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.50] - 2026-05-19
+
+### Changed
+
+- `lint-k8s`: kubescape тепер збирає kustomize-маніфест через **вшиту в kubectl підкоманду** — `kubectl kustomize <dir> | kubescape scan -` (замість окремого бінарника `kustomize build <dir>`, доданого в 1.13.49). Причина: на машинах без окремого `kustomize` lint-k8s падав з `kustomize не знайдено в PATH`, тоді як `kubectl` — штатний інструмент з вшитим Kustomize (рендеринг локальний, доступ до кластера не потрібен). PATH-залежність зведена з пари `kubectl+kustomize` до одного `kubectl`; крок `Install kustomize` у GHA-шаблоні `lint-k8s.yml` прибрано (на github-hosted runner'ах kubectl уже доступний). Bump `k8s.mdc` `1.37` → `1.38`.
+
+## [1.13.49] - 2026-05-19
+
+### Changed
+
+- `lint-k8s`: kubescape тепер сканує **зібраний kustomize-маніфест** через stdin (`kustomize build <dir> | kubescape scan -`) для кожного dir-у з `kustomization.yaml` під `…/k8s` (Kustomize Components — `kind: Component` — пропускаються, вони не білдяться окремо). Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling `components/networkpolicy.yaml` без `metadata.namespace`: сирий dir-скан не виконував kustomize, бачив порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, через що `podSelector` не матчився. Якщо `kustomization.yaml` під коренем `…/k8s` немає — fallback на старий dir-скан. Нова PATH-залежність — `kustomize` (додано крок у GHA-шаблоні `lint-k8s.yml`). Bump `k8s.mdc` `1.36` → `1.37`.
+
 ## [1.13.48] - 2026-05-19
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.48",
+  "version": "1.13.50",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/docker/policy/lint_docker_yml/lint_docker_yml.rego

@@ -40,8 +40,10 @@ all_run_text := concat("\n", [run_text |
 	run_text := step_run_to_text(step)
 ])
 
+# conftest парсить YAML 1.1, тож канонічний `on:` без лапок стає булевим ключем
+# `true` (як у `ga.lint_ga`). Тому читаємо через `input["true"]`.
 push_paths_set := {p |
-	some p in object.get(object.get(object.get(input, "on", {}), "push", {}), "paths", [])
+	some p in object.get(object.get(object.get(input, "true", {}), "push", {}), "paths", [])
 }
 
 # ── deny: on.push.paths subset-of ──────────────────────────────────────

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.36'
+version: '1.38'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -29,11 +29,11 @@ alwaysApply: false
 
 Окремо від modeline `$schema` у редакторі варто ганяти CLI-лінтери (**kubeconform** і **kubescape**) по тих самих дерев’ях **`…/k8s`**.
 
-**Залежності:** виконувані файли kubeconform і kubescape у **PATH**; не додавай їх у **devDependencies**.
+**Залежності:** виконувані файли kubeconform, kubescape і kubectl у **PATH** (kustomize використовуємо як вшиту підкоманду **`kubectl kustomize`** — окремий бінарник `kustomize` не потрібен); не додавай їх у **devDependencies**.
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape:** типово **`kubescape scan <каталог-k8s>`**; поріг серйозності підлаштуй під проєкт (наприклад **`--severity-threshold high`**). Перший запуск може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir> | kubescape scan -`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 
@@ -99,6 +99,9 @@ jobs:
           curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
           echo "$HOME/.kubescape/bin" >> $GITHUB_PATH
 
+      # kustomize не встановлюємо окремо — використовуємо вбудовану підкоманду `kubectl kustomize`
+      # (kubectl уже доступний на github-hosted runner'ах: https://github.com/actions/runner-images).
+
       - name: Lint K8s
         run: bun run lint-k8s
 ```

package/rules/k8s/lint/lint.mjs

@@ -14,8 +14,11 @@
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
 import { basename, dirname, join, relative } from 'node:path'
 
+import { parse } from 'yaml'
+
 import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
@@ -24,6 +27,9 @@ import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /** Per-project kubescape exceptions file; підмішується через --exceptions, якщо існує в корені. */
 const KUBESCAPE_EXCEPTIONS_FILE = '.kubescape-exceptions.json'
 
+/** Назва kustomization-файлу (під `k8s` дозволено лише `.yaml`, див. k8s.mdc). */
+const KUSTOMIZATION_FILE = 'kustomization.yaml'
+
 const PATH_SEPARATOR_RE = /[/\\]/u
 const YAML_EXT_RE = /\.yaml$/iu
 
@@ -134,37 +140,138 @@ export function buildKubescapeExceptionsArgs(root) {
 }
 
 /**
- * Запускає kubescape scan для кожного каталогу окремо (узгоджено з прикладами CLI).
- * Немає прапорця версії Kubernetes — за потреби додай `scan framework <ім’я>` під CIS/інші набори.
+ * Знаходить каталоги-«точки входу» Kustomize під `dir` — ті, що містять `kustomization.yaml`,
+ * чий перший YAML-документ має `kind: Kustomization` (або без `kind` — типово Kustomization).
+ * Kustomize Components (`kind: Component`) пропускаються: вони не білдяться окремо,
+ * а підключаються через `components:` із overlay (див. k8s.mdc, секція «Kustomize: структура каталогів»).
  *
- * Якщо в корені проєкту є `.kubescape-exceptions.json` — підмішується через `--exceptions <file>`.
- * Файл потрібен для точкових винятків control'ів kubescape (напр. C-0012 на ConfigMap, що містить
- * публічний JWT-конфіг типу `HASURA_GRAPHQL_JWT_SECRET={"jwk_url": "https://…"}` — control тригериться
- * на ім'я env, а не на значення; див. приклад у `k8s.mdc`).
+ * Семантика збігається з реальною поведінкою `kustomize build <dir>`: воно зчитує саме
+ * `kustomization.yaml`, тож пошук іде за назвою файлу (без `.yml`-варіанту — заборонено каноном).
+ * @param {string} dir абсолютний шлях до `…/k8s`
+ * @returns {Promise<string[]>} відсортовані абсолютні шляхи до dir-ів з білдабельним `kustomization.yaml`
+ */
+export async function findKustomizationDirs(dir) {
+  /** @type {string[]} */
+  const candidates = []
+  await walkDir(dir, p => {
+    if (basename(p) === KUSTOMIZATION_FILE) candidates.push(p)
+  })
+  /** @type {Set<string>} */
+  const result = new Set()
+  for (const p of candidates) {
+    let text
+    try {
+      text = await readFile(p, 'utf8')
+    } catch {
+      continue
+    }
+    let doc
+    try {
+      doc = parse(text)
+    } catch {
+      continue
+    }
+    if (doc && typeof doc === 'object' && doc.kind === 'Component') continue
+    result.add(dirname(p))
+  }
+  return [...result].toSorted((a, b) => a.localeCompare(b))
+}
+
+/**
+ * Запускає `kubectl kustomize <dir>` і повертає stdout як буфер. stderr інхеритимо в термінал,
+ * щоб помилки збірки (биті посилання, недозволені плагіни) було видно одразу. Використовуємо
+ * вшитий у kubectl kustomize замість окремого бінарника — kubectl є штатним інструментом і не
+ * потребує доступу до кластера для підкоманди `kustomize` (рендеринг локальний).
+ * @param {string} kubectlPath абсолютний шлях до бінарника kubectl
+ * @param {string} dir абсолютний шлях до каталогу з `kustomization.yaml`
+ * @returns {{ status: number, stdout: Buffer }} статус процесу і зібраний маніфест
+ */
+function runKustomizeBuild(kubectlPath, dir) {
+  const r = spawnSync(kubectlPath, ['kustomize', dir], {
+    stdio: ['ignore', 'pipe', 'inherit'],
+    shell: false
+  })
+  return { status: r.status ?? 1, stdout: r.stdout ?? Buffer.alloc(0) }
+}
+
+/**
+ * Запускає `kubescape scan -` зі stdin (буфер `manifest`). stdout/stderr інхерит у термінал.
+ * @param {string} kubescapePath абсолютний шлях до бінарника kubescape
+ * @param {Buffer} manifest зібраний kustomize-маніфест
+ * @param {string[]} exceptionsArgs `['--exceptions', '<file>']` або `[]`
+ * @returns {{ status: number, enoent: boolean }} статус процесу і прапор ENOENT
+ */
+function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
+  const r = spawnSync(kubescapePath, ['scan', '-', '--severity-threshold', 'high', ...exceptionsArgs], {
+    input: manifest,
+    stdio: ['pipe', 'inherit', 'inherit'],
+    shell: false
+  })
+  const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
+  return { status: r.status ?? 1, enoent }
+}
+
+/**
+ * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
+ * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і піпимо
+ * stdout у `kubescape scan -`. Це усуває false-positive C-0260 (`Missing network policy`) у випадках,
+ * коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс інжектить
+ * overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить порожній
+ * `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
+ *
+ * Якщо в `…/k8s`-корені немає жодного білдабельного kustomization.yaml (проєкт без Kustomize) —
+ * fallback на старий dir-скан, щоб не блокувати чистий YAML-only набір маніфестів.
+ *
+ * Якщо в корені репо є `.kubescape-exceptions.json` — підмішується через `--exceptions <file>`
+ * (точкові винятки control'ів, напр. C-0012 на ConfigMap з публічним JWT-конфігом; див. k8s.mdc).
  * @param {string[]} dirs абсолютні шляхи до `…/k8s`
  * @param {string} root корінь репозиторію (для пошуку exceptions-файлу)
- * @returns {number} 0 при успіху, інакше код останнього невдалого scan або 127, якщо kubescape відсутній у PATH
+ * @returns {Promise<number>} 0 при успіху, інакше код невдалого процесу або 127, якщо kubescape/kubectl відсутні
  */
-function runKubescape(dirs, root) {
+async function runKubescape(dirs, root) {
   const exceptionsArgs = buildKubescapeExceptionsArgs(root)
   if (exceptionsArgs.length > 0) {
     console.log(`run-k8s: kubescape exceptions — ${KUBESCAPE_EXCEPTIONS_FILE}`)
   }
+  const kubescapePath = resolveCmd('kubescape')
+  if (!kubescapePath) {
+    console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+    return 127
+  }
+  let kubectlPath = null
   for (const d of dirs) {
-    const kubescapePath = resolveCmd('kubescape')
-    if (!kubescapePath) {
-      console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
-      return 127
+    const kdirs = await findKustomizationDirs(d)
+    if (kdirs.length === 0) {
+      console.log(`run-k8s: kubescape scan ${d} (без kustomization — сирий dir-скан)`)
+      const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high', ...exceptionsArgs], {
+        stdio: 'inherit',
+        shell: false
+      })
+      if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
+        console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+        return 127
+      }
+      if (r.status !== 0) return r.status ?? 1
+      continue
+    }
+    if (kubectlPath === null) {
+      kubectlPath = resolveCmd('kubectl')
+      if (!kubectlPath) {
+        console.error('kubectl не знайдено в PATH. Встанови з https://kubernetes.io/docs/tasks/tools/#kubectl')
+        return 127
+      }
     }
-    const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high', ...exceptionsArgs], {
-      stdio: 'inherit',
-      shell: false
-    })
-    if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
-      console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
-      return 127
+    for (const kdir of kdirs) {
+      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan -`)
+      const build = runKustomizeBuild(kubectlPath, kdir)
+      if (build.status !== 0) return build.status
+      const ks = runKubescapeStdin(kubescapePath, build.stdout, exceptionsArgs)
+      if (ks.enoent) {
+        console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+        return 127
+      }
+      if (ks.status !== 0) return ks.status
     }
-    if (r.status !== 0) return r.status ?? 1
   }
   return 0
 }
@@ -190,7 +297,7 @@ export async function runLintK8s() {
   const kc = runKubeconform(dirs)
   if (kc !== 0) return kc
 
-  const ks = runKubescape(dirs, root)
+  const ks = await runKubescape(dirs, root)
   return ks
 }
 

package/rules/text/policy/lint_text/lint_text.rego

@@ -19,6 +19,10 @@ expected_runs_on := data.template.snippet.jobs.text["runs-on"]
 
 expected_perms := data.template.snippet.jobs.text.permissions
 
+# conftest парсить YAML 1.1, де канонічний `on:` без лапок стає булевим ключем
+# `true` (як у `ga.lint_ga`). Тому читаємо on-блок через `input["true"]`.
+gha_on := input["true"]
+
 job := input.jobs.text
 
 job_uses_set contains job.steps[_].uses
@@ -45,17 +49,17 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not branches_superset_of(input.on.push.branches, expected_push_branches)
+	not branches_superset_of(gha_on.push.branches, expected_push_branches)
 	msg := "lint-text.yml: on.push.branches має містити dev і main (text.mdc)"
 }
 
 deny contains msg if {
-	not branches_superset_of(input.on.pull_request.branches, expected_pr_branches)
+	not branches_superset_of(gha_on.pull_request.branches, expected_pr_branches)
 	msg := "lint-text.yml: on.pull_request.branches має містити dev і main (text.mdc)"
 }
 
 deny contains msg if {
-	not paths_superset_of(input.on.push.paths, expected_push_paths)
+	not paths_superset_of(gha_on.push.paths, expected_push_paths)
 	msg := "lint-text.yml: on.push.paths має містити очікувані glob-и (text.mdc)"
 }