@nitra/cursor 1.13.49 → 1.13.50

package/CHANGELOG.md

@@ -4,6 +4,12 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.50] - 2026-05-19
+
+### Changed
+
+- `lint-k8s`: kubescape тепер збирає kustomize-маніфест через **вшиту в kubectl підкоманду** — `kubectl kustomize <dir> | kubescape scan -` (замість окремого бінарника `kustomize build <dir>`, доданого в 1.13.49). Причина: на машинах без окремого `kustomize` lint-k8s падав з `kustomize не знайдено в PATH`, тоді як `kubectl` — штатний інструмент з вшитим Kustomize (рендеринг локальний, доступ до кластера не потрібен). PATH-залежність зведена з пари `kubectl+kustomize` до одного `kubectl`; крок `Install kustomize` у GHA-шаблоні `lint-k8s.yml` прибрано (на github-hosted runner'ах kubectl уже доступний). Bump `k8s.mdc` `1.37` → `1.38`.
+
 ## [1.13.49] - 2026-05-19
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.49",
+  "version": "1.13.50",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/docker/policy/lint_docker_yml/lint_docker_yml.rego

@@ -40,8 +40,10 @@ all_run_text := concat("\n", [run_text |
 	run_text := step_run_to_text(step)
 ])
 
+# conftest парсить YAML 1.1, тож канонічний `on:` без лапок стає булевим ключем
+# `true` (як у `ga.lint_ga`). Тому читаємо через `input["true"]`.
 push_paths_set := {p |
-	some p in object.get(object.get(object.get(input, "on", {}), "push", {}), "paths", [])
+	some p in object.get(object.get(object.get(input, "true", {}), "push", {}), "paths", [])
 }
 
 # ── deny: on.push.paths subset-of ──────────────────────────────────────

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.37'
+version: '1.38'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -29,11 +29,11 @@ alwaysApply: false
 
 Окремо від modeline `$schema` у редакторі варто ганяти CLI-лінтери (**kubeconform** і **kubescape**) по тих самих дерев’ях **`…/k8s`**.
 
-**Залежності:** виконувані файли kubeconform, kubescape і kustomize у **PATH**; не додавай їх у **devDependencies**.
+**Залежності:** виконувані файли kubeconform, kubescape і kubectl у **PATH** (kustomize використовуємо як вшиту підкоманду **`kubectl kustomize`** — окремий бінарник `kustomize` не потрібен); не додавай їх у **devDependencies**.
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kustomize build <dir> | kubescape scan -`** з порогом **`--severity-threshold high`**. Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir> | kubescape scan -`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 
@@ -99,10 +99,8 @@ jobs:
           curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
           echo "$HOME/.kubescape/bin" >> $GITHUB_PATH
 
-      - name: Install kustomize
-        run: |
-          curl -s "https://raw.githubusercontent.com/kubernetes-sigs/kustomize/master/hack/install_kustomize.sh" | bash
-          sudo mv kustomize /usr/local/bin/
+      # kustomize не встановлюємо окремо — використовуємо вбудовану підкоманду `kubectl kustomize`
+      # (kubectl уже доступний на github-hosted runner'ах: https://github.com/actions/runner-images).
 
       - name: Lint K8s
         run: bun run lint-k8s

package/rules/k8s/lint/lint.mjs

@@ -178,14 +178,16 @@ export async function findKustomizationDirs(dir) {
 }
 
 /**
- * Запускає `kustomize build <dir>` і повертає stdout як буфер. stderr інхеритимо в термінал,
- * щоб помилки збірки (биті посилання, недозволені плагіни) було видно одразу.
- * @param {string} kustomizePath абсолютний шлях до бінарника kustomize
+ * Запускає `kubectl kustomize <dir>` і повертає stdout як буфер. stderr інхеритимо в термінал,
+ * щоб помилки збірки (биті посилання, недозволені плагіни) було видно одразу. Використовуємо
+ * вшитий у kubectl kustomize замість окремого бінарника — kubectl є штатним інструментом і не
+ * потребує доступу до кластера для підкоманди `kustomize` (рендеринг локальний).
+ * @param {string} kubectlPath абсолютний шлях до бінарника kubectl
  * @param {string} dir абсолютний шлях до каталогу з `kustomization.yaml`
  * @returns {{ status: number, stdout: Buffer }} статус процесу і зібраний маніфест
  */
-function runKustomizeBuild(kustomizePath, dir) {
-  const r = spawnSync(kustomizePath, ['build', dir], {
+function runKustomizeBuild(kubectlPath, dir) {
+  const r = spawnSync(kubectlPath, ['kustomize', dir], {
     stdio: ['ignore', 'pipe', 'inherit'],
     shell: false
   })
@@ -211,7 +213,7 @@ function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
 
 /**
  * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
- * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kustomize build <dir>` і піпимо
+ * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і піпимо
  * stdout у `kubescape scan -`. Це усуває false-positive C-0260 (`Missing network policy`) у випадках,
  * коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс інжектить
  * overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить порожній
@@ -224,7 +226,7 @@ function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
  * (точкові винятки control'ів, напр. C-0012 на ConfigMap з публічним JWT-конфігом; див. k8s.mdc).
  * @param {string[]} dirs абсолютні шляхи до `…/k8s`
  * @param {string} root корінь репозиторію (для пошуку exceptions-файлу)
- * @returns {Promise<number>} 0 при успіху, інакше код невдалого процесу або 127, якщо kubescape/kustomize відсутні
+ * @returns {Promise<number>} 0 при успіху, інакше код невдалого процесу або 127, якщо kubescape/kubectl відсутні
  */
 async function runKubescape(dirs, root) {
   const exceptionsArgs = buildKubescapeExceptionsArgs(root)
@@ -236,7 +238,7 @@ async function runKubescape(dirs, root) {
     console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
     return 127
   }
-  let kustomizePath = null
+  let kubectlPath = null
   for (const d of dirs) {
     const kdirs = await findKustomizationDirs(d)
     if (kdirs.length === 0) {
@@ -252,16 +254,16 @@ async function runKubescape(dirs, root) {
       if (r.status !== 0) return r.status ?? 1
       continue
     }
-    if (kustomizePath === null) {
-      kustomizePath = resolveCmd('kustomize')
-      if (!kustomizePath) {
-        console.error('kustomize не знайдено в PATH. Встанови з https://kubectl.docs.kubernetes.io/installation/kustomize/')
+    if (kubectlPath === null) {
+      kubectlPath = resolveCmd('kubectl')
+      if (!kubectlPath) {
+        console.error('kubectl не знайдено в PATH. Встанови з https://kubernetes.io/docs/tasks/tools/#kubectl')
         return 127
       }
     }
     for (const kdir of kdirs) {
-      console.log(`run-k8s: kustomize build ${kdir} | kubescape scan -`)
-      const build = runKustomizeBuild(kustomizePath, kdir)
+      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan -`)
+      const build = runKustomizeBuild(kubectlPath, kdir)
       if (build.status !== 0) return build.status
       const ks = runKubescapeStdin(kubescapePath, build.stdout, exceptionsArgs)
       if (ks.enoent) {

package/rules/text/policy/lint_text/lint_text.rego

@@ -19,6 +19,10 @@ expected_runs_on := data.template.snippet.jobs.text["runs-on"]
 
 expected_perms := data.template.snippet.jobs.text.permissions
 
+# conftest парсить YAML 1.1, де канонічний `on:` без лапок стає булевим ключем
+# `true` (як у `ga.lint_ga`). Тому читаємо on-блок через `input["true"]`.
+gha_on := input["true"]
+
 job := input.jobs.text
 
 job_uses_set contains job.steps[_].uses
@@ -45,17 +49,17 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not branches_superset_of(input.on.push.branches, expected_push_branches)
+	not branches_superset_of(gha_on.push.branches, expected_push_branches)
 	msg := "lint-text.yml: on.push.branches має містити dev і main (text.mdc)"
 }
 
 deny contains msg if {
-	not branches_superset_of(input.on.pull_request.branches, expected_pr_branches)
+	not branches_superset_of(gha_on.pull_request.branches, expected_pr_branches)
 	msg := "lint-text.yml: on.pull_request.branches має містити dev і main (text.mdc)"
 }
 
 deny contains msg if {
-	not paths_superset_of(input.on.push.paths, expected_push_paths)
+	not paths_superset_of(gha_on.push.paths, expected_push_paths)
 	msg := "lint-text.yml: on.push.paths має містити очікувані glob-и (text.mdc)"
 }