@nitra/cursor 1.13.49 → 1.13.51

package/CHANGELOG.md

@@ -4,6 +4,18 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.51] - 2026-05-19
+
+### Fixed
+
+- `lint-k8s`: `kubescape scan -` (stdin), доданий у 1.13.49 і збережений у 1.13.50, **не працює в kubescape v4.x** — `-` трактується як шлях до файлу й сканер виходить з `no resources found to scan` (fatal), тож `bun run lint` падав на `lint-k8s` навіть на чистих маніфестах. Прапорця `--input`/`--stdin` у CLI також немає. Тепер `runKubescapeManifest` пише зібраний kustomize-маніфест у тимчасовий файл під `os.tmpdir()` (через `fs.mkdtempSync`) і запускає **`kubescape scan <tmp-file>`**; тимчасова директорія прибирається у `finally`. Bump `k8s.mdc` `1.38` → `1.39`.
+
+## [1.13.50] - 2026-05-19
+
+### Changed
+
+- `lint-k8s`: kubescape тепер збирає kustomize-маніфест через **вшиту в kubectl підкоманду** — `kubectl kustomize <dir> | kubescape scan -` (замість окремого бінарника `kustomize build <dir>`, доданого в 1.13.49). Причина: на машинах без окремого `kustomize` lint-k8s падав з `kustomize не знайдено в PATH`, тоді як `kubectl` — штатний інструмент з вшитим Kustomize (рендеринг локальний, доступ до кластера не потрібен). PATH-залежність зведена з пари `kubectl+kustomize` до одного `kubectl`; крок `Install kustomize` у GHA-шаблоні `lint-k8s.yml` прибрано (на github-hosted runner'ах kubectl уже доступний). Bump `k8s.mdc` `1.37` → `1.38`.
+
 ## [1.13.49] - 2026-05-19
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.49",
+  "version": "1.13.51",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/docker/policy/lint_docker_yml/lint_docker_yml.rego

@@ -40,8 +40,10 @@ all_run_text := concat("\n", [run_text |
 	run_text := step_run_to_text(step)
 ])
 
+# conftest парсить YAML 1.1, тож канонічний `on:` без лапок стає булевим ключем
+# `true` (як у `ga.lint_ga`). Тому читаємо через `input["true"]`.
 push_paths_set := {p |
-	some p in object.get(object.get(object.get(input, "on", {}), "push", {}), "paths", [])
+	some p in object.get(object.get(object.get(input, "true", {}), "push", {}), "paths", [])
 }
 
 # ── deny: on.push.paths subset-of ──────────────────────────────────────

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.37'
+version: '1.39'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -29,11 +29,11 @@ alwaysApply: false
 
 Окремо від modeline `$schema` у редакторі варто ганяти CLI-лінтери (**kubeconform** і **kubescape**) по тих самих дерев’ях **`…/k8s`**.
 
-**Залежності:** виконувані файли kubeconform, kubescape і kustomize у **PATH**; не додавай їх у **devDependencies**.
+**Залежності:** виконувані файли kubeconform, kubescape і kubectl у **PATH** (kustomize використовуємо як вшиту підкоманду **`kubectl kustomize`** — окремий бінарник `kustomize` не потрібен); не додавай їх у **devDependencies**.
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kustomize build <dir> | kubescape scan -`** з порогом **`--severity-threshold high`**. Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 
@@ -99,10 +99,8 @@ jobs:
           curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
           echo "$HOME/.kubescape/bin" >> $GITHUB_PATH
 
-      - name: Install kustomize
-        run: |
-          curl -s "https://raw.githubusercontent.com/kubernetes-sigs/kustomize/master/hack/install_kustomize.sh" | bash
-          sudo mv kustomize /usr/local/bin/
+      # kustomize не встановлюємо окремо — використовуємо вбудовану підкоманду `kubectl kustomize`
+      # (kubectl уже доступний на github-hosted runner'ах: https://github.com/actions/runner-images).
 
       - name: Lint K8s
         run: bun run lint-k8s

package/rules/k8s/lint/lint.mjs

@@ -13,8 +13,9 @@
  * Kubescape не має аналога цього прапорця; орієнтир цільового кластера — та сама лінія релізу (див. k8s.mdc).
  */
 import { spawnSync } from 'node:child_process'
-import { existsSync } from 'node:fs'
+import { existsSync, mkdtempSync, rmSync, writeFileSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
+import { tmpdir } from 'node:os'
 import { basename, dirname, join, relative } from 'node:path'
 
 import { parse } from 'yaml'
@@ -178,14 +179,16 @@ export async function findKustomizationDirs(dir) {
 }
 
 /**
- * Запускає `kustomize build <dir>` і повертає stdout як буфер. stderr інхеритимо в термінал,
- * щоб помилки збірки (биті посилання, недозволені плагіни) було видно одразу.
- * @param {string} kustomizePath абсолютний шлях до бінарника kustomize
+ * Запускає `kubectl kustomize <dir>` і повертає stdout як буфер. stderr інхеритимо в термінал,
+ * щоб помилки збірки (биті посилання, недозволені плагіни) було видно одразу. Використовуємо
+ * вшитий у kubectl kustomize замість окремого бінарника — kubectl є штатним інструментом і не
+ * потребує доступу до кластера для підкоманди `kustomize` (рендеринг локальний).
+ * @param {string} kubectlPath абсолютний шлях до бінарника kubectl
  * @param {string} dir абсолютний шлях до каталогу з `kustomization.yaml`
  * @returns {{ status: number, stdout: Buffer }} статус процесу і зібраний маніфест
  */
-function runKustomizeBuild(kustomizePath, dir) {
-  const r = spawnSync(kustomizePath, ['build', dir], {
+function runKustomizeBuild(kubectlPath, dir) {
+  const r = spawnSync(kubectlPath, ['kustomize', dir], {
     stdio: ['ignore', 'pipe', 'inherit'],
     shell: false
   })
@@ -193,29 +196,41 @@ function runKustomizeBuild(kustomizePath, dir) {
 }
 
 /**
- * Запускає `kubescape scan -` зі stdin (буфер `manifest`). stdout/stderr інхерит у термінал.
+ * Запускає `kubescape scan <file>` для зібраного kustomize-маніфесту. stdout/stderr інхерит у термінал.
+ *
+ * Маніфест пишемо в тимчасовий файл, бо `kubescape scan` у v4.x **не читає stdin**: `-` як шлях
+ * не розпізнається (`no resources found to scan`), а прапорця типу `--input`/`--stdin` у CLI немає
+ * (`kubescape scan --help` показує лише шляхи й кластер). Тимчасова директорія створюється
+ * через `mkdtempSync` під `os.tmpdir()` і прибирається в `finally`.
  * @param {string} kubescapePath абсолютний шлях до бінарника kubescape
  * @param {Buffer} manifest зібраний kustomize-маніфест
  * @param {string[]} exceptionsArgs `['--exceptions', '<file>']` або `[]`
  * @returns {{ status: number, enoent: boolean }} статус процесу і прапор ENOENT
  */
-function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
-  const r = spawnSync(kubescapePath, ['scan', '-', '--severity-threshold', 'high', ...exceptionsArgs], {
-    input: manifest,
-    stdio: ['pipe', 'inherit', 'inherit'],
-    shell: false
-  })
-  const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
-  return { status: r.status ?? 1, enoent }
+function runKubescapeManifest(kubescapePath, manifest, exceptionsArgs) {
+  const dir = mkdtempSync(join(tmpdir(), 'nitra-cursor-k8s-'))
+  const file = join(dir, 'manifest.yaml')
+  try {
+    writeFileSync(file, manifest)
+    const r = spawnSync(kubescapePath, ['scan', file, '--severity-threshold', 'high', ...exceptionsArgs], {
+      stdio: 'inherit',
+      shell: false
+    })
+    const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
+    return { status: r.status ?? 1, enoent }
+  } finally {
+    rmSync(dir, { recursive: true, force: true })
+  }
 }
 
 /**
  * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
- * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kustomize build <dir>` і піпимо
- * stdout у `kubescape scan -`. Це усуває false-positive C-0260 (`Missing network policy`) у випадках,
- * коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс інжектить
- * overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить порожній
- * `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
+ * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і
+ * передаємо stdout у `kubescape scan <tmp-file>` через тимчасовий файл (kubescape v4.x не читає
+ * stdin — див. `runKubescapeManifest`). Це усуває false-positive C-0260 (`Missing network policy`)
+ * у випадках, коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс
+ * інжектить overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить
+ * порожній `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
  *
  * Якщо в `…/k8s`-корені немає жодного білдабельного kustomization.yaml (проєкт без Kustomize) —
  * fallback на старий dir-скан, щоб не блокувати чистий YAML-only набір маніфестів.
@@ -224,7 +239,7 @@ function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
  * (точкові винятки control'ів, напр. C-0012 на ConfigMap з публічним JWT-конфігом; див. k8s.mdc).
  * @param {string[]} dirs абсолютні шляхи до `…/k8s`
  * @param {string} root корінь репозиторію (для пошуку exceptions-файлу)
- * @returns {Promise<number>} 0 при успіху, інакше код невдалого процесу або 127, якщо kubescape/kustomize відсутні
+ * @returns {Promise<number>} 0 при успіху, інакше код невдалого процесу або 127, якщо kubescape/kubectl відсутні
  */
 async function runKubescape(dirs, root) {
   const exceptionsArgs = buildKubescapeExceptionsArgs(root)
@@ -236,7 +251,7 @@ async function runKubescape(dirs, root) {
     console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
     return 127
   }
-  let kustomizePath = null
+  let kubectlPath = null
   for (const d of dirs) {
     const kdirs = await findKustomizationDirs(d)
     if (kdirs.length === 0) {
@@ -252,18 +267,18 @@ async function runKubescape(dirs, root) {
       if (r.status !== 0) return r.status ?? 1
       continue
     }
-    if (kustomizePath === null) {
-      kustomizePath = resolveCmd('kustomize')
-      if (!kustomizePath) {
-        console.error('kustomize не знайдено в PATH. Встанови з https://kubectl.docs.kubernetes.io/installation/kustomize/')
+    if (kubectlPath === null) {
+      kubectlPath = resolveCmd('kubectl')
+      if (!kubectlPath) {
+        console.error('kubectl не знайдено в PATH. Встанови з https://kubernetes.io/docs/tasks/tools/#kubectl')
         return 127
       }
     }
     for (const kdir of kdirs) {
-      console.log(`run-k8s: kustomize build ${kdir} | kubescape scan -`)
-      const build = runKustomizeBuild(kustomizePath, kdir)
+      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan <tmp>`)
+      const build = runKustomizeBuild(kubectlPath, kdir)
       if (build.status !== 0) return build.status
-      const ks = runKubescapeStdin(kubescapePath, build.stdout, exceptionsArgs)
+      const ks = runKubescapeManifest(kubescapePath, build.stdout, exceptionsArgs)
       if (ks.enoent) {
         console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
         return 127

package/rules/text/policy/lint_text/lint_text.rego

@@ -19,6 +19,10 @@ expected_runs_on := data.template.snippet.jobs.text["runs-on"]
 
 expected_perms := data.template.snippet.jobs.text.permissions
 
+# conftest парсить YAML 1.1, де канонічний `on:` без лапок стає булевим ключем
+# `true` (як у `ga.lint_ga`). Тому читаємо on-блок через `input["true"]`.
+gha_on := input["true"]
+
 job := input.jobs.text
 
 job_uses_set contains job.steps[_].uses
@@ -45,17 +49,17 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not branches_superset_of(input.on.push.branches, expected_push_branches)
+	not branches_superset_of(gha_on.push.branches, expected_push_branches)
 	msg := "lint-text.yml: on.push.branches має містити dev і main (text.mdc)"
 }
 
 deny contains msg if {
-	not branches_superset_of(input.on.pull_request.branches, expected_pr_branches)
+	not branches_superset_of(gha_on.pull_request.branches, expected_pr_branches)
 	msg := "lint-text.yml: on.pull_request.branches має містити dev і main (text.mdc)"
 }
 
 deny contains msg if {
-	not paths_superset_of(input.on.push.paths, expected_push_paths)
+	not paths_superset_of(gha_on.push.paths, expected_push_paths)
 	msg := "lint-text.yml: on.push.paths має містити очікувані glob-и (text.mdc)"
 }