@nitra/cursor 1.13.50 → 1.13.51

package/CHANGELOG.md

@@ -4,6 +4,12 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.51] - 2026-05-19
+
+### Fixed
+
+- `lint-k8s`: `kubescape scan -` (stdin), доданий у 1.13.49 і збережений у 1.13.50, **не працює в kubescape v4.x** — `-` трактується як шлях до файлу й сканер виходить з `no resources found to scan` (fatal), тож `bun run lint` падав на `lint-k8s` навіть на чистих маніфестах. Прапорця `--input`/`--stdin` у CLI також немає. Тепер `runKubescapeManifest` пише зібраний kustomize-маніфест у тимчасовий файл під `os.tmpdir()` (через `fs.mkdtempSync`) і запускає **`kubescape scan <tmp-file>`**; тимчасова директорія прибирається у `finally`. Bump `k8s.mdc` `1.38` → `1.39`.
+
 ## [1.13.50] - 2026-05-19
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.50",
+  "version": "1.13.51",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.38'
+version: '1.39'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -33,7 +33,7 @@ alwaysApply: false
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir> | kubescape scan -`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 

package/rules/k8s/lint/lint.mjs

@@ -13,8 +13,9 @@
  * Kubescape не має аналога цього прапорця; орієнтир цільового кластера — та сама лінія релізу (див. k8s.mdc).
  */
 import { spawnSync } from 'node:child_process'
-import { existsSync } from 'node:fs'
+import { existsSync, mkdtempSync, rmSync, writeFileSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
+import { tmpdir } from 'node:os'
 import { basename, dirname, join, relative } from 'node:path'
 
 import { parse } from 'yaml'
@@ -195,29 +196,41 @@ function runKustomizeBuild(kubectlPath, dir) {
 }
 
 /**
- * Запускає `kubescape scan -` зі stdin (буфер `manifest`). stdout/stderr інхерит у термінал.
+ * Запускає `kubescape scan <file>` для зібраного kustomize-маніфесту. stdout/stderr інхерит у термінал.
+ *
+ * Маніфест пишемо в тимчасовий файл, бо `kubescape scan` у v4.x **не читає stdin**: `-` як шлях
+ * не розпізнається (`no resources found to scan`), а прапорця типу `--input`/`--stdin` у CLI немає
+ * (`kubescape scan --help` показує лише шляхи й кластер). Тимчасова директорія створюється
+ * через `mkdtempSync` під `os.tmpdir()` і прибирається в `finally`.
  * @param {string} kubescapePath абсолютний шлях до бінарника kubescape
  * @param {Buffer} manifest зібраний kustomize-маніфест
  * @param {string[]} exceptionsArgs `['--exceptions', '<file>']` або `[]`
  * @returns {{ status: number, enoent: boolean }} статус процесу і прапор ENOENT
  */
-function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
-  const r = spawnSync(kubescapePath, ['scan', '-', '--severity-threshold', 'high', ...exceptionsArgs], {
-    input: manifest,
-    stdio: ['pipe', 'inherit', 'inherit'],
-    shell: false
-  })
-  const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
-  return { status: r.status ?? 1, enoent }
+function runKubescapeManifest(kubescapePath, manifest, exceptionsArgs) {
+  const dir = mkdtempSync(join(tmpdir(), 'nitra-cursor-k8s-'))
+  const file = join(dir, 'manifest.yaml')
+  try {
+    writeFileSync(file, manifest)
+    const r = spawnSync(kubescapePath, ['scan', file, '--severity-threshold', 'high', ...exceptionsArgs], {
+      stdio: 'inherit',
+      shell: false
+    })
+    const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
+    return { status: r.status ?? 1, enoent }
+  } finally {
+    rmSync(dir, { recursive: true, force: true })
+  }
 }
 
 /**
  * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
- * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і піпимо
- * stdout у `kubescape scan -`. Це усуває false-positive C-0260 (`Missing network policy`) у випадках,
- * коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс інжектить
- * overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить порожній
- * `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
+ * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і
+ * передаємо stdout у `kubescape scan <tmp-file>` через тимчасовий файл (kubescape v4.x не читає
+ * stdin — див. `runKubescapeManifest`). Це усуває false-positive C-0260 (`Missing network policy`)
+ * у випадках, коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс
+ * інжектить overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить
+ * порожній `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
  *
  * Якщо в `…/k8s`-корені немає жодного білдабельного kustomization.yaml (проєкт без Kustomize) —
  * fallback на старий dir-скан, щоб не блокувати чистий YAML-only набір маніфестів.
@@ -262,10 +275,10 @@ async function runKubescape(dirs, root) {
       }
     }
     for (const kdir of kdirs) {
-      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan -`)
+      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan <tmp>`)
       const build = runKustomizeBuild(kubectlPath, kdir)
       if (build.status !== 0) return build.status
-      const ks = runKubescapeStdin(kubescapePath, build.stdout, exceptionsArgs)
+      const ks = runKubescapeManifest(kubescapePath, build.stdout, exceptionsArgs)
       if (ks.enoent) {
         console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
         return 127