@nitra/cursor 1.13.50 → 1.13.52

package/CHANGELOG.md

@@ -4,6 +4,18 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.52] - 2026-05-19
+
+### Added
+
+- `check bun`: **зворотній інваріант** для `lint-<id>`-скриптів. Раніше `checkCursorRuleScripts` ([npm/rules/bun/fix/layout/check.mjs](rules/bun/fix/layout/check.mjs)) перевіряв лише пряму імплікацію — «правило в `.n-cursor.json:rules` → скрипт у `package.json`». Тепер також fail-имо, коли правило **відсутнє** в `rules` (або явно перенесене в **`disable-rules`**), але в кореневому `package.json` залишилися: (а) сам скрипт `lint-<id>`, або (б) виклик `bun run lint-<id>` у агрегованому `scripts.lint`. Причина: `n-cursor lint-<id>` запускається напряму й **ігнорує** `.n-cursor.json`, тож `bun run lint` падає на вимкненому правилі (як було з `disable-rules: ["k8s"]` у cursor-репо, де `lint-k8s` обходив template-сорці власного правила). Покриті скрипти і їхні правила-власники: `lint-docker` ← `docker`, `lint-k8s` ← `k8s`, `lint-image` ← `image-avif`/`image-compress` (multi-owner — скрипт лишається дозволеним, поки активний **хоч один** власник). Розпізнавання згадки `bun run lint-<id>` у chain'і — через токен-границі (regex `\\bbun run <script>\\b`), щоб не матчити префікси (`lint-k8s-foo` ≠ `lint-k8s`). Bump `bun.mdc` `1.8` → `1.9`.
+
+## [1.13.51] - 2026-05-19
+
+### Fixed
+
+- `lint-k8s`: `kubescape scan -` (stdin), доданий у 1.13.49 і збережений у 1.13.50, **не працює в kubescape v4.x** — `-` трактується як шлях до файлу й сканер виходить з `no resources found to scan` (fatal), тож `bun run lint` падав на `lint-k8s` навіть на чистих маніфестах. Прапорця `--input`/`--stdin` у CLI також немає. Тепер `runKubescapeManifest` пише зібраний kustomize-маніфест у тимчасовий файл під `os.tmpdir()` (через `fs.mkdtempSync`) і запускає **`kubescape scan <tmp-file>`**; тимчасова директорія прибирається у `finally`. Bump `k8s.mdc` `1.38` → `1.39`.
+
 ## [1.13.50] - 2026-05-19
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.50",
+  "version": "1.13.52",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/bun/bun.mdc

@@ -2,7 +2,7 @@
 description: Bun як єдиний package manager у монорепо
 globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"
 alwaysApply: false
-version: '1.8'
+version: '1.9'
 ---
 
 Проект використовує тільки Bun для керування залежностями та запуску скриптів.
@@ -70,4 +70,6 @@ FROM oven/bun:alpine AS build-env
 
 У кінці скрипта `lint` додай `&& oxfmt .`.
 
-Якщо в **`.n-cursor.json`** у масиві **`rules`** є **`docker`**, у кореневому `package.json` **обов'язково** скрипт **`lint-docker`** (див. **`docker.mdc`**) і рядок **`bun run lint-docker`** у **`lint`**. Якщо є **`k8s`** — **обов'язково** **`lint-k8s`** і **`bun run lint-k8s`** у **`lint`** (див. **`k8s.mdc`**). Перевірка — **`npx @nitra/cursor check bun`**.
+Якщо в **`.n-cursor.json`** у масиві **`rules`** є **`docker`**, у кореневому `package.json` **обов'язково** скрипт **`lint-docker`** (див. **`docker.mdc`**) і рядок **`bun run lint-docker`** у **`lint`**. Якщо є **`k8s`** — **обов'язково** **`lint-k8s`** і **`bun run lint-k8s`** у **`lint`** (див. **`k8s.mdc`**).
+
+**Зворотній інваріант:** якщо правила **немає** в `rules` (або воно явно перенесене в **`disable-rules`**), скрипту **`lint-<id>`** у кореневому `package.json` бути **не може**, і ланцюжок агрегованого **`scripts.lint`** не має містити **`bun run lint-<id>`**. Інакше `bun run lint` падатиме на вимкненому правилі — `n-cursor lint-<id>` ігнорує `.n-cursor.json` і обходить дерево незалежно від `rules`/`disable-rules`. Для скриптів із кількома власниками (як **`lint-image`** — обслуговує і **`image-avif`**, і **`image-compress`**) скрипт лишається дозволеним, поки активний **хоч один** власник; зворотній інваріант тригериться лише коли в `rules` немає **жодного** з них. Перевірка — **`npx @nitra/cursor check bun`**.

package/rules/bun/fix/layout/check.mjs

@@ -5,9 +5,11 @@
  *  - наявність `bun.lock`, `bunfig.toml`, `package.json` у корені (FS-existence);
  *  - заборонені lockfile та артефакти yarn/pnpm (`package-lock.json`, `yarn.lock`,
  *    `pnpm-lock.yaml`, `.yarnrc.yml`, директорія `.yarn/`);
- *  - якщо в `.n-cursor.json` у `rules` є `docker` або `k8s`, у кореневому
- *    `package.json` має бути відповідний скрипт `lint-docker` / `lint-k8s`
- *    (cross-file: два JSON-файли).
+ *  - двосторонній зв'язок `.n-cursor.json:rules` ↔ `package.json:scripts` для правил із
+ *    `lint-<id>` (`docker`, `k8s`): rule увімкнено → скрипт мусить існувати; rule
+ *    відсутнє (або в `disable-rules`) → скрипту та згадки `bun run lint-<id>` у
+ *    агрегованому `scripts.lint` бути **не може** (інакше `bun run lint` падатиме
+ *    на правилі, яке у конфізі вимкнено).
  *
  * **Що покрила Rego** (`npx \@nitra/cursor check`):
  *  - `npm/policy/bun/bunfig/` — `[install].linker == "hoisted"` у `bunfig.toml`;
@@ -25,46 +27,116 @@ import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mj
 // видалено, щоб не було двох джерел істини.
 
 /**
- * Зчитує ідентифікатори правил з `.n-cursor.json` (поле `rules`).
- * @returns {Promise<Set<string>>} множина рядків id правил або порожня, якщо файлу/поля немає
+ * Зчитує `rules` та `disable-rules` з `.n-cursor.json`.
+ * @returns {Promise<{ rules: Set<string>, disabled: Set<string> }>} активні правила і явно вимкнені
  */
 async function loadNCursorRules() {
-  if (!existsSync('.n-cursor.json')) {
-    return new Set()
-  }
+  const empty = { rules: new Set(), disabled: new Set() }
+  if (!existsSync('.n-cursor.json')) return empty
   try {
     const raw = JSON.parse(await readFile('.n-cursor.json', 'utf8'))
-    const list = raw?.rules
-    if (!Array.isArray(list)) {
-      return new Set()
-    }
-    return new Set(list.map(String))
+    const list = Array.isArray(raw?.rules) ? raw.rules.map(String) : []
+    const disabled = Array.isArray(raw?.['disable-rules']) ? raw['disable-rules'].map(String) : []
+    return { rules: new Set(list), disabled: new Set(disabled) }
   } catch {
-    return new Set()
+    return empty
   }
 }
 
 /**
- * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер для збору результатів
+ * Чи містить `scripts.lint` виклик `bun run <script>` у chain'і. Шукаємо саме `bun run <script>`
+ * як окремий токен (між пробілами/`&&`), щоб уникнути false-positive на префіксах
+ * (`bun run lint-k8s-foo` не матчиться як `bun run lint-k8s`).
+ * @param {string} lintScript значення `scripts.lint` (порожній рядок — якщо нема)
+ * @param {string} target ім'я скрипта (без префіксів)
+ * @returns {boolean} true, якщо chain згадує `bun run <target>`
+ */
+function lintChainHasScript(lintScript, target) {
+  if (!lintScript) return false
+  const escaped = target.replaceAll(/[.*+?^${}()|[\]\\]/gu, '\\$&')
+  return new RegExp(`(?:^|\\s)bun\\s+run\\s+${escaped}(?:$|\\s)`, 'u').test(lintScript)
+}
+
+/**
+ * Описує `lint-<id>`-обгортку та правила, що нею володіють. Один скрипт може мати кілька
+ * власників (`lint-image` — обслуговує і `image-avif`, і `image-compress`); скрипт вважається
+ * «потрібним», якщо **хоч одне** з власних правил активне у `.n-cursor.json:rules`.
+ * @typedef {object} RuleScript
+ * @property {string[]} rules id правил-власників (>=1); скрипт зобов'язаний існувати, поки активне хоч одне з них
+ * @property {string} script ім'я скрипта в `package.json:scripts`
+ * @property {string} doc `.mdc`-файл (або кома-список), на який посилається повідомлення check-у
+ */
+
+/** @type {RuleScript[]} */
+const RULE_SCRIPTS = [
+  { rules: ['docker'], script: 'lint-docker', doc: 'docker.mdc' },
+  { rules: ['k8s'], script: 'lint-k8s', doc: 'k8s.mdc' },
+  { rules: ['image-avif', 'image-compress'], script: 'lint-image', doc: 'image-avif.mdc / image-compress.mdc' }
+]
+
+/**
+ * Описує стан правил-власників скрипта для повідомлень про reason. Повертає або список увімкнених
+ * правил (для passing-кейсу «правило є»), або компактний опис, чому всі вимкнені (для inverse-fail).
+ * @param {string[]} owners id правил-власників (>=1)
+ * @param {{ rules: Set<string>, disabled: Set<string> }} cursorRules `rules` та `disable-rules`
+ * @returns {{ enabled: string[], reason: string }} `enabled` — список з `cursorRules.rules`; `reason` — текст для лога
+ */
+function ownerStatus(owners, cursorRules) {
+  const enabled = owners.filter(r => cursorRules.rules.has(r))
+  if (enabled.length > 0) {
+    return { enabled, reason: `правил${enabled.length === 1 ? 'о' : 'а'} ${enabled.map(r => `\`${r}\``).join(', ')}` }
+  }
+  if (owners.length === 1) {
+    const [only] = owners
+    const where = cursorRules.disabled.has(only) ? 'в disable-rules' : 'відсутнє в rules'
+    return { enabled, reason: `правило \`${only}\` ${where}` }
+  }
+  const disabledCount = owners.filter(r => cursorRules.disabled.has(r)).length
+  const note = disabledCount === owners.length ? 'усі власники в disable-rules' : 'жоден власник не активний у rules'
+  return { enabled, reason: `${owners.map(r => `\`${r}\``).join('/')} — ${note}` }
+}
+
+/**
+ * Перевіряє двосторонній зв'язок `rules` ↔ `scripts.lint-<id>` для правил із `lint-<id>`-обгорткою
+ * (див. `RULE_SCRIPTS`). Якщо активне хоч одне правило-власник — скрипт мусить існувати; якщо
+ * жодне з власників не активне (відсутнє у `rules` або є в `disable-rules`), скрипту і згадки
+ * `bun run <script>` у `scripts.lint` бути **не може**. Інакше `bun run lint` падатиме на
+ * вимкненому правилі: `n-cursor lint-<id>` ігнорує `.n-cursor.json` і обходить дерево
+ * незалежно від конфігу (як було в cursor-репо: `disable-rules: ["k8s"]` + залишений `lint-k8s`
+ * ламав chain на template-сорцях власного правила).
+ * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter
  * @param {Record<string, string>} scripts scripts з package.json
- * @param {Set<string>} cursorRules активні правила з .n-cursor.json
+ * @param {{ rules: Set<string>, disabled: Set<string> }} cursorRules `rules` та `disable-rules`
  */
 function checkCursorRuleScripts(reporter, scripts, cursorRules) {
   const { pass, fail } = reporter
-  /** @type {Array<{rule: string, script: string, doc: string}>} */
-  const ruleScripts = [
-    { rule: 'docker', script: 'lint-docker', doc: 'docker.mdc' },
-    { rule: 'k8s', script: 'lint-k8s', doc: 'k8s.mdc' }
-  ]
-  for (const { rule, script, doc } of ruleScripts) {
-    if (cursorRules.has(rule)) {
-      if (scripts[script]) {
-        pass(`package.json: є \`${script}\` (правило ${rule} у .n-cursor.json)`)
+  const lintScript = typeof scripts.lint === 'string' ? scripts.lint : ''
+  for (const { rules: owners, script, doc } of RULE_SCRIPTS) {
+    const status = ownerStatus(owners, cursorRules)
+    const present = Boolean(scripts[script])
+    const inChain = lintChainHasScript(lintScript, script)
+    if (status.enabled.length > 0) {
+      if (present) {
+        pass(`package.json: є \`${script}\` (${status.reason} у .n-cursor.json)`)
       } else {
         fail(
-          `У .n-cursor.json є правило \`${rule}\` — додай скрипт \`${script}\` у кореневий package.json (див. ${doc})`
+          `У .n-cursor.json увімкнено ${status.reason} — додай скрипт \`${script}\` у кореневий package.json (див. ${doc})`
         )
       }
+      continue
+    }
+    if (present) {
+      fail(
+        `У .n-cursor.json немає активних власників ${owners.map(r => `\`${r}\``).join('/')} — прибери скрипт \`${script}\` з кореневого package.json (див. ${doc})`
+      )
+    }
+    if (inChain) {
+      fail(
+        `У \`scripts.lint\` є \`bun run ${script}\`, але серед \`${owners.join('/')}\` жоден не активний у .n-cursor.json — прибери з ланцюжка lint (див. ${doc})`
+      )
+    }
+    if (!present && !inChain) {
+      pass(`package.json: \`${script}\` відсутній (${status.reason})`)
     }
   }
 }

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.38'
+version: '1.39'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -33,7 +33,7 @@ alwaysApply: false
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir> | kubescape scan -`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 

package/rules/k8s/lint/lint.mjs

@@ -13,8 +13,9 @@
  * Kubescape не має аналога цього прапорця; орієнтир цільового кластера — та сама лінія релізу (див. k8s.mdc).
  */
 import { spawnSync } from 'node:child_process'
-import { existsSync } from 'node:fs'
+import { existsSync, mkdtempSync, rmSync, writeFileSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
+import { tmpdir } from 'node:os'
 import { basename, dirname, join, relative } from 'node:path'
 
 import { parse } from 'yaml'
@@ -195,29 +196,41 @@ function runKustomizeBuild(kubectlPath, dir) {
 }
 
 /**
- * Запускає `kubescape scan -` зі stdin (буфер `manifest`). stdout/stderr інхерит у термінал.
+ * Запускає `kubescape scan <file>` для зібраного kustomize-маніфесту. stdout/stderr інхерит у термінал.
+ *
+ * Маніфест пишемо в тимчасовий файл, бо `kubescape scan` у v4.x **не читає stdin**: `-` як шлях
+ * не розпізнається (`no resources found to scan`), а прапорця типу `--input`/`--stdin` у CLI немає
+ * (`kubescape scan --help` показує лише шляхи й кластер). Тимчасова директорія створюється
+ * через `mkdtempSync` під `os.tmpdir()` і прибирається в `finally`.
  * @param {string} kubescapePath абсолютний шлях до бінарника kubescape
  * @param {Buffer} manifest зібраний kustomize-маніфест
  * @param {string[]} exceptionsArgs `['--exceptions', '<file>']` або `[]`
  * @returns {{ status: number, enoent: boolean }} статус процесу і прапор ENOENT
  */
-function runKubescapeStdin(kubescapePath, manifest, exceptionsArgs) {
-  const r = spawnSync(kubescapePath, ['scan', '-', '--severity-threshold', 'high', ...exceptionsArgs], {
-    input: manifest,
-    stdio: ['pipe', 'inherit', 'inherit'],
-    shell: false
-  })
-  const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
-  return { status: r.status ?? 1, enoent }
+function runKubescapeManifest(kubescapePath, manifest, exceptionsArgs) {
+  const dir = mkdtempSync(join(tmpdir(), 'nitra-cursor-k8s-'))
+  const file = join(dir, 'manifest.yaml')
+  try {
+    writeFileSync(file, manifest)
+    const r = spawnSync(kubescapePath, ['scan', file, '--severity-threshold', 'high', ...exceptionsArgs], {
+      stdio: 'inherit',
+      shell: false
+    })
+    const enoent = Boolean(r.error && 'code' in r.error && r.error.code === 'ENOENT')
+    return { status: r.status ?? 1, enoent }
+  } finally {
+    rmSync(dir, { recursive: true, force: true })
+  }
 }
 
 /**
  * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
- * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і піпимо
- * stdout у `kubescape scan -`. Це усуває false-positive C-0260 (`Missing network policy`) у випадках,
- * коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс інжектить
- * overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить порожній
- * `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
+ * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і
+ * передаємо stdout у `kubescape scan <tmp-file>` через тимчасовий файл (kubescape v4.x не читає
+ * stdin — див. `runKubescapeManifest`). Це усуває false-positive C-0260 (`Missing network policy`)
+ * у випадках, коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс
+ * інжектить overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить
+ * порожній `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
  *
  * Якщо в `…/k8s`-корені немає жодного білдабельного kustomization.yaml (проєкт без Kustomize) —
  * fallback на старий dir-скан, щоб не блокувати чистий YAML-only набір маніфестів.
@@ -262,10 +275,10 @@ async function runKubescape(dirs, root) {
       }
     }
     for (const kdir of kdirs) {
-      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan -`)
+      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan <tmp>`)
       const build = runKustomizeBuild(kubectlPath, kdir)
       if (build.status !== 0) return build.status
-      const ks = runKubescapeStdin(kubescapePath, build.stdout, exceptionsArgs)
+      const ks = runKubescapeManifest(kubescapePath, build.stdout, exceptionsArgs)
       if (ks.enoent) {
         console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
         return 127