@nitra/cursor 1.13.51 → 1.13.54

package/CHANGELOG.md

@@ -4,6 +4,24 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.54] - 2026-05-19
+
+### Changed
+
+- `check k8s` / `lint-k8s`: правила під `npm/rules/k8s/` спрощено — за каноном `k8s.mdc` тримаємо лише `.yaml`, тож **rego-цілі** і **rego-вирази** очищено від `.yml`. Зачеплено: глоби `walkGlob` у `npm/rules/k8s/policy/{manifest,base_manifest,gateway,hpa_pdb}/target.json` — лише `**/*.yaml`; у [base_kustomization.rego](rules/k8s/policy/base_kustomization/base_kustomization.rego) `is_hpa_or_pdb_filename` більше не містить `hpa.yml` / `pdb.yml`; тест `test_deny_hpa_yml_in_subdir` → `test_deny_hpa_yaml_in_subdir`. **Safety-net** у [check.mjs](rules/k8s/fix/manifests/check.mjs) **збережено**: `findK8sYamlFiles` та `checkK8sYamlFile` все ще пропускають `.yml` далі, але одразу падають з повідомленням `розширення .yml — перейменуй на .yaml (див. k8s.mdc)` — щоб випадково створений `*.yml` під `k8s/` не залишився непоміченим (автоматичне перейменування — окрема ручна команда `npx @nitra/cursor rename-yaml-extensions`, яка з `check k8s` не викликається). Згадки про `.github/workflows/*.yml` у JSDoc лишилися (це чуже правило `ga.mdc`, де канон — `.yml`). Bump `k8s.mdc` `1.40` → `1.41`.
+
+## [1.13.53] - 2026-05-19
+
+### Changed
+
+- `check k8s`: **NetworkPolicy переїхав з `components/` у `base/`**. Раніше канон вимагав `…/k8s/<pkg>/components/networkpolicy.yaml` (Kustomize Component, sibling до `base/`), а локальний `networkpolicy.yaml` у base був забороненим (file-existence error) — через що **dev-середовище** (рендер лише з base без overlay → без components) **не отримувало жодних мережевих обмежень** і pod'и були відкриті для будь-якого трафіку. Тепер NP лежить у `base/networkpolicy.yaml` поруч з workload-маніфестом і підключений через `base/kustomization.yaml` `resources:` — обмеження діють і на dev, і на всіх overlays через звичайний `resources: [- ../base]`. Канон `components/`: лише `hpa.yaml` + `pdb.yaml` (HPA/PDB лишаються env-залежними й підключаються тільки прод-overlays). У не-base overlays `networkpolicy.yaml` поруч з workload — опційний overlay-specific override. Зачеплено: [npm/rules/k8s/k8s.mdc](rules/k8s/k8s.mdc) (нова секція «NetworkPolicy у `base/`», оновлені приклади `components/kustomization.yaml` без NP і новий приклад `base/networkpolicy.yaml`), [npm/rules/k8s/fix/manifests/check.mjs](rules/k8s/fix/manifests/check.mjs) (видалено `failIfBaseLayerHasLocalNetworkPolicy` і `validateComponentsNetworkPolicyFile`; `validateNetworkPoliciesForK8sWorkloads` і `ensureNetworkPoliciesForWorkloadsInDir` тепер завжди шукають `networkpolicy.yaml` у `dir`, autofix додає його у `base/kustomization.yaml` `resources:`; `validateComponentsKustomizationManifest` більше не вимагає NP у resources), [npm/rules/k8s/policy/base_kustomization/base_kustomization.rego](rules/k8s/policy/base_kustomization/base_kustomization.rego) (deny прибирає `networkpolicy.yaml` зі списку заборонених у base resources — лишаються тільки HPA/PDB), [npm/rules/k8s/lint/lint.mjs](rules/k8s/lint/lint.mjs) (оновлено JSDoc про C-0260: NP тепер у base і kustomize-збірка нормалізує namespace природньо). Bump `k8s.mdc` `1.39` → `1.40`.
+
+## [1.13.52] - 2026-05-19
+
+### Added
+
+- `check bun`: **зворотній інваріант** для `lint-<id>`-скриптів. Раніше `checkCursorRuleScripts` ([npm/rules/bun/fix/layout/check.mjs](rules/bun/fix/layout/check.mjs)) перевіряв лише пряму імплікацію — «правило в `.n-cursor.json:rules` → скрипт у `package.json`». Тепер також fail-имо, коли правило **відсутнє** в `rules` (або явно перенесене в **`disable-rules`**), але в кореневому `package.json` залишилися: (а) сам скрипт `lint-<id>`, або (б) виклик `bun run lint-<id>` у агрегованому `scripts.lint`. Причина: `n-cursor lint-<id>` запускається напряму й **ігнорує** `.n-cursor.json`, тож `bun run lint` падає на вимкненому правилі (як було з `disable-rules: ["k8s"]` у cursor-репо, де `lint-k8s` обходив template-сорці власного правила). Покриті скрипти і їхні правила-власники: `lint-docker` ← `docker`, `lint-k8s` ← `k8s`, `lint-image` ← `image-avif`/`image-compress` (multi-owner — скрипт лишається дозволеним, поки активний **хоч один** власник). Розпізнавання згадки `bun run lint-<id>` у chain'і — через токен-границі (regex `\\bbun run <script>\\b`), щоб не матчити префікси (`lint-k8s-foo` ≠ `lint-k8s`). Bump `bun.mdc` `1.8` → `1.9`.
+
 ## [1.13.51] - 2026-05-19
 
 ### Fixed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.51",
+  "version": "1.13.54",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/bun/bun.mdc

@@ -2,7 +2,7 @@
 description: Bun як єдиний package manager у монорепо
 globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"
 alwaysApply: false
-version: '1.8'
+version: '1.9'
 ---
 
 Проект використовує тільки Bun для керування залежностями та запуску скриптів.
@@ -70,4 +70,6 @@ FROM oven/bun:alpine AS build-env
 
 У кінці скрипта `lint` додай `&& oxfmt .`.
 
-Якщо в **`.n-cursor.json`** у масиві **`rules`** є **`docker`**, у кореневому `package.json` **обов'язково** скрипт **`lint-docker`** (див. **`docker.mdc`**) і рядок **`bun run lint-docker`** у **`lint`**. Якщо є **`k8s`** — **обов'язково** **`lint-k8s`** і **`bun run lint-k8s`** у **`lint`** (див. **`k8s.mdc`**). Перевірка — **`npx @nitra/cursor check bun`**.
+Якщо в **`.n-cursor.json`** у масиві **`rules`** є **`docker`**, у кореневому `package.json` **обов'язково** скрипт **`lint-docker`** (див. **`docker.mdc`**) і рядок **`bun run lint-docker`** у **`lint`**. Якщо є **`k8s`** — **обов'язково** **`lint-k8s`** і **`bun run lint-k8s`** у **`lint`** (див. **`k8s.mdc`**).
+
+**Зворотній інваріант:** якщо правила **немає** в `rules` (або воно явно перенесене в **`disable-rules`**), скрипту **`lint-<id>`** у кореневому `package.json` бути **не може**, і ланцюжок агрегованого **`scripts.lint`** не має містити **`bun run lint-<id>`**. Інакше `bun run lint` падатиме на вимкненому правилі — `n-cursor lint-<id>` ігнорує `.n-cursor.json` і обходить дерево незалежно від `rules`/`disable-rules`. Для скриптів із кількома власниками (як **`lint-image`** — обслуговує і **`image-avif`**, і **`image-compress`**) скрипт лишається дозволеним, поки активний **хоч один** власник; зворотній інваріант тригериться лише коли в `rules` немає **жодного** з них. Перевірка — **`npx @nitra/cursor check bun`**.

package/rules/bun/fix/layout/check.mjs

@@ -5,9 +5,11 @@
  *  - наявність `bun.lock`, `bunfig.toml`, `package.json` у корені (FS-existence);
  *  - заборонені lockfile та артефакти yarn/pnpm (`package-lock.json`, `yarn.lock`,
  *    `pnpm-lock.yaml`, `.yarnrc.yml`, директорія `.yarn/`);
- *  - якщо в `.n-cursor.json` у `rules` є `docker` або `k8s`, у кореневому
- *    `package.json` має бути відповідний скрипт `lint-docker` / `lint-k8s`
- *    (cross-file: два JSON-файли).
+ *  - двосторонній зв'язок `.n-cursor.json:rules` ↔ `package.json:scripts` для правил із
+ *    `lint-<id>` (`docker`, `k8s`): rule увімкнено → скрипт мусить існувати; rule
+ *    відсутнє (або в `disable-rules`) → скрипту та згадки `bun run lint-<id>` у
+ *    агрегованому `scripts.lint` бути **не може** (інакше `bun run lint` падатиме
+ *    на правилі, яке у конфізі вимкнено).
  *
  * **Що покрила Rego** (`npx \@nitra/cursor check`):
  *  - `npm/policy/bun/bunfig/` — `[install].linker == "hoisted"` у `bunfig.toml`;
@@ -25,46 +27,116 @@ import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mj
 // видалено, щоб не було двох джерел істини.
 
 /**
- * Зчитує ідентифікатори правил з `.n-cursor.json` (поле `rules`).
- * @returns {Promise<Set<string>>} множина рядків id правил або порожня, якщо файлу/поля немає
+ * Зчитує `rules` та `disable-rules` з `.n-cursor.json`.
+ * @returns {Promise<{ rules: Set<string>, disabled: Set<string> }>} активні правила і явно вимкнені
  */
 async function loadNCursorRules() {
-  if (!existsSync('.n-cursor.json')) {
-    return new Set()
-  }
+  const empty = { rules: new Set(), disabled: new Set() }
+  if (!existsSync('.n-cursor.json')) return empty
   try {
     const raw = JSON.parse(await readFile('.n-cursor.json', 'utf8'))
-    const list = raw?.rules
-    if (!Array.isArray(list)) {
-      return new Set()
-    }
-    return new Set(list.map(String))
+    const list = Array.isArray(raw?.rules) ? raw.rules.map(String) : []
+    const disabled = Array.isArray(raw?.['disable-rules']) ? raw['disable-rules'].map(String) : []
+    return { rules: new Set(list), disabled: new Set(disabled) }
   } catch {
-    return new Set()
+    return empty
   }
 }
 
 /**
- * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер для збору результатів
+ * Чи містить `scripts.lint` виклик `bun run <script>` у chain'і. Шукаємо саме `bun run <script>`
+ * як окремий токен (між пробілами/`&&`), щоб уникнути false-positive на префіксах
+ * (`bun run lint-k8s-foo` не матчиться як `bun run lint-k8s`).
+ * @param {string} lintScript значення `scripts.lint` (порожній рядок — якщо нема)
+ * @param {string} target ім'я скрипта (без префіксів)
+ * @returns {boolean} true, якщо chain згадує `bun run <target>`
+ */
+function lintChainHasScript(lintScript, target) {
+  if (!lintScript) return false
+  const escaped = target.replaceAll(/[.*+?^${}()|[\]\\]/gu, '\\$&')
+  return new RegExp(`(?:^|\\s)bun\\s+run\\s+${escaped}(?:$|\\s)`, 'u').test(lintScript)
+}
+
+/**
+ * Описує `lint-<id>`-обгортку та правила, що нею володіють. Один скрипт може мати кілька
+ * власників (`lint-image` — обслуговує і `image-avif`, і `image-compress`); скрипт вважається
+ * «потрібним», якщо **хоч одне** з власних правил активне у `.n-cursor.json:rules`.
+ * @typedef {object} RuleScript
+ * @property {string[]} rules id правил-власників (>=1); скрипт зобов'язаний існувати, поки активне хоч одне з них
+ * @property {string} script ім'я скрипта в `package.json:scripts`
+ * @property {string} doc `.mdc`-файл (або кома-список), на який посилається повідомлення check-у
+ */
+
+/** @type {RuleScript[]} */
+const RULE_SCRIPTS = [
+  { rules: ['docker'], script: 'lint-docker', doc: 'docker.mdc' },
+  { rules: ['k8s'], script: 'lint-k8s', doc: 'k8s.mdc' },
+  { rules: ['image-avif', 'image-compress'], script: 'lint-image', doc: 'image-avif.mdc / image-compress.mdc' }
+]
+
+/**
+ * Описує стан правил-власників скрипта для повідомлень про reason. Повертає або список увімкнених
+ * правил (для passing-кейсу «правило є»), або компактний опис, чому всі вимкнені (для inverse-fail).
+ * @param {string[]} owners id правил-власників (>=1)
+ * @param {{ rules: Set<string>, disabled: Set<string> }} cursorRules `rules` та `disable-rules`
+ * @returns {{ enabled: string[], reason: string }} `enabled` — список з `cursorRules.rules`; `reason` — текст для лога
+ */
+function ownerStatus(owners, cursorRules) {
+  const enabled = owners.filter(r => cursorRules.rules.has(r))
+  if (enabled.length > 0) {
+    return { enabled, reason: `правил${enabled.length === 1 ? 'о' : 'а'} ${enabled.map(r => `\`${r}\``).join(', ')}` }
+  }
+  if (owners.length === 1) {
+    const [only] = owners
+    const where = cursorRules.disabled.has(only) ? 'в disable-rules' : 'відсутнє в rules'
+    return { enabled, reason: `правило \`${only}\` ${where}` }
+  }
+  const disabledCount = owners.filter(r => cursorRules.disabled.has(r)).length
+  const note = disabledCount === owners.length ? 'усі власники в disable-rules' : 'жоден власник не активний у rules'
+  return { enabled, reason: `${owners.map(r => `\`${r}\``).join('/')} — ${note}` }
+}
+
+/**
+ * Перевіряє двосторонній зв'язок `rules` ↔ `scripts.lint-<id>` для правил із `lint-<id>`-обгорткою
+ * (див. `RULE_SCRIPTS`). Якщо активне хоч одне правило-власник — скрипт мусить існувати; якщо
+ * жодне з власників не активне (відсутнє у `rules` або є в `disable-rules`), скрипту і згадки
+ * `bun run <script>` у `scripts.lint` бути **не може**. Інакше `bun run lint` падатиме на
+ * вимкненому правилі: `n-cursor lint-<id>` ігнорує `.n-cursor.json` і обходить дерево
+ * незалежно від конфігу (як було в cursor-репо: `disable-rules: ["k8s"]` + залишений `lint-k8s`
+ * ламав chain на template-сорцях власного правила).
+ * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter
  * @param {Record<string, string>} scripts scripts з package.json
- * @param {Set<string>} cursorRules активні правила з .n-cursor.json
+ * @param {{ rules: Set<string>, disabled: Set<string> }} cursorRules `rules` та `disable-rules`
  */
 function checkCursorRuleScripts(reporter, scripts, cursorRules) {
   const { pass, fail } = reporter
-  /** @type {Array<{rule: string, script: string, doc: string}>} */
-  const ruleScripts = [
-    { rule: 'docker', script: 'lint-docker', doc: 'docker.mdc' },
-    { rule: 'k8s', script: 'lint-k8s', doc: 'k8s.mdc' }
-  ]
-  for (const { rule, script, doc } of ruleScripts) {
-    if (cursorRules.has(rule)) {
-      if (scripts[script]) {
-        pass(`package.json: є \`${script}\` (правило ${rule} у .n-cursor.json)`)
+  const lintScript = typeof scripts.lint === 'string' ? scripts.lint : ''
+  for (const { rules: owners, script, doc } of RULE_SCRIPTS) {
+    const status = ownerStatus(owners, cursorRules)
+    const present = Boolean(scripts[script])
+    const inChain = lintChainHasScript(lintScript, script)
+    if (status.enabled.length > 0) {
+      if (present) {
+        pass(`package.json: є \`${script}\` (${status.reason} у .n-cursor.json)`)
       } else {
         fail(
-          `У .n-cursor.json є правило \`${rule}\` — додай скрипт \`${script}\` у кореневий package.json (див. ${doc})`
+          `У .n-cursor.json увімкнено ${status.reason} — додай скрипт \`${script}\` у кореневий package.json (див. ${doc})`
         )
       }
+      continue
+    }
+    if (present) {
+      fail(
+        `У .n-cursor.json немає активних власників ${owners.map(r => `\`${r}\``).join('/')} — прибери скрипт \`${script}\` з кореневого package.json (див. ${doc})`
+      )
+    }
+    if (inChain) {
+      fail(
+        `У \`scripts.lint\` є \`bun run ${script}\`, але серед \`${owners.join('/')}\` жоден не активний у .n-cursor.json — прибери з ланцюжка lint (див. ${doc})`
+      )
+    }
+    if (!present && !inChain) {
+      pass(`package.json: \`${script}\` відсутній (${status.reason})`)
     }
   }
 }

package/rules/image-avif/fix/avif_generation/check.mjs

@@ -413,9 +413,7 @@ export async function check() {
   const ignorePaths = await loadCursorIgnorePaths(process.cwd())
 
   if (!(await hasAnyVueRasterReference(ignorePaths))) {
-    pass(
-      'image-avif: у .vue/.html немає raster-посилань для переписування — AVIF-генерація і cleanup пропущені'
-    )
+    pass('image-avif: у .vue/.html немає raster-посилань для переписування — AVIF-генерація і cleanup пропущені')
     return reporter.getExitCode()
   }
 

package/rules/k8s/fix/manifests/check.mjs

@@ -91,14 +91,16 @@
  * **HPA / PDB / topologySpreadConstraints:** для кожного **`Deployment`** у шарі **`…/k8s/…/base/`**
  * (будь-який `.yaml` у цьому каталозі) обов'язкові канонічні **topologySpreadConstraints**, а HPA і PDB
  * живуть у sibling каталозі **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу `components`). У `base/`
- * заборонено тримати локальні `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` (file-existence error) і також у дереві
- * base-kustomize не повинно бути HPA/PDB/NetworkPolicy через `resources` / `components` / `bases`.
+ * заборонено тримати локальні `hpa.yaml` і `pdb.yaml` (file-existence error) і також у дереві
+ * base-kustomize не повинно бути HPA/PDB через `resources` / `components` / `bases`.
  * **NetworkPolicy:** для кожного **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s`
- * обов'язковий канонічний NetworkPolicy (base → `components/networkpolicy.yaml`, інші шари → `networkpolicy.yaml` поруч).
+ * обов'язковий канонічний NetworkPolicy у `networkpolicy.yaml` поруч з workload-маніфестом — у base
+ * (`base/networkpolicy.yaml`, підключений через `base/kustomization.yaml` `resources:` — обмеження діють і на dev)
+ * і у не-base overlay (опційно — overlay-specific override).
  * Egress: kube-dns; **TCP 80/443** на `0.0.0.0/0`; інші порти — `namespaceSelector: {}` (in-cluster / `*.svc`). Заборонено `egress: [{}]`.
  * Відсутні документи **`check k8s`** створює автоматично (multi-doc у одному файлі, якщо workload-ів кілька).
  * Структура `components/`: `kustomization.yaml` з `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`,
- * `resources` що містять `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml`, `hpa.yaml` (валідний `autoscaling/v2`
+ * `resources` що містять `hpa.yaml` і `pdb.yaml`, `hpa.yaml` (валідний `autoscaling/v2`
  * HorizontalPodAutoscaler з `scaleTargetRef.name` = ім'я Deployment, dev-like `min=max=1`), `pdb.yaml` (валідний
  * `policy/v1` PodDisruptionBudget з `selector.matchLabels.app` = мітка `app` Deployment, dev-like `minAvailable=0`).
  * Overlays (`ua/`, прод-overlays) підключають `components: [- ../components]` і додають JSON6902-патчі для
@@ -133,7 +135,7 @@
  * поки в наслідуваному `base` у дереві не з'явиться такий Deployment (k8s.mdc).
  */
 import { existsSync } from 'node:fs'
-import { mkdir, readFile, readdir, stat, unlink, writeFile } from 'node:fs/promises'
+import { readFile, readdir, stat, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative, resolve } from 'node:path'
 
 import { isSeq, parseAllDocuments, parseDocument } from 'yaml'
@@ -1776,7 +1778,7 @@ export function baseKustomizationNamespaceViolation(obj) {
 }
 
 /**
- * Збирає всі `*.yaml` та `*.yml` під деревом від кореня cwd, якщо шлях містить сегмент `k8s` (для `.yml` далі — помилка перейменування).
+ * Збирає всі `*.yaml` та `*.yml` під деревом від кореня cwd, якщо шлях містить сегмент `k8s` (для `.yml` далі — fail з порадою перейменувати на `.yaml`; k8s.mdc).
  * @param {string} root корінь репозиторію (cwd)
  * @param {string[]} [ignorePaths] шляхи каталогів, повністю виключених з обходу
  * @returns {Promise<string[]>} відсортовані абсолютні шляхи до файлів
@@ -5155,6 +5157,8 @@ function validateNetworkPolicyForWorkload(npDocs, workloadName, appLabel, worklo
  *   що дорівнює `metadata.name` цього Deployment, з dev-like значеннями `min=max=1`.
  * - `components/pdb.yaml` — валідний `policy/v1` `PodDisruptionBudget` зі `selector.matchLabels.app`,
  *   що дорівнює мітці `app` Deployment, з dev-like `minAvailable=0`.
+ * - **NetworkPolicy** в components не живе — він підключений з `base/networkpolicy.yaml` через
+ *   `base/kustomization.yaml` `resources:` (див. `validateNetworkPoliciesForK8sWorkloads`).
  * @param {string} baseDir абсолютний шлях до `…/k8s/…/base/`
  * @param {string} deployName ім'я Deployment з base
  * @param {string} appLabel мітка `app` з `spec.selector.matchLabels.app`
@@ -5168,7 +5172,7 @@ export async function validateComponentsForBaseDeployment(baseDir, deployName, a
   const componentsRel = (relative(root, componentsDir) || componentsDir).replaceAll('\\', '/')
   if (!existsSync(componentsDir)) {
     fail(
-      `${componentsRel}: для Deployment '${deployName}' з sibling base/ обов'язковий каталог components/ з hpa.yaml, networkpolicy.yaml і pdb.yaml (Kustomize Component) (k8s.mdc)`
+      `${componentsRel}: для Deployment '${deployName}' з sibling base/ обов'язковий каталог components/ з hpa.yaml і pdb.yaml (Kustomize Component) (k8s.mdc)`
     )
     return
   }
@@ -5184,21 +5188,13 @@ export async function validateComponentsForBaseDeployment(baseDir, deployName, a
   }
   await validateComponentsKustomizationManifest(componentsDir, componentsRel, fail, passFn)
   await validateComponentsHpaFile(componentsDir, componentsRel, deployName, fail, passFn)
-  await validateComponentsNetworkPolicyFile(
-    componentsDir,
-    componentsRel,
-    deployName,
-    appLabel,
-    'Deployment',
-    fail,
-    passFn
-  )
   await validateComponentsPdbFile(componentsDir, componentsRel, deployName, appLabel, fail, passFn)
 }
 
 /**
  * Перевіряє `components/kustomization.yaml`: `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`,
- * `resources` містить `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` (як мінімум).
+ * `resources` містить `hpa.yaml` і `pdb.yaml` (як мінімум). NetworkPolicy у components вже не живе —
+ * він підключений з `base/networkpolicy.yaml`.
  * @param {string} componentsDir абсолютний шлях до каталогу `components/`
  * @param {string} componentsRel відносний шлях для повідомлень
  * @param {(msg: string) => void} fail callback при помилці
@@ -5228,21 +5224,15 @@ async function validateComponentsKustomizationManifest(componentsDir, components
   }
   const resources = Array.isArray(obj.resources) ? obj.resources.filter(x => typeof x === 'string') : []
   const hasHpa = resources.includes(HPA_FILENAME)
-  const hasNp = resources.includes(NETWORK_POLICY_FILENAME)
   const hasPdb = resources.includes(PDB_FILENAME)
   if (!hasHpa) {
     fail(`${componentsRel}/kustomization.yaml: у resources має бути '${HPA_FILENAME}' (k8s.mdc)`)
   }
-  if (!hasNp) {
-    fail(`${componentsRel}/kustomization.yaml: у resources має бути '${NETWORK_POLICY_FILENAME}' (k8s.mdc)`)
-  }
   if (!hasPdb) {
     fail(`${componentsRel}/kustomization.yaml: у resources має бути '${PDB_FILENAME}' (k8s.mdc)`)
   }
-  if (obj.apiVersion === KUSTOMIZE_COMPONENT_API_VERSION && obj.kind === 'Component' && hasHpa && hasNp && hasPdb) {
-    passFn(
-      `${componentsRel}/kustomization.yaml: канонічний Kustomize Component з hpa.yaml, networkpolicy.yaml і pdb.yaml (k8s.mdc)`
-    )
+  if (obj.apiVersion === KUSTOMIZE_COMPONENT_API_VERSION && obj.kind === 'Component' && hasHpa && hasPdb) {
+    passFn(`${componentsRel}/kustomization.yaml: канонічний Kustomize Component з hpa.yaml і pdb.yaml (k8s.mdc)`)
   }
 }
 
@@ -5266,36 +5256,6 @@ async function validateComponentsHpaFile(componentsDir, componentsRel, deployNam
   validateHpaForDeployment(hpaDocs, deployName, true, hpaRel, fail, passFn)
 }
 
-/**
- * Перевіряє `components/networkpolicy.yaml`: NetworkPolicy для Deployment.
- * @param {string} componentsDir абсолютний шлях до каталогу `components/`
- * @param {string} componentsRel відносний шлях для повідомлень
- * @param {string} deployName ім'я Deployment з base
- * @param {string} appLabel мітка `app` Deployment
- * @param {string} workloadKind вид workload для повідомлень
- * @param {(msg: string) => void} fail callback при помилці
- * @param {(msg: string) => void} passFn callback при успіху
- * @returns {Promise<void>} результат
- */
-async function validateComponentsNetworkPolicyFile(
-  componentsDir,
-  componentsRel,
-  deployName,
-  appLabel,
-  workloadKind,
-  fail,
-  passFn
-) {
-  const npAbs = join(componentsDir, NETWORK_POLICY_FILENAME)
-  const npRel = `${componentsRel}/${NETWORK_POLICY_FILENAME}`
-  if (!existsSync(npAbs)) {
-    fail(`${npRel}: відсутній — додай NetworkPolicy для ${workloadKind} '${deployName}' (k8s.mdc)`)
-    return
-  }
-  const npDocs = await readAllDocsByKindFromFile(npAbs, 'NetworkPolicy')
-  validateNetworkPolicyForWorkload(npDocs, deployName, appLabel, workloadKind, npRel, fail, passFn)
-}
-
 /**
  * Перевіряє `components/pdb.yaml`: PDB для Deployment, dev-like `minAvailable=0`.
  * @param {string} componentsDir абсолютний шлях до каталогу `components/`
@@ -5380,7 +5340,6 @@ async function validateDeploymentsInDir(deployments, dir, root, fail, passFn) {
   const deployRel = relDir === '' ? '.' : relDir
   if (isK8sBaseLayer && deployments.length > 0) {
     failIfBaseLayerHasLocalHpaOrPdb(dir, deployRel, fail)
-    failIfBaseLayerHasLocalNetworkPolicy(dir, deployRel, fail)
   }
   const hpaDocs = isK8sBaseLayer ? [] : await readDocsByKindInDir(dir, 'HorizontalPodAutoscaler', HPA_FILENAME)
   const pdbDocs = isK8sBaseLayer ? [] : await readDocsByKindInDir(dir, 'PodDisruptionBudget', PDB_FILENAME)
@@ -5420,20 +5379,6 @@ function failIfBaseLayerHasLocalHpaOrPdb(dir, deployRel, fail) {
   }
 }
 
-/**
- * У шарі `…/k8s/…/base/` забороняє локальний `networkpolicy.yaml` (має жити у sibling `components/`).
- * @param {string} dir абсолютний каталог Deployment-маніфесту
- * @param {string} deployRel відносний шлях для повідомлень
- * @param {(msg: string) => void} fail callback при порушенні
- */
-function failIfBaseLayerHasLocalNetworkPolicy(dir, deployRel, fail) {
-  if (existsSync(join(dir, NETWORK_POLICY_FILENAME))) {
-    fail(
-      `${deployRel}/${NETWORK_POLICY_FILENAME}: у шарі k8s/.../base не тримай локальний networkpolicy.yaml — NetworkPolicy живе у sibling components/ (k8s.mdc)`
-    )
-  }
-}
-
 /**
  * Якщо у Deployment є `metadata.name` і `spec.selector.matchLabels.app` — викликає
  * `validateComponentsForBaseDeployment` для звірки sibling-`components/`. Без цих ключів
@@ -5545,7 +5490,7 @@ async function validateDeploymentHpaPdbAndTopology(root, yamlFilesAbs, fail, pas
 
 /**
  * Перевіряє NetworkPolicy для **Deployment**, **StatefulSet**, **DaemonSet**, **Job**, **CronJob**
- * під `k8s` (base → `components/networkpolicy.yaml`, інші шари → `networkpolicy.yaml` поруч).
+ * під `k8s` — у `networkpolicy.yaml` поруч з workload-маніфестом (у base, у не-base — як overlay-specific override).
  * @param {string} root корінь репозиторію
  * @param {string[]} yamlFilesAbs yaml під k8s
  * @param {(msg: string) => void} fail callback при помилці
@@ -5558,11 +5503,7 @@ async function validateNetworkPoliciesForK8sWorkloads(root, yamlFilesAbs, fail,
   for (const [dir, workloads] of workloadsByDir) {
     const relDir = (relative(rootNorm, dir) || dir).replaceAll('\\', '/')
     const deployRel = relDir === '' ? '.' : relDir
-    const isBase = isK8sYamlUnderBaseDirectory(`${relDir}/probe.yaml`)
-    if (isBase && workloads.length > 0) {
-      failIfBaseLayerHasLocalNetworkPolicy(dir, deployRel, fail)
-    }
-    const npAbs = isBase ? join(dir, '..', COMPONENTS_DIR, NETWORK_POLICY_FILENAME) : join(dir, NETWORK_POLICY_FILENAME)
+    const npAbs = join(dir, NETWORK_POLICY_FILENAME)
     const npRel = (relative(rootNorm, npAbs) || npAbs).replaceAll('\\', '/')
     const npDocs = existsSync(npAbs) ? await readAllDocsByKindFromFile(npAbs, 'NetworkPolicy') : []
     for (const workload of workloads) {
@@ -6486,7 +6427,8 @@ export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
 }
 
 /**
- * Створює відсутні NetworkPolicy для workload-ів у каталозі (base → `components/`, інакше — поруч).
+ * Створює відсутні NetworkPolicy для workload-ів у каталозі (`networkpolicy.yaml` поруч з workload-маніфестом).
+ * Якщо каталог — base, додатково додає `networkpolicy.yaml` у `kustomization.yaml` `resources:` (якщо файл існує).
  * @param {string} dir абсолютний каталог workload-маніфесту
  * @param {Record<string, unknown>[]} workloads workload-документи з цього каталогу
  * @param {string} rootNorm корінь репо
@@ -6496,8 +6438,7 @@ export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
  */
 async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm, fail, passFn) {
   const relDir = (relative(rootNorm, dir) || dir).replaceAll('\\', '/')
-  const isBase = isK8sYamlUnderBaseDirectory(`${relDir}/probe.yaml`)
-  const npAbs = isBase ? join(dir, '..', COMPONENTS_DIR, NETWORK_POLICY_FILENAME) : join(dir, NETWORK_POLICY_FILENAME)
+  const npAbs = join(dir, NETWORK_POLICY_FILENAME)
   const npRel = (relative(rootNorm, npAbs) || npAbs).replaceAll('\\', '/')
   if (existsSync(npAbs)) {
     const migrated = await regenerateLegacyNetworkPolicyDocsInFile(npAbs)
@@ -6519,19 +6460,15 @@ async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm,
   }
   if (toAdd.length === 0) return
   try {
-    if (isBase) await mkdir(dirname(npAbs), { recursive: true })
     await appendNetworkPolicyDocuments(npAbs, toAdd, npRel, passFn)
-    if (isBase) {
-      const componentsDir = dirname(npAbs)
-      const componentsRel = (relative(rootNorm, componentsDir) || componentsDir).replaceAll('\\', '/')
-      const kustAbs = join(componentsDir, 'kustomization.yaml')
-      if (existsSync(kustAbs)) {
-        const raw = await readFile(kustAbs, 'utf8')
-        const { changed, content } = ensureResourceInKustomizationYaml(raw, NETWORK_POLICY_FILENAME)
-        if (changed) {
-          await writeFile(kustAbs, content, 'utf8')
-          passFn(`${componentsRel}/kustomization.yaml: додано '${NETWORK_POLICY_FILENAME}' у resources (k8s.mdc)`)
-        }
+    const kustAbs = join(dir, 'kustomization.yaml')
+    if (existsSync(kustAbs)) {
+      const raw = await readFile(kustAbs, 'utf8')
+      const { changed, content } = ensureResourceInKustomizationYaml(raw, NETWORK_POLICY_FILENAME)
+      if (changed) {
+        await writeFile(kustAbs, content, 'utf8')
+        const kustRel = relDir === '' ? 'kustomization.yaml' : `${relDir}/kustomization.yaml`
+        passFn(`${kustRel}: додано '${NETWORK_POLICY_FILENAME}' у resources (k8s.mdc)`)
       }
     }
   } catch (error) {
@@ -6542,7 +6479,7 @@ async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm,
 
 /**
  * Автоматично створює відсутні **NetworkPolicy** для Deployment, StatefulSet, DaemonSet, Job і CronJob
- * під `k8s` (base → `components/`, інші шари → поруч).
+ * під `k8s` (`networkpolicy.yaml` поруч з workload-маніфестом, у base додаток — у `base/kustomization.yaml` resources).
  * @param {string} root корінь репозиторію
  * @param {string[]} yamlFilesAbs абсолютні шляхи yaml під `k8s`
  * @param {(msg: string) => void} fail callback при помилці

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.39'
+version: '1.41'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -33,7 +33,7 @@ alwaysApply: false
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Це усуває false-positive **C-0260** (`Missing network policy`) у каноні з sibling **`components/networkpolicy.yaml`** без `metadata.namespace`: сирий dir-скан не виконує kustomize-збірку й бачить порожній namespace у NetworkPolicy проти непорожнього у Deployment з `base/`, тож `podSelector` не матчиться. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Збірка через kustomize нормалізує namespace на workload-маніфестах і **NetworkPolicy у `base/networkpolicy.yaml`** (через `base/kustomization.yaml` `namespace:`), що дає коректний матчинг `podSelector` у `C-0260` (`Missing network policy`) і дозволяє kubescape бачити дерево overlays / components зі справжніми ресурсами. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 
@@ -121,7 +121,7 @@ resources:
     memory: '128Mi'
 ```
 
-**HPA, PDB і NetworkPolicy у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` / `networkpolicy.yaml` поруч із workload-маніфестами, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/` (див. розділ нижче).
+**HPA і PDB у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` поруч із workload-маніфестами, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/`, який підключають лише прод-overlays (див. розділ нижче). **NetworkPolicy** — навпаки: **обов'язковий і у `base/`**, у вигляді `base/networkpolicy.yaml` поруч з workload-маніфестом, підключений через `base/kustomization.yaml` `resources:` — щоб обмеження діяли і на dev-середовищі.
 
 ### Поза base (оверлеї, окремі каталоги)
 
@@ -381,33 +381,34 @@ images:
 
 **`check k8s`:** заборонено **`kind: Ingress`**.
 
-## Deployment: `topologySpreadConstraints`, HPA / PDB через `components/`
+## Deployment: `topologySpreadConstraints`, HPA / PDB через `components/`, NetworkPolicy у `base/`
 
-Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB / NetworkPolicy також **не дозволені** через `resources` / `components` / `bases`.
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB також **не дозволені** через `resources` / `components` / `bases`.
 
-Для **кожного** з **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s` обов'язковий **NetworkPolicy**: у **`…/k8s/…/base/`** — у **`components/networkpolicy.yaml`** (multi-doc, якщо workload-ів кілька); у **не-base** — **`networkpolicy.yaml`** поруч із маніфестом workload у тому ж каталозі. `metadata.name` NetworkPolicy **= `metadata.name`** workload; `spec.podSelector.matchLabels.app` **= мітка `app`** з `spec.selector.matchLabels` (для **CronJob** — з `spec.jobTemplate.spec.selector.matchLabels`). Відсутні документи **`check k8s`** створює автоматично.
+**NetworkPolicy** — інша історія: оскільки обмеження мережі мають діяти **і на dev**, NP лежить **у `base/`** (а не в `components/`). Для **кожного** з **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s` обов'язковий **NetworkPolicy**: у **`…/k8s/…/base/`** — у **`base/networkpolicy.yaml`** поруч з workload-маніфестом (multi-doc, якщо workload-ів кілька); у **не-base** — **`networkpolicy.yaml`** поруч із маніфестом workload у тому ж каталозі (overlay-specific override). `metadata.name` NetworkPolicy **= `metadata.name`** workload; `spec.podSelector.matchLabels.app` **= мітка `app`** з `spec.selector.matchLabels` (для **CronJob** — з `spec.jobTemplate.spec.selector.matchLabels`). У `base/kustomization.yaml` `resources:` має бути `networkpolicy.yaml`. Відсутні документи **`check k8s`** створює автоматично і додає `networkpolicy.yaml` у `base/kustomization.yaml` `resources:`.
 
-**Канонічна структура `<pkg>/k8s/components/`** (sibling до `base/`):
+**Канонічна структура `<pkg>/k8s/components/`** (sibling до `base/`) — лише HPA і PDB:
 
-- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, networkpolicy.yaml, pdb.yaml]` (відсортовано за алфавітом).
+- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, pdb.yaml]` (відсортовано за алфавітом).
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
-- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові in-cluster порти можна додати вручну у `ports:` цього rule. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
+**Канонічний `base/networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace` (namespace додає `base/kustomization.yaml`); один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у тому ж `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові in-cluster порти можна додати вручну у `ports:` цього rule. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
+
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
 
-**Overlays** (`ua/`, прод-overlays) підключають `components: [- ../components]` і додають JSON6902-патчі для прод-значень: `/spec/minReplicas`, `/spec/maxReplicas` (HPA), `/spec/minAvailable` (PDB). Dev-середовище (`base`) HPA/PDB не отримує — як і потрібно.
+**Overlays** (`ua/`, прод-overlays) підключають `components: [- ../components]` і додають JSON6902-патчі для прод-значень: `/spec/minReplicas`, `/spec/maxReplicas` (HPA), `/spec/minAvailable` (PDB). NetworkPolicy успадковується з base через `resources: [- ../base]` — окремий `networkpolicy.yaml` у overlay не обов'язковий і додається тільки для overlay-specific правил. Dev-середовище (`base`) HPA/PDB не отримує — як і потрібно — а NetworkPolicy діє з тим самим каноном.
 
 **`<pkg>/k8s/components/kustomization.yaml`** має `kind: Component` (не `kind: Kustomization`) — це **джерело** канонічних HPA/PDB для всіх overlays, а не overlay сам по собі. Прод-перезаписи (`/spec/minReplicas`, `/spec/maxReplicas`, `/spec/minAvailable`) живуть у `<env>/kustomization.yaml`, що підключає Component через `components:`. У самому Component patches не потрібні — він env-неутральний; **`check k8s`** не вимагає прод-патчів від `components/kustomization.yaml`.
 
-У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремі **`hpa.yaml`**, **`networkpolicy.yaml`** і **`pdb.yaml`**, якщо такі потрібні для цього середовища. Для **StatefulSet**, **DaemonSet**, **Job**, **CronJob** у не-base — обов'язковий лише **`networkpolicy.yaml`** (HPA/PDB лишаються прив'язаними до **Deployment**, якщо є). **`check k8s`** звіряє прив'язку за іменами (і **дописує** відсутні NetworkPolicy-документи автоматично):
+У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремі **`hpa.yaml`**, **`networkpolicy.yaml`** і **`pdb.yaml`**, якщо такі потрібні для цього середовища (NP overlay-specific override). Для **StatefulSet**, **DaemonSet**, **Job**, **CronJob** у не-base — обов'язкового локального `networkpolicy.yaml` немає, бо NP вже успадковується з base; додавайте лише якщо overlay змінює правила. **`check k8s`** звіряє прив'язку за іменами (і **дописує** відсутні NetworkPolicy-документи автоматично у файл поруч):
 
 - **`hpa.yaml`** (поза **`…/base/`**) — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
-- **`networkpolicy.yaml`** — той самий канон egress/ingress, що в `components/` (multi-doc, якщо у каталозі кілька workload-ів).
+- **`networkpolicy.yaml`** (overlay-specific, опціональний) — той самий канон egress/ingress, що в `base/` (multi-doc, якщо у каталозі кілька workload-ів).
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
+**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 
@@ -462,18 +463,28 @@ patches:
         value: 1
 ```
 
-### Приклади `components/`
+### Приклади `components/` і `base/networkpolicy.yaml`
 
 ```yaml title="k8s/components/kustomization.yaml"
 apiVersion: kustomize.config.k8s.io/v1alpha1
 kind: Component
 resources:
   - hpa.yaml
-  - networkpolicy.yaml
   - pdb.yaml
 ```
 
-```yaml title="k8s/components/networkpolicy.yaml"
+```yaml title="k8s/base/kustomization.yaml (фрагмент)"
+apiVersion: kustomize.config.k8s.io/v1beta1
+kind: Kustomization
+namespace: dev
+resources:
+  - deploy.yaml
+  - networkpolicy.yaml
+  - svc.yaml
+  - svc-hl.yaml
+```
+
+```yaml title="k8s/base/networkpolicy.yaml"
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/networkpolicy-networking-v1.json
 apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy

package/rules/k8s/lint/lint.mjs

@@ -227,10 +227,10 @@ function runKubescapeManifest(kubescapePath, manifest, exceptionsArgs) {
  * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
  * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і
  * передаємо stdout у `kubescape scan <tmp-file>` через тимчасовий файл (kubescape v4.x не читає
- * stdin — див. `runKubescapeManifest`). Це усуває false-positive C-0260 (`Missing network policy`)
- * у випадках, коли NetworkPolicy живе у sibling `components/` без `metadata.namespace` (намспейс
- * інжектить overlay через `kustomization.namespace`); сирий dir-скан не виконує kustomize й бачить
- * порожній `namespace` у NetworkPolicy проти непорожнього у Deployment, через що `podSelector` не матчиться.
+ * stdin — див. `runKubescapeManifest`). Збірка через kustomize нормалізує namespace на workload-маніфестах
+ * і `base/networkpolicy.yaml` (через `base/kustomization.yaml` `namespace:`), що дає коректний
+ * матчинг `podSelector` у C-0260 (`Missing network policy`) і дозволяє kubescape бачити дерево
+ * overlays / components зі справжніми ресурсами.
  *
  * Якщо в `…/k8s`-корені немає жодного білдабельного kustomization.yaml (проєкт без Kustomize) —
  * fallback на старий dir-скан, щоб не блокувати чистий YAML-only набір маніфестів.

package/rules/k8s/policy/base_kustomization/base_kustomization.rego

@@ -41,16 +41,20 @@ deny contains base_namespace_required_msg if {
 # (із зануренням у вкладені kustomization.yaml) — JS-оркестратор
 # `verifyK8sBaseKustomizeHasNoHpaPdb` у `check-k8s.mjs` (потребує fs-доступу). Цей
 # rego-deny — defense-in-depth: спрацює навіть якщо JS-крок упаде з винятку раніше.
-deny contains hpa_pdb_np_in_base_resources_msg(r) if {
+#
+# NetworkPolicy у base — навпаки, обов'язковий (k8s.mdc): обмеження мережі мають
+# діяти і на dev-середовищі, тож `base/networkpolicy.yaml` підключений через
+# `base/kustomization.yaml` `resources:` і не блокується цим правилом.
+deny contains hpa_pdb_in_base_resources_msg(r) if {
 	is_kustomization
 	some r in object.get(input, "resources", [])
 	is_string(r)
-	is_hpa_pdb_or_np_filename(r)
+	is_hpa_or_pdb_filename(r)
 }
 
-hpa_pdb_np_in_base_resources_msg(file) := sprintf(
+hpa_pdb_in_base_resources_msg(file) := sprintf(
 	concat("", [
-		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB/NetworkPolicy заборонені у base, ",
+		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB заборонені у base, ",
 		"перенесіть у sibling каталог components/ і підключайте з overlay (k8s.mdc)",
 	]),
 	[file],
@@ -61,14 +65,10 @@ is_kustomization if {
 	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
 }
 
-is_hpa_pdb_or_np_filename(p) if {
+is_hpa_or_pdb_filename(p) if {
 	basename(p) in {
 		"hpa.yaml",
 		"pdb.yaml",
-		"networkpolicy.yaml",
-		"hpa.yml",
-		"pdb.yml",
-		"networkpolicy.yml",
 	}
 }
 

package/rules/k8s/policy/base_manifest/target.json

@@ -1,6 +1,6 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
   "files": {
-    "walkGlob": ["**/k8s/**/base/**/*.yaml", "**/k8s/**/base/**/*.yml", "!**/k8s/**/base/**/kustomization.yaml"]
+    "walkGlob": ["**/k8s/**/base/**/*.yaml", "!**/k8s/**/base/**/kustomization.yaml"]
   }
 }

package/rules/k8s/policy/gateway/target.json

@@ -1,4 +1,4 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
-  "files": { "walkGlob": ["**/k8s/**/*.yaml", "**/k8s/**/*.yml"] }
+  "files": { "walkGlob": ["**/k8s/**/*.yaml"] }
 }

package/rules/k8s/policy/hpa_pdb/target.json

@@ -1,4 +1,4 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
-  "files": { "walkGlob": ["**/k8s/**/*.yaml", "**/k8s/**/*.yml"] }
+  "files": { "walkGlob": ["**/k8s/**/*.yaml"] }
 }

package/rules/k8s/policy/manifest/target.json

@@ -1,4 +1,4 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
-  "files": { "walkGlob": ["**/k8s/**/*.yaml", "**/k8s/**/*.yml"] }
+  "files": { "walkGlob": ["**/k8s/**/*.yaml"] }
 }