@nitra/cursor 1.13.64 → 1.13.65

package/CHANGELOG.md

@@ -4,6 +4,12 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.65] - 2026-05-20
+
+### Changed
+
+- Скіл **`n-abie-clean`**: розділ перекладів — апострофи та спецсимволи в англійських рядках (`tr`); після очистки — обовʼязкова локальна перевірка `bun vite build` поряд із `check abie`.
+
 ## [1.13.64] - 2026-05-20
 
 ### Added

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.64",
+  "version": "1.13.65",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/bun/fix/layout/check.mjs

@@ -22,6 +22,9 @@ import { readFile } from 'node:fs/promises'
 
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 
+/** Розділювач токенів у `scripts.lint` (послідовність пробільних символів). */
+const WHITESPACE_RE = /\s+/u
+
 // Перевірка `devDependencies` кореневого `package.json` (дозволено лише `@nitra/*`)
 // — у rego (`npm/policy/bun/package_json/`). JS-копії `isAllowedRootDevDependency`
 // видалено, щоб не було двох джерел істини.
@@ -53,8 +56,8 @@ async function loadNCursorRules() {
  */
 function lintChainHasScript(lintScript, target) {
   if (!lintScript) return false
-  const escaped = target.replaceAll(/[.*+?^${}()|[\]\\]/gu, String.raw`\$&`)
-  return new RegExp(String.raw`(?:^|\s)bun\s+run\s+${escaped}(?:$|\s)`, 'u').test(lintScript)
+  const tokens = lintScript.split(WHITESPACE_RE)
+  return tokens.some((tok, i) => tok === 'bun' && tokens[i + 1] === 'run' && tokens[i + 2] === target)
 }
 
 /**

package/rules/image-avif/fix/avif_generation/check.mjs

@@ -287,7 +287,7 @@ async function checkVueAvifImports(ignorePaths, usedAvifAbs, stats, pass, fail)
  * переписати на AVIF-двійник (через `import x from '...png'` або `<img src="...png" />`).
  *
  * Якщо false — весь подальший етап `image-avif` пропускаємо: ні `npx --avif`, ні rewrite,
- * ні cleanup-сиріт не дали б ніяких змін. Сенс — не запускати дорогий `npx @nitra/minify-image`
+ * ні cleanup-сиріт не дали б ніяких змін. Сенс — не запускати дорогий `npx \@nitra/minify-image`
  * у проєктах, де AVIF не вживається (а опційно і не плануються).
  *
  * Скан робиться тими самими regexp-ами, що й основний rewrite-пасс (`VUE_RASTER_IMPORT_RE`

package/rules/k8s/fix/manifests/check.mjs

@@ -1319,15 +1319,11 @@ export async function collectResourceDescriptorsForKustomizationWalk(kustAbs, ro
    */
   const out = []
 
-  /*
- * @param {string} ref шлях з resources/bases/…
-  
- * @returns {Promise<void>} результат
- */
   /**
-   *
-   * @param {*} ref параметр
-   */ async function handleResourceDescriptorPathRef(ref) {
+   * @param {string} ref шлях з resources/bases/…
+   * @returns {Promise<void>} результат
+   */
+  async function handleResourceDescriptorPathRef(ref) {
     if (typeof ref !== 'string' || ref.includes('://')) {
       return
     }
@@ -2903,15 +2899,11 @@ export function collectGatewayApiRouteBackendServiceNames(spec) {
    */
   const out = []
 
-  /*
- * @param {unknown} node вузол для обходу
-  
- * @returns {void} результат
- */
   /**
-   *
-   * @param {*} node параметр
-   */ function walk(node) {
+   * @param {unknown} node вузол для обходу
+   * @returns {void} результат
+   */
+  function walk(node) {
     if (node === null || node === undefined) return
     if (Array.isArray(node)) {
       for (const x of node) {
@@ -2947,15 +2939,11 @@ export function collectGatewayApiRouteBackendRefsWithRedundantNamespace(spec, ro
    */
   const out = []
 
-  /*
- * @param {unknown} node вузол для обходу
-  
- * @returns {void} результат
- */
   /**
-   *
-   * @param {*} node параметр
-   */ function walk(node) {
+   * @param {unknown} node вузол для обходу
+   * @returns {void} результат
+   */
+  function walk(node) {
     if (node === null || node === undefined) return
     if (Array.isArray(node)) {
       for (const x of node) {
@@ -6385,6 +6373,21 @@ function networkPolicyHasLegacyCatchAllEgress(doc) {
   return false
 }
 
+/**
+ * Витягує `spec.podSelector.matchLabels.app` як рядок (порожній — якщо ланцюжок неповний).
+ * @param {unknown} spec значення `spec` NetworkPolicy-документа
+ * @returns {string} app-label або '' (коли структура не відповідає очікуваній)
+ */
+function networkPolicyPodSelectorAppLabel(spec) {
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return ''
+  const podSelector = /** @type {Record<string, unknown>} */ (spec).podSelector
+  if (podSelector === null || typeof podSelector !== 'object' || Array.isArray(podSelector)) return ''
+  const matchLabels = /** @type {Record<string, unknown>} */ (podSelector).matchLabels
+  if (matchLabels === null || typeof matchLabels !== 'object' || Array.isArray(matchLabels)) return ''
+  const app = /** @type {Record<string, unknown>} */ (matchLabels).app
+  return typeof app === 'string' ? app : ''
+}
+
 /**
  * Migrate legacy `networkpolicy.yaml`: якщо хоч один документ має catch-all in-cluster egress —
  * перезаписати **всі** документи у файлі через `buildNetworkPolicyYaml(name, appLabel)`. Деталі — k8s.mdc.
@@ -6404,17 +6407,7 @@ export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
   for (const doc of docs) {
     const name = manifestMetadataName(doc)
     const spec = /** @type {Record<string, unknown>} */ (doc).spec
-    let appLabel = ''
-    if (spec !== null && typeof spec === 'object' && !Array.isArray(spec)) {
-      const podSelector = /** @type {Record<string, unknown>} */ (spec).podSelector
-      if (podSelector !== null && typeof podSelector === 'object' && !Array.isArray(podSelector)) {
-        const matchLabels = /** @type {Record<string, unknown>} */ (podSelector).matchLabels
-        if (matchLabels !== null && typeof matchLabels === 'object' && !Array.isArray(matchLabels)) {
-          const a = /** @type {Record<string, unknown>} */ (matchLabels).app
-          if (typeof a === 'string') appLabel = a
-        }
-      }
-    }
+    const appLabel = networkPolicyPodSelectorAppLabel(spec)
     if (typeof name === 'string' && name !== '' && appLabel !== '') specs.push({ name, appLabel })
   }
   if (specs.length === 0) return false

package/rules/k8s/lint/lint.mjs

@@ -31,6 +31,9 @@ const KUBESCAPE_EXCEPTIONS_FILE = '.kubescape-exceptions.json'
 /** Назва kustomization-файлу (під `k8s` дозволено лише `.yaml`, див. k8s.mdc). */
 const KUSTOMIZATION_FILE = 'kustomization.yaml'
 
+/** Підказка встановлення kubescape (PATH miss / ENOENT). */
+const KUBESCAPE_MISSING_HINT = 'kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme'
+
 const PATH_SEPARATOR_RE = /[/\\]/u
 const YAML_EXT_RE = /\.yaml$/iu
 
@@ -223,6 +226,50 @@ function runKubescapeManifest(kubescapePath, manifest, exceptionsArgs) {
   }
 }
 
+/**
+ * Сирий dir-скан kubescape для `…/k8s`-кореня без білдабельного `kustomization.yaml`.
+ * @param {string} kubescapePath абсолютний шлях до бінарника kubescape
+ * @param {string} dir абсолютний шлях до `…/k8s`
+ * @param {string[]} exceptionsArgs `['--exceptions', '<file>']` або `[]`
+ * @returns {number} 0 при успіху, 127 якщо kubescape зник з PATH, інакше код процесу
+ */
+function scanRawK8sDir(kubescapePath, dir, exceptionsArgs) {
+  console.log(`run-k8s: kubescape scan ${dir} (без kustomization — сирий dir-скан)`)
+  const r = spawnSync(kubescapePath, ['scan', dir, '--severity-threshold', 'high', ...exceptionsArgs], {
+    stdio: 'inherit',
+    shell: false
+  })
+  if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
+    console.error(KUBESCAPE_MISSING_HINT)
+    return 127
+  }
+  return r.status ?? 1
+}
+
+/**
+ * Скан kubescape'ом зібраних kustomize-маніфестів: для кожного `kustomization.yaml`-каталогу
+ * `kubectl kustomize <dir>` → `kubescape scan <tmp>`.
+ * @param {string} kubectlPath абсолютний шлях до бінарника kubectl
+ * @param {string} kubescapePath абсолютний шлях до бінарника kubescape
+ * @param {string[]} kdirs абсолютні шляхи каталогів з білдабельним `kustomization.yaml`
+ * @param {string[]} exceptionsArgs `['--exceptions', '<file>']` або `[]`
+ * @returns {number} 0 при успіху, 127 якщо kubescape зник з PATH, інакше код невдалого процесу
+ */
+function scanKustomizeK8sDirs(kubectlPath, kubescapePath, kdirs, exceptionsArgs) {
+  for (const kdir of kdirs) {
+    console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan <tmp>`)
+    const build = runKustomizeBuild(kubectlPath, kdir)
+    if (build.status !== 0) return build.status
+    const ks = runKubescapeManifest(kubescapePath, build.stdout, exceptionsArgs)
+    if (ks.enoent) {
+      console.error(KUBESCAPE_MISSING_HINT)
+      return 127
+    }
+    if (ks.status !== 0) return ks.status
+  }
+  return 0
+}
+
 /**
  * Запускає kubescape по зібраному kustomize-маніфесту для кожного `…/k8s`-кореня. Для кожного
  * dir-у з `kustomization.yaml` (крім `kind: Component`) робимо `kubectl kustomize <dir>` і
@@ -248,23 +295,15 @@ async function runKubescape(dirs, root) {
   }
   const kubescapePath = resolveCmd('kubescape')
   if (!kubescapePath) {
-    console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+    console.error(KUBESCAPE_MISSING_HINT)
     return 127
   }
   let kubectlPath = null
   for (const d of dirs) {
     const kdirs = await findKustomizationDirs(d)
     if (kdirs.length === 0) {
-      console.log(`run-k8s: kubescape scan ${d} (без kustomization — сирий dir-скан)`)
-      const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high', ...exceptionsArgs], {
-        stdio: 'inherit',
-        shell: false
-      })
-      if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
-        console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
-        return 127
-      }
-      if (r.status !== 0) return r.status ?? 1
+      const rawStatus = scanRawK8sDir(kubescapePath, d, exceptionsArgs)
+      if (rawStatus !== 0) return rawStatus
       continue
     }
     if (kubectlPath === null) {
@@ -274,17 +313,8 @@ async function runKubescape(dirs, root) {
         return 127
       }
     }
-    for (const kdir of kdirs) {
-      console.log(`run-k8s: kubectl kustomize ${kdir} | kubescape scan <tmp>`)
-      const build = runKustomizeBuild(kubectlPath, kdir)
-      if (build.status !== 0) return build.status
-      const ks = runKubescapeManifest(kubescapePath, build.stdout, exceptionsArgs)
-      if (ks.enoent) {
-        console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
-        return 127
-      }
-      if (ks.status !== 0) return ks.status
-    }
+    const buildStatus = scanKustomizeK8sDirs(kubectlPath, kubescapePath, kdirs, exceptionsArgs)
+    if (buildStatus !== 0) return buildStatus
   }
   return 0
 }

package/scripts/utils/inline-template-links.mjs

@@ -4,7 +4,8 @@ import { basename, extname, join } from 'node:path'
 
 const MD_LINK_RE = /\[([^\]]{1,200})\]\((\.\/[^)]{1,500})\)/g
 const TEMPLATE_SEGMENT_RE = /\/template\//
-const SLOTS = ['snippet', 'deny', 'contains']
+/** Статичні regexp-літерали `^(.+)\.<slot>\.<ext>$` — без `RegExp(variable)`. */
+const SLOT_SUFFIX_RES = [/^(.+)\.snippet\.[^.]+$/, /^(.+)\.deny\.[^.]+$/, /^(.+)\.contains\.[^.]+$/]
 
 /**
  * @param {string} filePath шлях до файлу
@@ -25,8 +26,8 @@ function langFromExt(filePath) {
  * @returns {string} ім'я реального target-файлу
  */
 function normalizeTargetName(fileBasename) {
-  for (const slot of SLOTS) {
-    const m = fileBasename.match(new RegExp(String.raw`^(.+)\.${slot}\.[^.]+$`))
+  for (const re of SLOT_SUFFIX_RES) {
+    const m = fileBasename.match(re)
     if (m) return m[1]
   }
   return fileBasename

package/scripts/utils/package-manifest.mjs

@@ -11,23 +11,17 @@ import { parse as parseToml } from 'smol-toml'
 import { getMonorepoPackageRootDirs } from './workspaces.mjs'
 
 /**
-  @typedef {'npm' | 'python'} PackageKind
+ * @typedef {'npm' | 'python'} PackageKind
  */
 
-/*
+/**
  * @typedef {object} PackageManifest
-
- * @property {PackageKind} kind поле
+ * @property {PackageKind} kind тип маніфесту
  * @property {string} ws відносний шлях воркспейсу (`'.'` для кореня)
-
  * @property {string} manifestRel `package.json` | `pyproject.toml`
-
  * @property {string | null} name ім'я пакета (npm / PyPI)
-
  * @property {string | null} version semver-рядок
-
  * @property {boolean} registryPublishable чи застосовується режим порівняння з реєстром
-
  * @property {string[] | null} [npmFiles] лише npm: `files` з package.json
  */
 

package/scripts/utils/run-conftest-batch.mjs

@@ -47,27 +47,19 @@ function failConftestMissing() {
   )
 }
 
-/*
+/**
  * @typedef {object} ConftestViolation
-
  * @property {string} filename абсолютний шлях до файла, що дав порушення (з output conftest)
-
  * @property {string} message текст порушення (як у `deny` rego-пакета)
-
  * @property {string} namespace namespace rego-пакета (наприклад `abie.base_deployment_preem`)
  */
 
-/*
+/**
  * @typedef {object} ConftestBatchOptions
-
  * @property {string} policyDirRel шлях до підкаталогу `npm/policy/...` (наприклад `abie/base_deployment_preem`)
-
  * @property {string} namespace повне імʼя rego-пакета (наприклад `abie.base_deployment_preem`)
-
  * @property {string[]} files список абсолютних шляхів файлів для перевірки (порожній — повертаємо порожньо)
-
  * @property {string[]} [extraArgs] додаткові аргументи для conftest (наприклад `--combine` для крос-документних правил)
-
  * @property {object} [templateData] опціональне merged-дерево; серіалізується у JSON `{ "template": <data> }` і передається як `--data <tmpfile>` (cleanup після завершення)
  */
 

package/scripts/utils/template.mjs

@@ -3,7 +3,7 @@
  * by target basename. For each <target>, returns whichever of snippet/deny/contains
  * exist (parsed in native format by extension).
  * @param {string} concernDir absolute path to fix/<concern>/ or policy/<concern>/
- * @returns {Promise<Record<string, { snippet?: any, deny?: any, contains?: any }>>}
+ * @returns {Promise<Record<string, { snippet?: unknown, deny?: unknown, contains?: unknown }>>}
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile, stat } from 'node:fs/promises'
@@ -11,7 +11,12 @@ import { basename as _basename, extname, join, relative } from 'node:path'
 
 import { parse as parseToml } from 'smol-toml'
 
-const SLOTS = ['snippet', 'deny', 'contains']
+/** `<target>.<slot>.<ext>` класифікатори — статичні regexp-літерали (без `RegExp(variable)`). */
+const SLOT_CLASSIFIERS = [
+  { slot: 'snippet', re: /^(?<target>.+)\.snippet\.[^.]+$/ },
+  { slot: 'deny', re: /^(?<target>.+)\.deny\.[^.]+$/ },
+  { slot: 'contains', re: /^(?<target>.+)\.contains\.[^.]+$/ }
+]
 const IDENT_RE = /^[a-zA-Z_$][\w$]*$/
 const NEWLINE_RE = /\r?\n/
 const LEADING_BANG_RE = /^!/
@@ -66,8 +71,8 @@ async function walk(dir, base = dir) {
  */
 function classifyTemplateFile(relPath) {
   // Try ".<slot>." suffix detection
-  for (const slot of SLOTS) {
-    const m = relPath.match(new RegExp(String.raw`^(?<target>.+)\.${slot}\.[^.]+$`))
+  for (const { slot, re } of SLOT_CLASSIFIERS) {
+    const m = relPath.match(re)
     if (m?.groups?.target) return { target: m.groups.target, slot }
   }
   // No slot suffix → text-only canon for the literal target name
@@ -241,7 +246,7 @@ export function checkTextSubset(actual, template, opts) {
 
 /**
  * @param {string} concernDir абсолютний шлях до fix/<concern>/ або policy/<concern>/
- * @returns {Promise<Record<string, { snippet?: any, deny?: any, contains?: any }>>} merged template-дерево, індексоване за target
+ * @returns {Promise<Record<string, { snippet?: unknown, deny?: unknown, contains?: unknown }>>} merged template-дерево, індексоване за target
  */
 export async function loadTemplate(concernDir) {
   const tplDir = join(concernDir, 'template')

package/skills/abie-clean/SKILL.md

@@ -196,8 +196,21 @@ const tr = {
 Ні: { ru: 'No' }
 }
 
+### 5.1. Апострофи та спецсимволи в рядках перекладу
+
+Український текст рідко містить апостроф у сенсі JS-рядка; у **англійських** перекладах часті скорочення з `'` (`today's`, `can't`, `don't`, `you're` тощо). Після кожної зміни `tr` переглянь результат на символи `'`, `"` та `\` і переконайся, що **роздільники рядка** парсяться коректно.
+
+**Одинарні лапки.** Якщо англійський переклад містить апостроф і рядок обгорнуто в `'…'`:
+
+- **Неправильно:** `'today\\'s route'` — подвійний backslash + кінець рядка, синтаксична помилка.
+- **Правильно:** `'today\'s route'` — один backslash екранує апостроф.
+- **Краще:** `"today's route"` — подвійні лапки, екранування не потрібне.
+
+**Безпечне правило:** якщо в англійському перекладі є апостроф — переходь на **подвійні** лапки як роздільник рядка.
+
 ## 6. Після очистки
 
 - Переконайся, що `kustomization.yaml` у кожній директорії `k8s/` не посилається на видалені overlay або файли.
 - Пройдись `git grep` по репозиторію на залишки: `git grep -n -i -e '\bru\b' -e cr\.yandex -e country/ru -e prod-ru -e values-ru -e "'ya'"` — переглянь усі знахідки вручну, бо `ru` як слово може траплятися в легітимних контекстах (наприклад, `truncate`, `Aurum`, `cruft`). Видаляй лише ті входження, що належать ru-середовищу. `git grep` за замовчуванням пропускає невідстежувані шляхи, тож `node_modules/` у вихід не потрапить, поки воно у `.gitignore`.
 - Перевір CI локально: `npx @nitra/cursor check abie` (якщо правило **abie** ввімкнене у проєкті).
+- Після змін у вихідних файлах (особливо рядках перекладу) переконайся, що збірка **компілюється**: `bun vite build` у корені відповідного пакета (або там, де в проєкті налаштований Vite). Синтаксична помилка в об’єкті `tr` ламає всі три CI-пайплайни (android, ios, site) — локальний build ловить її до коміту.