@nitra/cursor 1.19.2 → 1.21.0

package/.claude-template/settings.template.json

@@ -10,14 +10,14 @@
     ]
   },
   "hooks": {
-    "Stop": [
+    "PostToolUse": [
       {
-        "matcher": "",
+        "matcher": "Edit|Write|MultiEdit",
         "hooks": [
           {
             "type": "command",
-            "command": "npx --no @nitra/cursor stop-hook",
-            "timeout": 60
+            "command": "npx --no @nitra/cursor post-tool-use-fix",
+            "timeout": 300
           }
         ]
       }

package/CHANGELOG.md

@@ -4,6 +4,35 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.21.0] - 2026-05-25
+
+### Changed
+
+- **Stop-hook → PostToolUse з маршрутизацією за типом файла** (BREAKING для консьюмерів із кастомним `stop-hook` записом). `.claude-template/settings.template.json` тепер реєструє `PostToolUse` (matcher `Edit|Write|MultiEdit`, timeout 300) із командою `npx --no @nitra/cursor post-tool-use-fix` замість попереднього синхронного `Stop`-хука, що ганяв повний `fix` усіх правил на кожному turn-і. Новий хук читає `tool_input.file_path` зі stdin і запускає `fix` **лише** з релевантними правилами: `*.{mjs,js,cjs,ts,tsx,jsx}` → `js-lint`; `*.vue` → `js-lint style-lint vue`; `*.{css,scss,sass}` → `style-lint`; `**/k8s/**/*.{yaml,yml}` → `k8s`; `*.rego` → `rego`; `Dockerfile`/`*.Dockerfile` → `docker`; `.github/workflows/*.{yml,yaml}` → `ga`; `package.json` → `npm-module bun`; `*.sh` → `security`; `*.md` → `text` (поза `docs/adr/**` — там покриває async `normalize-decisions.sh`).
+- **CLI**: підкоманду `npx @nitra/cursor stop-hook` видалено; замість неї — `npx @nitra/cursor post-tool-use-fix`. `MANAGED_HOOK_COMMAND_MARKER` у `sync-claude-config.mjs` змінено на `@nitra/cursor post-tool-use-fix`; legacy-маркер `@nitra/cursor stop-hook` лишається у `MANAGED_HOOK_COMMAND_MARKERS` для автоматичного cleanup-у старих entries при наступному `npx @nitra/cursor`. `mergeHooks` тепер обходить union usually template+existing events, тому застарілі managed-групи у вже-непотрібних подіях (`Stop` у даному випадку) теж зачищаються.
+
+### Added
+
+- `npm/scripts/post-tool-use-fix.mjs` — реалізація `routeFilePathToRules(filePath)` (чиста функція, picomatch) і `runPostToolUseFixCli({ stdinJson, spawnFn })` (DI-friendly для тестів). 21 тест у `npm/scripts/tests/post-tool-use-fix.test.mjs`.
+- `LEGACY_STOP_HOOK_COMMAND_MARKER` — публічний export для тестів і потенційних консьюмерів, які перевіряють відсутність застарілого хука.
+
+### Removed
+
+- `npm/scripts/claude-stop-hook.mjs` — більше не потрібен.
+
+## [1.20.0] - 2026-05-25
+
+### Added
+
+- **NetworkPolicy: два повних канон-snippets**: `deployment.snippet.yaml` (для `Deployment`/`Job`/`CronJob`/`DaemonSet`) і `statefulset.snippet.yaml` (повний канон для `StatefulSet` з intra-replica правилами). Жодного runtime-merge — JS-генератор/rego обирають один за `kind` workload-у через анотацію `metadata.annotations['nitra.dev/workload-kind']`. Нові publiс exports: `loadSnippetSpec('deployment'|'statefulset')`, `KIND_TO_SNIPPET`, `snippetNameForKind(kind)`. `buildNetworkPolicyYaml(deployName, appLabel, kind)` — `kind` тепер обовʼязковий (throws на невідомий). Rego (`network_policy.rego`) робить superset-перевірку проти обраного канону; safety-net deny на allow-all `egress: [{}]`. GKE NodeLocal DNSCache: link-local `169.254.0.0/16` UDP/TCP 53 — у обох канонах. **Breaking** з v1.19.x: видалено `networkPolicyManifestViolations` (структуру тримає rego); `buildNetworkPolicyYaml` без `kind` тепер throws. Перейменування `common.snippet.yaml` → `deployment.snippet.yaml`; `data.template.snippet` → `data.template.deployment_snippet` у rego.
+- **`rules/js-lint/coverage`**: `parseStrykerReport` тепер зчитує оригінальний код вижилих мутантів (`extractOriginal`), групує по файлах і повертає `survived: [{file, mutants: [{line,col,mutantType,original,replacement}], exampleTest, recommendationText}]`; `findExampleTest` + `extractFirstTestBlock` знаходять і витягують перший тест-блок із тест-файлу поруч — для стилю.
+- **LLM-рекомендації у COVERAGE.md**: коли встановлено `ANTHROPIC_API_KEY`, `n-cursor coverage` робить один Anthropic API-виклик на кожен файл з вижилими мутантами та записує рекомендацію «Що треба протестувати» у секцію `## Recommendations`. Модель: `claude-haiku-4-5-20251001` з prompt caching (`ephemeral`). Без ключа — секція генерується без LLM-тексту.
+- **`rules/js-lint/coverage/lib/generate-recommendation.mjs`**: `generateMutantRecommendation(client, sourceContent, mutants)` — ізольований модуль LLM-виклику.
+- **`@anthropic-ai/sdk`** у dependencies — потрібен для LLM-рекомендацій (опціонально: якщо `ANTHROPIC_API_KEY` не задано, sdk не викликається).
+- **`rules/test/coverage`**: `renderMarkdown` генерує секцію `## Recommendations` з per-file підрозділами (`### <file>`) — таблиця мутантів + приклад тесту + LLM-текст (якщо є).
+- **Stryker incremental mode** у `stryker.config.baseline.mjs`: `incremental: true` + `incrementalFile: 'reports/stryker/stryker-incremental.json'` — Stryker зберігає прогрес між прогонами, відновлює стан після переривання (SIGURG, OOM тощо).
+- **`skills/coverage-fix`**: новий скіл `/n-coverage-fix` — читає `## Recommendations` з COVERAGE.md і ітеративно дописує тести до конвергенції mutation score, включаючи LLM-рекомендації та приклади тестів у промпт агента.
+
 ## [1.19.2] - 2026-05-25
 
 ### Fixed

package/bin/n-cursor.js

@@ -9,8 +9,10 @@
  *                                     якщо в корені вже є `.n-cursor.json`, спочатку зчитується конфіг і за потреби дописується `$schema`
  *   `npx \@nitra/cursor fix bun`     — перевірити лише вказані правила (ігнорує `.cursor/rules/`)
  *   `npx \@nitra/cursor rename-yaml-extensions` — k8s `*.yml` → `*.yaml`, `.github` `*.yaml` → `*.yml` (опції: `--dry-run`, `--root=…`; див. bin/rename-yaml-extensions.mjs)
- *   `npx \@nitra/cursor stop-hook`   — точка входу Stop hook Claude Code (читає stdin, виходить 0 при `stop_hook_active`,
- *                                     інакше викликає `fix`); прописується автоматично в `.claude/settings.json`
+ *   `npx \@nitra/cursor post-tool-use-fix` — точка входу PostToolUse hook Claude Code: читає stdin JSON,
+ *                                     дістає `tool_input.file_path`, маршрутизує його у відповідні правила
+ *                                     (`*.mjs` → `js-lint`, `*.vue` → `js-lint style-lint vue` тощо) і викликає
+ *                                     `fix` лише з ними. Прописується автоматично в `.claude/settings.json`.
  *   `npx \@nitra/cursor lint-ga`     — канонічний lint-ga (ga.mdc): preflight на `shellcheck` →
  *                                     `bunx github-actionlint` → `uvx zizmor --offline --collect=workflows .`
  *   `npx \@nitra/cursor lint-rego`   — канонічний lint-rego (conftest.mdc + rego.mdc):
@@ -83,7 +85,7 @@ import {
   RULE_MIGRATIONS
 } from '../scripts/auto-rules.mjs'
 import { detectAutoSkills } from '../scripts/auto-skills.mjs'
-import { runStopHookCli } from '../scripts/claude-stop-hook.mjs'
+import { runPostToolUseFixCli } from '../scripts/post-tool-use-fix.mjs'
 import { discoverCheckRulesFromCursorRules } from '../scripts/lib/discover-check-rules-from-cursor.mjs'
 import { listRuleIds } from '../scripts/lib/list-rule-ids.mjs'
 import { ensureNitraCursorInRootDevDependencies } from '../scripts/ensure-nitra-cursor-dev-dependencies.mjs'
@@ -1427,10 +1429,10 @@ try {
 
       break
     }
-    case 'stop-hook': {
-      // Викликається з .claude/settings.json як Stop hook Claude Code.
-      // Прокидає `check` і поважає stop_hook_active, щоб не зациклюватись.
-      const code = await runStopHookCli()
+    case 'post-tool-use-fix': {
+      // Викликається з .claude/settings.json як PostToolUse hook Claude Code.
+      // Маршрутизує змінений файл у релевантні правила і прокидає `fix` лише з ними.
+      const code = await runPostToolUseFixCli()
       process.exitCode = code
 
       break
@@ -1470,7 +1472,7 @@ try {
       // n-cursor coverage — оркестратор покриття + мутаційного тестування з discovery
       // провайдерів через .n-cursor.json#rules (test.mdc).
       const { runCoverageCli } = await import('../rules/test/coverage/coverage.mjs')
-      process.exitCode = await runCoverageCli()
+      process.exitCode = await runCoverageCli({ fix: args.includes('--fix') })
 
       break
     }
@@ -1488,7 +1490,7 @@ try {
     default: {
       console.error(`❌ Невідома команда: ${command}`)
       console.error(
-        `   Очікується: (без аргументів) синхронізація правил, check, rename-yaml-extensions, stop-hook, lint-ga, lint-rego, lint-k8s, lint-docker, lint-text, coverage, skill`
+        `   Очікується: (без аргументів) синхронізація правил, check, rename-yaml-extensions, post-tool-use-fix, lint-ga, lint-rego, lint-k8s, lint-docker, lint-text, coverage, skill`
       )
       process.exitCode = 1
     }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.19.2",
+  "version": "1.21.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -48,6 +48,8 @@
     "rename-yaml-extensions": "bun ./bin/n-cursor.js rename-yaml-extensions"
   },
   "dependencies": {
+    "@anthropic-ai/claude-code": "^1.0.0",
+    "@anthropic-ai/sdk": "^0.54.0",
     "oxc-parser": "^0.128.0",
     "picomatch": "^4.0.4",
     "smol-toml": "^1.6.1",

package/rules/adr/adr.mdc

@@ -103,22 +103,12 @@ docs/adr/
 
 ## Stop-hook у `.claude/settings.json`
 
-Канонічний запис, який вставляє sync (поряд із lint stop-hook):
+Канонічний запис, який вставляє sync (поряд із PostToolUse fix-хуком — той живе в іншій події, тут не показаний):
 
 ```json title=".claude/settings.json"
 {
   "hooks": {
     "Stop": [
-      {
-        "matcher": "",
-        "hooks": [
-          {
-            "type": "command",
-            "command": "npx --no @nitra/cursor stop-hook",
-            "timeout": 60
-          }
-        ]
-      },
       {
         "matcher": "",
         "hooks": [
@@ -146,7 +136,7 @@ docs/adr/
 }
 ```
 
-Усі три групи ідентифікуються пакетом за маркером у `command` (`@nitra/cursor stop-hook`, `.claude/hooks/capture-decisions.sh`, `.claude/hooks/normalize-decisions.sh`) — користувацькі hook-групи поряд не чіпаються. Якщо `adr` прибрати з `rules`, обидві ADR-групи автоматично видаляються на наступному `npx @nitra/cursor`.
+Обидві ADR-групи ідентифікуються пакетом за маркером у `command` (`.claude/hooks/capture-decisions.sh`, `.claude/hooks/normalize-decisions.sh`) — користувацькі hook-групи поряд не чіпаються. Якщо `adr` прибрати з `rules`, обидві ADR-групи автоматично видаляються на наступному `npx @nitra/cursor`.
 
 ## Stop-hook у `.cursor/hooks.json`
 

package/rules/js-lint/coverage/coverage.mjs

@@ -6,7 +6,7 @@
  * Контракт провайдера — у docs/superpowers/specs/2026-05-24-coverage-rule-design.md.
  */
 import { spawnSync } from 'node:child_process'
-import { existsSync } from 'node:fs'
+import { existsSync, readFileSync } from 'node:fs'
 import { mkdtemp, readFile, rm } from 'node:fs/promises'
 import { tmpdir } from 'node:os'
 import { join } from 'node:path'
@@ -55,26 +55,132 @@ function parseLcov(text) {
   return acc
 }
 
+/**
+ * Витягує оригінальний фрагмент коду з рядків файлу за позицією мутанта.
+ * @param {string[]} fileLines рядки файлу (0-indexed)
+ * @param {{start:{line:number,column:number},end:{line:number,column:number}}} loc позиція (рядки 1-indexed)
+ * @returns {string} оригінальний текст мутанта
+ */
+function extractOriginal(fileLines, loc) {
+  const startLine = loc.start.line - 1
+  const endLine = loc.end.line - 1
+  if (startLine === endLine) {
+    return fileLines[startLine]?.slice(loc.start.column, loc.end.column) ?? ''
+  }
+  const parts = []
+  for (let i = startLine; i <= endLine; i++) {
+    const line = fileLines[i] ?? ''
+    if (i === startLine) parts.push(line.slice(loc.start.column))
+    else if (i === endLine) parts.push(line.slice(0, loc.end.column))
+    else parts.push(line)
+  }
+  return parts.join('\n')
+}
+
+/**
+ * Витягує перший `it(` або `test(` блок з вмісту тест-файлу.
+ * Відстежує глибину `{}` для коректного завершення.
+ * @param {string} content вміст тест-файлу
+ * @returns {string | null} перший тест-блок або null
+ */
+export function extractFirstTestBlock(content) {
+  const lines = content.split('\n')
+  let startLine = -1
+  let depth = 0
+  let inBlock = false
+  const result = []
+  for (let i = 0; i < lines.length; i++) {
+    if (startLine === -1 && /^\s*(it|test)\(/.test(lines[i])) startLine = i
+    if (startLine === -1) continue
+    result.push(lines[i])
+    for (const ch of lines[i]) {
+      if (ch === '{') { depth++; inBlock = true }
+      else if (ch === '}') depth--
+    }
+    if (inBlock && depth === 0) break
+  }
+  return result.length > 0 ? result.join('\n') : null
+}
+
+/**
+ * Шукає тест-файл для заданого source-файлу і повертає перший тест-блок як приклад стилю.
+ * Кандидати: `<base>.test.js`, `<base>.test.mjs`, `<dir>/tests/<name>.test.js`.
+ * @param {string} jsRoot абсолютний шлях до JS-кореня
+ * @param {string} filename відносний шлях source-файлу (від jsRoot)
+ * @returns {{testFile:string, code:string|null} | null} null — якщо тест-файл не знайдено
+ */
+export function findExampleTest(jsRoot, filename) {
+  const base = filename.replace(/\.[^.]+$/, '')
+  const candidates = [`${base}.test.js`, `${base}.test.mjs`, `${base}.test.ts`]
+  const lastSlash = base.lastIndexOf('/')
+  if (lastSlash !== -1) {
+    const dir = base.slice(0, lastSlash)
+    const name = base.slice(lastSlash + 1)
+    candidates.push(`${dir}/tests/${name}.test.js`, `${dir}/tests/${name}.test.mjs`)
+  }
+  for (const rel of candidates) {
+    const full = join(jsRoot, rel)
+    if (!existsSync(full)) continue
+    const content = readFileSync(full, 'utf8')
+    return { testFile: rel, code: extractFirstTestBlock(content) }
+  }
+  return null
+}
+
 /**
  * Парс Stryker mutation.json: Killed+Timeout → caught; Survived+NoCoverage → до total.
  * Compile/Runtime errors виключаються з total.
- * @param {{files:Record<string,{mutants:Array<{status:string}>}>}} report розпарсений mutation.json
- * @returns {{caught:number,total:number}} агрегований mutation score
+ * Survived мутанти групуються по файлах з exampleTest.
+ * @param {{files:Record<string,{mutants:Array<{status:string,mutatorName?:string,replacement?:string,location?:{start:{line:number,column:number},end:{line:number,column:number}}}>}>}} report
+ * @param {string|null} [jsRoot] корінь для читання source-рядків і пошуку тест-файлів
+ * @returns {{caught:number,total:number,survived:Array<{file:string,mutants:Array<{line:number,col:number,mutantType:string,original:string,replacement:string}>,exampleTest:{testFile:string,code:string|null}|null,recommendationText:string|null}>}}
  */
-function parseStrykerReport(report) {
+export function parseStrykerReport(report, jsRoot) {
   let caught = 0
   let total = 0
-  for (const file of Object.values(report.files)) {
-    for (const mutant of file.mutants) {
+  /** @type {Map<string, Array<{line:number,col:number,mutantType:string,original:string,replacement:string}>>} */
+  const byFile = new Map()
+
+  for (const [filePath, fileData] of Object.entries(report.files)) {
+    let fileLines = null
+    for (const mutant of fileData.mutants) {
       if (mutant.status === 'Killed' || mutant.status === 'Timeout') {
         caught += 1
         total += 1
       } else if (mutant.status === 'Survived' || mutant.status === 'NoCoverage') {
         total += 1
+        if (mutant.status === 'Survived' && jsRoot && mutant.location) {
+          if (!fileLines) {
+            try {
+              fileLines = readFileSync(join(jsRoot, filePath), 'utf8').split('\n')
+            } catch {
+              fileLines = []
+            }
+          }
+          if (!byFile.has(filePath)) byFile.set(filePath, [])
+          byFile.get(filePath).push({
+            line: mutant.location.start.line,
+            col: mutant.location.start.column,
+            mutantType: mutant.mutatorName ?? 'Unknown',
+            original: extractOriginal(fileLines, mutant.location),
+            replacement: mutant.replacement ?? ''
+          })
+        }
       }
     }
   }
-  return { caught, total }
+
+  const survived = []
+  for (const [file, mutants] of byFile) {
+    survived.push({
+      file,
+      mutants,
+      exampleTest: jsRoot ? findExampleTest(jsRoot, file) : null,
+      recommendationText: null
+    })
+  }
+
+  return { caught, total, survived }
 }
 
 /**
@@ -130,7 +236,7 @@ export async function collect(cwd, opts = {}) {
         'або налаштуй його вручну'
     )
   }
-  const mutation = parseStrykerReport(mutationReport)
+  const { caught, total, survived } = parseStrykerReport(mutationReport, jsRoot)
 
-  return [{ area: 'JS', coverage, mutation }]
+  return [{ area: 'JS', coverage, mutation: { caught, total }, survived }]
 }

package/rules/k8s/js/manifests.mjs

@@ -134,11 +134,12 @@
  * У `kustomization.yaml` overlay, який підключає каталог `…/k8s/…/base`, не додавай окремі YAML-файли з HPA / PDB,
  * поки в наслідуваному `base` у дереві не з'явиться такий Deployment (k8s.mdc).
  */
-import { existsSync } from 'node:fs'
+import { existsSync, readFileSync } from 'node:fs'
 import { readFile, readdir, stat, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative, resolve } from 'node:path'
+import { fileURLToPath } from 'node:url'
 
-import { isSeq, parseAllDocuments, parseDocument } from 'yaml'
+import { isSeq, parseAllDocuments, parseDocument, stringify } from 'yaml'
 
 import { createCheckReporter } from '../../../scripts/lib/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/lib/load-cursor-config.mjs'
@@ -4242,125 +4243,90 @@ export function pdbManifestViolations(manifest, expectedAppLabel, isDevLike) {
   return errs
 }
 
+const NETWORK_POLICY_SNIPPET_URLS = {
+  deployment: new URL('../policy/network_policy/template/deployment.snippet.yaml', import.meta.url),
+  statefulset: new URL('../policy/network_policy/template/statefulset.snippet.yaml', import.meta.url),
+}
+
+/** @type {Record<string, Record<string, unknown>>} */
+const _snippetCache = {}
+
+/**
+ * Читає snippet-файл і повертає розпарсений spec. Результат кешується в пам'яті процесу.
+ * Кожен snippet — повний самодостатній канон NetworkPolicy для своєї групи workload-типів
+ * (без merge між snippets у runtime).
+ * @param {'deployment' | 'statefulset'} snippetName ім'я сніпету
+ * @returns {{ podSelector?: Record<string, unknown>, policyTypes?: string[], ingress?: unknown[], egress?: unknown[] }}
+ */
+export function loadSnippetSpec(snippetName) {
+  if (_snippetCache[snippetName]) return _snippetCache[snippetName]
+  const url = NETWORK_POLICY_SNIPPET_URLS[snippetName]
+  if (!url) throw new Error(`Unknown NetworkPolicy snippet: ${snippetName}`)
+  const raw = readFileSync(fileURLToPath(url), 'utf8')
+  _snippetCache[snippetName] = /** @type {any} */ (parseDocument(raw).toJS()).spec
+  return _snippetCache[snippetName]
+}
+
+/**
+ * Mapping workload-kind → snippet name. Єдине джерело dispatch'а в JS;
+ * rego використовує симетричний mapping через анотацію `nitra.dev/workload-kind`.
+ * @type {Record<string, 'deployment' | 'statefulset'>}
+ */
+export const KIND_TO_SNIPPET = {
+  Deployment: 'deployment',
+  Job: 'deployment',
+  CronJob: 'deployment',
+  DaemonSet: 'deployment',
+  StatefulSet: 'statefulset',
+}
+
+/**
+ * Обирає snippet name для конкретного workload-kind; throws на невідомий.
+ * @param {string} kind workload-kind
+ * @returns {'deployment' | 'statefulset'}
+ */
+export function snippetNameForKind(kind) {
+  const name = KIND_TO_SNIPPET[kind]
+  if (!name) throw new Error(`Unknown workload kind for NetworkPolicy canon: ${kind}`)
+  return name
+}
+
 /**
- * Канонічний список in-cluster TCP-портів у `to: [{namespaceSelector: {}}]` rule (k8s.mdc).
- * Зовнішній доступ (80/443 → 0.0.0.0/0) і kube-dns (53 UDP/TCP) — окремі rule вище.
- * Catch-all (`namespaceSelector: {}` без `ports:`) — заборонено.
- */
-const NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS = [80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318]
-
-/**
- * Канонічний блок `spec.egress` NetworkPolicy (k8s.mdc): kube-dns; TCP 80/443 на 0.0.0.0/0;
- * in-cluster `namespaceSelector: {}` зі списком `NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS`.
- */
-const NETWORK_POLICY_EGRESS_YAML = `  egress:
-    - to:
-        - namespaceSelector:
-            matchLabels:
-              kubernetes.io/metadata.name: kube-system
-          podSelector:
-            matchLabels:
-              k8s-app: kube-dns
-      ports:
-        - protocol: UDP
-          port: 53
-        - protocol: TCP
-          port: 53
-    - to:
-        - ipBlock:
-            cidr: 0.0.0.0/0
-      ports:
-        - protocol: TCP
-          port: 80
-        - protocol: TCP
-          port: 443
-    - to:
-        - namespaceSelector: {}
-      ports:
-${NETWORK_POLICY_IN_CLUSTER_DEFAULT_PORTS.map(p => `        - protocol: TCP\n          port: ${p}`).join('\n')}
-`
-
-/**
- * Канонічний YAML **NetworkPolicy** для workload з іменем `workloadName` і міткою `app`.
- * @param {string} deployName `metadata.name` workload (Deployment, StatefulSet, …)
- * @param {string} appLabel `spec.selector.matchLabels.app` (або selector у `jobTemplate` для CronJob)
+ * Читає deployment.snippet.yaml і повертає розпарсений spec.
+ * @deprecated Використовуй loadSnippetSpec('deployment')
+ * @returns {{ podSelector: Record<string, unknown>, policyTypes: string[], ingress: unknown[], egress: unknown[] }}
+ */
+export function readNetworkPolicySnippet() {
+  return /** @type {any} */ (loadSnippetSpec('deployment'))
+}
+
+/**
+ * Канонічний YAML **NetworkPolicy** для workload з іменем `deployName`, міткою `app` і типом `kind`.
+ * Snippet обирається за `kind` через `KIND_TO_SNIPPET` (без merge — кожен snippet самодостатній).
+ * Анотація `nitra.dev/workload-kind` додається, щоб rego диспатчив на правильний канон.
+ * @param {string} deployName `metadata.name` workload
+ * @param {string} appLabel `spec.selector.matchLabels.app`
+ * @param {string} kind `kind` workload (обовʼязковий: Deployment | StatefulSet | Job | CronJob | DaemonSet)
  * @returns {string} вміст `networkpolicy.yaml`
  */
-export function buildNetworkPolicyYaml(deployName, appLabel) {
+export function buildNetworkPolicyYaml(deployName, appLabel, kind) {
   const schemaUrl = `${YANNH_BASE}networkpolicy-networking-v1.json`
+  const snippetName = snippetNameForKind(kind)
+  const spec = JSON.parse(JSON.stringify(loadSnippetSpec(snippetName)))
+  spec.podSelector.matchLabels = { app: appLabel }
+  const specYaml = stringify(spec, { indent: 2 }).replaceAll(/^(?!$)/gm, '  ').trimEnd()
   return `# yaml-language-server: $schema=${schemaUrl}
 apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
   name: ${deployName}
+  annotations:
+    nitra.dev/workload-kind: ${kind}
 spec:
-  podSelector:
-    matchLabels:
-      app: ${appLabel}
-  policyTypes:
-    - Ingress
-    - Egress
-  ingress:
-    - from:
-        - podSelector: {}
-${NETWORK_POLICY_EGRESS_YAML}`
-}
-
-/**
- * Перевіряє **NetworkPolicy** (`networking.k8s.io/v1`): структура й прив'язка до workload.
- * @param {unknown} manifest корінь YAML-документа NetworkPolicy
- * @param {string} expectedDeployName очікуване `metadata.name` workload
- * @param {string} expectedAppLabel очікувана мітка `app` у `podSelector.matchLabels`
- * @returns {string[]} список порушень (порожній — ок)
- */
-export function networkPolicyManifestViolations(manifest, expectedDeployName, expectedAppLabel) {
-  /**
-  @type {string[]}
-   */
-  const errs = []
-  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest)) {
-    errs.push('NetworkPolicy має бути обʼєктом YAML')
-    return errs
-  }
-  const rec = /** @type {Record<string, unknown>} */ (manifest)
-  if (rec.kind !== 'NetworkPolicy') errs.push(`kind має бути NetworkPolicy (зараз: ${JSON.stringify(rec.kind)})`)
-  if (rec.apiVersion !== 'networking.k8s.io/v1')
-    errs.push(`apiVersion має бути networking.k8s.io/v1 (зараз: ${JSON.stringify(rec.apiVersion)})`)
-  const name = manifestMetadataName(rec)
-  if (name !== expectedDeployName)
-    errs.push(`metadata.name має бути '${expectedDeployName}' (зараз: ${JSON.stringify(name)})`)
-  const spec = rec.spec
-  if (spec === null || spec === undefined || typeof spec !== 'object' || Array.isArray(spec)) {
-    errs.push('spec відсутній або некоректний')
-    return errs
-  }
-  const s = /** @type {Record<string, unknown>} */ (spec)
-  const podSelector = s.podSelector
-  if (
-    podSelector === null ||
-    podSelector === undefined ||
-    typeof podSelector !== 'object' ||
-    Array.isArray(podSelector)
-  ) {
-    errs.push('spec.podSelector відсутній')
-    return errs
-  }
-  const matchLabels = /** @type {Record<string, unknown>} */ (podSelector).matchLabels
-  if (
-    matchLabels === null ||
-    matchLabels === undefined ||
-    typeof matchLabels !== 'object' ||
-    Array.isArray(matchLabels)
-  ) {
-    errs.push('spec.podSelector.matchLabels відсутній')
-    return errs
-  }
-  const app = /** @type {Record<string, unknown>} */ (matchLabels).app
-  if (app !== expectedAppLabel)
-    errs.push(`spec.podSelector.matchLabels.app має бути '${expectedAppLabel}' (зараз: ${JSON.stringify(app)})`)
-  return errs
+${specYaml}`
 }
 
+
 /**
  * Додає `resourceName` у `resources:` kustomization/Component YAML, якщо ще немає; сортує за алфавітом (en).
  * @param {string} raw вміст `kustomization.yaml`
@@ -5126,11 +5092,14 @@ function validateNetworkPolicyForWorkload(npDocs, workloadName, appLabel, worklo
     )
     return
   }
-  const npErrs = networkPolicyManifestViolations(matchedNp, workloadName, appLabel)
-  if (npErrs.length === 0) {
-    passFn(`${npRel}: NetworkPolicy для ${workloadKind} '${workloadName}' валідний (k8s.mdc)`)
+  const spec = /** @type {Record<string, unknown>} */ (matchedNp).spec
+  const foundLabel = networkPolicyPodSelectorAppLabel(spec)
+  if (foundLabel !== appLabel) {
+    fail(
+      `${npRel}: NetworkPolicy '${workloadName}' spec.podSelector.matchLabels.app='${foundLabel}' не відповідає мітці workload '${appLabel}' (k8s.mdc)`
+    )
   } else {
-    for (const e of npErrs) fail(`${npRel}: ${e} (k8s.mdc)`)
+    passFn(`${npRel}: NetworkPolicy для ${workloadKind} '${workloadName}' валідний (k8s.mdc)`)
   }
 }
 
@@ -6332,8 +6301,8 @@ async function appendNetworkPolicyDocuments(npAbs, toAdd, npRel, passFn) {
     const raw = await readFile(npAbs, 'utf8')
     content = raw.trimEnd()
   }
-  const blocks = toAdd.map(({ name, appLabel }, i) => {
-    const block = buildNetworkPolicyYaml(name, appLabel)
+  const blocks = toAdd.map(({ name, appLabel, kind }, i) => {
+    const block = buildNetworkPolicyYaml(name, appLabel, kind)
     return i === 0 && content === '' ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd()
   })
   const joined = blocks.join('\n---\n')
@@ -6401,18 +6370,27 @@ export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
   const needsMigration = docs.some(d => networkPolicyHasLegacyCatchAllEgress(d))
   if (!needsMigration) return false
   /**
-  @type {Array<{ name: string, appLabel: string }>}
+  @type {Array<{ name: string, appLabel: string, kind: string }>}
    */
   const specs = []
   for (const doc of docs) {
     const name = manifestMetadataName(doc)
-    const spec = /** @type {Record<string, unknown>} */ (doc).spec
+    const docRec = /** @type {Record<string, unknown>} */ (doc)
+    const spec = docRec.spec
     const appLabel = networkPolicyPodSelectorAppLabel(spec)
-    if (typeof name === 'string' && name !== '' && appLabel !== '') specs.push({ name, appLabel })
+    const meta = docRec.metadata
+    const annotations = (meta !== null && typeof meta === 'object' && !Array.isArray(meta))
+      ? /** @type {Record<string, unknown>} */ (meta).annotations
+      : null
+    const rawKind = (annotations !== null && typeof annotations === 'object' && !Array.isArray(annotations))
+      ? /** @type {Record<string, unknown>} */ (annotations)['nitra.dev/workload-kind']
+      : null
+    const kind = typeof rawKind === 'string' && rawKind !== '' ? rawKind : 'Deployment'
+    if (typeof name === 'string' && name !== '' && appLabel !== '') specs.push({ name, appLabel, kind })
   }
   if (specs.length === 0) return false
-  const blocks = specs.map(({ name, appLabel }, i) => {
-    const block = buildNetworkPolicyYaml(name, appLabel)
+  const blocks = specs.map(({ name, appLabel, kind }, i) => {
+    const block = buildNetworkPolicyYaml(name, appLabel, kind)
     return i === 0 ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd()
   })
   await writeFile(npAbs, `${blocks.join('\n---\n')}\n`, 'utf8')
@@ -6582,13 +6560,21 @@ function runAllK8sRego(root, yamlFiles, fail) {
   })
 
   /**
-  @type {Array<{ ns: string, dir: string, files: string[] }>}
+  @type {Array<{ ns: string, dir: string, files: string[], templateData?: Record<string, unknown> }>}
    */
   const targets = [
     { ns: 'k8s.manifest', dir: 'k8s/manifest', files: allYaml },
     { ns: 'k8s.gateway', dir: 'k8s/gateway', files: allYaml },
     { ns: 'k8s.hpa_pdb', dir: 'k8s/hpa_pdb', files: allYaml },
-    { ns: 'k8s.network_policy', dir: 'k8s/network_policy', files: allYaml },
+    {
+      ns: 'k8s.network_policy',
+      dir: 'k8s/network_policy',
+      files: allYaml,
+      templateData: {
+        deployment_snippet: loadSnippetSpec('deployment'),
+        statefulset_snippet: loadSnippetSpec('statefulset'),
+      },
+    },
     { ns: 'k8s.kustomization', dir: 'k8s/kustomization', files: kustYaml },
     { ns: 'k8s.svc_yaml', dir: 'k8s/svc_yaml', files: svcYaml },
     { ns: 'k8s.svc_hl_yaml', dir: 'k8s/svc_hl_yaml', files: svcHlYaml },
@@ -6598,7 +6584,7 @@ function runAllK8sRego(root, yamlFiles, fail) {
 
   for (const t of targets) {
     if (t.files.length === 0) continue
-    const violations = runConftestBatch({ policyDirRel: t.dir, namespace: t.ns, files: t.files })
+    const violations = runConftestBatch({ policyDirRel: t.dir, namespace: t.ns, files: t.files, templateData: t.templateData })
     for (const v of violations) {
       fail(`${relOf(v.filename)}: ${v.message}`)
     }