@nitra/cursor 1.8.102 → 1.8.104

package/bin/n-cursor.js

@@ -68,6 +68,11 @@ const BUNDLED_AGENTS_TEMPLATE_PATH = join(binDir, '..', AGENTS_TEMPLATE_FILE)
 /** Корінь установленого пакету (каталог з `mdc/`, `github-actions/`, …) */
 const BUNDLED_PACKAGE_ROOT = join(binDir, '..')
 
+const YAML_FRONTMATTER_RE = /^---\r?\n([\s\S]*?)\r?\n---/
+const SKILL_DESCRIPTION_RE = /description:\s*>-\s*\r?\n((?:[ \t]+[^\n]*(?:\r?\n|$))+)/m
+const NEWLINE_RE = /\r?\n/
+const LEADING_SPACES_RE = /^\s+/
+
 /**
  * Імена правил (без .mdc) з каталогу mdc поточної інсталяції пакету
  * @param {string} [bundledMdcDir] каталог `mdc/` у корені пакету (за замовчуванням — з поточного процесу)
@@ -192,7 +197,7 @@ async function readConfig(paths = {}) {
   }
 
   if (config.$schema !== CONFIG_SCHEMA_URL) {
-    const { $schema: _omit, ...rest } = config
+    const rest = Object.fromEntries(Object.entries(config).filter(([k]) => k !== '$schema'))
     const normalized = { $schema: CONFIG_SCHEMA_URL, ...rest }
     await writeFile(configPath, `${JSON.stringify(normalized, null, 2)}\n`, 'utf8')
     console.log(`📝 Оновлено поле $schema у ${CONFIG_FILE}\n`)
@@ -259,18 +264,18 @@ function managedSkillDirName(skillId) {
  * @returns {string | null} один рядок опису або null
  */
 function extractSkillDescription(text) {
-  const fm = text.match(/^---\r?\n([\s\S]*?)\r?\n---/)
+  const fm = text.match(YAML_FRONTMATTER_RE)
   if (!fm) {
     return null
   }
   const block = fm[1]
-  const desc = block.match(/description:\s*>-\s*\r?\n((?:^\s+.+(?:\r?\n|$))+)/m)
+  const desc = block.match(SKILL_DESCRIPTION_RE)
   if (!desc) {
     return null
   }
   return desc[1]
-    .split(/\r?\n/)
-    .map(line => line.replace(/^\s+/, '').trimEnd())
+    .split(NEWLINE_RE)
+    .map(line => line.replace(LEADING_SPACES_RE, '').trimEnd())
     .join(' ')
     .trim()
 }

package/mdc/text.mdc

@@ -104,7 +104,7 @@ version: '1.25'
 }
 ```
 
-Поле **`ignorePatterns`** додавай за потреби (наприклад згенеровані каталоги); якщо виключень немає — ключ можна опустити.
+Поле **`ignorePatterns`** обовʼязкове: у масиві мають бути **`**/hasura/metadata/**`** та **`**/schema.graphql`**; інші glob-и додавай за потреби (згенеровані каталоги тощо).
 
 Також потрібно прибрати, якщо є в проєкті, модуль **`@nitra/prettier-config`**, **prettier** та всі виклики prettier і налаштування для нього.
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.102",
+  "version": "1.8.104",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs

@@ -423,7 +423,7 @@ export function jsonPatchRemovesPath(patchText, posixPath) {
       ? String.raw`path:\s*\/spec\/clusterIP\b`
       : String.raw`path:\s*\/spec\/clusterIPs\b`
   const opRe = String.raw`op:\s*remove\b`
-  return new RegExp(`${opRe}[\\s\\S]{0,200}?${pathRe}`, 'mu').test(patchText) || new RegExp(`${pathRe}[\\s\\S]{0,200}?${opRe}`, 'mu').test(patchText)
+  return new RegExp(String.raw`${opRe}[\s\S]{0,200}?${pathRe}`, 'mu').test(patchText) || new RegExp(String.raw`${pathRe}[\s\S]{0,200}?${opRe}`, 'mu').test(patchText)
 }
 
 /**

package/scripts/check-bun.mjs

@@ -19,6 +19,8 @@ import { readFile } from 'node:fs/promises'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
 
+const OXFMT_END_RE = /&&[ \t]+oxfmt[ \t]+\.[ \t]*$/
+
 /**
  * Чи ім'я пакета дозволене в кореневих `devDependencies` за bun.mdc (лише **`@nitra/*`**).
  * @param {string} name ключ з поля `devDependencies`
@@ -142,20 +144,22 @@ export async function check() {
       if (aggregate.trim()) {
         const missing = lintPrefixed.filter(name => !aggregate.includes(`bun run ${name}`))
         if (missing.length > 0) {
+          const missingList = missing.map(s => `\`${s}\``).join(', ')
           fail(
-            `Скрипт \`lint\` має викликати всі lint-* через bun run; відсутньо: ${missing.map(s => `\`${s}\``).join(', ')}`
+            `Скрипт \`lint\` має викликати всі lint-* через bun run; відсутньо: ${missingList}`
           )
         } else {
           pass('package.json: агрегований `lint` покриває всі `lint-*` скрипти')
-          if (/\s*&&\s+oxfmt\s+\.\s*$/.test(aggregate.trim())) {
+          if (OXFMT_END_RE.test(aggregate.trim())) {
             pass('package.json: `lint` завершується `&& oxfmt .`')
           } else {
             fail('Скрипт `lint` має закінчуватися на `&& oxfmt .`')
           }
         }
       } else {
+        const scriptList = lintPrefixed.map(s => `\`${s}\``).join(', ')
         fail(
-          `У package.json є скрипти ${lintPrefixed.map(s => `\`${s}\``).join(', ')}, але немає агрегованого \`lint\` — додай скрипт, який запускає їх через \`bun run\``
+          `У package.json є скрипти ${scriptList}, але немає агрегованого \`lint\` — додай скрипт, який запускає їх через \`bun run\``
         )
       }
     }

package/scripts/check-docker.mjs

@@ -62,7 +62,8 @@ export async function check() {
     if (ok) {
       pass(`${rel} (${via})`)
     } else {
-      fail(`${rel} (${via})${tail ? `:\n${tail}` : ''}`)
+      const detail = tail ? `:\n${tail}` : ''
+      fail(`${rel} (${via})${detail}`)
     }
   }
 

package/scripts/check-graphql.mjs

@@ -24,7 +24,7 @@ export const GRAPHQL_RC_FILENAME = '.graphqlrc.yml'
 export const REQUIRED_GRAPHQL_VSCODE_EXTENSION = 'graphql.vscode-graphql'
 
 /**
- * Перевіряє graphql.mdc: умовна вимога `.graphqlrc.yml` і `graphql.vscode-graphql` за наявності `gql`…``.
+ * Перевіряє graphql.mdc: умовна вимога .graphqlrc.yml і graphql.vscode-graphql за наявності gql tagged templates.
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
 export async function check() {
@@ -59,19 +59,15 @@ export async function check() {
 
   pass(`Знайдено gql\`…\` у ${hits.length} файлі(ах): ${hits.slice(0, 5).join(', ')}${hits.length > 5 ? '…' : ''}`)
 
-  if (!existsSync(GRAPHQL_RC_FILENAME)) {
+  if (existsSync(GRAPHQL_RC_FILENAME)) {
+    pass(`${GRAPHQL_RC_FILENAME} існує`)
+  } else {
     fail(
       `Відсутній ${GRAPHQL_RC_FILENAME} у корені — додай GraphQL Config (graphql.mdc), бо в проєкті є gql template literals`
     )
-  } else {
-    pass(`${GRAPHQL_RC_FILENAME} існує`)
   }
 
-  if (!existsSync('.vscode/extensions.json')) {
-    fail(
-      '.vscode/extensions.json не існує — створи файл і додай у recommendations graphql.vscode-graphql (graphql.mdc)'
-    )
-  } else {
+  if (existsSync('.vscode/extensions.json')) {
     let ext
     try {
       ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
@@ -83,14 +79,18 @@ export async function check() {
       const rec = ext.recommendations
       if (!Array.isArray(rec)) {
         fail('.vscode/extensions.json: поле recommendations має бути масивом')
-      } else if (!rec.includes(REQUIRED_GRAPHQL_VSCODE_EXTENSION)) {
+      } else if (rec.includes(REQUIRED_GRAPHQL_VSCODE_EXTENSION)) {
+        pass(`.vscode/extensions.json: є ${REQUIRED_GRAPHQL_VSCODE_EXTENSION}`)
+      } else {
         fail(
           `.vscode/extensions.json: додай у recommendations "${REQUIRED_GRAPHQL_VSCODE_EXTENSION}" (graphql.mdc)`
         )
-      } else {
-        pass(`.vscode/extensions.json: є ${REQUIRED_GRAPHQL_VSCODE_EXTENSION}`)
       }
     }
+  } else {
+    fail(
+      '.vscode/extensions.json не існує — створи файл і додай у recommendations graphql.vscode-graphql (graphql.mdc)'
+    )
   }
 
   return reporter.getExitCode()

package/scripts/check-js-lint.mjs

@@ -39,7 +39,6 @@ export function isCanonicalLintJs(script) {
 
 /**
  * Чи діапазон `@nitra/eslint-config` у `package.json` передбачає версію з транзитивним `@e18e/eslint-plugin` (>=3.5.0).
- *
  * @param {unknown} versionSpec значення `devDependencies['@nitra/eslint-config']`
  * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.5.0
  */
@@ -60,7 +59,6 @@ export function nitraEslintConfigDeclaresE18eTransitive(versionSpec) {
 
 /**
  * Перевіряє потрібні поля `.oxlintrc.json` для розширення e18e (js-lint.mdc).
- *
  * @param {unknown} cfg корінь JSON-конфігурації oxlint
  * @returns {{ ok: boolean, failures: string[] }} `ok` і перелік повідомлень для `fail`
  */

package/scripts/check-k8s.mjs

@@ -45,6 +45,11 @@
  * **Inline JSON6902** у **`patches`** (і зовнішні файли з **`patches[].path`** під **`k8s`**, якщо вміст — масив JSON Patch): не допускається пара **`remove`** і **`add`**
  * на один і той самий **`path`** у межах одного фрагмента — потрібен **`op: replace`** (k8s.mdc). **check-k8s** це перевіряє.
  *
+ * **Мішень patch:** у **`patches[].target`** і **`patchesJson6902[].target`** (без **labelSelector** / **annotationSelector**)
+ * має існувати відповідний ресурс у зібраному з **`resources`**, **`bases`**, **`components`**, **`crds`** каталозі (рекурсивно для підкаталогів з **`kustomization.yaml`**).
+ * Для **`patchesStrategicMerge`** і для **`patches[].path`** без **`target`** і без inline **`patch`** (зовнішній strategic-merge)
+ * кожен YAML-документ з кореневим **`kind`** і **`metadata.name`** також звіряється з цим каталогом.
+ *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
  * компонент). Спочатку шукається збіг за фактичним `type`, потім за **`*`**.
@@ -471,6 +476,533 @@ export async function collectKustomizeManagedRelPaths(root, yamlFilesAbs) {
   return managed
 }
 
+/**
+ * Шляхи лише з полів ресурсів Kustomization (**без** patch-файлів).
+ * @param {unknown} obj корінь першого документа Kustomization
+ * @returns {string[]} відносні посилання
+ */
+function resourcePathRefsFromKustomizationObject(obj) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) return []
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  /** @type {string[]} */
+  const out = []
+  pushStringPaths(rec.resources, out)
+  pushStringPaths(rec.bases, out)
+  pushStringPaths(rec.components, out)
+  pushStringPaths(rec.crds, out)
+  return out
+}
+
+/**
+ * Дескриптор ресурсу для звірки з **`target`** Kustomize / strategic-merge фрагментом.
+ * @typedef {{ group: string, version: string, kind: string, name: string, namespace: string }} KustomizeResourceDescriptor
+ */
+
+/**
+ * Розбиває **`apiVersion`** Kubernetes на **group** і **version**.
+ * @param {unknown} apiVersion значення з YAML
+ * @returns {{ group: string, version: string }} для `group/version` — два сегменти; для `v1` — core (**group** порожній).
+ */
+export function splitK8sApiVersion(apiVersion) {
+  if (typeof apiVersion !== 'string') {
+    return { group: '', version: '' }
+  }
+  const t = apiVersion.trim()
+  if (t === '') {
+    return { group: '', version: '' }
+  }
+  const i = t.indexOf('/')
+  if (i === -1) {
+    return { group: '', version: t }
+  }
+  return { group: t.slice(0, i), version: t.slice(i + 1) }
+}
+
+/**
+ * Чи patch-**target** використовує **labelSelector** / **annotationSelector** (тоді статична перевірка за іменем не застосовується).
+ * @param {Record<string, unknown>} t об’єкт **target**
+ * @returns {boolean} true, якщо є непорожній селектор
+ */
+function patchTargetUsesSelector(t) {
+  const ls = t.labelSelector
+  if (
+    ls !== undefined &&
+    ls !== null &&
+    ls !== '' &&
+    ((typeof ls === 'object' && !Array.isArray(ls) && Object.keys(ls).length > 0) ||
+      (typeof ls === 'string' && ls.trim() !== ''))
+  ) {
+    return true
+  }
+  const asel = t.annotationSelector
+  if (
+    asel !== undefined &&
+    asel !== null &&
+    asel !== '' &&
+    ((typeof asel === 'object' && !Array.isArray(asel) && Object.keys(asel).length > 0) ||
+      (typeof asel === 'string' && asel.trim() !== ''))
+  ) {
+    return true
+  }
+  return false
+}
+
+/**
+ * Чи варто перевіряти **target** на наявність ресурсу в каталозі (є **kind** і **name**, немає селекторів).
+ * @param {unknown} target значення **patches[].target**
+ * @returns {boolean} true, якщо перевірка доречна
+ */
+export function shouldValidateKustomizePatchTarget(target) {
+  if (target === null || typeof target !== 'object' || Array.isArray(target)) {
+    return false
+  }
+  const t = /** @type {Record<string, unknown>} */ (target)
+  const kind = t.kind
+  const name = t.name
+  if (typeof kind !== 'string' || kind.trim() === '' || typeof name !== 'string' || name.trim() === '') {
+    return false
+  }
+  return !patchTargetUsesSelector(t)
+}
+
+/**
+ * Чи **target** Kustomize відповідає дескриптору ресурсу (узгоджено з правилами відбору Kustomize: пропущені поля **target** не звужують).
+ * @param {unknown} target об’єкт **target**
+ * @param {KustomizeResourceDescriptor} res дескриптор з інвентарю
+ * @returns {boolean} true, якщо збігається
+ */
+export function kustomizePatchTargetMatchesDescriptor(target, res) {
+  if (target === null || typeof target !== 'object' || Array.isArray(target)) {
+    return false
+  }
+  const rec = /** @type {Record<string, unknown>} */ (target)
+  const tk = rec.kind
+  const tn = rec.name
+  if (typeof tk !== 'string' || typeof tn !== 'string') {
+    return false
+  }
+  if (tk.trim() !== res.kind || tn.trim() !== res.name) {
+    return false
+  }
+  const tgtGroup = rec.group
+  if (typeof tgtGroup === 'string' && tgtGroup.trim() !== '' && res.group !== tgtGroup.trim()) {
+    return false
+  }
+  const tgtVersion = rec.version
+  if (typeof tgtVersion === 'string' && tgtVersion.trim() !== '' && res.version !== tgtVersion.trim()) {
+    return false
+  }
+  const tgtNs = rec.namespace
+  if (typeof tgtNs === 'string' && tgtNs.trim() !== '' && res.namespace !== tgtNs.trim()) {
+    return false
+  }
+  return true
+}
+
+/**
+ * Чи є в каталозі ресурс, який задовольняє **target**.
+ * @param {KustomizeResourceDescriptor[]} catalog зібрані дескриптори
+ * @param {unknown} target об’єкт **target**
+ * @returns {boolean} true, якщо перевірка не потрібна або знайдено збіг
+ */
+export function kustomizeResourceCatalogMatchesPatchTarget(catalog, target) {
+  if (!shouldValidateKustomizePatchTarget(target)) {
+    return true
+  }
+  return catalog.some(res => kustomizePatchTargetMatchesDescriptor(target, res))
+}
+
+/**
+ * Чи два дескриптори повністю збігаються (для strategic-merge фрагмента).
+ * @param {KustomizeResourceDescriptor} a перший
+ * @param {KustomizeResourceDescriptor} b другий
+ * @returns {boolean} true, якщо всі поля однакові
+ */
+export function kustomizeResourceDescriptorsIdentityEqual(a, b) {
+  return (
+    a.group === b.group &&
+    a.version === b.version &&
+    a.kind === b.kind &&
+    a.name === b.name &&
+    a.namespace === b.namespace
+  )
+}
+
+/**
+ * Будує дескриптор з маніфесту (пропускає **Kustomization** та об’єкти без **metadata.name**).
+ * @param {Record<string, unknown>} obj корінь документа
+ * @param {string} kustomizationDefaultNs значення **`namespace:`** з kustomization, що підключив файл
+ * @returns {KustomizeResourceDescriptor | null} дескриптор для звірки або **null**, якщо документ не підходить.
+ */
+export function kustomizeResourceDescriptorFromManifest(obj, kustomizationDefaultNs) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return null
+  }
+  const kindRaw = obj.kind
+  if (typeof kindRaw !== 'string' || kindRaw.trim() === '') {
+    return null
+  }
+  const kind = kindRaw.trim()
+  if (kind === 'Kustomization') {
+    return null
+  }
+  const meta = obj.metadata
+  let name = ''
+  if (meta !== null && typeof meta === 'object' && !Array.isArray(meta)) {
+    const m = /** @type {Record<string, unknown>} */ (meta)
+    const n = m.name
+    if (typeof n === 'string' && n.trim() !== '') {
+      name = n.trim()
+    }
+  }
+  if (name === '') {
+    return null
+  }
+  const { group, version } = splitK8sApiVersion(obj.apiVersion)
+  let namespace = ''
+  if (!isClusterScopedKubernetesKind(kind)) {
+    let metaNs = ''
+    if (meta !== null && typeof meta === 'object' && !Array.isArray(meta)) {
+      const m = /** @type {Record<string, unknown>} */ (meta)
+      const ns = m.namespace
+      if (typeof ns === 'string' && ns.trim() !== '') {
+        metaNs = ns.trim()
+      }
+    }
+    const def =
+      typeof kustomizationDefaultNs === 'string' && kustomizationDefaultNs.trim() !== ''
+        ? kustomizationDefaultNs.trim()
+        : ''
+    namespace = metaNs || def
+  }
+  return { group, version, kind, name, namespace }
+}
+
+/**
+ * Читає k8s YAML і повертає корені документів-об’єктів (після modeline, якщо він є).
+ * @param {string} abs абсолютний шлях до файлу
+ * @returns {Promise<Record<string, unknown>[]>} масив коренів-об’єктів YAML-документів (без масивів на корені).
+ */
+async function readK8sYamlDocumentRootsForInventory(abs) {
+  let raw
+  try {
+    raw = await readFile(abs, 'utf8')
+  } catch {
+    return []
+  }
+  const lines = toLines(raw)
+  const body =
+    lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+  /** @type {unknown[]} */
+  const roots = parseK8sYamlDocumentObjectRoots(body)
+  /** @type {Record<string, unknown>[]} */
+  const out = []
+  for (const r of roots) {
+    if (r !== null && typeof r === 'object' && !Array.isArray(r)) {
+      out.push(/** @type {Record<string, unknown>} */ (r))
+    }
+  }
+  return out
+}
+
+/**
+ * Збирає дескриптори ресурсів з **`resources` / `bases` / `components` / `crds`** для одного дерева kustomization.
+ * Повторний вхід у той самий **`kustomization.yaml`** дає порожній внесок (як у **`collectKustomizeManagedRelPaths`**).
+ * @param {string} kustAbs абсолютний шлях до **kustomization.yaml**
+ * @param {string} rootNorm нормалізований абсолютний корінь репозиторію
+ * @param {Set<string>} visitedKustomization нормалізовані абсолютні шляхи відвіданих **kustomization.yaml**
+ * @returns {Promise<KustomizeResourceDescriptor[]>} плоский список дескрипторів із дерева **resources** / **bases** / **components** / **crds**.
+ */
+export async function collectResourceDescriptorsForKustomizationWalk(kustAbs, rootNorm, visitedKustomization) {
+  const normKust = resolve(kustAbs)
+  if (visitedKustomization.has(normKust)) {
+    return []
+  }
+  visitedKustomization.add(normKust)
+
+  let raw
+  try {
+    raw = await readFile(normKust, 'utf8')
+  } catch {
+    return []
+  }
+  const lines = toLines(raw)
+  const body =
+    lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+
+  /** @type {import('yaml').Document[] | undefined} */
+  let docs
+  try {
+    docs = parseAllDocuments(body)
+  } catch {
+    return []
+  }
+  const first = docs[0]?.toJSON()
+  if (first === null || first === undefined || typeof first !== 'object' || Array.isArray(first)) {
+    return []
+  }
+  const rec = /** @type {Record<string, unknown>} */ (first)
+  const kustNs = typeof rec.namespace === 'string' && rec.namespace.trim() !== '' ? rec.namespace.trim() : ''
+  const kustDir = dirname(normKust)
+  const pathRefs = resourcePathRefsFromKustomizationObject(first)
+
+  /** @type {KustomizeResourceDescriptor[]} */
+  const out = []
+
+  for (const ref of pathRefs) {
+    if (typeof ref === 'string' && !ref.includes('://')) {
+      const resolved = resolve(kustDir, ref)
+      if (resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+        /** @type {import('node:fs').Stats | undefined} */
+        let st
+        try {
+          st = await stat(resolved)
+        } catch {
+          st = undefined
+        }
+        if (st !== undefined) {
+          if (st.isFile() && /\.ya?ml$/iu.test(resolved)) {
+            const roots = await readK8sYamlDocumentRootsForInventory(resolved)
+            for (const o of roots) {
+              const d = kustomizeResourceDescriptorFromManifest(o, kustNs)
+              if (d !== null) {
+                out.push(d)
+              }
+            }
+          } else if (st.isDirectory()) {
+            const childK = existsSync(join(resolved, 'kustomization.yaml'))
+              ? join(resolved, 'kustomization.yaml')
+              : null
+            if (childK !== null) {
+              const sub = await collectResourceDescriptorsForKustomizationWalk(
+                childK,
+                rootNorm,
+                visitedKustomization
+              )
+              out.push(...sub)
+            }
+          }
+        }
+      }
+    }
+  }
+
+  return out
+}
+
+/**
+ * Витягує записи з явним **target** з **patches** / **patchesJson6902**.
+ * @param {unknown} obj перший документ Kustomization
+ * @returns {Array<{ section: string, index: number, target: unknown }>} пари **section** + індекс (1-based) і **target** з YAML.
+ */
+function extractExplicitPatchTargetsFromKustomization(obj) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return []
+  }
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  /** @type {Array<{ section: string, index: number, target: unknown }>} */
+  const out = []
+  /**
+   * @param {string} section ім’я поля
+   * @param {unknown} arr масив з YAML
+   * @returns {void}
+   */
+  const push = (section, arr) => {
+    if (!Array.isArray(arr)) {
+      return
+    }
+    let i = 0
+    for (const item of arr) {
+      i++
+      if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
+        const it = /** @type {Record<string, unknown>} */ (item)
+        if ('target' in it) {
+          out.push({ section, index: i, target: it.target })
+        }
+      }
+    }
+  }
+  push('patches', rec.patches)
+  push('patchesJson6902', rec.patchesJson6902)
+  return out
+}
+
+/**
+ * Людинозчитуваний опис **target** для повідомлення про помилку.
+ * @param {unknown} target об’єкт **target**
+ * @returns {string} короткий рядок
+ */
+function formatKustomizePatchTargetForMessage(target) {
+  if (target === null || typeof target !== 'object' || Array.isArray(target)) {
+    return String(target)
+  }
+  const t = /** @type {Record<string, unknown>} */ (target)
+  const parts = []
+  const g = t.group
+  const v = t.version
+  const k = t.kind
+  const n = t.name
+  const ns = t.namespace
+  if (typeof g === 'string' && g.trim() !== '') {
+    parts.push(`group=${g.trim()}`)
+  }
+  if (typeof v === 'string' && v.trim() !== '') {
+    parts.push(`version=${v.trim()}`)
+  }
+  if (typeof k === 'string' && k.trim() !== '') {
+    parts.push(`kind=${k.trim()}`)
+  }
+  if (typeof n === 'string' && n.trim() !== '') {
+    parts.push(`name=${n.trim()}`)
+  }
+  if (typeof ns === 'string' && ns.trim() !== '') {
+    parts.push(`namespace=${ns.trim()}`)
+  }
+  return parts.length > 0 ? parts.join(', ') : JSON.stringify(t)
+}
+
+/**
+ * Перевіряє всі **`kustomization.yaml`** під **`k8s`**: **target** patch і strategic-merge посилання не вказують на ресурс поза інвентарем **resources** / **bases** / **components** / **crds**.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs абсолютні шляхи до yaml під k8s
+ * @param {(msg: string) => void} fail реєстрація помилки
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationPatchTargetsResolved(root, yamlFilesAbs, fail) {
+  const rootNorm = resolve(root)
+  for (const kustAbs of yamlFilesAbs) {
+    if (basename(kustAbs).toLowerCase() === 'kustomization.yaml') {
+      const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+      /** @type {string | undefined} */
+      let raw
+      let readOk = false
+      try {
+        raw = await readFile(kustAbs, 'utf8')
+        readOk = true
+      } catch (error) {
+        const msg = error instanceof Error ? error.message : String(error)
+        fail(`${rel}: не вдалося прочитати для перевірки patch target (${msg})`)
+      }
+      if (readOk && raw !== undefined) {
+        const lines = toLines(raw)
+        const body =
+          lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+        /** @type {import('yaml').Document[] | null} */
+        let docs = null
+        try {
+          docs = parseAllDocuments(body)
+        } catch {
+          fail(`${rel}: не вдалося розпарсити YAML для перевірки patch target`)
+        }
+        if (docs !== null) {
+          const first = docs[0]?.toJSON()
+          if (first !== null && first !== undefined && typeof first === 'object' && !Array.isArray(first)) {
+            const rec = /** @type {Record<string, unknown>} */ (first)
+            if (rec.kind === 'Kustomization') {
+              const visited = new Set()
+              const catalog = await collectResourceDescriptorsForKustomizationWalk(kustAbs, rootNorm, visited)
+              const kustDir = dirname(resolve(kustAbs))
+              const kustNs =
+                typeof rec.namespace === 'string' && rec.namespace.trim() !== '' ? rec.namespace.trim() : ''
+
+              for (const { section, index, target } of extractExplicitPatchTargetsFromKustomization(first)) {
+                if (
+                  shouldValidateKustomizePatchTarget(target) &&
+                  !kustomizeResourceCatalogMatchesPatchTarget(catalog, target)
+                ) {
+                  fail(
+                    `${rel}: ${section}[${index}].target — немає відповідного ресурсу в resources/bases/components/crds (рекурсивно): ${formatKustomizePatchTargetForMessage(target)}`
+                  )
+                }
+              }
+
+              const patchesOnlyPath = rec.patches
+              if (Array.isArray(patchesOnlyPath)) {
+                let pIdx = 0
+                for (const p of patchesOnlyPath) {
+                  pIdx++
+                  if (p !== null && typeof p === 'object' && !Array.isArray(p)) {
+                    const pr = /** @type {Record<string, unknown>} */ (p)
+                    const hasTargetKey = 'target' in pr && pr.target !== undefined && pr.target !== null
+                    const pathStr = typeof pr.path === 'string' ? pr.path.trim() : ''
+                    const inlinePatch = typeof pr.patch === 'string' && pr.patch.trim() !== ''
+                    if (!hasTargetKey && pathStr !== '' && !inlinePatch && !pathStr.includes('://')) {
+                      const resolved = resolve(kustDir, pathStr)
+                      if (resolvedFilePathIsUnderRoot(rootNorm, resolved) && existsSync(resolved)) {
+                        /** @type {import('node:fs').Stats | null} */
+                        let st = null
+                        try {
+                          st = await stat(resolved)
+                        } catch {
+                          st = null
+                        }
+                        if (st !== null && st.isFile() && /\.ya?ml$/iu.test(resolved)) {
+                          const roots = await readK8sYamlDocumentRootsForInventory(resolved)
+                          let docIdx = 0
+                          for (const o of roots) {
+                            docIdx++
+                            const d = kustomizeResourceDescriptorFromManifest(o, kustNs)
+                            if (
+                              d !== null &&
+                              !catalog.some(c => kustomizeResourceDescriptorsIdentityEqual(c, d))
+                            ) {
+                              const relPatch = (relative(root, resolved) || pathStr).replaceAll('\\', '/')
+                              fail(
+                                `${rel}: patches[${pIdx}] path «${relPatch}» документ ${docIdx} — у каталозі resources немає ресурсу ${d.kind}/${d.name} (namespace=${d.namespace || '(порожньо)'}, apiVersion group/version=${d.group || 'core'}/${d.version})`
+                              )
+                            }
+                          }
+                        }
+                      }
+                    }
+                  }
+                }
+              }
+
+              const sm = rec.patchesStrategicMerge
+              if (Array.isArray(sm)) {
+                let smIdx = 0
+                for (const ref of sm) {
+                  smIdx++
+                  if (typeof ref === 'string' && ref.trim() !== '' && !ref.includes('://')) {
+                    const resolved = resolve(kustDir, ref.trim())
+                    if (resolvedFilePathIsUnderRoot(rootNorm, resolved) && existsSync(resolved)) {
+                      /** @type {import('node:fs').Stats | null} */
+                      let st = null
+                      try {
+                        st = await stat(resolved)
+                      } catch {
+                        st = null
+                      }
+                      if (st !== null && st.isFile() && /\.ya?ml$/iu.test(resolved)) {
+                        const roots = await readK8sYamlDocumentRootsForInventory(resolved)
+                        let docIdx = 0
+                        for (const o of roots) {
+                          docIdx++
+                          const d = kustomizeResourceDescriptorFromManifest(o, kustNs)
+                          if (
+                            d !== null &&
+                            !catalog.some(c => kustomizeResourceDescriptorsIdentityEqual(c, d))
+                          ) {
+                            const relPatch = (relative(root, resolved) || ref).replaceAll('\\', '/')
+                            fail(
+                              `${rel}: patchesStrategicMerge[${smIdx}] «${relPatch}» документ ${docIdx} — у каталозі resources немає ресурсу ${d.kind}/${d.name} (namespace=${d.namespace || '(порожньо)'}, apiVersion group/version=${d.group || 'core'}/${d.version})`
+                            )
+                          }
+                        }
+                      }
+                    }
+                  }
+                }
+              }
+            }
+          }
+        }
+      }
+    }
+  }
+}
+
 /**
  * Чи це **`k8s/base/kustomization.yaml`** (перевірка обов’язкового непорожнього **`namespace:`**).
  * @param {string} rel шлях від кореня репозиторію
@@ -511,8 +1043,8 @@ async function findK8sYamlFiles(root) {
     if (!/\.ya?ml$/iu.test(p)) return
     out.push(p)
   })
-  // eslint-disable-next-line unicorn/no-array-sort -- toSorted потребує lib ES2023 у перевірці типів IDE
-  return [...out].sort((a, b) => a.localeCompare(b))
+   
+  return out.toSorted((a, b) => a.localeCompare(b))
 }
 
 /**
@@ -1808,6 +2340,8 @@ export async function check() {
 
   await validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFiles, fail)
 
+  await validateKustomizationPatchTargetsResolved(root, yamlFiles, fail)
+
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
 
   return reporter.getExitCode()

package/scripts/check-npm-module.mjs

@@ -16,6 +16,8 @@ import { readFile, stat } from 'node:fs/promises'
 import { join } from 'node:path'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
+
+const TYPES_FILE_RE = /^\.\/types\/.+\.d\.(ts|mts)$/
 import {
   hasIdTokenWritePermission,
   hasNpmPublishStepWithPackage,

package/scripts/check-text.mjs

@@ -1,7 +1,8 @@
 /**
  * Перевіряє текстовий стек і форматування за правилом text.mdc.
  *
- * oxfmt: `.oxfmtrc.json` з обовʼязковими ключами, VSCode (formatOnSave, defaultFormatter для js/ts/json/vue/css/html),
+ * oxfmt: `.oxfmtrc.json` з обовʼязковими ключами та масивом ignorePatterns (два канонічні glob-и з text.mdc для hasura metadata і schema.graphql),
+ * VSCode (formatOnSave, defaultFormatter для js/ts/json/vue/css/html),
  * відсутність Prettier у конфігах і залежностях.
  *
  * cspell, markdownlint через `bunx markdownlint-cli2` у `lint-text` (без оголошення пакета в package.json); у кореневих **`devDependencies`**
@@ -20,18 +21,25 @@ import { isAllowedRootDevDependency } from './check-bun.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { anyRunStepIncludes, parseWorkflowYaml } from './utils/gha-workflow.mjs'
 
+const WORKSPACE_STAR_RE = /^workspace:\*/
+const VERSION_PREFIX_RE = /^[\^~>=<]+\s*/
+const SEMVER_RE = /^(\d+)\.(\d+)\.(\d+)/
+
 /** Заголовок абзацу про апостроф у text.mdc / n-text.mdc. */
 const UK_APOSTROPHE_HEADING = '**Український апостроф:**'
 
+/** Мінімальні glob-и в `ignorePatterns` у `.oxfmtrc.json` (text.mdc). */
+const OXFMT_REQUIRED_IGNORE_PATTERNS = ['**/hasura/metadata/**', '**/schema.graphql']
+
 /**
- * Чи діапазон версії @nitra/cspell-dict у package.json означає лінію 2.0.0+ (з цієї версії словники входять у пакет).
+ * Чи діапазон версії `@nitra/cspell-dict` у package.json означає лінію 2.0.0+ (з цієї версії словники входять у пакет).
  * @param {string|undefined} range наприклад "^2.0.0"
- * @returns {boolean}
+ * @returns {boolean} true якщо мажорна версія >= 2
  */
 function cspellDictVersionAtLeast200(range) {
   if (typeof range !== 'string' || !range.trim()) return false
-  const cleaned = range.trim().replace(/^workspace:\*/, '').replace(/^[\^~>=<]+\s*/, '')
-  const m = cleaned.match(/^(\d+)\.(\d+)\.(\d+)/)
+  const cleaned = range.trim().replace(WORKSPACE_STAR_RE, '').replace(VERSION_PREFIX_RE, '')
+  const m = cleaned.match(SEMVER_RE)
   if (!m) return false
   const major = Number(m[1])
   return major >= 2
@@ -158,6 +166,22 @@ export async function check() {
     if (cfg.tabWidth !== 2) fail('.oxfmtrc.json: tabWidth має бути 2')
     if (cfg.useTabs !== false) fail('.oxfmtrc.json: useTabs має бути false')
     if (cfg.printWidth !== 120) fail('.oxfmtrc.json: printWidth має бути 120')
+
+    if (Array.isArray(cfg.ignorePatterns)) {
+      const set = new Set(cfg.ignorePatterns)
+      const missing = OXFMT_REQUIRED_IGNORE_PATTERNS.filter(p => !set.has(p))
+      if (missing.length === 0) {
+        pass('.oxfmtrc.json: ignorePatterns містить hasura/metadata та schema.graphql')
+      } else {
+        fail(
+          `.oxfmtrc.json ignorePatterns: додай відсутні елементи: ${missing.join(', ')} (канонічний приклад у text.mdc)`
+        )
+      }
+    } else {
+      fail(
+        `.oxfmtrc.json: додай масив ignorePatterns з ${OXFMT_REQUIRED_IGNORE_PATTERNS.join(', ')} (див. text.mdc)`
+      )
+    }
   } else {
     fail('.oxfmtrc.json не існує — створи його')
   }
@@ -245,10 +269,10 @@ export async function check() {
     const cspellRange = devDeps['@nitra/cspell-dict']
     if (!cspellRange) {
       fail('@nitra/cspell-dict у devDependencies обовʼязковий для cspell — bun add -d @nitra/cspell-dict@^2.0.0')
-    } else if (!cspellDictVersionAtLeast200(cspellRange)) {
-      fail('@nitra/cspell-dict має бути ^2.0.0 або новіший (словники зібрані в пакеті з 2.x)')
-    } else {
+    } else if (cspellDictVersionAtLeast200(cspellRange)) {
       pass('@nitra/cspell-dict ^2.0.0+')
+    } else {
+      fail('@nitra/cspell-dict має бути ^2.0.0 або новіший (словники зібрані в пакеті з 2.x)')
     }
 
     const rootDeps = pkg.dependencies || {}

package/scripts/check-vue.mjs

@@ -12,6 +12,8 @@ import { readFile } from 'node:fs/promises'
 import { join, relative } from 'node:path'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
+
+const MAJOR_VERSION_RE = /(\d+)/
 import {
   findForbiddenVueImportsInSourceFile,
   isVueImportScanSourceFile,
@@ -73,7 +75,7 @@ async function checkVuePackage(rootDir, fail, passFn) {
   }
 
   if (devDeps.vite) {
-    const match = devDeps.vite.match(/(\d+)/)
+    const match = devDeps.vite.match(MAJOR_VERSION_RE)
     if (match && Number(match[1]) >= 8) {
       passFn(`${prefix}vite >= 8: ${devDeps.vite}`)
     } else {

package/scripts/rename-yaml-extensions.mjs

@@ -16,6 +16,10 @@ import { relative, resolve } from 'node:path'
 
 import { walkDir } from './utils/walkDir.mjs'
 
+const K8S_YML_RE = /\.yml$/iu
+const GITHUB_YAML_RE = /\.yaml$/iu
+const EXTENSION_RE = /^(.+)(\.[^./\\]+)$/u
+
 /**
  * Відносний шлях від кореня з `/`; `null`, якщо поза root.
  * @param {string} rootAbs абсолютний корінь
@@ -34,7 +38,7 @@ export function posixRelFromRoot(rootAbs, fileAbs) {
  * @returns {boolean} true, якщо є сегмент k8s і суфікс .yml
  */
 export function pathMatchesK8sYml(relPosix) {
-  if (!/\.yml$/iu.test(relPosix)) return false
+  if (!K8S_YML_RE.test(relPosix)) return false
   return relPosix.split('/').includes('k8s')
 }
 
@@ -44,7 +48,7 @@ export function pathMatchesK8sYml(relPosix) {
  * @returns {boolean} true, якщо є сегмент .github і суфікс .yaml
  */
 export function pathMatchesGithubYaml(relPosix) {
-  if (!/\.yaml$/iu.test(relPosix)) return false
+  if (!GITHUB_YAML_RE.test(relPosix)) return false
   return relPosix.split('/').includes('.github')
 }
 
@@ -55,7 +59,7 @@ export function pathMatchesGithubYaml(relPosix) {
  * @returns {string} шлях з останнім розширенням, заміненим на newExt
  */
 export function replaceExtension(relPosix, newExt) {
-  const m = relPosix.match(/^(.+)(\.[^./\\]+)$/u)
+  const m = relPosix.match(EXTENSION_RE)
   if (!m) return relPosix + newExt
   return m[1] + newExt
 }

package/scripts/run-docker.mjs

@@ -64,7 +64,8 @@ async function main() {
     if (ok) {
       pass(`${rel} (${via})`)
     } else {
-      fail(`${rel} (${via})${tail ? `:\n${tail}` : ''}`)
+      const detail = tail ? `:\n${tail}` : ''
+      fail(`${rel} (${via})${detail}`)
     }
   }
 

package/scripts/run-k8s.mjs

@@ -16,8 +16,12 @@ import { spawnSync } from 'node:child_process'
 import { basename, dirname } from 'node:path'
 
 import { isRunAsCli } from './cli-entry.mjs'
+import { resolveCmd } from './utils/resolve-cmd.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
+const PATH_SEPARATOR_RE = /[/\\]/u
+const YAML_EXT_RE = /\.yaml$/iu
+
 /** Версія Kubernetes для kubeconform — синхронно з YANNH_PIN (без префікса v і суфікса -standalone-strict). */
 const KUBERNETES_VERSION = '1.33.9'
 
@@ -31,7 +35,7 @@ const DATREE_CRD_SCHEMA_LOCATION =
  * @returns {boolean} true, якщо серед компонентів шляху є каталог `k8s`
  */
 export function pathHasK8sSegment(filePath) {
-  const parts = filePath.split(/[/\\]/u)
+  const parts = filePath.split(PATH_SEPARATOR_RE)
   return parts.includes('k8s')
 }
 
@@ -61,7 +65,7 @@ export async function findK8sRoots(root) {
   const roots = new Set()
   await walkDir(root, p => {
     if (!pathHasK8sSegment(p)) return
-    if (!/\.yaml$/iu.test(p)) return
+    if (!YAML_EXT_RE.test(p)) return
     const k8sRoot = k8sRootFromFile(p)
     if (k8sRoot) roots.add(k8sRoot)
   })
@@ -85,7 +89,12 @@ function runKubeconform(dirs) {
     '-ignore-missing-schemas',
     ...dirs
   ]
-  const r = spawnSync('kubeconform', args, { stdio: 'inherit', shell: false })
+  const kubeconformPath = resolveCmd('kubeconform')
+  if (!kubeconformPath) {
+    console.error('kubeconform не знайдено в PATH. Встанови з https://github.com/yannh/kubeconform#readme')
+    return 127
+  }
+  const r = spawnSync(kubeconformPath, args, { stdio: 'inherit', shell: false })
   if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
     console.error('kubeconform не знайдено в PATH. Встанови з https://github.com/yannh/kubeconform#readme')
     return 127
@@ -101,7 +110,12 @@ function runKubeconform(dirs) {
  */
 function runKubescape(dirs) {
   for (const d of dirs) {
-    const r = spawnSync('kubescape', ['scan', d, '--severity-threshold', 'high'], {
+    const kubescapePath = resolveCmd('kubescape')
+    if (!kubescapePath) {
+      console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+      return 127
+    }
+    const r = spawnSync(kubescapePath, ['scan', d, '--severity-threshold', 'high'], {
       stdio: 'inherit',
       shell: false
     })

package/scripts/run-v8r.mjs

@@ -19,6 +19,7 @@ import { dirname, join } from 'node:path'
 import { fileURLToPath } from 'node:url'
 
 import { isRunAsCli } from './cli-entry.mjs'
+import { resolveCmd } from './utils/resolve-cmd.mjs'
 
 /** Типові glob-и для форматів, які обробляє v8r (див. опис CLI v8r). */
 export const DEFAULT_V8R_GLOBS = ['**/*.json', '**/*.json5', '**/*.yml', '**/*.yaml', '**/*.toml']
@@ -48,7 +49,8 @@ export function runV8rWithGlobs(globs = DEFAULT_V8R_GLOBS) {
   }
 
   for (const pattern of globs) {
-    const result = spawnSync('bun', ['x', 'v8r', pattern, '-c', V8R_CATALOG_PATH], {
+    const bunPath = resolveCmd('bun') ?? process.execPath
+    const result = spawnSync(bunPath, ['x', 'v8r', pattern, '-c', V8R_CATALOG_PATH], {
       encoding: 'utf8',
       maxBuffer: 50 * 1024 * 1024,
       shell: false,

package/scripts/upgrade-nitra-cursor-and-install.mjs

@@ -20,6 +20,14 @@ const NPM_LATEST_URL = 'https://registry.npmjs.org/@nitra/cursor/latest'
 
 const execFileAsync = promisify(execFile)
 
+const WORKSPACE_RE = /^workspace:/i
+const FILE_RE = /^file:/i
+const LINK_RE = /^link:/i
+const PORTAL_RE = /^portal:/i
+const GIT_RE = /^git(\+|:\/\/)/i
+const NPM_PROTO_RE = /^npm:/i
+const HTTP_RE = /^https?:\/\//i
+
 /**
  * Чи не можна безпечно підставити semver з npm замість поточного специфікатора залежності.
  * @param {string} specifier значення з package.json
@@ -30,25 +38,25 @@ export function shouldSkipNpmVersionUpgrade(specifier) {
   if (!s) {
     return true
   }
-  if (/^workspace:/i.test(s)) {
+  if (WORKSPACE_RE.test(s)) {
     return true
   }
-  if (/^file:/i.test(s)) {
+  if (FILE_RE.test(s)) {
     return true
   }
-  if (/^link:/i.test(s)) {
+  if (LINK_RE.test(s)) {
     return true
   }
-  if (/^portal:/i.test(s)) {
+  if (PORTAL_RE.test(s)) {
     return true
   }
-  if (/^git(\+|:\/\/)/i.test(s)) {
+  if (GIT_RE.test(s)) {
     return true
   }
-  if (/^npm:/i.test(s)) {
+  if (NPM_PROTO_RE.test(s)) {
     return true
   }
-  if (/^https?:\/\//i.test(s)) {
+  if (HTTP_RE.test(s)) {
     return true
   }
   if (s.startsWith('./') || s.startsWith('../')) {

package/scripts/utils/docker-hadolint.mjs

@@ -8,6 +8,8 @@
 import { spawnSync } from 'node:child_process'
 import { relative, sep } from 'node:path'
 
+import { resolveCmd } from './resolve-cmd.mjs'
+
 /** Тег образу для резервного запуску (узгоджуй з docker.mdc). */
 export const HADOLINT_IMAGE = 'hadolint/hadolint:v2.12.0'
 
@@ -29,12 +31,13 @@ export function posixRel(root, absPath) {
  */
 export function lintDockerfileWithHadolint(root, absPath) {
   const rel = posixRel(root, absPath)
-  const local = spawnSync('hadolint', [rel], {
-    cwd: root,
-    encoding: 'utf8',
-    maxBuffer: 10 * 1024 * 1024
-  })
-  if (!local.error) {
+  const hadolintPath = resolveCmd('hadolint')
+  if (hadolintPath) {
+    const local = spawnSync(hadolintPath, [rel], {
+      cwd: root,
+      encoding: 'utf8',
+      maxBuffer: 10 * 1024 * 1024
+    })
     const ok = local.status === 0
     return {
       ok,
@@ -43,16 +46,20 @@ export function lintDockerfileWithHadolint(root, absPath) {
       via: 'hadolint'
     }
   }
-  if (local.error.code !== 'ENOENT') {
+
+  const dockerPath = resolveCmd('docker')
+  if (!dockerPath) {
     return {
       ok: false,
       stdout: '',
-      stderr: local.error.message,
-      via: 'hadolint'
+      stderr:
+        'Не знайдено hadolint у PATH і не знайдено docker у PATH. ' +
+        'Встанови hadolint (наприклад brew install hadolint) або Docker (див. docker.mdc).',
+      via: 'docker'
     }
   }
 
-  const docker = spawnSync('docker', ['run', '--rm', '-v', `${root}:/workdir`, '-w', '/workdir', HADOLINT_IMAGE, rel], {
+  const docker = spawnSync(dockerPath, ['run', '--rm', '-v', `${root}:/workdir`, '-w', '/workdir', HADOLINT_IMAGE, rel], {
     cwd: root,
     encoding: 'utf8',
     maxBuffer: 10 * 1024 * 1024

package/scripts/utils/graphql-gql-scan.mjs

@@ -12,10 +12,12 @@ import {
   shouldSkipFileForVueImportScan
 } from './vue-forbidden-imports.mjs'
 
+const VUE_EXTENSION_RE = /\.vue$/u
+
 /**
  * Мова для Oxc за шляхом файлу (розширення).
  * @param {string} filePath віртуальний або реальний шлях
- * @returns {'js' | 'jsx' | 'ts' | 'tsx'}
+ * @returns {'js' | 'jsx' | 'ts' | 'tsx'} мова для Oxc парсера
  */
 function langFromPath(filePath) {
   const lower = filePath.toLowerCase()
@@ -34,11 +36,11 @@ function langFromPath(filePath) {
 /**
  * Віртуальний шлях для парсера: SFC розбираємо як TypeScript.
  * @param {string} relativePath відносний шлях до файлу
- * @returns {string}
+ * @returns {string} шлях із заміненим розширенням для SFC
  */
 function virtualPathForParse(relativePath) {
   if (relativePath.endsWith('.vue')) {
-    return relativePath.replace(/\.vue$/u, '.ts')
+    return relativePath.replace(VUE_EXTENSION_RE, '.ts')
   }
   return relativePath
 }
@@ -46,7 +48,7 @@ function virtualPathForParse(relativePath) {
 /**
  * Чи містить AST хоча б один `gql` tagged template.
  * @param {unknown} node корінь або вузол AST
- * @returns {boolean}
+ * @returns {boolean} true якщо знайдено тег gql
  */
 function astContainsGqlTag(node) {
   if (node === null || node === undefined) {
@@ -56,7 +58,7 @@ function astContainsGqlTag(node) {
     return false
   }
   if (Array.isArray(node)) {
-    return node.some(astContainsGqlTag)
+    return node.some(n => astContainsGqlTag(n))
   }
   if (node.type === 'TaggedTemplateExpression') {
     const tag = node.tag
@@ -65,10 +67,7 @@ function astContainsGqlTag(node) {
     }
   }
   for (const key of Object.keys(node)) {
-    if (key === 'loc' || key === 'range') {
-      continue
-    }
-    if (astContainsGqlTag(node[key])) {
+    if (key !== 'loc' && key !== 'range' && astContainsGqlTag(node[key])) {
       return true
     }
   }
@@ -99,7 +98,7 @@ export function sourceFileHasGqlTaggedTemplate(content, relativePath) {
 /**
  * Чи підлягає файл скануванню за розширенням (узгоджено з vue-import scan).
  * @param {string} relativePath відносний шлях
- * @returns {boolean}
+ * @returns {boolean} true якщо файл підлягає скануванню
  */
 export function isGqlScanSourceFile(relativePath) {
   return isVueImportScanSourceFile(relativePath)
@@ -108,7 +107,7 @@ export function isGqlScanSourceFile(relativePath) {
 /**
  * Чи пропустити файл (декларації, auto-imports) — ті самі критерії, що для vue-import scan.
  * @param {string} relativePosix шлях з posix-слешами
- * @returns {boolean}
+ * @returns {boolean} true якщо файл потрібно пропустити
  */
 export function shouldSkipFileForGqlScan(relativePosix) {
   return shouldSkipFileForVueImportScan(relativePosix)

package/scripts/utils/resolve-cmd.mjs

@@ -0,0 +1,23 @@
+/**
+ * Утиліта для розв'язання абсолютного шляху до команди в PATH.
+ *
+ * Використовується для виклику зовнішніх інструментів через абсолютний шлях
+ * замість команди з PATH (sonarjs/no-os-command-from-path).
+ */
+import { spawnSync } from 'node:child_process'
+import { platform } from 'node:process'
+
+/**
+ * Повертає абсолютний шлях до команди в PATH або null, якщо команда не знайдена.
+ * @param {string} cmd ім'я команди без шляху
+ * @returns {string | null} абсолютний шлях або null
+ */
+export function resolveCmd(cmd) {
+  const whichCmd = platform === 'win32' ? 'where' : 'which'
+  const result = spawnSync(whichCmd, [cmd], { encoding: 'utf8' })
+  if (result.status !== 0 || result.error) {
+    return null
+  }
+  const line = result.stdout.trim().split('\n')[0].trim()
+  return line || null
+}

package/scripts/utils/vue-forbidden-imports.mjs

@@ -10,6 +10,9 @@
  */
 import { parseSync } from 'oxc-parser'
 
+const VUE_EXT_RE = /\.vue$/u
+const SOURCE_FILE_RE = /\.(vue|[cm]?[jt]sx?)$/
+
 /**
  * Мова для Oxc за шляхом файлу (розширення).
  * @param {string} filePath віртуальний або реальний шлях до файлу
@@ -74,7 +77,7 @@ function isAllowedVueStaticImport(imp) {
  */
 function virtualPathForParse(relativePath) {
   if (relativePath.endsWith('.vue')) {
-    return relativePath.replace(/\.vue$/u, '.ts')
+    return relativePath.replace(VUE_EXT_RE, '.ts')
   }
   return relativePath
 }
@@ -162,7 +165,7 @@ export function shouldSkipFileForVueImportScan(relativePosix) {
  * @returns {boolean} `true`, якщо розширення підходить для пошуку import
  */
 export function isVueImportScanSourceFile(relativePath) {
-  return /\.(vue|[cm]?[jt]sx?)$/.test(relativePath)
+  return SOURCE_FILE_RE.test(relativePath)
 }
 
 /**

package/scripts/utils/workspaces.mjs

@@ -8,6 +8,8 @@ import { existsSync } from 'node:fs'
 import { glob, readFile } from 'node:fs/promises'
 import { dirname, join, relative } from 'node:path'
 
+const TRAILING_SLASH_RE = /\/$/
+
 /**
  * Нормалізує поле `workspaces` з package.json до масиву шляхів / glob-патернів.
  * @param {unknown} workspaces значення `workspaces` з кореневого package.json
@@ -35,7 +37,11 @@ export async function getMonorepoPackageRootDirs(repoRoot = '.') {
   }
   const pkg = JSON.parse(await readFile(rootPkgPath, 'utf8'))
   for (const raw of normalizeWorkspacePatterns(pkg.workspaces)) {
-    const w = raw.replaceAll('\\', '/').replace(/\/+$/, '') || '.'
+    let w = raw.replaceAll('\\', '/')
+    while (TRAILING_SLASH_RE.test(w)) {
+      w = w.slice(0, -1)
+    }
+    w = w || '.'
     if (w.includes('*')) {
       const globPat = `${w}/package.json`
       for await (const f of glob(globPat, { cwd: repoRoot })) {