npm - @nitra/cursor - Versions diffs - 1.8.112 → 1.8.114 - Mend

@nitra/cursor 1.8.112 → 1.8.114

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (9) hide show

package/bin/n-cursor.js CHANGED Viewed

@@ -752,6 +752,76 @@ async function removeOrphanManagedCommandFiles(commandsDir, configSkills) {
   return removed.toSorted((a, b) => a.localeCompare(b))
 }
+/**
+ * Синхронізує .claude/commands/{dirName}.md для всіх локальних скілів з .cursor/skills/
+ * що не керуються пакетом (відсутні в configSkills).
+ * @param {string[]} configSkills id керованих skills (вже оброблені syncCommands)
+ * @returns {Promise<{ success: number, fail: number }>} лічильники успішних і невдалих записів
+ */
+async function syncLocalOnlySkillCommands(configSkills) {
+  const skillsRoot = join(cwd(), SKILLS_DIR)
+  if (!existsSync(skillsRoot)) return { success: 0, fail: 0 }
+  const commandsDir = join(cwd(), COMMANDS_DIR)
+  await mkdir(commandsDir, { recursive: true })
+  const managedDirNames = new Set(configSkills.map(s => managedSkillDirName(s)))
+  const allDirNames = await listProjectSkillDirNames()
+  const localOnly = allDirNames.filter(d => !managedDirNames.has(d))
+  let success = 0
+  let fail = 0
+  for (const dirName of localOnly) {
+    const skillMdPath = join(skillsRoot, dirName, 'SKILL.md')
+    const destFile = join(commandsDir, `${dirName}.md`)
+    process.stdout.write(`  ⬇  ${dirName} → ${COMMANDS_DIR}/${dirName}.md ... `)
+    try {
+      let desc = ''
+      if (existsSync(skillMdPath)) {
+        const raw = await readFile(skillMdPath, 'utf8')
+        const parsed = extractSkillDescription(raw)
+        if (parsed) desc = skillDescriptionSafeForMarkdownInline(parsed)
+      }
+      const header = desc ? `# ${dirName} — ${desc}\n\n` : ''
+      const body = `${header}Виконай інструкції зі скілу \`${SKILLS_DIR}/${dirName}/SKILL.md\`.\n`
+      await writeFile(destFile, body, 'utf8')
+      console.log(`✅`)
+      success++
+    } catch (error) {
+      console.log(`❌`)
+      console.error(`     Помилка: ${errorMessage(error)}`)
+      fail++
+    }
+  }
+  return { success, fail }
+}
+/**
+ * Видаляє .claude/commands/{dirName}.md файли локальних скілів, яких більше немає в .cursor/skills/
+ * @param {string} commandsDir абсолютний шлях до .claude/commands
+ * @param {string[]} configSkills id керованих skills
+ * @returns {Promise<string[]>} імена видалених файлів
+ */
+async function removeOrphanLocalSkillCommandFiles(commandsDir, configSkills) {
+  if (!existsSync(commandsDir)) return []
+  const managedDirNames = new Set(configSkills.map(s => managedSkillDirName(s)))
+  const allDirNames = new Set(await listProjectSkillDirNames())
+  const names = await readdir(commandsDir)
+  const removed = []
+  for (const name of names.filter(n => n.endsWith('.md') && !n.startsWith(RULE_PREFIX))) {
+    const dirName = name.slice(0, -3)
+    if (!managedDirNames.has(dirName) && !allDirNames.has(dirName)) {
+      await unlink(join(commandsDir, name))
+      removed.push(name)
+    }
+  }
+  return removed.toSorted((a, b) => a.localeCompare(b))
+}
 /**
  * Людинозрозумілий текст винятку для логів.
  * @param {unknown} error виняток із catch
@@ -1031,13 +1101,19 @@ async function runSync() {
   await runSyncStep('❌ Commands: ', async () => {
     const { success: cmdOk, fail: cmdFail } = await syncCommands(skills, bundledSkillsDir)
-    if (skills.length > 0) {
-      console.log(`\n⌨️  Commands: ${cmdOk} скопійовано, ${cmdFail} з помилками`)
+    const { success: localOk, fail: localFail } = await syncLocalOnlySkillCommands(skills)
+    const totalOk = cmdOk + localOk
+    const totalFail = cmdFail + localFail
+    if (totalOk + totalFail > 0) {
+      console.log(`\n⌨️  Commands: ${totalOk} скопійовано, ${totalFail} з помилками`)
     }
-    const removedCmds = await removeOrphanManagedCommandFiles(join(cwd(), COMMANDS_DIR), skills)
+    const commandsDir = join(cwd(), COMMANDS_DIR)
+    const removedCmds = await removeOrphanManagedCommandFiles(commandsDir, skills)
     logRemovedManagedItems('commands', COMMANDS_DIR, removedCmds)
-    if (cmdFail > 0) {
-      throw new Error(`Не вдалося скопіювати ${cmdFail} з ${skills.length} commands`)
+    const removedLocalCmds = await removeOrphanLocalSkillCommandFiles(commandsDir, skills)
+    logRemovedManagedItems('commands (local)', COMMANDS_DIR, removedLocalCmds)
+    if (totalFail > 0) {
+      throw new Error(`Не вдалося скопіювати ${totalFail} commands`)
     }
   })

package/mdc/ga.mdc CHANGED Viewed

@@ -4,7 +4,7 @@ alwaysApply: true
 version: '1.3'
 ---
-У `.github/workflows/` лише **`.yml`**. Мають бути **`clean-ga-workflows.yml`**, **`clean-merged-branch.yml`**, **`lint-ga.yml`**. Якщо є **`apply-k8s.yml`** / **`apply-nats-consumer.yml`** — paths у тригері як у фрагментах.
+У `.github/workflows/` лише **`.yml`**. Мають бути **`clean-ga-workflows.yml`**, **`clean-merged-branch.yml`**, **`lint-ga.yml`**, **`git-ai.yml`**. Якщо є **`apply-k8s.yml`** / **`apply-nats-consumer.yml`** — paths у тригері як у фрагментах.
 Повинен бути файл .github/workflows/clean-ga-workflows.yml, зі змістом:
@@ -110,6 +110,37 @@ jobs:
         run: bun run lint-ga
 ```
+Повинен бути файл .github/workflows/git-ai.yml, зі змістом:
+```yaml
+name: Git AI
+on:
+  pull_request:
+    types: [closed]
+jobs:
+  git-ai:
+    if: github.event.pull_request.merged == true
+    runs-on: ubuntu-latest
+    permissions:
+      contents: write
+    steps:
+      - name: Install git-ai
+        run: |
+          curl -fsSL https://usegitai.com/install.sh | bash
+          echo "$HOME/.git-ai/bin" >> $GITHUB_PATH
+      - name: Run git-ai
+        id: run-git-ai
+        env:
+          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
+        run: |
+          git config --global user.name "github-actions[bot]"
+          git config --global user.email "github-actions[bot]@users.noreply.github.com"
+          git-ai ci github run
+```
 **Локальний composite** (`uses: ./.github/actions/setup-bun-deps` або `./npm/github-actions/setup-bun-deps`): **спочатку** обов’язковий крок **`actions/checkout@v6`** (`persist-credentials: false`), інакше runner не знайде `action.yml`. Сам composite: **`actions/setup-node@v6`** (**Node 24**), **Bun**, **`actions/cache@v5`**, **`bun install --frozen-lockfile`**.
 ```json title=".vscode/extensions.json"

package/mdc/js-pino.mdc CHANGED Viewed

@@ -10,8 +10,6 @@ version: '1.1'
 В **/k8s/base/configmap.yaml повинен бути заданий OTEL_RESOURCE_ATTRIBUTES: 'service.name=<project_name>,service.namespace=<project_namespace>'
 а в директоріях з kustomize повинні бути перевизначені значення OTEL_RESOURCE_ATTRIBUTES і в них service.namespace повинен відповідати namespace, в якому знаходиться дана директорія.
-Configmap повинен бути з тією самою назвою, що і deployment, якщо у deployment тільки один configmap.
 ## Перевірка
 `npx @nitra/cursor check js-pino`

package/mdc/k8s.mdc CHANGED Viewed

@@ -210,6 +210,19 @@ spec:
 **Точні умови та повідомлення `fail`** — верхній JSDoc **`npm/scripts/check-k8s.mjs`**.
+## ConfigMap: ім'я збігається з Deployment
+Якщо в `k8s/base/` є **`configmap.yaml`** і **Deployment**, і цей Deployment посилається рівно на **один** ConfigMap — `metadata.name` ConfigMap має збігатися з `metadata.name` Deployment. Точні умови перевірки — **`check-k8s.mjs`**.
+## ConfigMap для Hasura-Deployment
+Якщо в `k8s/base/` поруч із **`configmap.yaml`** є **Deployment** з образом **`hasura/graphql-engine`**, у `data` ConfigMap **обов'язково** має бути ключ **`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS`** зі значенням **`"true"`**. Точні умови перевірки — **`check-k8s.mjs`**.
+```yaml
+data:
+  HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS: 'true'
+```
 ## Kustomize: структура каталогів (`base` / overlays)
 Трансформуй дерева **`**/k8s`**, щоб **винести спільне** через [Kustomize](https://kustomize.io/): один канонічний **`base`** і тонкі **overlays** для інших середовищ.

package/mdc/nginx-default-tpl.mdc CHANGED Viewed

@@ -3,6 +3,7 @@ description: Правила nginx для статичних файлів
 version: '1.2'
 ---
+> **Автоміграція:** `npx @nitra/cursor check nginx-default-tpl` автоматично перейменовує `default.tpl.conf` → `default.conf.template` (або перезаписує вміст, якщо обидва файли існують). Якщо шаблон відсутній — перевірка пропускається.
 default.conf.template повинен виглядати так:

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.112",
+  "version": "1.8.114",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-ga.mjs CHANGED Viewed

@@ -256,7 +256,7 @@ function checkGaWorkflowFiles(wfDir, files, pass, fail) {
     pass('Всі workflows мають розширення .yml')
   }
-  for (const f of ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml']) {
+  for (const f of ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml', 'git-ai.yml']) {
     if (files.includes(f)) {
       pass(`${f} існує`)
     } else {
@@ -265,6 +265,66 @@ function checkGaWorkflowFiles(wfDir, files, pass, fail) {
   }
 }
+/**
+ * Перевіряє git-ai.yml: тригер pull_request з types: [closed], умова merged у job, виклик git-ai.
+ * @param {string} wfDir директорія workflows
+ * @param {(msg: string) => void} passFn callback при успішній перевірці
+ * @param {(msg: string) => void} failFn callback при помилці
+ */
+async function checkGitAiWorkflow(wfDir, passFn, failFn) {
+  const gitAiWf = join(wfDir, 'git-ai.yml')
+  if (!existsSync(gitAiWf)) return
+  const content = await readFile(gitAiWf, 'utf8')
+  const root = parseWorkflowYaml(content)
+  if (root) {
+    // on.pull_request.types має містити 'closed'
+    const on = root.on
+    let hasPrClosed = false
+    if (on && typeof on === 'object') {
+      const pr = /** @type {Record<string, unknown>} */ (on)['pull_request']
+      if (pr && typeof pr === 'object') {
+        const types = /** @type {Record<string, unknown>} */ (pr).types
+        hasPrClosed = Array.isArray(types) && types.includes('closed')
+      }
+    }
+    if (hasPrClosed) {
+      passFn('git-ai.yml: on.pull_request.types містить closed')
+    } else {
+      failFn('git-ai.yml: on.pull_request.types має містити closed (ga.mdc)')
+    }
+    // Job if-умова: запускати лише при злитті PR
+    const jobs = root.jobs
+    let hasMergedCondition = false
+    if (jobs && typeof jobs === 'object') {
+      for (const job of Object.values(jobs)) {
+        if (job && typeof job === 'object') {
+          const ifCond = String(/** @type {Record<string, unknown>} */ (job).if ?? '')
+          if (ifCond.includes('merged')) {
+            hasMergedCondition = true
+          }
+        }
+      }
+    }
+    if (hasMergedCondition) {
+      passFn('git-ai.yml: job має умову merged')
+    } else {
+      failFn('git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)')
+    }
+  }
+  // Крок викликає git-ai ci github run
+  const hasGitAiRun = root
+    ? anyRunStepIncludes(root, 'git-ai ci github run')
+    : content.includes('git-ai ci github run')
+  if (hasGitAiRun) {
+    passFn('git-ai.yml: крок виконує git-ai ci github run')
+  } else {
+    failFn('git-ai.yml: крок має містити git-ai ci github run (ga.mdc)')
+  }
+}
 /**
  * Перевіряє відповідність проєкту правилам ga.mdc
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
@@ -318,6 +378,7 @@ export async function check() {
   await checkZizmor(pass, fail)
   await checkLintGaScript(pass, fail)
   await checkLintGaWorkflow(wfDir, pass, fail)
+  await checkGitAiWorkflow(wfDir, pass, fail)
   return reporter.getExitCode()
 }

package/scripts/check-js-pino.mjs CHANGED Viewed

@@ -5,6 +5,8 @@
  * (`import` / `require` / динамічний `import()`); наявність `OTEL_RESOURCE_ATTRIBUTES`
  * у `k8s/base/configmap.yaml`, якщо такий файл існує.
  *
+ * Перевірка відповідності імені ConfigMap імені Deployment — у `check-k8s.mjs` (k8s.mdc).
+ *
  * Імпорти в джерелах сканує AST через `oxc-parser` (див. `utils/bunyan-imports.mjs`),
  * щоб виявити випадки на кшталт `import log from '@nitra/bunyan'`, які лишаються в коді
  * після підміни залежності.
@@ -78,7 +80,7 @@ async function checkWorkspacePackage(rootDir, fail, passFn) {
     passFn(`${label}немає імпортів '@nitra/bunyan' / 'bunyan' у джерелах`)
   }
-  const configmapPath = join(rootDir, 'k8s/base/configmap.yaml')
+  const configmapPath = join(rootDir, 'k8s', 'base', 'configmap.yaml')
   if (existsSync(configmapPath)) {
     const content = await readFile(configmapPath, 'utf8')
     if (content.includes('OTEL_RESOURCE_ATTRIBUTES')) {

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -56,9 +56,14 @@
  * Dockerfile — правило docker.mdc, скрипт check-docker.mjs.
  *
  * **Структура `HTTPRoute` для Hasura-Deployment:** звіряється канон 4 правил у **`spec.rules`** (редиректи **`<prefix>/ql`** і **`<prefix>/ql/`** на **`<prefix>/ql/console`** 302, **`PathPrefix <prefix>/ql`** + **URLRewrite** на **`/`**, окреме WebSocket-правило з **`RequestHeaderModifier`** remove **`Authorization`**). **Префікс параметризовано** (рядок перед **`/ql`** у першому Hasura-правилі). **Прив'язка** — за **`metadata.name`** у тому ж каталозі, що й **Deployment** з образом **`hasura/graphql-engine`** (див. k8s.mdc). **Додаткові правила** поверх канону дозволені.
+ *
+ * **ConfigMap для Hasura-Deployment:** якщо в `k8s/base/` є `configmap.yaml` і поруч Deployment з образом
+ * **`hasura/graphql-engine`**, то в `data` ConfigMap обов'язково має бути ключ
+ * **`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS`** зі значенням **`"true"`** (приймається булеве `true`
+ * або рядок `"true"`, без регістрової залежності).
  */
 import { existsSync } from 'node:fs'
-import { readFile, stat, unlink } from 'node:fs/promises'
+import { readFile, readdir, stat, unlink } from 'node:fs/promises'
 import { basename, dirname, join, relative, resolve } from 'node:path'
 import { parseAllDocuments } from 'yaml'
@@ -1959,6 +1964,131 @@ export function isHasuraDeploymentManifest(manifest) {
   return containerListHasHasuraImage(p.containers) || containerListHasHasuraImage(p.initContainers)
 }
+/**
+ * Обов'язковий ключ у **`data`** ConfigMap для Hasura-Deployment (узгоджено з k8s.mdc).
+ */
+export const HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY = 'HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS'
+/**
+ * Чи значення поля `data.<key>` у ConfigMap читається як логічне **true**.
+ * ConfigMap у Kubernetes тримає значення як рядки, але в YAML часто пишуть без лапок —
+ * тому приймаємо і булевий **true**, і рядок **"true"** (без регістрової залежності).
+ * @param {unknown} v значення з `data[HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY]`
+ * @returns {boolean} true, якщо значення — `true` або рядок `'true'`
+ */
+function isConfigMapValueTrue(v) {
+  if (v === true) return true
+  if (typeof v === 'string' && v.trim().toLowerCase() === 'true') return true
+  return false
+}
+/**
+ * Чи порушує ConfigMap вимогу щодо **`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS: "true"`** (k8s.mdc).
+ * Перевірка застосовна, коли в тому ж каталозі є Hasura-Deployment (див. `isHasuraDeploymentManifest`).
+ * @param {unknown} manifest корінь YAML-документа ConfigMap
+ * @returns {string | null} текст порушення або null, якщо не ConfigMap / ключ є і значення `true`
+ */
+export function hasuraConfigMapRemoteSchemaPermissionsViolation(manifest) {
+  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
+    return null
+  const rec = /** @type {Record<string, unknown>} */ (manifest)
+  if (rec.kind !== 'ConfigMap') return null
+  const data = rec.data
+  if (data === null || data === undefined || typeof data !== 'object' || Array.isArray(data)) {
+    return `data.${HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY}: додай ключ зі значенням "true" (Deployment з hasura/graphql-engine — див. k8s.mdc)`
+  }
+  const d = /** @type {Record<string, unknown>} */ (data)
+  if (!Object.hasOwn(d, HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY)) {
+    return `data.${HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY}: додай ключ зі значенням "true" (Deployment з hasura/graphql-engine — див. k8s.mdc)`
+  }
+  if (!isConfigMapValueTrue(d[HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY])) {
+    return `data.${HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY}: значення має бути "true" (зараз: ${JSON.stringify(d[HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY])}) (див. k8s.mdc)`
+  }
+  return null
+}
+const K8S_YAML_EXT_RE = /\.ya?ml$/iu
+/**
+ * Знаходить перший документ **Deployment** серед YAML-файлів каталогу (для перевірки імені ConfigMap, js-pino.mdc).
+ * @param {string} dirPath абсолютний шлях до каталогу
+ * @returns {Promise<Record<string, unknown> | null>} об'єкт Deployment або null
+ */
+export async function findDeploymentDocInDir(dirPath) {
+  let entries
+  try {
+    entries = await readdir(dirPath)
+  } catch {
+    return null
+  }
+  for (const entry of entries) {
+    if (!K8S_YAML_EXT_RE.test(entry)) continue
+    let raw
+    try {
+      raw = await readFile(join(dirPath, entry), 'utf8')
+    } catch {
+      continue
+    }
+    let docs
+    try {
+      docs = parseAllDocuments(raw)
+    } catch {
+      continue
+    }
+    for (const doc of docs) {
+      if (doc.errors.length > 0) continue
+      const obj = doc.toJSON()
+      if (obj !== null && typeof obj === 'object' && !Array.isArray(obj)) {
+        const rec = /** @type {Record<string, unknown>} */ (obj)
+        if (rec.kind === 'Deployment') return rec
+      }
+    }
+  }
+  return null
+}
+/**
+ * Збирає унікальні імена **ConfigMap**, на які посилається **Deployment**
+ * через `spec.template.spec.containers[*].envFrom[*].configMapRef.name`
+ * та `spec.template.spec.volumes[*].configMap.name` (для перевірки js-pino.mdc).
+ * @param {Record<string, unknown>} deployment об'єкт Deployment
+ * @returns {Set<string>} унікальні імена ConfigMap
+ */
+export function collectDeploymentConfigMapRefs(deployment) {
+  /** @type {Set<string>} */
+  const names = new Set()
+  const spec = deployment.spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return names
+  const template = /** @type {Record<string, unknown>} */ (spec).template
+  if (template === null || typeof template !== 'object' || Array.isArray(template)) return names
+  const podSpec = /** @type {Record<string, unknown>} */ (template).spec
+  if (podSpec === null || typeof podSpec !== 'object' || Array.isArray(podSpec)) return names
+  const ps = /** @type {Record<string, unknown>} */ (podSpec)
+  for (const c of Array.isArray(ps.containers) ? /** @type {unknown[]} */ (ps.containers) : []) {
+    if (c === null || typeof c !== 'object' || Array.isArray(c)) continue
+    const envFrom = /** @type {Record<string, unknown>} */ (c).envFrom
+    for (const ef of Array.isArray(envFrom) ? /** @type {unknown[]} */ (envFrom) : []) {
+      if (ef !== null && typeof ef === 'object' && !Array.isArray(ef)) {
+        const cmr = /** @type {Record<string, unknown>} */ (ef).configMapRef
+        if (cmr !== null && typeof cmr === 'object' && !Array.isArray(cmr)) {
+          const n = /** @type {Record<string, unknown>} */ (cmr).name
+          if (typeof n === 'string' && n.trim() !== '') names.add(n)
+        }
+      }
+    }
+  }
+  for (const v of Array.isArray(ps.volumes) ? /** @type {unknown[]} */ (ps.volumes) : []) {
+    if (v !== null && typeof v === 'object' && !Array.isArray(v)) {
+      const cm = /** @type {Record<string, unknown>} */ (v).configMap
+      if (cm !== null && typeof cm === 'object' && !Array.isArray(cm)) {
+        const n = /** @type {Record<string, unknown>} */ (cm).name
+        if (typeof n === 'string' && n.trim() !== '') names.add(n)
+      }
+    }
+  }
+  return names
+}
 /**
  * Чи **Service** містить заборонені анотації GKE у **`metadata.annotations`** (k8s.mdc).
  * @param {unknown} manifest корінь YAML-документа
@@ -3160,6 +3290,126 @@ async function ensureBaseKustomizationHasNamespace(root, yamlFiles, fail) {
   }
 }
+const CONFIGMAP_BASE_PATH_RE = /\/k8s\/base\/configmap\.yaml$/u
+/**
+ * Якщо в `k8s/base/` є `configmap.yaml` і Deployment посилається рівно на один ConfigMap —
+ * `metadata.name` ConfigMap має збігатися з `metadata.name` Deployment (k8s.mdc).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail callback при помилці
+ * @param {(msg: string) => void} passFn callback при успіху
+ */
+async function validateConfigMapNameMatchesDeployment(root, yamlFilesAbs, fail, passFn) {
+  const cmFiles = yamlFilesAbs.filter(abs => {
+    const rel = relative(root, abs).replaceAll('\\', '/')
+    return CONFIGMAP_BASE_PATH_RE.test(`/${rel}`) || rel === 'k8s/base/configmap.yaml'
+  })
+  for (const cmAbs of cmFiles) {
+    const rel = relative(root, cmAbs).replaceAll('\\', '/') || cmAbs
+    let raw
+    try {
+      raw = await readFile(cmAbs, 'utf8')
+    } catch {
+      continue
+    }
+    let cmName = null
+    try {
+      for (const doc of parseAllDocuments(raw)) {
+        if (doc.errors.length > 0) continue
+        const obj = doc.toJSON()
+        if (obj !== null && typeof obj === 'object' && !Array.isArray(obj)) {
+          const rec = /** @type {Record<string, unknown>} */ (obj)
+          if (rec.kind === 'ConfigMap') {
+            const meta = rec.metadata
+            if (meta !== null && typeof meta === 'object' && !Array.isArray(meta)) {
+              const n = /** @type {Record<string, unknown>} */ (meta).name
+              if (typeof n === 'string' && n.trim() !== '') cmName = n
+            }
+            break
+          }
+        }
+      }
+    } catch {
+      continue
+    }
+    if (cmName === null) continue
+    const deployment = await findDeploymentDocInDir(dirname(cmAbs))
+    if (deployment === null) continue
+    const meta = deployment.metadata
+    const deployName =
+      meta !== null && typeof meta === 'object' && !Array.isArray(meta)
+        ? /** @type {Record<string, unknown>} */ (meta).name
+        : null
+    const cmRefs = collectDeploymentConfigMapRefs(deployment)
+    if (cmRefs.size !== 1 || typeof deployName !== 'string') continue
+    if (cmName === deployName) {
+      passFn(`${rel}: metadata.name '${cmName}' збігається з Deployment (k8s.mdc)`)
+    } else {
+      fail(
+        `${rel}: metadata.name '${cmName}' має збігатися з назвою Deployment '${deployName}' — Deployment посилається рівно на один ConfigMap (k8s.mdc)`
+      )
+    }
+  }
+}
+/**
+ * Знаходить перший документ **ConfigMap** у файлі (з `metadata.name`).
+ * @param {string} absPath абсолютний шлях до YAML-файлу
+ * @returns {Promise<Record<string, unknown> | null>} об'єкт ConfigMap або null
+ */
+async function readFirstConfigMapDoc(absPath) {
+  let raw
+  try {
+    raw = await readFile(absPath, 'utf8')
+  } catch {
+    return null
+  }
+  let docs
+  try {
+    docs = parseAllDocuments(raw)
+  } catch {
+    return null
+  }
+  for (const doc of docs) {
+    if (doc.errors.length > 0) continue
+    const obj = doc.toJSON()
+    if (obj !== null && typeof obj === 'object' && !Array.isArray(obj)) {
+      const rec = /** @type {Record<string, unknown>} */ (obj)
+      if (rec.kind === 'ConfigMap') return rec
+    }
+  }
+  return null
+}
+/**
+ * Для кожного `k8s/base/configmap.yaml`, у каталозі якого поруч є Hasura-Deployment,
+ * вимагає у `data` ключ **`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS`** зі значенням **`"true"`** (k8s.mdc).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail callback при помилці
+ * @param {(msg: string) => void} passFn callback при успіху
+ */
+async function validateHasuraConfigMapRemoteSchemaPermissions(root, yamlFilesAbs, fail, passFn) {
+  const cmFiles = yamlFilesAbs.filter(abs => {
+    const rel = relative(root, abs).replaceAll('\\', '/')
+    return CONFIGMAP_BASE_PATH_RE.test(`/${rel}`) || rel === 'k8s/base/configmap.yaml'
+  })
+  for (const cmAbs of cmFiles) {
+    const rel = relative(root, cmAbs).replaceAll('\\', '/') || cmAbs
+    const deployment = await findDeploymentDocInDir(dirname(cmAbs))
+    if (deployment === null || !isHasuraDeploymentManifest(deployment)) continue
+    const cm = await readFirstConfigMapDoc(cmAbs)
+    if (cm === null) continue
+    const violation = hasuraConfigMapRemoteSchemaPermissionsViolation(cm)
+    if (violation !== null) {
+      fail(`${rel}: ${violation}`)
+    } else {
+      passFn(`${rel}: ${HASURA_REMOTE_SCHEMA_PERMISSIONS_KEY}="true" для Hasura-Deployment (k8s.mdc)`)
+    }
+  }
+}
 /**
  * Перевіряє відповідність проєкту правилам k8s.mdc.
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
@@ -3201,5 +3451,9 @@ export async function check() {
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
+  await validateConfigMapNameMatchesDeployment(root, yamlFiles, fail, pass)
+  await validateHasuraConfigMapRemoteSchemaPermissions(root, yamlFiles, fail, pass)
   return reporter.getExitCode()
 }