npm - @nitra/cursor - Versions diffs - 1.8.123 → 1.8.125 - Mend

@nitra/cursor 1.8.123 → 1.8.125

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (5) hide show

package/mdc/abie.mdc CHANGED Viewed

@@ -4,7 +4,7 @@ alwaysApply: true
 version: '1.15'
 ---
-Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** / **ru** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`file-link-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua** / **ru**), у overlay **ru** — кожен **Service** (у т. ч. **headless** / **`-hl`**) → **`spec.type: NodePort`** через **JSON6902** у **`kustomization.yaml`**, видалення **HealthCheckPolicy** у **ru**), гілки **dev**, **ua**, **ru** у **clean-merged-branch**, а також заборона артефактів **Firebase Hosting** у корені репозиторію.
+Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** / **ru** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`file-link-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua** / **ru**), у overlay **ru** — кожен **Service** (у т. ч. **headless** / **`-hl`**) → **`spec.type: NodePort`** через **JSON6902** у **`kustomization.yaml`**, видалення **HealthCheckPolicy** у **ru**), гілки **dev**, **ua**, **ru** у **clean-merged-branch**, а також заборона тримати артефакти **Firebase Hosting** у **підкаталогах першого рівня** (безпосередні діти кореня репозиторію; у самому корені ці імена не вимагаються до видалення).
 **`npx @nitra/cursor check abie`** виконується лише якщо в **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень.
@@ -334,7 +334,7 @@ spec:
 ## Firebase Hosting
-У корені репозиторію не тримати конфіг і кеш **Firebase Hosting**: видали **`.firebaserc`**, **`firebase.json`** та каталог **`.firebase/`**, якщо вони є.
+У **кожному** підкаталозі, що лежить **безпосередньо** в корені репозиторію, не тримати конфіг і кеш **Firebase Hosting**: у таких каталогах не повинно бути **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`** (у **самому** корені репозиторію ці імена перевіркою abie **не** розглядаються; `node_modules` / `.git` зі скану вилучаються).
 ## Git branches

package/mdc/k8s.mdc CHANGED Viewed

@@ -294,6 +294,10 @@ data:
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
+**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є **Deployment**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться `Deployment`. Перевіряє **`check-k8s.mjs`**.
+**Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 ### Env-залежні межі (за сегментом після `/k8s/`)
 **Dev-like середовища** — сегмент `base`, `dev`, або з суфіксом `-qa` (напр. `tr-qa`):

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.123",
+  "version": "1.8.125",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs CHANGED Viewed

@@ -8,7 +8,8 @@
  * **`phpdocker-io/github-actions-delete-abandoned-branches`** у **`with.ignore_branches`** мають бути
  * **dev**, **ua** та **ru** (разом з іншими гілками, якщо потрібно).
  *
- * **Firebase Hosting:** у корені репозиторію не має бути **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`**.
+ * **Firebase Hosting:** у **підкаталогах першого рівня** (безпосередні діти кореня репозиторію; `node_modules` / `.git` пропускаються) не має бути
+ * **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`**; у **самому** корені репозиторію ці імена не перевіряються.
  *
  * **k8s:** якщо під деревом із сегментом **`k8s`** є YAML з **`kind: Deployment`**, у тій самій директорії
  * має існувати **`hc.yaml`** із **`HealthCheckPolicy`** (**`networking.gke.io/v1`**), modeline **`$schema`**
@@ -38,7 +39,7 @@
  * у файлі **`k8s/ru/kustomization.yaml`** того ж пакета (overlay середовища **ru**) — inline **JSON6902** на **`kind: Service`** з тим самим **`target.name`**: **`path: /spec/type`**, **`value: NodePort`**; якщо в base було **`spec.clusterIP: None`** — **`op: remove`** для **`/spec/clusterIP`**; якщо в base **явно** задано **`spec.clusterIPs`** — також **`remove`** для **`/spec/clusterIPs`** (інакше **API** може залишити **`None`** для **NodePort**; без ключа **`clusterIPs`** у base **`remove`** на **`/spec/clusterIPs`** ламає **`kubectl kustomize`**).
  */
 import { existsSync } from 'node:fs'
-import { readFile } from 'node:fs/promises'
+import { readdir, readFile } from 'node:fs/promises'
 import { dirname, join, relative } from 'node:path'
 import { parseAllDocuments } from 'yaml'
@@ -50,6 +51,9 @@ import { walkDir } from './utils/walkDir.mjs'
 const CONFIG_FILE = '.n-cursor.json'
+/** Каталоги-діти в корені, які пропускаються при скануванні на артефакти Firebase Hosting (abie). */
+const ABIE_FIREBASE_HOSTING_SCAN_SKIP_TOP_DIR_NAMES = new Set(['.git', 'node_modules'])
 /** Маркер у kustomization.yaml: якщо зустрічається у файлі — для overlay ru у patch HTTPRoute потрібна анотація gwin…websocket. */
 const HASURA_JWT_SECRET_IN_KUSTOMIZATION = 'HASURA_GRAPHQL_JWT_SECRET'
@@ -1679,27 +1683,46 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
 }
 /**
- * Перевіряє відсутність артефактів Firebase Hosting у корені репозиторію (abie.mdc).
+ * Перевіряє відсутність артефактів Firebase Hosting у **кожному** **підкаталозі першого рівня** від кореня
+ * (не в самому корені репозиторію) — abie.mdc. Каталоги **`.git`** і **`node_modules`** у скануванні пропускаються.
+ *
  * @param {string} root корінь репозиторію
  * @param {(msg: string) => void} passFn успішне повідомлення
  * @param {(msg: string) => void} failFn повідомлення про порушення
- * @returns {void}
- */
-function ensureNoFirebaseHostingArtifacts(root, passFn, failFn) {
-  for (const name of ['.firebaserc', 'firebase.json']) {
-    const abs = join(root, name)
-    if (existsSync(abs)) {
-      failFn(`Знайдено заборонений файл Firebase Hosting: ${name} — видали його (abie.mdc)`)
-    } else {
-      passFn(`Немає ${name}`)
+ * @returns {Promise<void>}
+ */
+async function ensureNoFirebaseHostingArtifacts(root, passFn, failFn) {
+  let entries
+  try {
+    entries = await readdir(root, { withFileTypes: true })
+  } catch (error) {
+    const msg = error instanceof Error ? error.message : String(error)
+    failFn(`Не вдалося прочитати ${root} для перевірки Firebase Hosting: ${msg} (abie.mdc)`)
+    return
+  }
+  const topDirs = entries.filter(
+    e => e.isDirectory() && !ABIE_FIREBASE_HOSTING_SCAN_SKIP_TOP_DIR_NAMES.has(e.name)
+  )
+  let hasViolation = false
+  for (const e of topDirs) {
+    for (const name of ['.firebaserc', 'firebase.json']) {
+      const rel = join(e.name, name).replaceAll('\\', '/')
+      if (existsSync(join(root, e.name, name))) {
+        failFn(`Знайдено заборонений файл Firebase Hosting: ${rel} — видали його (abie.mdc)`)
+        hasViolation = true
+      }
+    }
+    if (existsSync(join(root, e.name, '.firebase'))) {
+      failFn(`Знайдено заборонену директорію: ${e.name}/.firebase/ — видали її (abie.mdc)`)
+      hasViolation = true
     }
   }
-  const firebaseDir = join(root, '.firebase')
-  if (existsSync(firebaseDir)) {
-    failFn('Знайдено директорію .firebase — видали її (abie.mdc)')
-  } else {
-    passFn('Немає .firebase/')
+  if (hasViolation) {
+    return
   }
+  passFn(
+    'Підкаталоги кореня (1-й рівень, без .git/node_modules): артефактів Firebase Hosting не знайдено (abie.mdc)'
+  )
 }
 /**
@@ -2075,7 +2098,7 @@ export async function check() {
   }
   pass('Правило abie увімкнено — виконуємо перевірки')
-  ensureNoFirebaseHostingArtifacts(root, pass, fail)
+  await ensureNoFirebaseHostingArtifacts(root, pass, fail)
   await checkCleanMergedBranch(root, pass, fail)
   const yamlFiles = await findK8sYamlFiles(root)

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -79,6 +79,17 @@
  * з (`>=2`, `>=2`, `>=1`) не залишалися на dev-значеннях із base. Формат patch — JSON6902 або Strategic Merge;
  * наявність перевіряється через `kustomizationPatchPathsByTargetKind` (конкретне значення — у вмісті patch,
  * яке буде оцінено під час збірки Kustomize).
+ *
+ * **Існування шляхів у `kustomization.yaml`:** кожне локальне посилання (без `://`) з `resources` / `bases` /
+ * `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`,
+ * `replacements[].path` має вказувати на наявний у репозиторії файл (`.yaml` / `.yml`) або каталог; інакше
+ * помилка `check k8s` (k8s.mdc).
+ *
+ * **HPA / PDB тільки з Deployment у `base`:** у дереві Kustomize з `…/k8s/…/base/kustomization.yaml` не
+ * дозволяти `HorizontalPodAutoscaler` / `PodDisruptionBudget` у `resources` / `bases` / `components` / `crds`
+ * (рекурсивно), якщо в цьому ж дереві немає `Deployment`. У `kustomization.yaml` overlay, який підключає
+ * каталог `…/k8s/…/base`, не додавай окремі YAML-файли з HPA / PDB, поки в наслідуваному `base` у дереві
+ * не з’явиться `Deployment` (k8s.mdc).
  */
 import { existsSync } from 'node:fs'
 import { readFile, readdir, stat, unlink } from 'node:fs/promises'
@@ -386,6 +397,122 @@ function pathsFromKustomizationObject(obj) {
   return out
 }
+/**
+ * Унікальні локальні шляхи з `kustomization.yaml` для перевірки існування на диску:
+ * як у `pathsFromKustomizationObject`, плюс **`patchesJson6902[].path`**, плюс **`configurations[]`**
+ * (рядки-шляхи) і **`replacements[].path`**, якщо задано.
+ * @param {unknown} obj корінь першого документа
+ * @returns {string[]}
+ */
+export function kustomizePathRefsForExistenceCheck(obj) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return []
+  }
+  const fromPaths = pathsFromKustomizationObject(obj)
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  const pj = rec.patchesJson6902
+  if (Array.isArray(pj)) {
+    for (const item of pj) {
+      if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
+        const pth = /** @type {Record<string, unknown>} */ (item).path
+        if (typeof pth === 'string' && pth.trim() !== '') {
+          fromPaths.push(pth.trim())
+        }
+      }
+    }
+  }
+  const configurations = rec.configurations
+  if (Array.isArray(configurations)) {
+    for (const c of configurations) {
+      if (typeof c === 'string' && c.trim() !== '') {
+        fromPaths.push(c.trim())
+      }
+    }
+  }
+  const replacements = rec.replacements
+  if (Array.isArray(replacements)) {
+    for (const r of replacements) {
+      if (r !== null && typeof r === 'object' && !Array.isArray(r)) {
+        const pth = /** @type {Record<string, unknown>} */ (r).path
+        if (typeof pth === 'string' && pth.trim() !== '') {
+          fromPaths.push(pth.trim())
+        }
+      }
+    }
+  }
+  return [...new Set(fromPaths)]
+}
+/**
+ * Перевіряє, що всі перелічені в `kustomization.yaml` локальні шляхи існують.
+ * @param {string} root корінь репо
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rootNorm нормалізований корінь
+ * @param {(msg: string) => void} fail callback
+ * @returns {Promise<void>}
+ */
+async function validateOneKustomizationPathRefsExist(root, kustAbs, rootNorm, fail) {
+  const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+  const kust = await readFirstYamlObject(kustAbs)
+  if (kust === null) {
+    return
+  }
+  if (kust.kind !== 'Kustomization') {
+    return
+  }
+  const refs = kustomizePathRefsForExistenceCheck(kust)
+  const kustDir = dirname(resolve(kustAbs))
+  for (const r of refs) {
+    if (typeof r !== 'string' || r.includes('://') || r.trim() === '') {
+      continue
+    }
+    const target = resolve(kustDir, r.trim())
+    if (!resolvedFilePathIsUnderRoot(rootNorm, target)) {
+      fail(
+        `${rel}: посилання «${r}» виходить за межі репозиторію (resolve: ${(relative(rootNorm, target) || target).replaceAll('\\', '/')
+        }) (k8s.mdc)`
+      )
+      continue
+    }
+    /** @type {import('node:fs').Stats | undefined} */
+    let st
+    try {
+      st = await stat(target)
+    } catch {
+      st = undefined
+    }
+    if (st === undefined) {
+      fail(
+        `${rel}: посилання «${r}» вказує на неіснуючий ресурс (очікувано файл або каталог; k8s.mdc)`
+      )
+      continue
+    }
+    if (st.isFile()) {
+      if (!YAML_EXTENSION_RE.test(target)) {
+        fail(
+          `${rel}: «${r}» — за правилами k8s у kustomization для файлів дозволені лише розширення .yaml / .yml (k8s.mdc)`
+        )
+      }
+    } else if (!st.isDirectory()) {
+      fail(`${rel}: «${r}» — ні файл, ні каталог (k8s.mdc)`)
+    }
+  }
+}
+/**
+ * Усі `kustomization.yaml` під `k8s`: локальні `path` / ресурси мають існувати.
+ * @param {string} root
+ * @param {string[]} yamlFilesAbs
+ * @param {(msg: string) => void} fail
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationPathRefsExistOnDisk(root, yamlFilesAbs, fail) {
+  const rootNorm = resolve(root)
+  for (const kustAbs of yamlFilesAbs.filter(p => basename(p).toLowerCase() === 'kustomization.yaml')) {
+    await validateOneKustomizationPathRefsExist(root, kustAbs, rootNorm, fail)
+  }
+}
 /**
  * Чи для кожного посилання kustomization на файл **`svc.yaml`** у списку є посилання на sibling **`svc-hl.yaml`**
  * (той самий каталог після **`resolve`** відносно каталогу **`kustomization.yaml`**).
@@ -4107,6 +4234,287 @@ async function readFirstYamlObject(absPath) {
   return null
 }
+/**
+ * Чи відносний шлях вказує на `k8s/…/base/kustomization.yaml` (каталог `base` у дереві k8s).
+ * @param {string} rel POSIX-шлях
+ * @returns {boolean} true, якщо батьківський каталог — `…/…/base` у шляху з `k8s`
+ */
+function isK8sBaseKustomizationRelPath(rel) {
+  const n = rel.replaceAll('\\', '/')
+  const d = dirname(n).replaceAll('\\', '/')
+  if (basename(d) !== 'base') {
+    return false
+  }
+  return d.startsWith('k8s/') || d.includes('/k8s/')
+}
+/**
+ * Чи абсолютний шлях до каталогу — k8s-`base` (ідентифікуємо за тим, що `relative` від кореня
+ * містить сегмент `k8s` і basename каталогу — `base`).
+ * @param {string} rootNorm нормалізований корінь репо
+ * @param {string} dirAbs абсолютний шлях до каталогу
+ * @returns {boolean} true для `.../k8s/.../base` з `kustomization.yaml` у цьому каталозі
+ */
+function isUnderK8sPathRelToRoot(rootNorm, dirAbs) {
+  const rel = (relative(rootNorm, dirAbs) || '.').replaceAll('\\', '/')
+  if (rel === '' || rel === '.') {
+    return false
+  }
+  if (rel.startsWith('../') || rel === '..') {
+    return false
+  }
+  return rel === 'k8s' || rel.startsWith('k8s/') || rel.includes('/k8s/')
+}
+/**
+ * Чи файловий шлях усередині `dirAbs` (або збігається).
+ * @param {string} dirAbs каталог
+ * @param {string} fileAbs файл
+ * @returns {boolean} true, якщо файл — піддерево каталогу
+ */
+function isResolvedFileUnderDirectory(dirAbs, fileAbs) {
+  const b = resolve(dirAbs)
+  const f = resolve(fileAbs)
+  const r = relative(b, f).replaceAll('\\', '/')
+  if (r === '' || r === '.') {
+    return true
+  }
+  return !r.startsWith('../') && r !== '..'
+}
+/**
+ * За списку посилань kustomize повертає каталоги `.../base` з `kustomization.yaml` (наслідування base).
+ * @param {string} kustDir каталог kustomization.yaml
+ * @param {string[]} pathRefs тільки resources / bases / components / crds
+ * @param {string} rootNorm нормалізований корінь репо
+ * @returns {Promise<string[]>} абсолютні шляхи (без дедуплікації, якщо кілька однакових ref)
+ */
+async function k8sBaseDirsFromKustomizeResourcePathRefs(kustDir, pathRefs, rootNorm) {
+  /** @type {string[]} */
+  const out = []
+  for (const ref of pathRefs) {
+    if (typeof ref !== 'string' || ref.includes('://') || ref.trim() === '') {
+      continue
+    }
+    const resolved = resolve(kustDir, ref.trim())
+    if (!resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+      continue
+    }
+    let st
+    try {
+      st = await stat(resolved)
+    } catch {
+      st = undefined
+    }
+    if (st === undefined || !st.isDirectory() || basename(resolved) !== 'base') {
+      continue
+    }
+    if (!existsSync(join(resolved, 'kustomization.yaml')) || !isUnderK8sPathRelToRoot(rootNorm, resolved)) {
+      continue
+    }
+    out.push(resolved)
+  }
+  return out
+}
+/**
+ * Аналізує `resources` / `bases` / `components` / `crds` kustomization: чи в дереві є
+ * `Deployment` / HPA / PDB.
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rootNorm корінь
+ * @returns {Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} прапорці
+ */
+export async function kustomizeResourceTreeHpaPdbDeploymentFlags(kustAbs, rootNorm) {
+  /** @type {Set<string>} */
+  const visitedKustomization = new Set()
+  const desc = await collectResourceDescriptorsForKustomizationWalk(kustAbs, rootNorm, visitedKustomization)
+  return {
+    hasDeployment: desc.some(d => d.kind === 'Deployment'),
+    hasHpa: desc.some(d => d.kind === 'HorizontalPodAutoscaler'),
+    hasPdb: desc.some(d => d.kind === 'PodDisruptionBudget')
+  }
+}
+/**
+ * Чи серед документів YAML-файлу є `HorizontalPodAutoscaler` або `PodDisruptionBudget`.
+ * @param {string} fileAbs абсолютний шлях
+ * @returns {Promise<boolean>} true, якщо такі kind знайдені
+ */
+async function yamlFileContainsHpaOrPdbDocument(fileAbs) {
+  const raw = await tryReadFileUtf8(fileAbs)
+  if (raw === undefined) {
+    return false
+  }
+  const docs = tryParseAllYamlDocs(raw)
+  if (docs === undefined) {
+    return false
+  }
+  for (const doc of docs) {
+    if (doc.errors.length > 0) {
+      continue
+    }
+    const o = doc.toJSON()
+    if (o === null || typeof o !== 'object' || Array.isArray(o)) {
+      continue
+    }
+    const k = /** @type {Record<string, unknown>} */ (o).kind
+    if (k === 'HorizontalPodAutoscaler' || k === 'PodDisruptionBudget') {
+      return true
+    }
+  }
+  return false
+}
+/**
+ * Для `…/k8s/…/base/kustomization.yaml`: HPA / PDB дозволені в дереві kustomize лише разом із Deployment.
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rel для повідомлень
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn success
+ * @param {(kust: string) => Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} getTreeFlags мемоізований аналіз дерева
+ * @returns {Promise<void>}
+ */
+async function verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags) {
+  const { hasDeployment, hasHpa, hasPdb } = await getTreeFlags(kustAbs)
+  if (hasHpa || hasPdb) {
+    if (hasDeployment) {
+      passFn(
+        `${rel}: у дереві kustomize base є HPA/PDB і Deployment (k8s.mdc)`
+      )
+    } else {
+      fail(
+        `${rel}: у base є HorizontalPodAutoscaler і/або PodDisruptionBudget у resources/bases/…, але дерева kustomize не містить Deployment — HPA і PDB дозволені тільки разом із Deployment (k8s.mdc)`
+      )
+    }
+  }
+}
+/**
+ * `kustomization` overlay, що посилається на `…/k8s/…/base`, не може додавати HPA / PDB як окремі YAML,
+ * поки в наслідуваному base немає Deployment.
+ * @param {string} root нормалізований корінь репо
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rel для повідомлень
+ * @param {Record<string, unknown>} kustObj перший документ
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn success
+ * @param {(kust: string) => Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} getTreeFlags
+ * @returns {Promise<void>}
+ */
+async function verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
+  root,
+  kustAbs,
+  rel,
+  kustObj,
+  fail,
+  passFn,
+  getTreeFlags
+) {
+  const kustDir = dirname(kustAbs)
+  const pathRefs = resourcePathRefsFromKustomizationObject(kustObj)
+  const baseDirs = await k8sBaseDirsFromKustomizeResourcePathRefs(kustDir, pathRefs, root)
+  if (baseDirs.length === 0) {
+    return
+  }
+  const anyBaseHasDep = await (async () => {
+    for (const baseDir of baseDirs) {
+      const { hasDeployment: h } = await getTreeFlags(join(baseDir, 'kustomization.yaml'))
+      if (h) {
+        return true
+      }
+    }
+    return false
+  })()
+  for (const ref of pathRefs) {
+    if (typeof ref !== 'string' || ref.includes('://') || ref.trim() === '') {
+      continue
+    }
+    const fAbs = resolve(kustDir, ref.trim())
+    if (!resolvedFilePathIsUnderRoot(root, fAbs) || !existsSync(fAbs)) {
+      continue
+    }
+    let st
+    try {
+      st = await stat(fAbs)
+    } catch {
+      st = undefined
+    }
+    if (st === undefined) {
+      continue
+    }
+    if (!st.isFile() || !YAML_EXTENSION_RE.test(fAbs)) {
+      continue
+    }
+    const fUnderSomeBase = baseDirs.some(bd => isResolvedFileUnderDirectory(bd, fAbs))
+    if (fUnderSomeBase) {
+      continue
+    }
+    const hpaPdb = await yamlFileContainsHpaOrPdbDocument(fAbs)
+    if (!hpaPdb) {
+      continue
+    }
+    if (!anyBaseHasDep) {
+      fail(
+        `${rel}: посилання «${ref}» містить HorizontalPodAutoscaler і/або PodDisruptionBudget, а наслідуваний k8s/base не дає у дереві Deployment — прибери HPA/PDB або додай Deployment у base (k8s.mdc)`
+      )
+    } else {
+      passFn(
+        `${rel}: overlay-файл «${(relative(root, fAbs) || ref).replaceAll('\\', '/')}» з HPA/PDB, base містить Deployment (k8s.mdc)`
+      )
+    }
+  }
+}
+/**
+ * Перевіряє всі кастомізації: (1) у k8s/base дереві HPA/PDB тільки з Deployment; (2) overlay, що
+ * посилається на base, не додає HPA/PDB без Deployment у base.
+ * @param {string} root корінь репо
+ * @param {string[]} yamlFilesAbs yaml у k8s
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn pass
+ * @returns {Promise<void>}
+ */
+async function validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFilesAbs, fail, passFn) {
+  const rootNorm = resolve(root)
+  /** @type {Map<string, Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>>} */
+  const treeFlagsMemo = new Map()
+  /**
+   * @param {string} kustPath
+   * @returns {Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>}
+   */
+  const getTreeFlags = kustPath => {
+    const k = resolve(kustPath)
+    let p = treeFlagsMemo.get(k)
+    if (p === undefined) {
+      p = kustomizeResourceTreeHpaPdbDeploymentFlags(k, rootNorm)
+      treeFlagsMemo.set(k, p)
+    }
+    return p
+  }
+  const kustFiles = yamlFilesAbs.filter(abs => basename(abs).toLowerCase() === 'kustomization.yaml')
+  for (const kustAbs of kustFiles) {
+    const rel = (relative(rootNorm, kustAbs) || kustAbs).replaceAll('\\', '/')
+    const kust = await readFirstYamlObject(kustAbs)
+    if (kust === null) {
+      continue
+    }
+    if (isK8sBaseKustomizationRelPath(rel)) {
+      await verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags)
+    } else {
+      await verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
+        rootNorm,
+        kustAbs,
+        rel,
+        kust,
+        fail,
+        passFn,
+        getTreeFlags
+      )
+    }
+  }
+}
 /**
  * Перевіряє прод-оверрайди HPA/PDB в одному kustomization.yaml.
  * @param {Record<string, unknown>} kust об'єкт kustomization
@@ -4376,8 +4784,12 @@ export async function check() {
   await validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFiles, fail)
+  await validateKustomizationPathRefsExistOnDisk(root, yamlFiles, fail)
   await validateKustomizationPatchTargetsResolved(root, yamlFiles, fail)
+  await validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFiles, fail, pass)
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
   await validateConfigMapNameMatchesDeployment(root, yamlFiles, fail, pass)