@nitra/cursor 1.8.124 → 1.8.127

package/mdc/abie.mdc

@@ -222,7 +222,7 @@ patches:
         path: /spec/template/spec/containers/-
         value:
           name: СЕРВІС-p
-          image: nginx:1.27-alpine
+          image: nginx:alpine
           ports:
             - containerPort: 8081
               protocol: TCP

package/mdc/docker.mdc

@@ -1,6 +1,6 @@
 ---
 description: Dockerfile — lint-docker / hadolint; перевірка check-docker
-version: '1.7'
+version: '1.8'
 globs: "**/Dockerfile*"
 alwaysApply: false
 ---
@@ -9,6 +9,15 @@ alwaysApply: false
 
 [hadolint](https://github.com/hadolint/hadolint) перевіряє Dockerfile на типові помилки та рекомендації (`FROM`, `RUN`, `COPY`, shell form тощо).
 
+Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginx`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/library/nginx`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
+
+Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
+
+- **backend**: `mirror.gcr.io/library/alpine:*`
+- **frontend**: `mirror.gcr.io/library/nginx:*`
+
+Це гарантує, що результуючий образ містить лише runtime (alpine) або nginx, без build tooling і node_modules.
+
 ## Область
 
 - Усі файли з іменем **`Dockerfile`** або **`Dockerfile.*`** (наприклад `Dockerfile.prod`) у репозиторії, крім ігнорованих каталогів (`node_modules`, `.git`, `dist`, …) — як у **`check-docker.mjs`**.

package/mdc/ga.mdc

@@ -149,8 +149,36 @@ jobs:
 }
 ```
 
+У **`.vscode/settings.json`** для мови **`github-actions-workflow`** (workflow з розширення GitHub Actions) задай **oxc** як formatter:
+
+```json
+  "[github-actions-workflow]": {
+    "editor.defaultFormatter": "oxc.oxc-vscode"
+  }
+```
+
 **ЗАБОРОНЕНО** дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах. Завжди використовуй локальний composite action.
 
+**Кроки `run`:** не розбивай команду shell-продовженням через зворотний сліш у кінці рядка (`… \` у `run: |`). Замість багаторядкового буквального блока з `\\` оформ довгу одну shell-команду як **folded block** `>-` (рядки з’єднаються в один рядок із пробілами).
+
+### Приклад run (НЕПРАВИЛЬНО — `\\` на кінцях)
+
+```yaml
+      - run: |
+          docker build \
+          --push \
+          --build-arg BRANCH=${{ github.ref_name }}
+```
+
+### Приклад run (ПРАВИЛЬНО — `>-`)
+
+```yaml
+      - run: >-
+          docker build
+          --push
+          --build-arg BRANCH=${{ github.ref_name }}
+```
+
 ### Приклад (НЕПРАВИЛЬНО)
 
 ```yaml

package/mdc/k8s.mdc

@@ -129,7 +129,7 @@ resources:
 
 ```yaml
 # yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/gateway.networking.k8s.io/httproute_v1beta1.json
-apiVersion: gateway.networking.k8s.io/v1beta1
+apiVersion: gateway.networking.k8s.io/v1
 kind: HTTPRoute
 metadata:
   name: db-h
@@ -294,6 +294,10 @@ data:
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
+**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є **Deployment**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться `Deployment`. Перевіряє **`check-k8s.mjs`**.
+
+**Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
+
 ### Env-залежні межі (за сегментом після `/k8s/`)
 
 **Dev-like середовища** — сегмент `base`, `dev`, або з суфіксом `-qa` (напр. `tr-qa`):
@@ -486,7 +490,7 @@ patches:
    # yaml-language-server: $schema=https://raw.githubusercontent.com/datreeio/CRDs-catalog/main/secrets.infisical.com/infisicalsecret_v1alpha1.json
    ```
 
-   **Приклад (Gateway API):** `apiVersion: gateway.networking.k8s.io/v1beta1`, `kind: HTTPRoute`:
+   **Приклад (Gateway API):** `apiVersion: gateway.networking.k8s.io/v1`, `kind: HTTPRoute`:
 
    ```yaml
    # yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/gateway.networking.k8s.io/httproute_v1beta1.json

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.124",
+  "version": "1.8.127",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-docker.mjs

@@ -1,16 +1,36 @@
 /**
  * Запускає hadolint для Dockerfile / Containerfile у всьому репозиторії (див. docker.mdc).
  *
+ * Додатково переконуються, що образи `oven/bun`, `alpine`, `nginx`, `node` з Docker Hub
+ * вказуються через `mirror.gcr.io` (див. `utils/docker-mirror.mjs`).
+ *
+ * Також перевіряє, що Dockerfile/Containerfile має **multistage build** і що фінальний stage
+ * використовує мінімальний runtime-образ:
+ * - backend: `mirror.gcr.io/library/alpine:*`
+ * - frontend: `mirror.gcr.io/library/nginx:*`
+ *
+ * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
+ * runtime (alpine) або nginx.
+ *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
  * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
  * Кореневий .hadolint.yaml підхоплюється hadolint автоматично.
  */
+import { readFile } from 'node:fs/promises'
 import { basename } from 'node:path'
 
+import { getMirrorGcrHint, getFromImageToken } from './utils/docker-mirror.mjs'
 import { lintDockerfileWithHadolint, posixRel } from './utils/docker-hadolint.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
+/**
+ * @typedef {{
+ *   line: number
+ *   image: string
+ * }} FromStage
+ */
+
 /**
  * Чи є basename Dockerfile / Containerfile (у т.ч. Dockerfile.prod).
  * @param {string} name basename шляху
@@ -37,6 +57,55 @@ export async function findDockerfilePaths(root) {
   return out.toSorted((a, b) => a.localeCompare(b))
 }
 
+/**
+ * Витягує всі `FROM <image>` зі вмісту Dockerfile/Containerfile.
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {FromStage[]} список знайдених FROM-інструкцій
+ */
+export function parseFromStages(fileContent) {
+  const out = []
+  const lines = fileContent.split(/\r?\n/)
+  for (let i = 0; i < lines.length; i++) {
+    const image = getFromImageToken(lines[i])
+    if (image) out.push({ line: i + 1, image })
+  }
+  return out
+}
+
+const RUNTIME_IMAGES = /** @type {const} */ ([
+  'mirror.gcr.io/library/alpine',
+  'mirror.gcr.io/library/nginx'
+])
+
+/**
+ * Перевіряє базові вимоги до структури Dockerfile:
+ * - multistage: мінімум 2 FROM
+ * - фінальний FROM: alpine або nginx з mirror.gcr.io
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getMultistageAndRuntimeHint(fileContent) {
+  const stages = parseFromStages(fileContent)
+  if (stages.length === 0) return null
+
+  if (stages.length < 2) {
+    return 'має бути multistage build: мінімум 2 інструкції FROM (build stage + runtime stage)'
+  }
+
+  const last = stages.at(-1)
+  const lastImage = (last?.image || '').split('@')[0] || ''
+  const lastLower = lastImage.toLowerCase()
+
+  const okRuntime = RUNTIME_IMAGES.some(img => lastLower.startsWith(`${img}:`) || lastLower === img)
+  if (!okRuntime) {
+    return `фінальний FROM має бути ${RUNTIME_IMAGES.join(' або ')} (runtime stage), зараз: ${last?.image} (рядок ${last?.line})`
+  }
+
+  return null
+}
+
 /**
  * Перевіряє Dockerfile / Containerfile через hadolint (docker.mdc).
  * @returns {Promise<number>} 0 — все OK, 1 — є зауваження або помилка запуску
@@ -57,6 +126,17 @@ export async function check() {
 
   for (const abs of files) {
     const rel = posixRel(root, abs) || basename(abs)
+    const content = await readFile(abs, 'utf8')
+    const hint = getMirrorGcrHint(content)
+    if (hint) {
+      fail(`${rel} (mirror.gcr.io): ${hint}`)
+    }
+
+    const multistageHint = getMultistageAndRuntimeHint(content)
+    if (multistageHint) {
+      fail(`${rel} (multistage): ${multistageHint}`)
+    }
+
     const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
     const tail = (stdout + stderr).trim()
     if (ok) {

package/scripts/check-ga.mjs

@@ -4,11 +4,14 @@
  * Workflows лише з розширенням `.yml`, наявність clean/lint workflow, конфіг zizmor з ref-pin,
  * відсутність MegaLinter, коректний скрипт `lint-ga` у `package.json`, виклик у `lint-ga.yml`,
  * наявність composite `.github/actions/setup-bun-deps/action.yml` (його записує npx `\@nitra/cursor`),
+ * `\.vscode/settings.json` — `editor.defaultFormatter` **oxc** для `[github-actions-workflow]`,
  * перед `uses: ./…/setup-bun-deps` у workflow — `actions/checkout` (runner інакше не бачить локальний action).
  *
  * Заборонено дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах
  * (oven-sh/setup-bun, actions/cache, bun install). Перевірки `uses`/`run` виконуються після **YAML parse**
  * (`yaml`), щоб не спрацьовувати на випадкові збіги в коментарях або поза кроками.
+ *
+ * У `run:` заборонено shell-продовження рядків через `\\` перед переносом; довгі команди — через folded block `>-`.
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
@@ -19,6 +22,7 @@ import {
   anyRunStepIncludes,
   eventPathsIncludeExact,
   findForbiddenUsesOrRunPatterns,
+  findRunStepsWithShellLineContinuationBackslash,
   hasAnyStepUsesContaining,
   hasCheckoutBeforeLocalSetupBunDeps,
   parseWorkflowYaml
@@ -117,6 +121,31 @@ function verifyNoDirectBunOrCache(relPath, content, failFn, passFn) {
   }
 }
 
+/**
+ * У кроках `run` заборонено shell-продовження через `\\` перед переносом; замість `run: |` з `\\` використовуй `run: >-`.
+ * @param {string} relPath шлях для повідомлень
+ * @param {string} content вміст YAML
+ * @param {(msg: string) => void} failFn реєструє порушення (exit 1)
+ * @param {(msg: string) => void} passFn реєструє успішну перевірку
+ * @returns {void}
+ */
+function verifyNoRunShellLineContinuationBackslash(relPath, content, failFn, passFn) {
+  const root = parseWorkflowYaml(content)
+  if (!root) {
+    return
+  }
+  const hits = findRunStepsWithShellLineContinuationBackslash(root)
+  if (hits.length === 0) {
+    passFn(`${relPath}: run без shell-продовження через \\ (ga.mdc)`)
+    return
+  }
+  for (const h of hits) {
+    failFn(
+      `${relPath}: job ${h.jobId}, крок ${h.stepIndex + 1}: у run заборонено продовження рядків через зворотний сліш; довгі команди оформи як folded block (run: >-) без \\ на кінцях рядків (ga.mdc)`
+    )
+  }
+}
+
 /**
  * Перевіряє apply-workflow на наявність paths trigger.
  * @param {string} wfDir директорія workflows
@@ -183,6 +212,46 @@ async function checkZizmor(passFn, failFn) {
   }
 }
 
+/**
+ * Перевіряє `.vscode/settings.json`: oxfmt/oxc як default formatter для GitHub Actions workflow (мова
+ * `github-actions-workflow` з розширення github.vscode-github-actions), узгоджено з oxc для yaml/workflow.
+ * @param {(msg: string) => void} passFn callback при успішній перевірці
+ * @param {(msg: string) => void} failFn callback при помилці
+ */
+async function checkVscodeSettingsForGa(passFn, failFn) {
+  const rel = '.vscode/settings.json'
+  if (!existsSync(rel)) {
+    failFn(`${rel} не існує — додай [github-actions-workflow].editor.defaultFormatter = oxc.oxc-vscode (ga.mdc)`)
+    return
+  }
+  let settings
+  try {
+    settings = JSON.parse(await readFile(rel, 'utf8'))
+  } catch {
+    failFn(`${rel}: невалідний JSON (ga.mdc)`)
+    return
+  }
+  if (!settings || typeof settings !== 'object') {
+    failFn(`${rel}: очікується об’єкт налаштувань (ga.mdc)`)
+    return
+  }
+  const block = /** @type {Record<string, unknown>} */ (settings)['[github-actions-workflow]']
+  if (!block || typeof block !== 'object' || block === null || Array.isArray(block)) {
+    failFn(
+      `${rel}: додай "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } (ga.mdc)`
+    )
+    return
+  }
+  const df = String(/** @type {Record<string, unknown>} */ (block)['editor.defaultFormatter'] ?? '')
+  if (df !== 'oxc.oxc-vscode') {
+    failFn(
+      `${rel}: [github-actions-workflow].editor.defaultFormatter має бути "oxc.oxc-vscode" (зараз: ${df || '∅'}) (ga.mdc)`
+    )
+    return
+  }
+  passFn(`${rel}: [github-actions-workflow] → oxc.oxc-vscode`)
+}
+
 /**
  * Перевіряє скрипт lint-ga в package.json.
  * @param {(msg: string) => void} passFn callback при успішній перевірці
@@ -379,6 +448,8 @@ export async function check() {
     fail('.vscode/extensions.json не існує')
   }
 
+  await checkVscodeSettingsForGa(pass, fail)
+
   const ymlWorkflows = files.filter(f => f.endsWith('.yml'))
   await checkMegalinter(wfDir, ymlWorkflows, pass, fail)
 
@@ -386,6 +457,7 @@ export async function check() {
     const content = await readFile(join(wfDir, f), 'utf8')
     verifyCheckoutBeforeLocalSetupBunDeps(`${wfDir}/${f}`, content, fail, pass)
     verifyNoDirectBunOrCache(`${wfDir}/${f}`, content, fail, pass)
+    verifyNoRunShellLineContinuationBackslash(`${wfDir}/${f}`, content, fail, pass)
   }
 
   await checkZizmor(pass, fail)

package/scripts/check-k8s.mjs

@@ -79,6 +79,17 @@
  * з (`>=2`, `>=2`, `>=1`) не залишалися на dev-значеннях із base. Формат patch — JSON6902 або Strategic Merge;
  * наявність перевіряється через `kustomizationPatchPathsByTargetKind` (конкретне значення — у вмісті patch,
  * яке буде оцінено під час збірки Kustomize).
+ *
+ * **Існування шляхів у `kustomization.yaml`:** кожне локальне посилання (без `://`) з `resources` / `bases` /
+ * `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`,
+ * `replacements[].path` має вказувати на наявний у репозиторії файл (`.yaml` / `.yml`) або каталог; інакше
+ * помилка `check k8s` (k8s.mdc).
+ *
+ * **HPA / PDB тільки з Deployment у `base`:** у дереві Kustomize з `…/k8s/…/base/kustomization.yaml` не
+ * дозволяти `HorizontalPodAutoscaler` / `PodDisruptionBudget` у `resources` / `bases` / `components` / `crds`
+ * (рекурсивно), якщо в цьому ж дереві немає `Deployment`. У `kustomization.yaml` overlay, який підключає
+ * каталог `…/k8s/…/base`, не додавай окремі YAML-файли з HPA / PDB, поки в наслідуваному `base` у дереві
+ * не з’явиться `Deployment` (k8s.mdc).
  */
 import { existsSync } from 'node:fs'
 import { readFile, readdir, stat, unlink } from 'node:fs/promises'
@@ -386,6 +397,119 @@ function pathsFromKustomizationObject(obj) {
   return out
 }
 
+/**
+ * Унікальні локальні шляхи з `kustomization.yaml` для перевірки існування на диску:
+ * як у `pathsFromKustomizationObject`, плюс **`patchesJson6902[].path`**, плюс **`configurations[]`**
+ * (рядки-шляхи) і **`replacements[].path`**, якщо задано.
+ * @param {unknown} obj корінь першого документа
+ * @returns {string[]} масив локальних шляхів для перевірки існування на диску
+ */
+export function kustomizePathRefsForExistenceCheck(obj) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return []
+  }
+  const fromPaths = pathsFromKustomizationObject(obj)
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  const pj = rec.patchesJson6902
+  if (Array.isArray(pj)) {
+    for (const item of pj) {
+      if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
+        const pth = /** @type {Record<string, unknown>} */ (item).path
+        if (typeof pth === 'string' && pth.trim() !== '') {
+          fromPaths.push(pth.trim())
+        }
+      }
+    }
+  }
+  const configurations = rec.configurations
+  if (Array.isArray(configurations)) {
+    for (const c of configurations) {
+      if (typeof c === 'string' && c.trim() !== '') {
+        fromPaths.push(c.trim())
+      }
+    }
+  }
+  const replacements = rec.replacements
+  if (Array.isArray(replacements)) {
+    for (const r of replacements) {
+      if (r !== null && typeof r === 'object' && !Array.isArray(r)) {
+        const pth = /** @type {Record<string, unknown>} */ (r).path
+        if (typeof pth === 'string' && pth.trim() !== '') {
+          fromPaths.push(pth.trim())
+        }
+      }
+    }
+  }
+  return [...new Set(fromPaths)]
+}
+
+/**
+ * Перевіряє, що всі перелічені в `kustomization.yaml` локальні шляхи існують.
+ * @param {string} root корінь репо
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rootNorm нормалізований корінь
+ * @param {(msg: string) => void} fail callback
+ * @returns {Promise<void>}
+ */
+async function validateOneKustomizationPathRefsExist(root, kustAbs, rootNorm, fail) {
+  const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+  const kust = await readFirstYamlObject(kustAbs)
+  if (kust === null) {
+    return
+  }
+  if (kust.kind !== 'Kustomization') {
+    return
+  }
+  const refs = kustomizePathRefsForExistenceCheck(kust)
+  const kustDir = dirname(resolve(kustAbs))
+  for (const r of refs) {
+    if (typeof r === 'string' && !r.includes('://') && r.trim() !== '') {
+      const target = resolve(kustDir, r.trim())
+      if (resolvedFilePathIsUnderRoot(rootNorm, target)) {
+        /** @type {import('node:fs').Stats | undefined} */
+        let st
+        try {
+          st = await stat(target)
+        } catch {
+          st = undefined
+        }
+        if (st === undefined) {
+          fail(
+            `${rel}: посилання «${r}» вказує на неіснуючий ресурс (очікувано файл або каталог; k8s.mdc)`
+          )
+        } else if (st.isFile()) {
+          if (!YAML_EXTENSION_RE.test(target)) {
+            fail(
+              `${rel}: «${r}» — за правилами k8s у kustomization для файлів дозволені лише розширення .yaml / .yml (k8s.mdc)`
+            )
+          }
+        } else if (!st.isDirectory()) {
+          fail(`${rel}: «${r}» — ні файл, ні каталог (k8s.mdc)`)
+        }
+      } else {
+        fail(
+          `${rel}: посилання «${r}» виходить за межі репозиторію (resolve: ${(relative(rootNorm, target) || target).replaceAll('\\', '/')
+          }) (k8s.mdc)`
+        )
+      }
+    }
+  }
+}
+
+/**
+ * Усі `kustomization.yaml` під `k8s`: локальні `path` / ресурси мають існувати.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs абсолютні шляхи YAML-файлів у k8s
+ * @param {(msg: string) => void} fail callback для повідомлень про помилки
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationPathRefsExistOnDisk(root, yamlFilesAbs, fail) {
+  const rootNorm = resolve(root)
+  for (const kustAbs of yamlFilesAbs.filter(p => basename(p).toLowerCase() === 'kustomization.yaml')) {
+    await validateOneKustomizationPathRefsExist(root, kustAbs, rootNorm, fail)
+  }
+}
+
 /**
  * Чи для кожного посилання kustomization на файл **`svc.yaml`** у списку є посилання на sibling **`svc-hl.yaml`**
  * (той самий каталог після **`resolve`** відносно каталогу **`kustomization.yaml`**).
@@ -4107,6 +4231,271 @@ async function readFirstYamlObject(absPath) {
   return null
 }
 
+/**
+ * Чи відносний шлях вказує на `k8s/…/base/kustomization.yaml` (каталог `base` у дереві k8s).
+ * @param {string} rel POSIX-шлях
+ * @returns {boolean} true, якщо батьківський каталог — `…/…/base` у шляху з `k8s`
+ */
+function isK8sBaseKustomizationRelPath(rel) {
+  const n = rel.replaceAll('\\', '/')
+  const d = dirname(n).replaceAll('\\', '/')
+  if (basename(d) !== 'base') {
+    return false
+  }
+  return d.startsWith('k8s/') || d.includes('/k8s/')
+}
+
+/**
+ * Чи абсолютний шлях до каталогу — k8s-`base` (ідентифікуємо за тим, що `relative` від кореня
+ * містить сегмент `k8s` і basename каталогу — `base`).
+ * @param {string} rootNorm нормалізований корінь репо
+ * @param {string} dirAbs абсолютний шлях до каталогу
+ * @returns {boolean} true для `.../k8s/.../base` з `kustomization.yaml` у цьому каталозі
+ */
+function isUnderK8sPathRelToRoot(rootNorm, dirAbs) {
+  const rel = (relative(rootNorm, dirAbs) || '.').replaceAll('\\', '/')
+  if (rel === '' || rel === '.') {
+    return false
+  }
+  if (rel.startsWith('../') || rel === '..') {
+    return false
+  }
+  return rel === 'k8s' || rel.startsWith('k8s/') || rel.includes('/k8s/')
+}
+
+/**
+ * Чи файловий шлях усередині `dirAbs` (або збігається).
+ * @param {string} dirAbs каталог
+ * @param {string} fileAbs файл
+ * @returns {boolean} true, якщо файл — піддерево каталогу
+ */
+function isResolvedFileUnderDirectory(dirAbs, fileAbs) {
+  const b = resolve(dirAbs)
+  const f = resolve(fileAbs)
+  const r = relative(b, f).replaceAll('\\', '/')
+  if (r === '' || r === '.') {
+    return true
+  }
+  return !r.startsWith('../') && r !== '..'
+}
+
+/**
+ * За списку посилань kustomize повертає каталоги `.../base` з `kustomization.yaml` (наслідування base).
+ * @param {string} kustDir каталог kustomization.yaml
+ * @param {string[]} pathRefs тільки resources / bases / components / crds
+ * @param {string} rootNorm нормалізований корінь репо
+ * @returns {Promise<string[]>} абсолютні шляхи (без дедуплікації, якщо кілька однакових ref)
+ */
+async function k8sBaseDirsFromKustomizeResourcePathRefs(kustDir, pathRefs, rootNorm) {
+  /** @type {string[]} */
+  const out = []
+  for (const ref of pathRefs) {
+    if (typeof ref === 'string' && !ref.includes('://') && ref.trim() !== '') {
+      const resolved = resolve(kustDir, ref.trim())
+      if (resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+        let st
+        try {
+          st = await stat(resolved)
+        } catch {
+          st = undefined
+        }
+        if (
+          st !== undefined
+          && st.isDirectory()
+          && basename(resolved) === 'base'
+          && existsSync(join(resolved, 'kustomization.yaml'))
+          && isUnderK8sPathRelToRoot(rootNorm, resolved)
+        ) {
+          out.push(resolved)
+        }
+      }
+    }
+  }
+  return out
+}
+
+/**
+ * Аналізує `resources` / `bases` / `components` / `crds` kustomization: чи в дереві є
+ * `Deployment` / HPA / PDB.
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rootNorm корінь
+ * @returns {Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} прапорці
+ */
+export async function kustomizeResourceTreeHpaPdbDeploymentFlags(kustAbs, rootNorm) {
+  /** @type {Set<string>} */
+  const visitedKustomization = new Set()
+  const desc = await collectResourceDescriptorsForKustomizationWalk(kustAbs, rootNorm, visitedKustomization)
+  return {
+    hasDeployment: desc.some(d => d.kind === 'Deployment'),
+    hasHpa: desc.some(d => d.kind === 'HorizontalPodAutoscaler'),
+    hasPdb: desc.some(d => d.kind === 'PodDisruptionBudget')
+  }
+}
+
+/**
+ * Чи серед документів YAML-файлу є `HorizontalPodAutoscaler` або `PodDisruptionBudget`.
+ * @param {string} fileAbs абсолютний шлях
+ * @returns {Promise<boolean>} true, якщо такі kind знайдені
+ */
+async function yamlFileContainsHpaOrPdbDocument(fileAbs) {
+  const raw = await tryReadFileUtf8(fileAbs)
+  if (raw === undefined) {
+    return false
+  }
+  const docs = tryParseAllYamlDocs(raw)
+  if (docs === undefined) {
+    return false
+  }
+  return docs.some(doc => {
+    if (doc.errors.length > 0) return false
+    const o = doc.toJSON()
+    if (o === null || typeof o !== 'object' || Array.isArray(o)) return false
+    const k = /** @type {Record<string, unknown>} */ (o).kind
+    return k === 'HorizontalPodAutoscaler' || k === 'PodDisruptionBudget'
+  })
+}
+
+/**
+ * Для `…/k8s/…/base/kustomization.yaml`: HPA / PDB дозволені в дереві kustomize лише разом із Deployment.
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rel для повідомлень
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn success
+ * @param {(kust: string) => Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} getTreeFlags мемоізований аналіз дерева
+ * @returns {Promise<void>}
+ */
+async function verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags) {
+  const { hasDeployment, hasHpa, hasPdb } = await getTreeFlags(kustAbs)
+  if (hasHpa || hasPdb) {
+    if (hasDeployment) {
+      passFn(
+        `${rel}: у дереві kustomize base є HPA/PDB і Deployment (k8s.mdc)`
+      )
+    } else {
+      fail(
+        `${rel}: у base є HorizontalPodAutoscaler і/або PodDisruptionBudget у resources/bases/…, але дерева kustomize не містить Deployment — HPA і PDB дозволені тільки разом із Deployment (k8s.mdc)`
+      )
+    }
+  }
+}
+
+/**
+ * `kustomization` overlay, що посилається на `…/k8s/…/base`, не може додавати HPA / PDB як окремі YAML,
+ * поки в наслідуваному base немає Deployment.
+ * @param {string} root нормалізований корінь репо
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rel для повідомлень
+ * @param {Record<string, unknown>} kustObj перший документ
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn success
+ * @param {(kust: string) => Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} getTreeFlags функція отримання прапорців дерева kustomize
+ * @returns {Promise<void>}
+ */
+async function verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
+  root,
+  kustAbs,
+  rel,
+  kustObj,
+  fail,
+  passFn,
+  getTreeFlags
+) {
+  const kustDir = dirname(kustAbs)
+  const pathRefs = resourcePathRefsFromKustomizationObject(kustObj)
+  const baseDirs = await k8sBaseDirsFromKustomizeResourcePathRefs(kustDir, pathRefs, root)
+  if (baseDirs.length === 0) {
+    return
+  }
+
+  const anyBaseHasDep = await (async () => {
+    for (const baseDir of baseDirs) {
+      const { hasDeployment: h } = await getTreeFlags(join(baseDir, 'kustomization.yaml'))
+      if (h) {
+        return true
+      }
+    }
+    return false
+  })()
+  for (const ref of pathRefs) {
+    if (typeof ref === 'string' && !ref.includes('://') && ref.trim() !== '') {
+      const fAbs = resolve(kustDir, ref.trim())
+      if (resolvedFilePathIsUnderRoot(root, fAbs) && existsSync(fAbs)) {
+        let st
+        try {
+          st = await stat(fAbs)
+        } catch {
+          st = undefined
+        }
+        if (st !== undefined && st.isFile() && YAML_EXTENSION_RE.test(fAbs)) {
+          const fUnderSomeBase = baseDirs.some(bd => isResolvedFileUnderDirectory(bd, fAbs))
+          if (!fUnderSomeBase) {
+            const hpaPdb = await yamlFileContainsHpaOrPdbDocument(fAbs)
+            if (hpaPdb) {
+              if (anyBaseHasDep) {
+                passFn(
+                  `${rel}: overlay-файл «${(relative(root, fAbs) || ref).replaceAll('\\', '/')}» з HPA/PDB, base містить Deployment (k8s.mdc)`
+                )
+              } else {
+                fail(
+                  `${rel}: посилання «${ref}» містить HorizontalPodAutoscaler і/або PodDisruptionBudget, а наслідуваний k8s/base не дає у дереві Deployment — прибери HPA/PDB або додай Deployment у base (k8s.mdc)`
+                )
+              }
+            }
+          }
+        }
+      }
+    }
+  }
+}
+
+/**
+ * Перевіряє всі кастомізації: (1) у k8s/base дереві HPA/PDB тільки з Deployment; (2) overlay, що
+ * посилається на base, не додає HPA/PDB без Deployment у base.
+ * @param {string} root корінь репо
+ * @param {string[]} yamlFilesAbs yaml у k8s
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn pass
+ * @returns {Promise<void>}
+ */
+async function validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFilesAbs, fail, passFn) {
+  const rootNorm = resolve(root)
+  /** @type {Map<string, Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>>} */
+  const treeFlagsMemo = new Map()
+  /**
+   * @param {string} kustPath абсолютний шлях до kustomization.yaml
+   * @returns {Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} прапорці наявності ресурсів у дереві
+   */
+  const getTreeFlags = kustPath => {
+    const k = resolve(kustPath)
+    let p = treeFlagsMemo.get(k)
+    if (p === undefined) {
+      p = kustomizeResourceTreeHpaPdbDeploymentFlags(k, rootNorm)
+      treeFlagsMemo.set(k, p)
+    }
+    return p
+  }
+  const kustFiles = yamlFilesAbs.filter(abs => basename(abs).toLowerCase() === 'kustomization.yaml')
+  for (const kustAbs of kustFiles) {
+    const rel = (relative(rootNorm, kustAbs) || kustAbs).replaceAll('\\', '/')
+    const kust = await readFirstYamlObject(kustAbs)
+    if (kust !== null) {
+      if (isK8sBaseKustomizationRelPath(rel)) {
+        await verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags)
+      } else {
+        await verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
+          rootNorm,
+          kustAbs,
+          rel,
+          kust,
+          fail,
+          passFn,
+          getTreeFlags
+        )
+      }
+    }
+  }
+}
+
 /**
  * Перевіряє прод-оверрайди HPA/PDB в одному kustomization.yaml.
  * @param {Record<string, unknown>} kust об'єкт kustomization
@@ -4376,8 +4765,12 @@ export async function check() {
 
   await validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFiles, fail)
 
+  await validateKustomizationPathRefsExistOnDisk(root, yamlFiles, fail)
+
   await validateKustomizationPatchTargetsResolved(root, yamlFiles, fail)
 
+  await validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFiles, fail, pass)
+
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
 
   await validateConfigMapNameMatchesDeployment(root, yamlFiles, fail, pass)

package/scripts/utils/docker-mirror.mjs

@@ -0,0 +1,156 @@
+/**
+ * Визначає, чи рядок `FROM` у Dockerfile використовує образи
+ * `oven/bun`, `alpine`, `nginx`, `node` з Docker Hub без дзеркала
+ * `mirror.gcr.io` (GCR mirror).
+ *
+ * Правило застосовується лише до тих самих звернень, що виглядають як
+ * pull з Docker Hub (короткі імена, `docker.io/…`); приватні реєстри
+ * (hostname у першому сегменті) не оцінюються.
+ *
+ * Канонічні заміни: `mirror.gcr.io/oven/bun` та
+ * `mirror.gcr.io/library/{alpine,nginx,node}`.
+ */
+
+/**
+ * @param {string} t — токен образу в лапках або без
+ * @returns {string} токен без зовнішніх лапок
+ */
+function stripFromImageQuotes(t) {
+  if (t.length >= 2 && (t[0] === '"' || t[0] === "'")) {
+    return t.slice(1, -1)
+  }
+  return t
+}
+
+/**
+ * Виділяє токен образу з рядка `FROM` (після зняття inline-коментаря, без AS).
+ * Підтримує прапорець `--platform=…` і форму `--platform` + значення.
+ *
+ * @param {string} line — рядок Dockerfile
+ * @returns {string | null} токен образу або null, якщо рядок не `FROM`
+ */
+export function getFromImageToken(line) {
+  const withoutComment = line.split('#')[0].trim()
+  if (!withoutComment) return null
+  const m = withoutComment.match(/^\s*FROM\s+(.+)$/i)
+  if (!m) return null
+  const raw = m[1].trim()
+  const tokenRe = /(?:[^\s"]+|"[^"]*")+/g
+  const tokens = raw.match(tokenRe) || []
+  let i = 0
+  while (i < tokens.length) {
+    const t = tokens[i]
+    if (t === '--platform' || t.startsWith('--platform=')) {
+      if (t.startsWith('--platform=')) {
+        i += 1
+      } else if (tokens[i + 1] === undefined) {
+        i += 1
+      } else {
+        i += 2
+      }
+    } else if (t === '--' || t.toUpperCase() === 'AS') {
+      break
+    } else if (t.startsWith('--') && t.includes('=')) {
+      i += 1
+    } else if (t.startsWith('--')) {
+      i += 1
+    } else {
+      return stripFromImageQuotes(t)
+    }
+  }
+  return null
+}
+
+/**
+ * Схоже на звернення до Docker Hub (коротке ім’я, `docker.io/…`, не mirror.gcr.io).
+ * Не вважати Hub: явний чужий реєстр (`gcr.io/…`, `reg.example.com:5000/…`).
+ *
+ * @param {string} imageToken — ref образу (FROM)
+ * @returns {boolean} true, якщо схоже на pull з Docker Hub
+ */
+export function isDockerHubStyleImageRef(imageToken) {
+  if (!imageToken) return false
+  if (/^mirror\.gcr\.io\//i.test(imageToken)) return false
+  const noDigest = imageToken.split('@')[0] || ''
+  if (!noDigest.includes('/')) {
+    return true
+  }
+  const first = noDigest.split('/')[0] || ''
+  if (first === 'docker.io' || first === 'index.docker.io') return true
+  if (first.includes('.')) return false
+  if (first === 'localhost' || /^\d+\.\d+/.test(first)) return false
+  if (first.includes(':') && /^\S+:\d+$/.test(first)) {
+    return false
+  }
+  return true
+}
+
+/**
+ * Нормалізує шлях репозиторію (без тега/digest) для порівняння: `library/node`, `oven/bun`, …
+ *
+ * @param {string} imageToken — ref образу
+ * @returns {string} нормалізований шлях репозиторію без тега
+ */
+export function normalizeHubRepoPath(imageToken) {
+  let s = (imageToken.split('@')[0] || '').toLowerCase()
+  s = s.replace(/^(docker\.io|index\.docker\.io)\//, '')
+  if (!s.includes('/')) {
+    return `library/${s.split(':')[0]}`
+  }
+  const lastSl = s.lastIndexOf('/')
+  const lastCol = s.lastIndexOf(':')
+  if (lastCol > lastSl) {
+    s = s.slice(0, lastCol)
+  }
+  return s
+}
+
+const HUB_REPOS_REQUIRING_MIRROR = /** @type {const} */ ([
+  'oven/bun',
+  'library/alpine',
+  'library/nginx',
+  'library/node'
+])
+
+const EXPECTED_MIRROR = /** @type {const} */ ({
+  'oven/bun': 'mirror.gcr.io/oven/bun',
+  'library/alpine': 'mirror.gcr.io/library/alpine',
+  'library/nginx': 'mirror.gcr.io/library/nginx',
+  'library/node': 'mirror.gcr.io/library/node'
+})
+
+/**
+ * Якщо образ тягнеть з Hub і підлягає дзеркалу — повертає рекомендовану заміну, інакше `null`.
+ *
+ * @param {string} imageToken — ref після `FROM`
+ * @returns {string | null} рекомендований `mirror.gcr.io/...` (без тега) або null
+ */
+export function getRequiredMirrorGcrImage(imageToken) {
+  if (!imageToken) return null
+  if (/^mirror\.gcr\.io\//i.test(imageToken)) return null
+  if (!isDockerHubStyleImageRef(imageToken)) return null
+  const norm = normalizeHubRepoPath(imageToken)
+  if (!HUB_REPOS_REQUIRING_MIRROR.includes(/** @type {any} */ (norm))) {
+    return null
+  }
+  return EXPECTED_MIRROR[/** @type {keyof typeof EXPECTED_MIRROR} */ (norm)]
+}
+
+/**
+ * Сканує вміст Dockerfile / Containerfile — повертає рядок помилки або `null`.
+ *
+ * @param {string} fileContent — повний вміст Dockerfile
+ * @returns {string | null} повідомлення з номером рядка або null
+ */
+export function getMirrorGcrHint(fileContent) {
+  const lines = fileContent.split(/\r?\n/)
+  for (let n = 0; n < lines.length; n++) {
+    const line = lines[n]
+    const image = getFromImageToken(line)
+    const expected = getRequiredMirrorGcrImage(image)
+    if (expected) {
+      return `рядок ${n + 1}: FROM має тягнути ${expected} (замість ${image})`
+    }
+  }
+  return null
+}

package/scripts/utils/gha-workflow.mjs

@@ -3,6 +3,8 @@
  *
  * Використовується в check-ga, check-js-lint, check-text, check-style-lint, check-npm-module замість
  * пошуку підрядків у сирому тексті там, де важливі лише значення `uses:` та `run:` кроків.
+ *
+ * Для `run:` також виявляється shell-продовження рядка через `\\` перед переносом (антипатерн у ga.mdc).
  */
 import { parse } from 'yaml'
 
@@ -67,6 +69,36 @@ export function getStepRun(step) {
   return ''
 }
 
+/** У тексті `run:` зіставляє `\\` одразу перед переносом рядка (типове shell-продовження в bash). */
+const RUN_SHELL_LINE_CONTINUATION_BACKSLASH_RE = /\\\r?\n/
+
+/**
+ * Чи містить значення `run:` shell-продовження рядка через зворотний сліш перед переносом (`… \\` + NL).
+ * У workflow такі конструкції замінюють на folded block `>-` без зворотних слішів (ga.mdc).
+ * @param {string} runText текст з `getStepRun`
+ * @returns {boolean} `true`, якщо знайдено `\\` перед новим рядком
+ */
+export function runTextHasShellLineContinuationBackslash(runText) {
+  return typeof runText === 'string' && runText.length > 0 && RUN_SHELL_LINE_CONTINUATION_BACKSLASH_RE.test(runText)
+}
+
+/**
+ * Повертає кроки, у яких `run:` містить заборонене shell-продовження через `\\`.
+ * @param {Record<string, unknown>} root корінь workflow
+ * @returns {{ jobId: string, stepIndex: number }[]} список кроків із порушенням
+ */
+export function findRunStepsWithShellLineContinuationBackslash(root) {
+  /** @type {{ jobId: string, stepIndex: number }[]} */
+  const out = []
+  for (const { jobId, stepIndex, step } of flattenWorkflowSteps(root)) {
+    const run = getStepRun(step)
+    if (runTextHasShellLineContinuationBackslash(run)) {
+      out.push({ jobId, stepIndex })
+    }
+  }
+  return out
+}
+
 /**
  * Чи є крок, у якого `uses` містить будь-який з підрядків.
  * @param {Record<string, unknown>} root корінь workflow