@nitra/cursor 1.8.125 → 1.8.127

package/mdc/abie.mdc

@@ -222,7 +222,7 @@ patches:
         path: /spec/template/spec/containers/-
         value:
           name: СЕРВІС-p
-          image: nginx:1.27-alpine
+          image: nginx:alpine
           ports:
             - containerPort: 8081
               protocol: TCP

package/mdc/docker.mdc

@@ -1,6 +1,6 @@
 ---
 description: Dockerfile — lint-docker / hadolint; перевірка check-docker
-version: '1.7'
+version: '1.8'
 globs: "**/Dockerfile*"
 alwaysApply: false
 ---
@@ -9,6 +9,15 @@ alwaysApply: false
 
 [hadolint](https://github.com/hadolint/hadolint) перевіряє Dockerfile на типові помилки та рекомендації (`FROM`, `RUN`, `COPY`, shell form тощо).
 
+Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginx`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/library/nginx`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
+
+Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
+
+- **backend**: `mirror.gcr.io/library/alpine:*`
+- **frontend**: `mirror.gcr.io/library/nginx:*`
+
+Це гарантує, що результуючий образ містить лише runtime (alpine) або nginx, без build tooling і node_modules.
+
 ## Область
 
 - Усі файли з іменем **`Dockerfile`** або **`Dockerfile.*`** (наприклад `Dockerfile.prod`) у репозиторії, крім ігнорованих каталогів (`node_modules`, `.git`, `dist`, …) — як у **`check-docker.mjs`**.

package/mdc/ga.mdc

@@ -149,8 +149,36 @@ jobs:
 }
 ```
 
+У **`.vscode/settings.json`** для мови **`github-actions-workflow`** (workflow з розширення GitHub Actions) задай **oxc** як formatter:
+
+```json
+  "[github-actions-workflow]": {
+    "editor.defaultFormatter": "oxc.oxc-vscode"
+  }
+```
+
 **ЗАБОРОНЕНО** дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах. Завжди використовуй локальний composite action.
 
+**Кроки `run`:** не розбивай команду shell-продовженням через зворотний сліш у кінці рядка (`… \` у `run: |`). Замість багаторядкового буквального блока з `\\` оформ довгу одну shell-команду як **folded block** `>-` (рядки з’єднаються в один рядок із пробілами).
+
+### Приклад run (НЕПРАВИЛЬНО — `\\` на кінцях)
+
+```yaml
+      - run: |
+          docker build \
+          --push \
+          --build-arg BRANCH=${{ github.ref_name }}
+```
+
+### Приклад run (ПРАВИЛЬНО — `>-`)
+
+```yaml
+      - run: >-
+          docker build
+          --push
+          --build-arg BRANCH=${{ github.ref_name }}
+```
+
 ### Приклад (НЕПРАВИЛЬНО)
 
 ```yaml

package/mdc/k8s.mdc

@@ -129,7 +129,7 @@ resources:
 
 ```yaml
 # yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/gateway.networking.k8s.io/httproute_v1beta1.json
-apiVersion: gateway.networking.k8s.io/v1beta1
+apiVersion: gateway.networking.k8s.io/v1
 kind: HTTPRoute
 metadata:
   name: db-h
@@ -490,7 +490,7 @@ patches:
    # yaml-language-server: $schema=https://raw.githubusercontent.com/datreeio/CRDs-catalog/main/secrets.infisical.com/infisicalsecret_v1alpha1.json
    ```
 
-   **Приклад (Gateway API):** `apiVersion: gateway.networking.k8s.io/v1beta1`, `kind: HTTPRoute`:
+   **Приклад (Gateway API):** `apiVersion: gateway.networking.k8s.io/v1`, `kind: HTTPRoute`:
 
    ```yaml
    # yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/gateway.networking.k8s.io/httproute_v1beta1.json

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.125",
+  "version": "1.8.127",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-docker.mjs

@@ -1,16 +1,36 @@
 /**
  * Запускає hadolint для Dockerfile / Containerfile у всьому репозиторії (див. docker.mdc).
  *
+ * Додатково переконуються, що образи `oven/bun`, `alpine`, `nginx`, `node` з Docker Hub
+ * вказуються через `mirror.gcr.io` (див. `utils/docker-mirror.mjs`).
+ *
+ * Також перевіряє, що Dockerfile/Containerfile має **multistage build** і що фінальний stage
+ * використовує мінімальний runtime-образ:
+ * - backend: `mirror.gcr.io/library/alpine:*`
+ * - frontend: `mirror.gcr.io/library/nginx:*`
+ *
+ * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
+ * runtime (alpine) або nginx.
+ *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
  * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
  * Кореневий .hadolint.yaml підхоплюється hadolint автоматично.
  */
+import { readFile } from 'node:fs/promises'
 import { basename } from 'node:path'
 
+import { getMirrorGcrHint, getFromImageToken } from './utils/docker-mirror.mjs'
 import { lintDockerfileWithHadolint, posixRel } from './utils/docker-hadolint.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
+/**
+ * @typedef {{
+ *   line: number
+ *   image: string
+ * }} FromStage
+ */
+
 /**
  * Чи є basename Dockerfile / Containerfile (у т.ч. Dockerfile.prod).
  * @param {string} name basename шляху
@@ -37,6 +57,55 @@ export async function findDockerfilePaths(root) {
   return out.toSorted((a, b) => a.localeCompare(b))
 }
 
+/**
+ * Витягує всі `FROM <image>` зі вмісту Dockerfile/Containerfile.
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {FromStage[]} список знайдених FROM-інструкцій
+ */
+export function parseFromStages(fileContent) {
+  const out = []
+  const lines = fileContent.split(/\r?\n/)
+  for (let i = 0; i < lines.length; i++) {
+    const image = getFromImageToken(lines[i])
+    if (image) out.push({ line: i + 1, image })
+  }
+  return out
+}
+
+const RUNTIME_IMAGES = /** @type {const} */ ([
+  'mirror.gcr.io/library/alpine',
+  'mirror.gcr.io/library/nginx'
+])
+
+/**
+ * Перевіряє базові вимоги до структури Dockerfile:
+ * - multistage: мінімум 2 FROM
+ * - фінальний FROM: alpine або nginx з mirror.gcr.io
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getMultistageAndRuntimeHint(fileContent) {
+  const stages = parseFromStages(fileContent)
+  if (stages.length === 0) return null
+
+  if (stages.length < 2) {
+    return 'має бути multistage build: мінімум 2 інструкції FROM (build stage + runtime stage)'
+  }
+
+  const last = stages.at(-1)
+  const lastImage = (last?.image || '').split('@')[0] || ''
+  const lastLower = lastImage.toLowerCase()
+
+  const okRuntime = RUNTIME_IMAGES.some(img => lastLower.startsWith(`${img}:`) || lastLower === img)
+  if (!okRuntime) {
+    return `фінальний FROM має бути ${RUNTIME_IMAGES.join(' або ')} (runtime stage), зараз: ${last?.image} (рядок ${last?.line})`
+  }
+
+  return null
+}
+
 /**
  * Перевіряє Dockerfile / Containerfile через hadolint (docker.mdc).
  * @returns {Promise<number>} 0 — все OK, 1 — є зауваження або помилка запуску
@@ -57,6 +126,17 @@ export async function check() {
 
   for (const abs of files) {
     const rel = posixRel(root, abs) || basename(abs)
+    const content = await readFile(abs, 'utf8')
+    const hint = getMirrorGcrHint(content)
+    if (hint) {
+      fail(`${rel} (mirror.gcr.io): ${hint}`)
+    }
+
+    const multistageHint = getMultistageAndRuntimeHint(content)
+    if (multistageHint) {
+      fail(`${rel} (multistage): ${multistageHint}`)
+    }
+
     const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
     const tail = (stdout + stderr).trim()
     if (ok) {

package/scripts/check-ga.mjs

@@ -4,11 +4,14 @@
  * Workflows лише з розширенням `.yml`, наявність clean/lint workflow, конфіг zizmor з ref-pin,
  * відсутність MegaLinter, коректний скрипт `lint-ga` у `package.json`, виклик у `lint-ga.yml`,
  * наявність composite `.github/actions/setup-bun-deps/action.yml` (його записує npx `\@nitra/cursor`),
+ * `\.vscode/settings.json` — `editor.defaultFormatter` **oxc** для `[github-actions-workflow]`,
  * перед `uses: ./…/setup-bun-deps` у workflow — `actions/checkout` (runner інакше не бачить локальний action).
  *
  * Заборонено дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах
  * (oven-sh/setup-bun, actions/cache, bun install). Перевірки `uses`/`run` виконуються після **YAML parse**
  * (`yaml`), щоб не спрацьовувати на випадкові збіги в коментарях або поза кроками.
+ *
+ * У `run:` заборонено shell-продовження рядків через `\\` перед переносом; довгі команди — через folded block `>-`.
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
@@ -19,6 +22,7 @@ import {
   anyRunStepIncludes,
   eventPathsIncludeExact,
   findForbiddenUsesOrRunPatterns,
+  findRunStepsWithShellLineContinuationBackslash,
   hasAnyStepUsesContaining,
   hasCheckoutBeforeLocalSetupBunDeps,
   parseWorkflowYaml
@@ -117,6 +121,31 @@ function verifyNoDirectBunOrCache(relPath, content, failFn, passFn) {
   }
 }
 
+/**
+ * У кроках `run` заборонено shell-продовження через `\\` перед переносом; замість `run: |` з `\\` використовуй `run: >-`.
+ * @param {string} relPath шлях для повідомлень
+ * @param {string} content вміст YAML
+ * @param {(msg: string) => void} failFn реєструє порушення (exit 1)
+ * @param {(msg: string) => void} passFn реєструє успішну перевірку
+ * @returns {void}
+ */
+function verifyNoRunShellLineContinuationBackslash(relPath, content, failFn, passFn) {
+  const root = parseWorkflowYaml(content)
+  if (!root) {
+    return
+  }
+  const hits = findRunStepsWithShellLineContinuationBackslash(root)
+  if (hits.length === 0) {
+    passFn(`${relPath}: run без shell-продовження через \\ (ga.mdc)`)
+    return
+  }
+  for (const h of hits) {
+    failFn(
+      `${relPath}: job ${h.jobId}, крок ${h.stepIndex + 1}: у run заборонено продовження рядків через зворотний сліш; довгі команди оформи як folded block (run: >-) без \\ на кінцях рядків (ga.mdc)`
+    )
+  }
+}
+
 /**
  * Перевіряє apply-workflow на наявність paths trigger.
  * @param {string} wfDir директорія workflows
@@ -183,6 +212,46 @@ async function checkZizmor(passFn, failFn) {
   }
 }
 
+/**
+ * Перевіряє `.vscode/settings.json`: oxfmt/oxc як default formatter для GitHub Actions workflow (мова
+ * `github-actions-workflow` з розширення github.vscode-github-actions), узгоджено з oxc для yaml/workflow.
+ * @param {(msg: string) => void} passFn callback при успішній перевірці
+ * @param {(msg: string) => void} failFn callback при помилці
+ */
+async function checkVscodeSettingsForGa(passFn, failFn) {
+  const rel = '.vscode/settings.json'
+  if (!existsSync(rel)) {
+    failFn(`${rel} не існує — додай [github-actions-workflow].editor.defaultFormatter = oxc.oxc-vscode (ga.mdc)`)
+    return
+  }
+  let settings
+  try {
+    settings = JSON.parse(await readFile(rel, 'utf8'))
+  } catch {
+    failFn(`${rel}: невалідний JSON (ga.mdc)`)
+    return
+  }
+  if (!settings || typeof settings !== 'object') {
+    failFn(`${rel}: очікується об’єкт налаштувань (ga.mdc)`)
+    return
+  }
+  const block = /** @type {Record<string, unknown>} */ (settings)['[github-actions-workflow]']
+  if (!block || typeof block !== 'object' || block === null || Array.isArray(block)) {
+    failFn(
+      `${rel}: додай "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } (ga.mdc)`
+    )
+    return
+  }
+  const df = String(/** @type {Record<string, unknown>} */ (block)['editor.defaultFormatter'] ?? '')
+  if (df !== 'oxc.oxc-vscode') {
+    failFn(
+      `${rel}: [github-actions-workflow].editor.defaultFormatter має бути "oxc.oxc-vscode" (зараз: ${df || '∅'}) (ga.mdc)`
+    )
+    return
+  }
+  passFn(`${rel}: [github-actions-workflow] → oxc.oxc-vscode`)
+}
+
 /**
  * Перевіряє скрипт lint-ga в package.json.
  * @param {(msg: string) => void} passFn callback при успішній перевірці
@@ -379,6 +448,8 @@ export async function check() {
     fail('.vscode/extensions.json не існує')
   }
 
+  await checkVscodeSettingsForGa(pass, fail)
+
   const ymlWorkflows = files.filter(f => f.endsWith('.yml'))
   await checkMegalinter(wfDir, ymlWorkflows, pass, fail)
 
@@ -386,6 +457,7 @@ export async function check() {
     const content = await readFile(join(wfDir, f), 'utf8')
     verifyCheckoutBeforeLocalSetupBunDeps(`${wfDir}/${f}`, content, fail, pass)
     verifyNoDirectBunOrCache(`${wfDir}/${f}`, content, fail, pass)
+    verifyNoRunShellLineContinuationBackslash(`${wfDir}/${f}`, content, fail, pass)
   }
 
   await checkZizmor(pass, fail)

package/scripts/check-k8s.mjs

@@ -402,7 +402,7 @@ function pathsFromKustomizationObject(obj) {
  * як у `pathsFromKustomizationObject`, плюс **`patchesJson6902[].path`**, плюс **`configurations[]`**
  * (рядки-шляхи) і **`replacements[].path`**, якщо задано.
  * @param {unknown} obj корінь першого документа
- * @returns {string[]}
+ * @returns {string[]} масив локальних шляхів для перевірки існування на диску
  */
 export function kustomizePathRefsForExistenceCheck(obj) {
   if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
@@ -463,47 +463,44 @@ async function validateOneKustomizationPathRefsExist(root, kustAbs, rootNorm, fa
   const refs = kustomizePathRefsForExistenceCheck(kust)
   const kustDir = dirname(resolve(kustAbs))
   for (const r of refs) {
-    if (typeof r !== 'string' || r.includes('://') || r.trim() === '') {
-      continue
-    }
-    const target = resolve(kustDir, r.trim())
-    if (!resolvedFilePathIsUnderRoot(rootNorm, target)) {
-      fail(
-        `${rel}: посилання «${r}» виходить за межі репозиторію (resolve: ${(relative(rootNorm, target) || target).replaceAll('\\', '/')
-        }) (k8s.mdc)`
-      )
-      continue
-    }
-    /** @type {import('node:fs').Stats | undefined} */
-    let st
-    try {
-      st = await stat(target)
-    } catch {
-      st = undefined
-    }
-    if (st === undefined) {
-      fail(
-        `${rel}: посилання «${r}» вказує на неіснуючий ресурс (очікувано файл або каталог; k8s.mdc)`
-      )
-      continue
-    }
-    if (st.isFile()) {
-      if (!YAML_EXTENSION_RE.test(target)) {
+    if (typeof r === 'string' && !r.includes('://') && r.trim() !== '') {
+      const target = resolve(kustDir, r.trim())
+      if (resolvedFilePathIsUnderRoot(rootNorm, target)) {
+        /** @type {import('node:fs').Stats | undefined} */
+        let st
+        try {
+          st = await stat(target)
+        } catch {
+          st = undefined
+        }
+        if (st === undefined) {
+          fail(
+            `${rel}: посилання «${r}» вказує на неіснуючий ресурс (очікувано файл або каталог; k8s.mdc)`
+          )
+        } else if (st.isFile()) {
+          if (!YAML_EXTENSION_RE.test(target)) {
+            fail(
+              `${rel}: «${r}» — за правилами k8s у kustomization для файлів дозволені лише розширення .yaml / .yml (k8s.mdc)`
+            )
+          }
+        } else if (!st.isDirectory()) {
+          fail(`${rel}: «${r}» — ні файл, ні каталог (k8s.mdc)`)
+        }
+      } else {
         fail(
-          `${rel}: «${r}» — за правилами k8s у kustomization для файлів дозволені лише розширення .yaml / .yml (k8s.mdc)`
+          `${rel}: посилання «${r}» виходить за межі репозиторію (resolve: ${(relative(rootNorm, target) || target).replaceAll('\\', '/')
+          }) (k8s.mdc)`
         )
       }
-    } else if (!st.isDirectory()) {
-      fail(`${rel}: «${r}» — ні файл, ні каталог (k8s.mdc)`)
     }
   }
 }
 
 /**
  * Усі `kustomization.yaml` під `k8s`: локальні `path` / ресурси мають існувати.
- * @param {string} root
- * @param {string[]} yamlFilesAbs
- * @param {(msg: string) => void} fail
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs абсолютні шляхи YAML-файлів у k8s
+ * @param {(msg: string) => void} fail callback для повідомлень про помилки
  * @returns {Promise<void>}
  */
 async function validateKustomizationPathRefsExistOnDisk(root, yamlFilesAbs, fail) {
@@ -4293,26 +4290,26 @@ async function k8sBaseDirsFromKustomizeResourcePathRefs(kustDir, pathRefs, rootN
   /** @type {string[]} */
   const out = []
   for (const ref of pathRefs) {
-    if (typeof ref !== 'string' || ref.includes('://') || ref.trim() === '') {
-      continue
-    }
-    const resolved = resolve(kustDir, ref.trim())
-    if (!resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
-      continue
-    }
-    let st
-    try {
-      st = await stat(resolved)
-    } catch {
-      st = undefined
-    }
-    if (st === undefined || !st.isDirectory() || basename(resolved) !== 'base') {
-      continue
-    }
-    if (!existsSync(join(resolved, 'kustomization.yaml')) || !isUnderK8sPathRelToRoot(rootNorm, resolved)) {
-      continue
+    if (typeof ref === 'string' && !ref.includes('://') && ref.trim() !== '') {
+      const resolved = resolve(kustDir, ref.trim())
+      if (resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+        let st
+        try {
+          st = await stat(resolved)
+        } catch {
+          st = undefined
+        }
+        if (
+          st !== undefined
+          && st.isDirectory()
+          && basename(resolved) === 'base'
+          && existsSync(join(resolved, 'kustomization.yaml'))
+          && isUnderK8sPathRelToRoot(rootNorm, resolved)
+        ) {
+          out.push(resolved)
+        }
+      }
     }
-    out.push(resolved)
   }
   return out
 }
@@ -4349,20 +4346,13 @@ async function yamlFileContainsHpaOrPdbDocument(fileAbs) {
   if (docs === undefined) {
     return false
   }
-  for (const doc of docs) {
-    if (doc.errors.length > 0) {
-      continue
-    }
+  return docs.some(doc => {
+    if (doc.errors.length > 0) return false
     const o = doc.toJSON()
-    if (o === null || typeof o !== 'object' || Array.isArray(o)) {
-      continue
-    }
+    if (o === null || typeof o !== 'object' || Array.isArray(o)) return false
     const k = /** @type {Record<string, unknown>} */ (o).kind
-    if (k === 'HorizontalPodAutoscaler' || k === 'PodDisruptionBudget') {
-      return true
-    }
-  }
-  return false
+    return k === 'HorizontalPodAutoscaler' || k === 'PodDisruptionBudget'
+  })
 }
 
 /**
@@ -4398,7 +4388,7 @@ async function verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, pa
  * @param {Record<string, unknown>} kustObj перший документ
  * @param {(msg: string) => void} fail callback
  * @param {(msg: string) => void} passFn success
- * @param {(kust: string) => Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} getTreeFlags
+ * @param {(kust: string) => Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} getTreeFlags функція отримання прапорців дерева kustomize
  * @returns {Promise<void>}
  */
 async function verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
@@ -4427,41 +4417,33 @@ async function verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
     return false
   })()
   for (const ref of pathRefs) {
-    if (typeof ref !== 'string' || ref.includes('://') || ref.trim() === '') {
-      continue
-    }
-    const fAbs = resolve(kustDir, ref.trim())
-    if (!resolvedFilePathIsUnderRoot(root, fAbs) || !existsSync(fAbs)) {
-      continue
-    }
-    let st
-    try {
-      st = await stat(fAbs)
-    } catch {
-      st = undefined
-    }
-    if (st === undefined) {
-      continue
-    }
-    if (!st.isFile() || !YAML_EXTENSION_RE.test(fAbs)) {
-      continue
-    }
-    const fUnderSomeBase = baseDirs.some(bd => isResolvedFileUnderDirectory(bd, fAbs))
-    if (fUnderSomeBase) {
-      continue
-    }
-    const hpaPdb = await yamlFileContainsHpaOrPdbDocument(fAbs)
-    if (!hpaPdb) {
-      continue
-    }
-    if (!anyBaseHasDep) {
-      fail(
-        `${rel}: посилання «${ref}» містить HorizontalPodAutoscaler і/або PodDisruptionBudget, а наслідуваний k8s/base не дає у дереві Deployment — прибери HPA/PDB або додай Deployment у base (k8s.mdc)`
-      )
-    } else {
-      passFn(
-        `${rel}: overlay-файл «${(relative(root, fAbs) || ref).replaceAll('\\', '/')}» з HPA/PDB, base містить Deployment (k8s.mdc)`
-      )
+    if (typeof ref === 'string' && !ref.includes('://') && ref.trim() !== '') {
+      const fAbs = resolve(kustDir, ref.trim())
+      if (resolvedFilePathIsUnderRoot(root, fAbs) && existsSync(fAbs)) {
+        let st
+        try {
+          st = await stat(fAbs)
+        } catch {
+          st = undefined
+        }
+        if (st !== undefined && st.isFile() && YAML_EXTENSION_RE.test(fAbs)) {
+          const fUnderSomeBase = baseDirs.some(bd => isResolvedFileUnderDirectory(bd, fAbs))
+          if (!fUnderSomeBase) {
+            const hpaPdb = await yamlFileContainsHpaOrPdbDocument(fAbs)
+            if (hpaPdb) {
+              if (anyBaseHasDep) {
+                passFn(
+                  `${rel}: overlay-файл «${(relative(root, fAbs) || ref).replaceAll('\\', '/')}» з HPA/PDB, base містить Deployment (k8s.mdc)`
+                )
+              } else {
+                fail(
+                  `${rel}: посилання «${ref}» містить HorizontalPodAutoscaler і/або PodDisruptionBudget, а наслідуваний k8s/base не дає у дереві Deployment — прибери HPA/PDB або додай Deployment у base (k8s.mdc)`
+                )
+              }
+            }
+          }
+        }
+      }
     }
   }
 }
@@ -4480,8 +4462,8 @@ async function validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFilesAbs,
   /** @type {Map<string, Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>>} */
   const treeFlagsMemo = new Map()
   /**
-   * @param {string} kustPath
-   * @returns {Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>}
+   * @param {string} kustPath абсолютний шлях до kustomization.yaml
+   * @returns {Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} прапорці наявності ресурсів у дереві
    */
   const getTreeFlags = kustPath => {
     const k = resolve(kustPath)
@@ -4496,21 +4478,20 @@ async function validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFilesAbs,
   for (const kustAbs of kustFiles) {
     const rel = (relative(rootNorm, kustAbs) || kustAbs).replaceAll('\\', '/')
     const kust = await readFirstYamlObject(kustAbs)
-    if (kust === null) {
-      continue
-    }
-    if (isK8sBaseKustomizationRelPath(rel)) {
-      await verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags)
-    } else {
-      await verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
-        rootNorm,
-        kustAbs,
-        rel,
-        kust,
-        fail,
-        passFn,
-        getTreeFlags
-      )
+    if (kust !== null) {
+      if (isK8sBaseKustomizationRelPath(rel)) {
+        await verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags)
+      } else {
+        await verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
+          rootNorm,
+          kustAbs,
+          rel,
+          kust,
+          fail,
+          passFn,
+          getTreeFlags
+        )
+      }
     }
   }
 }

package/scripts/utils/docker-mirror.mjs

@@ -0,0 +1,156 @@
+/**
+ * Визначає, чи рядок `FROM` у Dockerfile використовує образи
+ * `oven/bun`, `alpine`, `nginx`, `node` з Docker Hub без дзеркала
+ * `mirror.gcr.io` (GCR mirror).
+ *
+ * Правило застосовується лише до тих самих звернень, що виглядають як
+ * pull з Docker Hub (короткі імена, `docker.io/…`); приватні реєстри
+ * (hostname у першому сегменті) не оцінюються.
+ *
+ * Канонічні заміни: `mirror.gcr.io/oven/bun` та
+ * `mirror.gcr.io/library/{alpine,nginx,node}`.
+ */
+
+/**
+ * @param {string} t — токен образу в лапках або без
+ * @returns {string} токен без зовнішніх лапок
+ */
+function stripFromImageQuotes(t) {
+  if (t.length >= 2 && (t[0] === '"' || t[0] === "'")) {
+    return t.slice(1, -1)
+  }
+  return t
+}
+
+/**
+ * Виділяє токен образу з рядка `FROM` (після зняття inline-коментаря, без AS).
+ * Підтримує прапорець `--platform=…` і форму `--platform` + значення.
+ *
+ * @param {string} line — рядок Dockerfile
+ * @returns {string | null} токен образу або null, якщо рядок не `FROM`
+ */
+export function getFromImageToken(line) {
+  const withoutComment = line.split('#')[0].trim()
+  if (!withoutComment) return null
+  const m = withoutComment.match(/^\s*FROM\s+(.+)$/i)
+  if (!m) return null
+  const raw = m[1].trim()
+  const tokenRe = /(?:[^\s"]+|"[^"]*")+/g
+  const tokens = raw.match(tokenRe) || []
+  let i = 0
+  while (i < tokens.length) {
+    const t = tokens[i]
+    if (t === '--platform' || t.startsWith('--platform=')) {
+      if (t.startsWith('--platform=')) {
+        i += 1
+      } else if (tokens[i + 1] === undefined) {
+        i += 1
+      } else {
+        i += 2
+      }
+    } else if (t === '--' || t.toUpperCase() === 'AS') {
+      break
+    } else if (t.startsWith('--') && t.includes('=')) {
+      i += 1
+    } else if (t.startsWith('--')) {
+      i += 1
+    } else {
+      return stripFromImageQuotes(t)
+    }
+  }
+  return null
+}
+
+/**
+ * Схоже на звернення до Docker Hub (коротке ім’я, `docker.io/…`, не mirror.gcr.io).
+ * Не вважати Hub: явний чужий реєстр (`gcr.io/…`, `reg.example.com:5000/…`).
+ *
+ * @param {string} imageToken — ref образу (FROM)
+ * @returns {boolean} true, якщо схоже на pull з Docker Hub
+ */
+export function isDockerHubStyleImageRef(imageToken) {
+  if (!imageToken) return false
+  if (/^mirror\.gcr\.io\//i.test(imageToken)) return false
+  const noDigest = imageToken.split('@')[0] || ''
+  if (!noDigest.includes('/')) {
+    return true
+  }
+  const first = noDigest.split('/')[0] || ''
+  if (first === 'docker.io' || first === 'index.docker.io') return true
+  if (first.includes('.')) return false
+  if (first === 'localhost' || /^\d+\.\d+/.test(first)) return false
+  if (first.includes(':') && /^\S+:\d+$/.test(first)) {
+    return false
+  }
+  return true
+}
+
+/**
+ * Нормалізує шлях репозиторію (без тега/digest) для порівняння: `library/node`, `oven/bun`, …
+ *
+ * @param {string} imageToken — ref образу
+ * @returns {string} нормалізований шлях репозиторію без тега
+ */
+export function normalizeHubRepoPath(imageToken) {
+  let s = (imageToken.split('@')[0] || '').toLowerCase()
+  s = s.replace(/^(docker\.io|index\.docker\.io)\//, '')
+  if (!s.includes('/')) {
+    return `library/${s.split(':')[0]}`
+  }
+  const lastSl = s.lastIndexOf('/')
+  const lastCol = s.lastIndexOf(':')
+  if (lastCol > lastSl) {
+    s = s.slice(0, lastCol)
+  }
+  return s
+}
+
+const HUB_REPOS_REQUIRING_MIRROR = /** @type {const} */ ([
+  'oven/bun',
+  'library/alpine',
+  'library/nginx',
+  'library/node'
+])
+
+const EXPECTED_MIRROR = /** @type {const} */ ({
+  'oven/bun': 'mirror.gcr.io/oven/bun',
+  'library/alpine': 'mirror.gcr.io/library/alpine',
+  'library/nginx': 'mirror.gcr.io/library/nginx',
+  'library/node': 'mirror.gcr.io/library/node'
+})
+
+/**
+ * Якщо образ тягнеть з Hub і підлягає дзеркалу — повертає рекомендовану заміну, інакше `null`.
+ *
+ * @param {string} imageToken — ref після `FROM`
+ * @returns {string | null} рекомендований `mirror.gcr.io/...` (без тега) або null
+ */
+export function getRequiredMirrorGcrImage(imageToken) {
+  if (!imageToken) return null
+  if (/^mirror\.gcr\.io\//i.test(imageToken)) return null
+  if (!isDockerHubStyleImageRef(imageToken)) return null
+  const norm = normalizeHubRepoPath(imageToken)
+  if (!HUB_REPOS_REQUIRING_MIRROR.includes(/** @type {any} */ (norm))) {
+    return null
+  }
+  return EXPECTED_MIRROR[/** @type {keyof typeof EXPECTED_MIRROR} */ (norm)]
+}
+
+/**
+ * Сканує вміст Dockerfile / Containerfile — повертає рядок помилки або `null`.
+ *
+ * @param {string} fileContent — повний вміст Dockerfile
+ * @returns {string | null} повідомлення з номером рядка або null
+ */
+export function getMirrorGcrHint(fileContent) {
+  const lines = fileContent.split(/\r?\n/)
+  for (let n = 0; n < lines.length; n++) {
+    const line = lines[n]
+    const image = getFromImageToken(line)
+    const expected = getRequiredMirrorGcrImage(image)
+    if (expected) {
+      return `рядок ${n + 1}: FROM має тягнути ${expected} (замість ${image})`
+    }
+  }
+  return null
+}

package/scripts/utils/gha-workflow.mjs

@@ -3,6 +3,8 @@
  *
  * Використовується в check-ga, check-js-lint, check-text, check-style-lint, check-npm-module замість
  * пошуку підрядків у сирому тексті там, де важливі лише значення `uses:` та `run:` кроків.
+ *
+ * Для `run:` також виявляється shell-продовження рядка через `\\` перед переносом (антипатерн у ga.mdc).
  */
 import { parse } from 'yaml'
 
@@ -67,6 +69,36 @@ export function getStepRun(step) {
   return ''
 }
 
+/** У тексті `run:` зіставляє `\\` одразу перед переносом рядка (типове shell-продовження в bash). */
+const RUN_SHELL_LINE_CONTINUATION_BACKSLASH_RE = /\\\r?\n/
+
+/**
+ * Чи містить значення `run:` shell-продовження рядка через зворотний сліш перед переносом (`… \\` + NL).
+ * У workflow такі конструкції замінюють на folded block `>-` без зворотних слішів (ga.mdc).
+ * @param {string} runText текст з `getStepRun`
+ * @returns {boolean} `true`, якщо знайдено `\\` перед новим рядком
+ */
+export function runTextHasShellLineContinuationBackslash(runText) {
+  return typeof runText === 'string' && runText.length > 0 && RUN_SHELL_LINE_CONTINUATION_BACKSLASH_RE.test(runText)
+}
+
+/**
+ * Повертає кроки, у яких `run:` містить заборонене shell-продовження через `\\`.
+ * @param {Record<string, unknown>} root корінь workflow
+ * @returns {{ jobId: string, stepIndex: number }[]} список кроків із порушенням
+ */
+export function findRunStepsWithShellLineContinuationBackslash(root) {
+  /** @type {{ jobId: string, stepIndex: number }[]} */
+  const out = []
+  for (const { jobId, stepIndex, step } of flattenWorkflowSteps(root)) {
+    const run = getStepRun(step)
+    if (runTextHasShellLineContinuationBackslash(run)) {
+      out.push({ jobId, stepIndex })
+    }
+  }
+  return out
+}
+
 /**
  * Чи є крок, у якого `uses` містить будь-який з підрядків.
  * @param {Record<string, unknown>} root корінь workflow