npm - @nitra/cursor - Versions diffs - 1.8.127 → 1.8.129 - Mend

@nitra/cursor 1.8.127 → 1.8.129

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (8) hide show

package/mdc/abie.mdc +2 -2
package/mdc/k8s.mdc +2 -0
package/package.json +1 -1
package/scripts/check-abie.mjs +72 -81
package/scripts/check-docker.mjs +6 -9
package/scripts/check-ga.mjs +3 -5
package/scripts/check-k8s.mjs +206 -123
package/scripts/utils/docker-mirror.mjs +22 -24

package/mdc/abie.mdc CHANGED Viewed

@@ -36,7 +36,7 @@ spec:
 ## k8s: overlay **HTTPRoute** (**ua** / **ru**)
-За наявності **Deployment** під **k8s** і наявності **Vite** (**`vite.config.js`**, **`vite.config.mjs`** або **`vite.config.ts`** у каталозі пакета) у **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** цього пакета потрібні **inline JSON6902** у **`patches`**: **target** **`kind: HTTPRoute`**, **непорожній `name`** (як у маніфесті маршруту). Мають бути зміни **`/spec/hostnames`** (домени abie — у скрипті) та **`/spec/parentRefs/0/namespace`** (**`ua`** / **`ru`**). Для **ru** — анотація **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`** лише якщо в **тому ж** **`ru/kustomization.yaml`** є згадка **`HASURA_GRAPHQL_JWT_SECRET`** (типово patch на **ConfigMap** Hasura). Як обирати **`op`** (**add** / **replace** тощо) у patch — **k8s.mdc** (розділ про JSON patch у kustomization).
+За наявності **Deployment** під **k8s** і наявності **Vite** (**`vite.config.js`**, **`vite.config.mjs`** або **`vite.config.ts`** у каталозі пакета) у **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** цього пакета потрібні **inline JSON6902** у **`patches`**: **target** **`kind: HTTPRoute`**, **непорожній `name`** (як у маніфесті маршруту). Мають бути зміни **`/spec/hostnames`** (домени abie — у скрипті) та **`/spec/parentRefs/0/namespace`** (**`ua`** / **`ru`**, також дозволені префікси **`ua-*`** / **`ru-*`**, наприклад **`ua-b2b`**, **`ru-b2b`**). Для **ru** — анотація **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`** лише якщо в **тому ж** **`ru/kustomization.yaml`** є згадка **`HASURA_GRAPHQL_JWT_SECRET`** (типово patch на **ConfigMap** Hasura). Як обирати **`op`** (**add** / **replace** тощо) у patch — **k8s.mdc** (розділ про JSON patch у kustomization).
 ### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`file-link-hl`**
@@ -60,7 +60,7 @@ spec:
           port: 8080
 ```
-У **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** додай до того самого **inline** patch на **`HTTPRoute`** (той самий **`target.name`**) операції **JSON6902** з **`path`**: **`/spec/rules/<i>/backendRefs/<j>/namespace`**, де **`<i>`** / **`<j>`** — індекси відповідно до порядку **`spec.rules`** та **`backendRefs`** у base-файлі; **`value`**: **`ua`** або **`ru`**. Якщо кілька таких **`backendRefs`**, потрібна окрема операція для кожного.
+У **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** додай до того самого **inline** patch на **`HTTPRoute`** (той самий **`target.name`**) операції **JSON6902** з **`path`**: **`/spec/rules/<i>/backendRefs/<j>/namespace`**, де **`<i>`** / **`<j>`** — індекси відповідно до порядку **`spec.rules`** та **`backendRefs`** у base-файлі; **`value`**: **`ua`** / **`ru`** (також дозволені **`ua-*`** / **`ru-*`**). Якщо кілька таких **`backendRefs`**, потрібна окрема операція для кожного.
 ```yaml title="…/ua/kustomization.yaml (фрагмент)"
   - target:

package/mdc/k8s.mdc CHANGED Viewed

@@ -298,6 +298,8 @@ data:
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
+**Порядок `resources`:** у маніфесті з **`apiVersion: kustomize.config.k8s.io/…`**, **`kind: Kustomization`**, елементи **`resources:`** (лише непорожні рядки) мають бути **відсортовані за алфавітом (англ. локаль, як `localeCompare('en')` у `check-k8s.mjs`)**. Поля **`bases`**, **`components`**, **`crds`** цією перевіркою **не** впорядковуються.
 ### Env-залежні межі (за сегментом після `/k8s/`)
 **Dev-like середовища** — сегмент `base`, `dev`, або з суфіксом `-qa` (напр. `tr-qa`):

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.127",
+  "version": "1.8.129",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs CHANGED Viewed

@@ -86,10 +86,11 @@ const PATCH_PREEM_FALSE_RE = /\bpreem:\s*['"]?false['"]?\b/u
 const PATCH_YANDEX_PREEMPTIBLE_FALSE_RE = /yandex\.cloud\/preemptible:\s*['"]?false['"]?/u
 const TRAILING_SLASH_RE = /\/$/u
 const PATCH_HOSTNAMES_PATH_RE = /path:\s*\/spec\/hostnames\b/mu
+// Overlay namespaces: allow ua/ru and ua-*/ru-* (e.g. ua-b2b, ru-b2b).
 const PATCH_PARENT_REF_NS_UA_RE =
-  /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua['"]?(?:\s|$)/mu
+  /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua(?:-[a-z0-9][a-z0-9-]*)?['"]?(?:\s|$)/imu
 const PATCH_PARENT_REF_NS_RU_RE =
-  /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru['"]?(?:\s|$)/mu
+  /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru(?:-[a-z0-9][a-z0-9-]*)?['"]?(?:\s|$)/imu
 const WEBSOCKET_ANNOTATION_RE = /gwin\.yandex\.cloud\/rules\.http\.upgradeTypes:\s*['"]?websocket['"]?/mu
 const LEADING_EMPTY_LINE_RE = /^\s*\n/u
 const REMOVE_CLUSTER_IP_AFTER_OP_RE = /op:\s*remove\b[\s\S]{0,200}?path:\s*\/spec\/clusterIP\b/mu
@@ -225,6 +226,20 @@ export function isAllowedAbieBaseDevHostname(hostname) {
   return false
 }
+/**
+ * @param {unknown} hostnames значення поля spec.hostnames
+ * @returns {string[]} непорожні рядки-хости
+ */
+function collectAbieHostnames(hostnames) {
+  if (Array.isArray(hostnames)) {
+    return hostnames.filter(h => typeof h === 'string' && h.trim() !== '')
+  }
+  if (typeof hostnames === 'string' && hostnames.trim() !== '') {
+    return [hostnames]
+  }
+  return []
+}
 /**
  * Повідомлення про недопустимі **spec.hostnames** у **HTTPRoute** у шляху **…/base/…** (abie.mdc).
  * @param {unknown} obj корінь YAML-документа
@@ -232,49 +247,23 @@ export function isAllowedAbieBaseDevHostname(hostname) {
  * @returns {string[]} порожньо, якщо перевірка не застосовується або hostnames коректні
  */
 export function abieBaseHttpRouteHostnamesErrors(obj, rel) {
-  if (!isAbieK8sBaseYamlPath(rel)) {
-    return []
-  }
-  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
-    return []
-  }
+  if (!isAbieK8sBaseYamlPath(rel)) return []
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) return []
   const rec = /** @type {Record<string, unknown>} */ (obj)
-  if (rec.kind !== 'HTTPRoute') {
-    return []
-  }
+  if (rec.kind !== 'HTTPRoute') return []
   const spec = rec.spec
-  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) {
-    return []
-  }
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return []
   const hostnames = /** @type {Record<string, unknown>} */ (spec).hostnames
-  if (hostnames === undefined) {
-    return []
-  }
-  /** @type {string[]} */
-  const hosts = []
-  if (Array.isArray(hostnames)) {
-    for (const h of hostnames) {
-      if (typeof h === 'string' && h.trim() !== '') {
-        hosts.push(h)
-      }
-    }
-  } else if (typeof hostnames === 'string' && hostnames.trim() !== '') {
-    hosts.push(hostnames)
-  }
-  if (hosts.length === 0) {
-    return []
-  }
+  if (hostnames === undefined) return []
+  const hosts = collectAbieHostnames(hostnames)
+  if (hosts.length === 0) return []
   const root = ABIE_BASE_DEV_HTTPROUTE_HOST_ROOT
-  /** @type {string[]} */
-  const errors = []
-  for (const h of hosts) {
-    if (!isAllowedAbieBaseDevHostname(h)) {
-      errors.push(
+  return hosts
+    .filter(h => !isAllowedAbieBaseDevHostname(h))
+    .map(
+      h =>
         `${rel}: HTTPRoute у base (dev): hostname "${h}" недопустимий — дозволені лише ${root} та піддомени, зокрема *.${root} (abie.mdc)`
-      )
-    }
-  }
-  return errors
+    )
 }
 /**
@@ -1157,8 +1146,8 @@ export async function analyzeAbieSharedBackendRefsInPackageK8s(root, pkgAbs, yam
 function countAbieHttpRouteBackendRefNamespacePatchesInCombined(combined, mode) {
   const re =
     mode === 'ua'
-      ? /path:\s*\/spec\/rules\/\d+\/backendRefs\/\d+\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua['"]?(?:\s|$)/gmu
-      : /path:\s*\/spec\/rules\/\d+\/backendRefs\/\d+\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru['"]?(?:\s|$)/gmu
+      ? /path:\s*\/spec\/rules\/\d+\/backendRefs\/\d+\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua(?:-[a-z0-9][a-z0-9-]*)?['"]?(?:\s|$)/gimu
+      : /path:\s*\/spec\/rules\/\d+\/backendRefs\/\d+\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru(?:-[a-z0-9][a-z0-9-]*)?['"]?(?:\s|$)/gimu
   return [...combined.matchAll(re)].length
 }
@@ -1591,6 +1580,37 @@ async function checkHttpRouteKustomization(abs, rel, mode, root, yamlFilesAbs, c
   return true
 }
+/**
+ * @param {unknown} json YAML-документ
+ * @returns {boolean} true, якщо HTTPRoute має непорожні spec.hostnames
+ */
+function httpRouteHasNonEmptyHostnames(json) {
+  if (json === null || typeof json !== 'object' || Array.isArray(json)) return false
+  const rec = /** @type {Record<string, unknown>} */ (json)
+  if (rec.kind !== 'HTTPRoute') return false
+  const spec = rec.spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) return false
+  const hostnames = /** @type {Record<string, unknown>} */ (spec).hostnames
+  return collectAbieHostnames(hostnames).length > 0
+}
+/**
+ * @param {import('yaml').Document} doc YAML-документ з файлу
+ * @param {string} rel відносний шлях для повідомлень
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {{ hasErrors: boolean, hasHostnames: boolean }} результат обробки документа
+ */
+function processBaseHttpRouteDoc(doc, rel, fail) {
+  if (doc.errors.length !== 0) return { hasErrors: false, hasHostnames: false }
+  const json = doc.toJSON()
+  const errs = abieBaseHttpRouteHostnamesErrors(json, rel)
+  if (errs.length > 0) {
+    for (const e of errs) fail(e)
+    return { hasErrors: true, hasHostnames: false }
+  }
+  return { hasErrors: false, hasHostnames: httpRouteHasNonEmptyHostnames(json) }
+}
 /**
  * Для кожного **HTTPRoute** у **`…/k8s/base/…`** з непорожніми **`spec.hostnames`** — лише **aiml.live** та піддомени (abie.mdc).
  * @param {string} root корінь репозиторію
@@ -1601,39 +1621,15 @@ async function checkHttpRouteKustomization(abs, rel, mode, root, yamlFilesAbs, c
  */
 async function ensureAbieBaseHttpRouteHostnames(root, yamlFilesAbs, fail, passFn) {
   let baseHttpRoutesWithHostnames = 0
-  for (const abs of yamlFilesAbs) {
+  const baseFiles = yamlFilesAbs.filter(abs => isAbieK8sBaseYamlPath(relative(root, abs).replaceAll('\\', '/') || abs))
+  for (const abs of baseFiles) {
     const rel = relative(root, abs).replaceAll('\\', '/') || abs
-    if (isAbieK8sBaseYamlPath(rel)) {
-      const docs = await readAndParseYamlDocs(abs, rel, fail)
-      if (!docs) {
-        return
-      }
-      for (const doc of docs) {
-        if (doc.errors.length === 0) {
-          const json = doc.toJSON()
-          const errs = abieBaseHttpRouteHostnamesErrors(json, rel)
-          if (errs.length > 0) {
-            for (const e of errs) {
-              fail(e)
-            }
-            return
-          }
-          if (json !== null && typeof json === 'object' && !Array.isArray(json)) {
-            const rec = /** @type {Record<string, unknown>} */ (json)
-            if (rec.kind === 'HTTPRoute') {
-              const spec = rec.spec
-              if (spec !== null && typeof spec === 'object' && !Array.isArray(spec)) {
-                const hostnames = /** @type {Record<string, unknown>} */ (spec).hostnames
-                if (Array.isArray(hostnames) && hostnames.some(h => typeof h === 'string' && h.trim() !== '')) {
-                  baseHttpRoutesWithHostnames++
-                } else if (typeof hostnames === 'string' && hostnames.trim() !== '') {
-                  baseHttpRoutesWithHostnames++
-                }
-              }
-            }
-          }
-        }
-      }
+    const docs = await readAndParseYamlDocs(abs, rel, fail)
+    if (!docs) return
+    for (const doc of docs) {
+      const { hasErrors, hasHostnames } = processBaseHttpRouteDoc(doc, rel, fail)
+      if (hasErrors) return
+      if (hasHostnames) baseHttpRoutesWithHostnames++
     }
   }
   if (baseHttpRoutesWithHostnames > 0) {
@@ -1685,7 +1681,6 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
 /**
  * Перевіряє відсутність артефактів Firebase Hosting у **кожному** **підкаталозі першого рівня** від кореня
  * (не в самому корені репозиторію) — abie.mdc. Каталоги **`.git`** і **`node_modules`** у скануванні пропускаються.
- *
  * @param {string} root корінь репозиторію
  * @param {(msg: string) => void} passFn успішне повідомлення
  * @param {(msg: string) => void} failFn повідомлення про порушення
@@ -1700,9 +1695,7 @@ async function ensureNoFirebaseHostingArtifacts(root, passFn, failFn) {
     failFn(`Не вдалося прочитати ${root} для перевірки Firebase Hosting: ${msg} (abie.mdc)`)
     return
   }
-  const topDirs = entries.filter(
-    e => e.isDirectory() && !ABIE_FIREBASE_HOSTING_SCAN_SKIP_TOP_DIR_NAMES.has(e.name)
-  )
+  const topDirs = entries.filter(e => e.isDirectory() && !ABIE_FIREBASE_HOSTING_SCAN_SKIP_TOP_DIR_NAMES.has(e.name))
   let hasViolation = false
   for (const e of topDirs) {
     for (const name of ['.firebaserc', 'firebase.json']) {
@@ -1720,9 +1713,7 @@ async function ensureNoFirebaseHostingArtifacts(root, passFn, failFn) {
   if (hasViolation) {
     return
   }
-  passFn(
-    'Підкаталоги кореня (1-й рівень, без .git/node_modules): артефактів Firebase Hosting не знайдено (abie.mdc)'
-  )
+  passFn('Підкаталоги кореня (1-й рівень, без .git/node_modules): артефактів Firebase Hosting не знайдено (abie.mdc)')
 }
 /**

package/scripts/check-docker.mjs CHANGED Viewed

@@ -24,6 +24,8 @@ import { lintDockerfileWithHadolint, posixRel } from './utils/docker-hadolint.mj
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { walkDir } from './utils/walkDir.mjs'
+const NEWLINE_RE = /\r?\n/
 /**
  * @typedef {{
  *   line: number
@@ -59,30 +61,25 @@ export async function findDockerfilePaths(root) {
 /**
  * Витягує всі `FROM <image>` зі вмісту Dockerfile/Containerfile.
- *
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {FromStage[]} список знайдених FROM-інструкцій
  */
 export function parseFromStages(fileContent) {
   const out = []
-  const lines = fileContent.split(/\r?\n/)
-  for (let i = 0; i < lines.length; i++) {
-    const image = getFromImageToken(lines[i])
+  const lines = fileContent.split(NEWLINE_RE)
+  for (const [i, line] of lines.entries()) {
+    const image = getFromImageToken(line)
     if (image) out.push({ line: i + 1, image })
   }
   return out
 }
-const RUNTIME_IMAGES = /** @type {const} */ ([
-  'mirror.gcr.io/library/alpine',
-  'mirror.gcr.io/library/nginx'
-])
+const RUNTIME_IMAGES = /** @type {const} */ (['mirror.gcr.io/library/alpine', 'mirror.gcr.io/library/nginx'])
 /**
  * Перевіряє базові вимоги до структури Dockerfile:
  * - multistage: мінімум 2 FROM
  * - фінальний FROM: alpine або nginx з mirror.gcr.io
- *
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */

package/scripts/check-ga.mjs CHANGED Viewed

@@ -136,12 +136,12 @@ function verifyNoRunShellLineContinuationBackslash(relPath, content, failFn, pas
   }
   const hits = findRunStepsWithShellLineContinuationBackslash(root)
   if (hits.length === 0) {
-    passFn(`${relPath}: run без shell-продовження через \\ (ga.mdc)`)
+    passFn(String.raw`${relPath}: run без shell-продовження через \ (ga.mdc)`)
     return
   }
   for (const h of hits) {
     failFn(
-      `${relPath}: job ${h.jobId}, крок ${h.stepIndex + 1}: у run заборонено продовження рядків через зворотний сліш; довгі команди оформи як folded block (run: >-) без \\ на кінцях рядків (ga.mdc)`
+      String.raw`${relPath}: job ${h.jobId}, крок ${h.stepIndex + 1}: у run заборонено продовження рядків через зворотний сліш; довгі команди оформи як folded block (run: >-) без \ на кінцях рядків (ga.mdc)`
     )
   }
 }
@@ -237,9 +237,7 @@ async function checkVscodeSettingsForGa(passFn, failFn) {
   }
   const block = /** @type {Record<string, unknown>} */ (settings)['[github-actions-workflow]']
   if (!block || typeof block !== 'object' || block === null || Array.isArray(block)) {
-    failFn(
-      `${rel}: додай "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } (ga.mdc)`
-    )
+    failFn(`${rel}: додай "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } (ga.mdc)`)
     return
   }
   const df = String(/** @type {Record<string, unknown>} */ (block)['editor.defaultFormatter'] ?? '')

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -42,7 +42,8 @@
  * в **тому ж каталозі**, що й **`svc.yaml`** (логіка збігається з **`pathsFromKustomizationObject`**).
  *
  * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; у **`k8s/base/kustomization.yaml`**
- * завжди має бути непорожнє поле **`namespace:`** (перевірка, якщо файл існує).
+ * завжди має бути непорожнє поле **`namespace:`** (перевірка, якщо файл існує). У **`apiVersion: kustomize.config.k8s.io/…`**, **`kind: Kustomization`**
+ * перелік **`resources:`** (лише непорожні рядки) має бути відсортовано за алфавітом (**en**, `localeCompare`).
  *
  * **Inline JSON6902** у **`patches`** (і зовнішні файли з **`patches[].path`** під **`k8s`**, якщо вміст — масив JSON Patch): не допускається пара **`remove`** і **`add`**
  * на один і той самий **`path`** у межах одного фрагмента — потрібен **`op: replace`** (k8s.mdc). **check-k8s** це перевіряє.
@@ -365,6 +366,77 @@ function pushStringPaths(arr, acc) {
   }
 }
+/** Префікс `apiVersion` для маніфесту Kustomize **Kustomization**. */
+const KUSTOMIZE_CONFIG_API_PREFIX = 'kustomize.config.k8s.io/'
+/**
+ * Чи послідовність непорожніх рядків зростаюча за `localeCompare` (en).
+ * @param {string[]} paths
+ * @returns {boolean}
+ */
+function stringPathsAreSortedEn(paths) {
+  for (let i = 1; i < paths.length; i++) {
+    if (paths[i - 1].localeCompare(paths[i], 'en', { sensitivity: 'base' }) > 0) {
+      return false
+    }
+  }
+  return true
+}
+/**
+ * Порушення сорту **`resources`**: лише для **`kustomize.config.k8s.io/…`**, **`kind: Kustomization`**.
+ * Порожні рядки в списку ігноруються (як у `pushStringPaths`).
+ * @param {unknown} obj корінь першого YAML-документа
+ * @returns {string | null} причина або `null`, якщо обмеження не застосовується
+ */
+export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) return null
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  if (rec.kind !== 'Kustomization') return null
+  const av = rec.apiVersion
+  if (typeof av !== 'string' || !av.startsWith(KUSTOMIZE_CONFIG_API_PREFIX)) return null
+  const res = rec.resources
+  if (res === undefined) return null
+  if (!Array.isArray(res)) {
+    return 'Kustomization.resources має бути масивом (k8s.mdc)'
+  }
+  /** @type {string[]} */
+  const paths = []
+  for (let i = 0; i < res.length; i++) {
+    const item = res[i]
+    if (typeof item !== 'string') {
+      return `Kustomization.resources[${i}] — очікується рядок-шлях (k8s.mdc)`
+    }
+    const t = item.trim()
+    if (t !== '') paths.push(t)
+  }
+  if (paths.length < 2) return null
+  if (!stringPathsAreSortedEn(paths)) {
+    const want = [...paths].sort((a, b) => a.localeCompare(b, 'en', { sensitivity: 'base' }))
+    return `Kustomization.resources має бути за алфавітом (en). Зараз: ${paths.join(', ')}; очікувано: ${want.join(', ')} (k8s.mdc)`
+  }
+  return null
+}
+/**
+ * Усі **`kustomization.yaml`**: **`resources`**, відсортовані за en.
+ * @param {string} root корінь репо
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationResourcesSortedAlphabetically(root, yamlFilesAbs, fail) {
+  for (const kustAbs of yamlFilesAbs.filter(p => basename(p).toLowerCase() === 'kustomization.yaml')) {
+    const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+    const kust = await readFirstYamlObject(kustAbs)
+    if (kust === null) continue
+    const v = kustomizationResourcesSortedAlphabeticallyViolation(kust)
+    if (v !== null) {
+      fail(`${rel}: ${v}`)
+    }
+  }
+}
 /**
  * Шляхи з полів Kustomization для resolve відносно каталогу **`kustomization.yaml`**.
  * @param {unknown} obj корінь першого документа Kustomization
@@ -397,6 +469,35 @@ function pathsFromKustomizationObject(obj) {
   return out
 }
+/**
+ * @param {unknown} arr масив (може бути не масивом)
+ * @param {string[]} out вихідний масив
+ */
+function collectObjectPathFields(arr, out) {
+  if (!Array.isArray(arr)) return
+  for (const item of arr) {
+    if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
+      const pth = /** @type {Record<string, unknown>} */ (item).path
+      if (typeof pth === 'string' && pth.trim() !== '') {
+        out.push(pth.trim())
+      }
+    }
+  }
+}
+/**
+ * @param {unknown} arr масив (може бути не масивом)
+ * @param {string[]} out вихідний масив
+ */
+function collectStringPaths(arr, out) {
+  if (!Array.isArray(arr)) return
+  for (const c of arr) {
+    if (typeof c === 'string' && c.trim() !== '') {
+      out.push(c.trim())
+    }
+  }
+}
 /**
  * Унікальні локальні шляхи з `kustomization.yaml` для перевірки існування на диску:
  * як у `pathsFromKustomizationObject`, плюс **`patchesJson6902[].path`**, плюс **`configurations[]`**
@@ -410,37 +511,48 @@ export function kustomizePathRefsForExistenceCheck(obj) {
   }
   const fromPaths = pathsFromKustomizationObject(obj)
   const rec = /** @type {Record<string, unknown>} */ (obj)
-  const pj = rec.patchesJson6902
-  if (Array.isArray(pj)) {
-    for (const item of pj) {
-      if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
-        const pth = /** @type {Record<string, unknown>} */ (item).path
-        if (typeof pth === 'string' && pth.trim() !== '') {
-          fromPaths.push(pth.trim())
-        }
-      }
-    }
+  collectObjectPathFields(rec.patchesJson6902, fromPaths)
+  collectStringPaths(rec.configurations, fromPaths)
+  collectObjectPathFields(rec.replacements, fromPaths)
+  return [...new Set(fromPaths)]
+}
+/**
+ * @param {string} rel відносний шлях файлу
+ * @param {string} r посилання з kustomization
+ * @param {string} kustDir каталог kustomization.yaml
+ * @param {string} rootNorm нормалізований корінь
+ * @param {(msg: string) => void} fail callback
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationRef(rel, r, kustDir, rootNorm, fail) {
+  const target = resolve(kustDir, r.trim())
+  if (!resolvedFilePathIsUnderRoot(rootNorm, target)) {
+    fail(
+      `${rel}: посилання «${r}» виходить за межі репозиторію (resolve: ${(
+        relative(rootNorm, target) || target
+      ).replaceAll('\\', '/')}) (k8s.mdc)`
+    )
+    return
   }
-  const configurations = rec.configurations
-  if (Array.isArray(configurations)) {
-    for (const c of configurations) {
-      if (typeof c === 'string' && c.trim() !== '') {
-        fromPaths.push(c.trim())
-      }
-    }
+  /** @type {import('node:fs').Stats | undefined} */
+  let st
+  try {
+    st = await stat(target)
+  } catch {
+    st = undefined
   }
-  const replacements = rec.replacements
-  if (Array.isArray(replacements)) {
-    for (const r of replacements) {
-      if (r !== null && typeof r === 'object' && !Array.isArray(r)) {
-        const pth = /** @type {Record<string, unknown>} */ (r).path
-        if (typeof pth === 'string' && pth.trim() !== '') {
-          fromPaths.push(pth.trim())
-        }
-      }
+  if (st === undefined) {
+    fail(`${rel}: посилання «${r}» вказує на неіснуючий ресурс (очікувано файл або каталог; k8s.mdc)`)
+  } else if (st.isFile()) {
+    if (!YAML_EXTENSION_RE.test(target)) {
+      fail(
+        `${rel}: «${r}» — за правилами k8s у kustomization для файлів дозволені лише розширення .yaml / .yml (k8s.mdc)`
+      )
     }
+  } else if (!st.isDirectory()) {
+    fail(`${rel}: «${r}» — ні файл, ні каталог (k8s.mdc)`)
   }
-  return [...new Set(fromPaths)]
 }
 /**
@@ -454,44 +566,14 @@ export function kustomizePathRefsForExistenceCheck(obj) {
 async function validateOneKustomizationPathRefsExist(root, kustAbs, rootNorm, fail) {
   const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
   const kust = await readFirstYamlObject(kustAbs)
-  if (kust === null) {
-    return
-  }
-  if (kust.kind !== 'Kustomization') {
+  if (kust === null || kust.kind !== 'Kustomization') {
     return
   }
   const refs = kustomizePathRefsForExistenceCheck(kust)
   const kustDir = dirname(resolve(kustAbs))
   for (const r of refs) {
     if (typeof r === 'string' && !r.includes('://') && r.trim() !== '') {
-      const target = resolve(kustDir, r.trim())
-      if (resolvedFilePathIsUnderRoot(rootNorm, target)) {
-        /** @type {import('node:fs').Stats | undefined} */
-        let st
-        try {
-          st = await stat(target)
-        } catch {
-          st = undefined
-        }
-        if (st === undefined) {
-          fail(
-            `${rel}: посилання «${r}» вказує на неіснуючий ресурс (очікувано файл або каталог; k8s.mdc)`
-          )
-        } else if (st.isFile()) {
-          if (!YAML_EXTENSION_RE.test(target)) {
-            fail(
-              `${rel}: «${r}» — за правилами k8s у kustomization для файлів дозволені лише розширення .yaml / .yml (k8s.mdc)`
-            )
-          }
-        } else if (!st.isDirectory()) {
-          fail(`${rel}: «${r}» — ні файл, ні каталог (k8s.mdc)`)
-        }
-      } else {
-        fail(
-          `${rel}: посилання «${r}» виходить за межі репозиторію (resolve: ${(relative(rootNorm, target) || target).replaceAll('\\', '/')
-          }) (k8s.mdc)`
-        )
-      }
+      await validateKustomizationRef(rel, r, kustDir, rootNorm, fail)
     }
   }
 }
@@ -4279,6 +4361,24 @@ function isResolvedFileUnderDirectory(dirAbs, fileAbs) {
   return !r.startsWith('../') && r !== '..'
 }
+/**
+ * @param {string} resolved абсолютний шлях
+ * @param {string} rootNorm нормалізований корінь
+ * @returns {Promise<boolean>} true, якщо resolved є k8s base-каталогом з kustomization.yaml
+ */
+async function isK8sBaseDir(resolved, rootNorm) {
+  if (basename(resolved) !== 'base') return false
+  if (!existsSync(join(resolved, 'kustomization.yaml'))) return false
+  if (!isUnderK8sPathRelToRoot(rootNorm, resolved)) return false
+  let st
+  try {
+    st = await stat(resolved)
+  } catch {
+    return false
+  }
+  return st.isDirectory()
+}
 /**
  * За списку посилань kustomize повертає каталоги `.../base` з `kustomization.yaml` (наслідування base).
  * @param {string} kustDir каталог kustomization.yaml
@@ -4292,22 +4392,8 @@ async function k8sBaseDirsFromKustomizeResourcePathRefs(kustDir, pathRefs, rootN
   for (const ref of pathRefs) {
     if (typeof ref === 'string' && !ref.includes('://') && ref.trim() !== '') {
       const resolved = resolve(kustDir, ref.trim())
-      if (resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
-        let st
-        try {
-          st = await stat(resolved)
-        } catch {
-          st = undefined
-        }
-        if (
-          st !== undefined
-          && st.isDirectory()
-          && basename(resolved) === 'base'
-          && existsSync(join(resolved, 'kustomization.yaml'))
-          && isUnderK8sPathRelToRoot(rootNorm, resolved)
-        ) {
-          out.push(resolved)
-        }
+      if (resolvedFilePathIsUnderRoot(rootNorm, resolved) && (await isK8sBaseDir(resolved, rootNorm))) {
+        out.push(resolved)
       }
     }
   }
@@ -4368,9 +4454,7 @@ async function verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, pa
   const { hasDeployment, hasHpa, hasPdb } = await getTreeFlags(kustAbs)
   if (hasHpa || hasPdb) {
     if (hasDeployment) {
-      passFn(
-        `${rel}: у дереві kustomize base є HPA/PDB і Deployment (k8s.mdc)`
-      )
+      passFn(`${rel}: у дереві kustomize base є HPA/PDB і Deployment (k8s.mdc)`)
     } else {
       fail(
         `${rel}: у base є HorizontalPodAutoscaler і/або PodDisruptionBudget у resources/bases/…, але дерева kustomize не містить Deployment — HPA і PDB дозволені тільки разом із Deployment (k8s.mdc)`
@@ -4407,47 +4491,52 @@ async function verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
     return
   }
-  const anyBaseHasDep = await (async () => {
-    for (const baseDir of baseDirs) {
-      const { hasDeployment: h } = await getTreeFlags(join(baseDir, 'kustomization.yaml'))
-      if (h) {
-        return true
-      }
-    }
-    return false
-  })()
+  const treeFlags = await Promise.all(baseDirs.map(bd => getTreeFlags(join(bd, 'kustomization.yaml'))))
+  const anyBaseHasDep = treeFlags.some(f => f.hasDeployment)
   for (const ref of pathRefs) {
     if (typeof ref === 'string' && !ref.includes('://') && ref.trim() !== '') {
-      const fAbs = resolve(kustDir, ref.trim())
-      if (resolvedFilePathIsUnderRoot(root, fAbs) && existsSync(fAbs)) {
-        let st
-        try {
-          st = await stat(fAbs)
-        } catch {
-          st = undefined
-        }
-        if (st !== undefined && st.isFile() && YAML_EXTENSION_RE.test(fAbs)) {
-          const fUnderSomeBase = baseDirs.some(bd => isResolvedFileUnderDirectory(bd, fAbs))
-          if (!fUnderSomeBase) {
-            const hpaPdb = await yamlFileContainsHpaOrPdbDocument(fAbs)
-            if (hpaPdb) {
-              if (anyBaseHasDep) {
-                passFn(
-                  `${rel}: overlay-файл «${(relative(root, fAbs) || ref).replaceAll('\\', '/')}» з HPA/PDB, base містить Deployment (k8s.mdc)`
-                )
-              } else {
-                fail(
-                  `${rel}: посилання «${ref}» містить HorizontalPodAutoscaler і/або PodDisruptionBudget, а наслідуваний k8s/base не дає у дереві Deployment — прибери HPA/PDB або додай Deployment у base (k8s.mdc)`
-                )
-              }
-            }
-          }
-        }
-      }
+      await checkOverlayRefHpaPdb(root, kustDir, rel, ref, baseDirs, anyBaseHasDep, fail, passFn)
     }
   }
 }
+/**
+ * @param {string} root нормалізований корінь
+ * @param {string} kustDir каталог kustomization.yaml
+ * @param {string} rel відносний шлях для повідомлень
+ * @param {string} ref посилання з pathRefs
+ * @param {string[]} baseDirs масив base-каталогів
+ * @param {boolean} anyBaseHasDep чи є Deployment у base
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn callback
+ * @returns {Promise<void>}
+ */
+async function checkOverlayRefHpaPdb(root, kustDir, rel, ref, baseDirs, anyBaseHasDep, fail, passFn) {
+  const fAbs = resolve(kustDir, ref.trim())
+  if (!resolvedFilePathIsUnderRoot(root, fAbs) || !existsSync(fAbs)) return
+  let st
+  try {
+    st = await stat(fAbs)
+  } catch {
+    return
+  }
+  if (!st.isFile() || !YAML_EXTENSION_RE.test(fAbs)) return
+  const fUnderSomeBase = baseDirs.some(bd => isResolvedFileUnderDirectory(bd, fAbs))
+  if (fUnderSomeBase) return
+  const hpaPdb = await yamlFileContainsHpaOrPdbDocument(fAbs)
+  if (!hpaPdb) return
+  if (anyBaseHasDep) {
+    passFn(
+      `${rel}: overlay-файл «${(relative(root, fAbs) || ref).replaceAll('\\', '/')}» з HPA/PDB, base містить Deployment (k8s.mdc)`
+    )
+  } else {
+    fail(
+      `${rel}: посилання «${ref}» містить HorizontalPodAutoscaler і/або PodDisruptionBudget, а наслідуваний k8s/base не дає у дереві Deployment — прибери HPA/PDB або додай Deployment у base (k8s.mdc)`
+    )
+  }
+}
 /**
  * Перевіряє всі кастомізації: (1) у k8s/base дереві HPA/PDB тільки з Deployment; (2) overlay, що
  * посилається на base, не додає HPA/PDB без Deployment у base.
@@ -4482,15 +4571,7 @@ async function validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFilesAbs,
       if (isK8sBaseKustomizationRelPath(rel)) {
         await verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags)
       } else {
-        await verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
-          rootNorm,
-          kustAbs,
-          rel,
-          kust,
-          fail,
-          passFn,
-          getTreeFlags
-        )
+        await verifyOverlayHpaPdbFileRefsRespectBaseDeployment(rootNorm, kustAbs, rel, kust, fail, passFn, getTreeFlags)
       }
     }
   }
@@ -4767,6 +4848,8 @@ export async function check() {
   await validateKustomizationPathRefsExistOnDisk(root, yamlFiles, fail)
+  await validateKustomizationResourcesSortedAlphabetically(root, yamlFiles, fail)
   await validateKustomizationPatchTargetsResolved(root, yamlFiles, fail)
   await validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFiles, fail, pass)

package/scripts/utils/docker-mirror.mjs CHANGED Viewed

@@ -11,6 +11,14 @@
  * `mirror.gcr.io/library/{alpine,nginx,node}`.
  */
+const FROM_LINE_RE = /^\s*FROM\s+([^\n]+)/i
+const TOKEN_RE = /(?:[^\s"]+|"[^"]*")+/g
+const MIRROR_GCR_RE = /^mirror\.gcr\.io\//i
+const IP_LIKE_RE = /^\d+\.\d+/
+const HOST_PORT_RE = /^\S+:\d+$/
+const DOCKER_IO_PREFIX_RE = /^(docker\.io|index\.docker\.io)\//
+const NEWLINE_SPLIT_RE = /\r?\n/
 /**
  * @param {string} t — токен образу в лапках або без
  * @returns {string} токен без зовнішніх лапок
@@ -25,18 +33,16 @@ function stripFromImageQuotes(t) {
 /**
  * Виділяє токен образу з рядка `FROM` (після зняття inline-коментаря, без AS).
  * Підтримує прапорець `--platform=…` і форму `--platform` + значення.
- *
  * @param {string} line — рядок Dockerfile
  * @returns {string | null} токен образу або null, якщо рядок не `FROM`
  */
 export function getFromImageToken(line) {
   const withoutComment = line.split('#')[0].trim()
   if (!withoutComment) return null
-  const m = withoutComment.match(/^\s*FROM\s+(.+)$/i)
+  const m = withoutComment.match(FROM_LINE_RE)
   if (!m) return null
   const raw = m[1].trim()
-  const tokenRe = /(?:[^\s"]+|"[^"]*")+/g
-  const tokens = raw.match(tokenRe) || []
+  const tokens = raw.match(TOKEN_RE) || []
   let i = 0
   while (i < tokens.length) {
     const t = tokens[i]
@@ -64,13 +70,12 @@ export function getFromImageToken(line) {
 /**
  * Схоже на звернення до Docker Hub (коротке ім’я, `docker.io/…`, не mirror.gcr.io).
  * Не вважати Hub: явний чужий реєстр (`gcr.io/…`, `reg.example.com:5000/…`).
- *
  * @param {string} imageToken — ref образу (FROM)
  * @returns {boolean} true, якщо схоже на pull з Docker Hub
  */
 export function isDockerHubStyleImageRef(imageToken) {
   if (!imageToken) return false
-  if (/^mirror\.gcr\.io\//i.test(imageToken)) return false
+  if (MIRROR_GCR_RE.test(imageToken)) return false
   const noDigest = imageToken.split('@')[0] || ''
   if (!noDigest.includes('/')) {
     return true
@@ -78,8 +83,8 @@ export function isDockerHubStyleImageRef(imageToken) {
   const first = noDigest.split('/')[0] || ''
   if (first === 'docker.io' || first === 'index.docker.io') return true
   if (first.includes('.')) return false
-  if (first === 'localhost' || /^\d+\.\d+/.test(first)) return false
-  if (first.includes(':') && /^\S+:\d+$/.test(first)) {
+  if (first === 'localhost' || IP_LIKE_RE.test(first)) return false
+  if (first.includes(':') && HOST_PORT_RE.test(first)) {
     return false
   }
   return true
@@ -87,13 +92,12 @@ export function isDockerHubStyleImageRef(imageToken) {
 /**
  * Нормалізує шлях репозиторію (без тега/digest) для порівняння: `library/node`, `oven/bun`, …
- *
  * @param {string} imageToken — ref образу
  * @returns {string} нормалізований шлях репозиторію без тега
  */
 export function normalizeHubRepoPath(imageToken) {
   let s = (imageToken.split('@')[0] || '').toLowerCase()
-  s = s.replace(/^(docker\.io|index\.docker\.io)\//, '')
+  s = s.replace(DOCKER_IO_PREFIX_RE, '')
   if (!s.includes('/')) {
     return `library/${s.split(':')[0]}`
   }
@@ -105,12 +109,9 @@ export function normalizeHubRepoPath(imageToken) {
   return s
 }
-const HUB_REPOS_REQUIRING_MIRROR = /** @type {const} */ ([
-  'oven/bun',
-  'library/alpine',
-  'library/nginx',
-  'library/node'
-])
+const HUB_REPOS_REQUIRING_MIRROR = /** @type {const} */ (
+  new Set(['oven/bun', 'library/alpine', 'library/nginx', 'library/node'])
+)
 const EXPECTED_MIRROR = /** @type {const} */ ({
   'oven/bun': 'mirror.gcr.io/oven/bun',
@@ -120,17 +121,16 @@ const EXPECTED_MIRROR = /** @type {const} */ ({
 })
 /**
- * Якщо образ тягнеть з Hub і підлягає дзеркалу — повертає рекомендовану заміну, інакше `null`.
- *
+ * Якщо образ тягнеться з Hub і підлягає дзеркалу — повертає рекомендовану заміну, інакше `null`.
  * @param {string} imageToken — ref після `FROM`
  * @returns {string | null} рекомендований `mirror.gcr.io/...` (без тега) або null
  */
 export function getRequiredMirrorGcrImage(imageToken) {
   if (!imageToken) return null
-  if (/^mirror\.gcr\.io\//i.test(imageToken)) return null
+  if (MIRROR_GCR_RE.test(imageToken)) return null
   if (!isDockerHubStyleImageRef(imageToken)) return null
   const norm = normalizeHubRepoPath(imageToken)
-  if (!HUB_REPOS_REQUIRING_MIRROR.includes(/** @type {any} */ (norm))) {
+  if (!HUB_REPOS_REQUIRING_MIRROR.has(/** @type {keyof typeof EXPECTED_MIRROR} */ (norm))) {
     return null
   }
   return EXPECTED_MIRROR[/** @type {keyof typeof EXPECTED_MIRROR} */ (norm)]
@@ -138,14 +138,12 @@ export function getRequiredMirrorGcrImage(imageToken) {
 /**
  * Сканує вміст Dockerfile / Containerfile — повертає рядок помилки або `null`.
- *
  * @param {string} fileContent — повний вміст Dockerfile
  * @returns {string | null} повідомлення з номером рядка або null
  */
 export function getMirrorGcrHint(fileContent) {
-  const lines = fileContent.split(/\r?\n/)
-  for (let n = 0; n < lines.length; n++) {
-    const line = lines[n]
+  const lines = fileContent.split(NEWLINE_SPLIT_RE)
+  for (const [n, line] of lines.entries()) {
     const image = getFromImageToken(line)
     const expected = getRequiredMirrorGcrImage(image)
     if (expected) {