@nitra/cursor 1.8.130 → 1.8.132

package/bin/auto-rules.md

@@ -18,12 +18,16 @@ js-lint - якщо присутній хоч один js файл
 
 js-pino - якщо присутній хоч один js файл, не в монорепо проекті з vue та директорії tempo
 
+js-mssql - якщо в хоч одному package.json в секції dependencies присутній пакет mssql
+
 k8s - якщо присутня хоч одна директорія k8s
 
 nginx-default-tpl - якщо присутній хоч один файл з переліку - default.conf.template, default.conf, nginx.conf
 
 npm-module - якщо в корені присутня директорія npm
 
+php - якщо присутній хоч один php файл
+
 style-lint - якщо присутній хоч один vue або css файл
 
 text - завжди

package/mdc/docker.mdc

@@ -14,10 +14,75 @@ alwaysApply: false
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
 
 - **backend**: `mirror.gcr.io/library/alpine:*`
-- **frontend**: `mirror.gcr.io/library/nginx:*`
+- **frontend**: `mirror.gcr.io/library/nginx:*` aбо `mirror.gcr.io/openresty/openresty:*`
 
 Це гарантує, що результуючий образ містить лише runtime (alpine) або nginx, без build tooling і node_modules.
 
+## компіляція
+
+Якщо проект має bun install крок, та не є фронтенд проектом (тобто не має bun build крок), то потрібно щоб була компіляція коду, і далі у фінальному образі був тільки бінарник і Цей образ не містив компілятора, npm, Bun — тільки runtime libs. Наприклад:
+
+```dockerfile
+FROM mirror.gcr.io/oven/bun:alpine AS build-env
+
+WORKDIR /app
+
+ENV NODE_ENV=production
+
+COPY package.json .
+COPY bunfig.toml .
+
+RUN bun install --production
+
+COPY ./src ./src
+
+# Компілюємо в бінарник
+RUN bun build --compile --outfile app ./src/index.js
+
+FROM mirror.gcr.io/library/alpine:latest
+
+# (libstdc++ libgcc) для Bun runtime, (tzdata) для часового поясу
+RUN apk add --no-cache libstdc++ libgcc tzdata
+
+WORKDIR /app
+
+COPY --from=build-env /app/app ./app
+
+CMD ["./app"]
+```
+
+## не превілейований образ
+
+Для всих образів потрібно щоб використовувся non root принцип, наприклад:
+
+```dockerfile
+# Stage 1
+FROM oven/bun:alpine AS build-env
+WORKDIR /app
+COPY package.json bunfig.toml .
+RUN bun install --production
+COPY ./src ./src
+RUN bun build --compile --outfile app ./src/index.js
+
+# Stage 2
+FROM alpine:latest
+RUN apk add --no-cache libstdc++ libgcc tzdata
+
+# ✅ Додати non-root user
+RUN addgroup -g 1000 app && adduser -D -u 1000 -G app app
+
+WORKDIR /app
+
+# ✅ Змінити власника файлу
+COPY --from=build-env --chown=app:app /app/app ./app
+
+# ✅ Запускати як non-root
+USER app
+
+CMD ["./app"]
+
+```
+
 ## Область
 
 - Усі файли з іменем **`Dockerfile`** або **`Dockerfile.*`** (наприклад `Dockerfile.prod`) у репозиторії, крім ігнорованих каталогів (`node_modules`, `.git`, `dist`, …) — як у **`check-docker.mjs`**.

package/mdc/js-mssql.mdc

@@ -0,0 +1,59 @@
+---
+description: Використання mssql в nodejs
+alwaysApply: true
+version: '1.1'
+---
+
+Якщо в проекті в будь-якому `package.json` в секції `dependencies` присутній пакет **`mssql`**,
+то його версія повинна бути не менше **12.5.0**.
+
+Потрібно використовувати connection pool (sql.ConnectionPool) як singleton, а НЕ створювати підключення на кожен запит.
+
+tagged template треба викликати на request-обʼєкті цього пулу:
+```javascript
+javascript// db.js
+import sql from 'mssql';
+
+let poolPromise;
+
+export function getPool() {
+  if (!poolPromise) {
+    const pool = new sql.ConnectionPool(config);
+    poolPromise = pool.connect().catch(err => {
+      poolPromise = undefined; // дозволити повторну спробу
+      throw err;
+    });
+  }
+  return poolPromise;
+}
+```
+
+```javascript
+// usage
+import { getPool } from './db.js';
+
+const pool = await getPool();
+const userId = 42;
+const status = 'active';
+
+// Tagged template на request — це працює
+const result = await pool.request().query`
+  SELECT * FROM users
+  WHERE id = ${userId} AND status = ${status}
+`;
+
+```
+
+Ключове: pool.request().query\...`— бекті́ки післяquery`, без круглих дужок. Це той самий tagged template, тільки контекст — конкретний пул, а не глобальний.
+
+Що НЕ робити
+javascript// ❌ Це не tagged template — це конкатенація рядка перед викликом
+```javascript
+await pool.request().query(`SELECT * FROM users WHERE id = ${userId}`);
+// ↑ круглі дужки замість бекті́ків = звичайна інтерполяція = SQL injection
+```
+
+Різниця між query\...`іquery(`...`)` — критична. Перше безпечне, друге — діра.
+Потрібно використовувати перше. Потрібно шукати в коді друге і заміняти на перше.
+
+Перевірка: `npx @nitra/cursor check js-mssql`.

package/mdc/php.mdc

@@ -0,0 +1,132 @@
+---
+description: PHP
+alwaysApply: true
+version: '1.0'
+---
+
+Весь код повинен відповідати PHP 8.5, перевіряти за допомогою PHPCompatibility, конвертувати за допомогою Rector.
+
+Код повинен бути добре документований за допомогою phpDoc-ів:
+
+```php
+/** @param array<int, string> $items */
+function process($items) {
+    foreach ($items as $id => $name) {
+        // PHPStan знає, що $id — int, $name — string
+    }
+}
+```
+
+## Потрібно додати до lint-php
+
+### PHP_CodeSniffer (phpcs) і пакет `squizlabs/php_codesniffer`
+
+Стиль, базові ризики, за потреби окремі стандарти. Для **SQL injection**, **XSS**, **небезпечні функції** — PHPCS + **php-security-audit** (стандарт `Security`).
+
+```bash
+phpcs --standard=Security app/
+```
+
+### PHPStan
+
+Статичний аналіз типів і смертельних слабких місць; **PHPStan Taint Analysis** (`phpstan/phpstan-taint-analysis`) — для потоку даних (taint) у стилі security-аналізу.
+
+```bash
+vendor/bin/phpstan analyse
+# після підключення розширення taint — у phpstan.neon/ neon.dist
+```
+
+### PHP-CS-Fixer
+
+Форматтер/фіксер коду; у **lint** зазвичай перевірка без змін (`--dry-run`).
+
+```bash
+vendor/bin/php-cs-fixer fix --dry-run --diff
+```
+
+### Psalm
+
+Альтернативний/додатковий аналізатор; **Psalm Security Plugin** (`vimeo/psalm` + пакет на кшталт `psalm/plugin-security` залежно від вибраної збірки) — для security-орієнтованих правил.
+
+```bash
+vendor/bin/psalm
+```
+
+### `composer audit`
+
+Перевірка відомих вразливостей залежностей за даними **Packagist/security-advisories**.
+
+```bash
+composer audit
+```
+
+## lint-php
+
+`composer`-інструмененти не мають єдиного CLI, який сам обходить репозиторій, тому `lint-php` зручно делегувати у JS-скрипт-обгортку (як `lint-docker`, `lint-k8s`).
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-php": "bun ./npm/scripts/run-php.mjs"
+  }
+}
+```
+
+Скрипт `run-php.mjs`:
+
+- якщо `composer.json` у корені відсутній — вихід 0 (перевірка пропущена);
+- якщо `composer.json` є, але `composer` не знайдено в PATH — це помилка;
+- `composer audit` — обовʼязковий;
+- `vendor/bin/php-cs-fixer`, `vendor/bin/phpcs`, `vendor/bin/phpstan`, `vendor/bin/psalm` — запускаються лише якщо встановлені (інакше крок пропускається з повідомленням).
+
+## CI: `.github/workflows/lint-php.yml`
+
+```yaml title=".github/workflows/lint-php.yml"
+name: Lint PHP
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/*.php'
+      - 'composer.json'
+      - 'composer.lock'
+      - 'phpstan.neon'
+      - 'phpstan.neon.dist'
+      - 'psalm.xml'
+      - '.github/workflows/lint-php.yml'
+
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  php:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - name: Install PHP
+        uses: shivammathur/setup-php@v2
+        with:
+          php-version: '8.5'
+
+      - name: Install Composer dependencies
+        run: composer install --no-interaction --no-progress --prefer-dist
+
+      - name: Lint PHP
+        run: bun run lint-php
+```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.130",
+  "version": "1.8.132",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/auto-rules.mjs

@@ -25,10 +25,12 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'ga',
   'graphql',
   'js-lint',
+  'js-mssql',
   'js-pino',
   'k8s',
   'nginx-default-tpl',
   'npm-module',
+  'php',
   'style-lint',
   'text',
   'vue'
@@ -41,10 +43,59 @@ const ABIE_REPOSITORY_URL_MARKER = 'https://github.com/abinbevefes/'
 const JS_LIKE_RE = /\.(?:mjs|cjs|js|jsx|ts|tsx)$/iu
 const STYLE_RE = /\.(?:css|vue)$/iu
 const VUE_RE = /\.vue$/iu
+const PHP_RE = /\.php$/iu
 const NGINX_DEFAULT_FILES = new Set(['default.conf.template', 'default.conf', 'nginx.conf'])
 const IGNORED_DIR_NAMES = new Set(['node_modules', '.git', '.next', '.turbo'])
 const DEFAULT_DISABLED_LIST = Object.freeze([])
 
+/**
+ * Чи є `mssql` у `dependencies` хоча б одного `package.json` у репозиторії.
+ * @param {string} root абсолютний шлях до кореня репозиторію
+ * @returns {Promise<boolean>} true, якщо знайдено `dependencies.mssql`
+ */
+async function hasMssqlDependencyInAnyPackageJson(root) {
+  let found = false
+
+  /**
+   * Рекурсивний обхід каталогу з пропуском службових директорій.
+   * @param {string} dir абсолютний шлях каталогу
+   * @returns {Promise<void>}
+   */
+  async function walk(dir) {
+    if (found) return
+    let entries
+    try {
+      entries = await readdir(dir, { withFileTypes: true })
+    } catch {
+      return
+    }
+    for (const entry of entries) {
+      if (found) return
+      const absPath = join(dir, entry.name)
+      if (entry.isDirectory()) {
+        const isIgnoredDir = IGNORED_DIR_NAMES.has(entry.name)
+        if (!isIgnoredDir) {
+          await walk(absPath)
+        }
+      } else if (entry.isFile() && entry.name === 'package.json') {
+        try {
+          const parsed = JSON.parse(await readFile(absPath, 'utf8'))
+          const deps = parsed?.dependencies
+          if (deps && typeof deps === 'object' && !Array.isArray(deps) && Object.hasOwn(deps, 'mssql')) {
+            found = true
+            return
+          }
+        } catch {
+          /* ігноруємо пошкоджені/недоступні package.json */
+        }
+      }
+    }
+  }
+
+  await walk(root)
+  return found
+}
+
 /**
  * Фіксує ознаки, що залежать лише від імені підкаталогу.
  * @param {string} dirName імʼя каталогу
@@ -71,6 +122,7 @@ function updateDirFacts(dirName, facts) {
  *   hasDockerfile: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasPhpSource: boolean,
  *   hasVueOrCssSource: boolean,
  *   hasVueSource: boolean
  * }} facts агреговані факти
@@ -89,6 +141,9 @@ function updateFileFacts(fileName, relPath, facts) {
   if (VUE_RE.test(relPath)) {
     facts.hasVueSource = true
   }
+  if (PHP_RE.test(relPath)) {
+    facts.hasPhpSource = true
+  }
   if (STYLE_RE.test(relPath)) {
     facts.hasVueOrCssSource = true
   }
@@ -213,6 +268,7 @@ export function isMonorepoPackage(packageJson) {
  *   hasK8sDir: boolean,
  *   hasNginxDefaultTplFile: boolean,
  *   hasTempoDir: boolean,
+ *   hasPhpSource: boolean,
  *   hasVueSource: boolean,
  *   hasVueOrCssSource: boolean
  * }>} агреговані факти
@@ -226,6 +282,7 @@ export async function collectAutoRuleFacts(root) {
     hasK8sDir: false,
     hasNginxDefaultTplFile: false,
     hasTempoDir: false,
+    hasPhpSource: false,
     hasVueSource: false,
     hasVueOrCssSource: false
   }
@@ -295,6 +352,7 @@ export async function detectAutoRulesAndSkills({
   )
   const isAbie = typeof repositoryUrl === 'string' && repositoryUrl.toLowerCase().includes(ABIE_REPOSITORY_URL_MARKER)
   const isMonorepo = isMonorepoPackage(packageJsonParsed)
+  const hasMssqlDependency = await hasMssqlDependencyInAnyPackageJson(root)
 
   /** @type {string[]} */
   const detectedRules = []
@@ -332,10 +390,12 @@ export async function detectAutoRulesAndSkills({
     { enabled: facts.hasGaWorkflowsDir, id: 'ga' },
     { enabled: facts.hasGqlTaggedTemplates, id: 'graphql' },
     { enabled: facts.hasJsLikeSource, id: 'js-lint' },
+    { enabled: hasMssqlDependency, id: 'js-mssql' },
     { enabled: facts.hasJsLikeSource && !(isMonorepo && facts.hasVueSource && facts.hasTempoDir), id: 'js-pino' },
     { enabled: facts.hasK8sDir, id: 'k8s' },
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },
     { enabled: npmDirExists, id: 'npm-module' },
+    { enabled: facts.hasPhpSource, id: 'php' },
     { enabled: facts.hasVueOrCssSource, id: 'style-lint' }
   ]
   for (const item of autoRuleChecks) {

package/scripts/check-docker.mjs

@@ -7,10 +7,14 @@
  * Також перевіряє, що Dockerfile/Containerfile має **multistage build** і що фінальний stage
  * використовує мінімальний runtime-образ:
  * - backend: `mirror.gcr.io/library/alpine:*`
- * - frontend: `mirror.gcr.io/library/nginx:*`
+ * - frontend: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
+ *
+ * Якщо в Dockerfile є крок `bun install` і це не frontend-образ (фінальний stage — alpine),
+ * то очікується компіляція в один бінарник через `bun build --compile` у build stage, а у
+ * фінальному stage не повинно залишатися build tooling (Bun/Node).
  *
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
- * runtime (alpine) або nginx.
+ * runtime (alpine), nginx або openresty.
  *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
  * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
@@ -25,6 +29,10 @@ import { createCheckReporter } from './utils/check-reporter.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
 const NEWLINE_RE = /\r?\n/
+const BUN_INSTALL_RE = /\bbun\s+(?:install|i)\b/iu
+const BUN_BUILD_COMPILE_RE = /\bbun\s+build\b[^\n]*\s--compile\b/iu
+const BUN_WORD_RE = /\bbun\b/iu
+const USER_LINE_RE = /^\s*USER\s+([^\s#]+)/iu
 
 /**
  * @typedef {{
@@ -74,12 +82,38 @@ export function parseFromStages(fileContent) {
   return out
 }
 
-const RUNTIME_IMAGES = /** @type {const} */ (['mirror.gcr.io/library/alpine', 'mirror.gcr.io/library/nginx'])
+const RUNTIME_IMAGES = /** @type {const} */ ([
+  'mirror.gcr.io/library/alpine',
+  'mirror.gcr.io/library/nginx',
+  'mirror.gcr.io/openresty/openresty'
+])
+
+/**
+ * Розбиває Dockerfile на stages за `FROM` (порожній масив, якщо FROM немає).
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {Array<{ from: FromStage, stageContent: string }>} stages з `FROM` і вмістом stage
+ */
+export function splitDockerfileStages(fileContent) {
+  const stages = parseFromStages(fileContent)
+  if (stages.length === 0) return []
+
+  const lines = fileContent.split(NEWLINE_RE)
+  /** @type {Array<{ from: FromStage, stageContent: string }>} */
+  const out = []
+
+  for (const [idx, from] of stages.entries()) {
+    const startLineIdx = Math.max(0, from.line - 1)
+    const next = stages[idx + 1]
+    const endLineExclusive = next ? Math.max(0, next.line - 1) : lines.length
+    out.push({ from, stageContent: lines.slice(startLineIdx, endLineExclusive).join('\n') })
+  }
+  return out
+}
 
 /**
  * Перевіряє базові вимоги до структури Dockerfile:
  * - multistage: мінімум 2 FROM
- * - фінальний FROM: alpine або nginx з mirror.gcr.io
+ * - фінальний FROM: alpine/nginx/openresty з mirror.gcr.io
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
@@ -103,6 +137,88 @@ export function getMultistageAndRuntimeHint(fileContent) {
   return null
 }
 
+/**
+ * Перевіряє вимогу "компіляція в бінарник" для bun-проєктів на backend runtime.
+ *
+ * Тригер:
+ * - у Dockerfile є крок `bun install` (або `bun i`);
+ * - фінальний FROM — `mirror.gcr.io/library/alpine:*` (тобто не nginx/openresty frontend).
+ *
+ * Очікування:
+ * - у build stage є `bun build --compile`;
+ * - у фінальному stage немає викликів `bun` (залишків build tooling).
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getBunCompileHint(fileContent) {
+  const stages = splitDockerfileStages(fileContent)
+  if (stages.length === 0) return null
+
+  const last = stages.at(-1)
+  const lastImage = (last?.from.image || '').split('@')[0] || ''
+  const lastLower = lastImage.toLowerCase()
+
+  const hasBunInstall = BUN_INSTALL_RE.test(fileContent)
+  const isFinalAlpine = lastLower.startsWith('mirror.gcr.io/library/alpine:')
+  const isFinalFrontend =
+    lastLower.startsWith('mirror.gcr.io/library/nginx:') || lastLower.startsWith('mirror.gcr.io/openresty/openresty:')
+
+  if (!hasBunInstall) return null
+  if (!isFinalAlpine) return null
+  if (isFinalFrontend) return null
+
+  const hasCompile = BUN_BUILD_COMPILE_RE.test(fileContent)
+  if (!hasCompile) {
+    return 'є `bun install`, але немає `bun build --compile` — для backend-образу потрібно компілювати застосунок у бінарник (docker.mdc: компіляція)'
+  }
+
+  const lastStageContent = last?.stageContent || ''
+  if (BUN_WORD_RE.test(lastStageContent)) {
+    return 'фінальний stage не має містити Bun (RUN/CMD/ENTRYPOINT з `bun`) — залиш у runtime stage лише бінарник і runtime libs (docker.mdc: компіляція)'
+  }
+
+  return null
+}
+
+/**
+ * Перевіряє вимогу "non-root" у фінальному runtime stage (docker.mdc).
+ *
+ * Очікування:
+ * - у фінальному stage має бути інструкція `USER <name|uid>`;
+ * - користувач не має бути `root` і не має бути `0`.
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getNonRootRuntimeHint(fileContent) {
+  const stages = splitDockerfileStages(fileContent)
+  if (stages.length === 0) return null
+
+  const last = stages.at(-1)
+  const lastStageContent = last?.stageContent || ''
+
+  /** @type {string | null} */
+  let lastUserToken = null
+  for (const line of lastStageContent.split(NEWLINE_RE)) {
+    const m = line.match(USER_LINE_RE)
+    if (m) {
+      lastUserToken = (m[1] || '').replaceAll('"', '').replaceAll("'", '')
+    }
+  }
+
+  if (!lastUserToken) {
+    return 'у фінальному stage має бути `USER <non-root>` (наприклад `USER app`) — принцип non-root (docker.mdc: не превілейований образ)'
+  }
+
+  const normalized = lastUserToken.trim().toLowerCase()
+  if (normalized === 'root' || normalized === '0') {
+    return `фінальний stage має запускатися не від root: зараз \`USER ${lastUserToken}\` (docker.mdc: не превілейований образ)`
+  }
+
+  return null
+}
+
 /**
  * Перевіряє Dockerfile / Containerfile через hadolint (docker.mdc).
  * @returns {Promise<number>} 0 — все OK, 1 — є зауваження або помилка запуску
@@ -134,6 +250,16 @@ export async function check() {
       fail(`${rel} (multistage): ${multistageHint}`)
     }
 
+    const compileHint = getBunCompileHint(content)
+    if (compileHint) {
+      fail(`${rel} (compile): ${compileHint}`)
+    }
+
+    const nonRootHint = getNonRootRuntimeHint(content)
+    if (nonRootHint) {
+      fail(`${rel} (non-root): ${nonRootHint}`)
+    }
+
     const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
     const tail = (stdout + stderr).trim()
     if (ok) {