npm - @nitra/cursor - Versions diffs - 1.8.130 → 1.8.132 - Mend

@nitra/cursor 1.8.130 → 1.8.132

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (13) hide show

package/bin/auto-rules.md +4 -0
package/mdc/docker.mdc +66 -1
package/mdc/js-mssql.mdc +59 -0
package/mdc/php.mdc +132 -0
package/package.json +1 -1
package/scripts/auto-rules.mjs +60 -0
package/scripts/check-docker.mjs +130 -4
package/scripts/check-ga.mjs +207 -86
package/scripts/check-js-mssql.mjs +203 -0
package/scripts/check-k8s.mjs +12 -12
package/scripts/check-php.mjs +80 -0
package/scripts/run-php.mjs +125 -0
package/scripts/utils/mssql-pool-scan.mjs +208 -0

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -370,9 +370,9 @@ function pushStringPaths(arr, acc) {
 const KUSTOMIZE_CONFIG_API_PREFIX = 'kustomize.config.k8s.io/'
 /**
- * Чи послідовність непорожніх рядків зростаюча за `localeCompare` (en).
- * @param {string[]} paths
- * @returns {boolean}
+ * Чи послідовність непорожніх рядків відсортована за `localeCompare` (en, ascending).
+ * @param {string[]} paths рядки для перевірки
+ * @returns {boolean} `true` якщо послідовність відсортована
  */
 function stringPathsAreSortedEn(paths) {
   for (let i = 1; i < paths.length; i++) {
@@ -402,8 +402,7 @@ export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
   }
   /** @type {string[]} */
   const paths = []
-  for (let i = 0; i < res.length; i++) {
-    const item = res[i]
+  for (const [i, item] of res.entries()) {
     if (typeof item !== 'string') {
       return `Kustomization.resources[${i}] — очікується рядок-шлях (k8s.mdc)`
     }
@@ -412,7 +411,7 @@ export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
   }
   if (paths.length < 2) return null
   if (!stringPathsAreSortedEn(paths)) {
-    const want = [...paths].sort((a, b) => a.localeCompare(b, 'en', { sensitivity: 'base' }))
+    const want = paths.toSorted((a, b) => a.localeCompare(b, 'en', { sensitivity: 'base' }))
     return `Kustomization.resources має бути за алфавітом (en). Зараз: ${paths.join(', ')}; очікувано: ${want.join(', ')} (k8s.mdc)`
   }
   return null
@@ -422,17 +421,18 @@ export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
  * Усі **`kustomization.yaml`**: **`resources`**, відсортовані за en.
  * @param {string} root корінь репо
  * @param {string[]} yamlFilesAbs yaml під k8s
- * @param {(msg: string) => void} fail
- * @returns {Promise<void>}
+ * @param {(msg: string) => void} fail функція для фіксації порушення
+ * @returns {Promise<void>} завершується після перевірки всіх kustomization.yaml
  */
 async function validateKustomizationResourcesSortedAlphabetically(root, yamlFilesAbs, fail) {
   for (const kustAbs of yamlFilesAbs.filter(p => basename(p).toLowerCase() === 'kustomization.yaml')) {
     const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
     const kust = await readFirstYamlObject(kustAbs)
-    if (kust === null) continue
-    const v = kustomizationResourcesSortedAlphabeticallyViolation(kust)
-    if (v !== null) {
-      fail(`${rel}: ${v}`)
+    if (kust !== null) {
+      const v = kustomizationResourcesSortedAlphabeticallyViolation(kust)
+      if (v !== null) {
+        fail(`${rel}: ${v}`)
+      }
     }
   }
 }

package/scripts/check-php.mjs ADDED Viewed

@@ -0,0 +1,80 @@
+/**
+ * Перевіряє вимоги правила php.mdc для PHP-проєктів.
+ *
+ * Очікування:
+ * - у корені є `composer.json`;
+ * - у `package.json` є скрипт `lint-php` (рекомендовано делегувати в `run-php.mjs`);
+ * - у `.github/workflows/lint-php.yml` є крок `run: bun run lint-php` (для Bun-репозиторіїв).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { anyRunStepIncludes, parseWorkflowYaml } from './utils/gha-workflow.mjs'
+/**
+ * Перевіряє наявність `composer.json`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+function checkComposer(reporter) {
+  const { pass, fail } = reporter
+  if (existsSync('composer.json')) {
+    pass('composer.json існує')
+  } else {
+    fail('composer.json не знайдено в корені — додай (php.mdc)')
+  }
+}
+/**
+ * Перевіряє кореневий `package.json` на скрипт `lint-php`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+async function checkPackageJson(reporter) {
+  const { pass, fail } = reporter
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (php.mdc)')
+    return
+  }
+  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
+  const lintPhp = pkg.scripts?.['lint-php']
+  if (lintPhp) {
+    pass('package.json містить скрипт lint-php')
+  } else {
+    fail('package.json: додай скрипт "lint-php" (php.mdc)')
+  }
+}
+/**
+ * Перевіряє workflow `lint-php.yml`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+async function checkWorkflow(reporter) {
+  const { pass, fail } = reporter
+  const wfPath = '.github/workflows/lint-php.yml'
+  if (!existsSync(wfPath)) {
+    fail(`${wfPath} не існує — створи згідно php.mdc`)
+    return
+  }
+  const content = await readFile(wfPath, 'utf8')
+  pass('lint-php.yml існує')
+  const root = parseWorkflowYaml(content)
+  const ok = root ? anyRunStepIncludes(root, 'bun run lint-php') : content.includes('bun run lint-php')
+  if (ok) {
+    pass('lint-php.yml викликає bun run lint-php')
+  } else {
+    fail('lint-php.yml має містити крок run: bun run lint-php (php.mdc)')
+  }
+}
+/**
+ * Перевіряє відповідність проєкту правилам php.mdc.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  checkComposer(reporter)
+  await checkPackageJson(reporter)
+  await checkWorkflow(reporter)
+  return reporter.getExitCode()
+}

package/scripts/run-php.mjs ADDED Viewed

@@ -0,0 +1,125 @@
+/**
+ * Запуск `lint-php` за правилом php.mdc: `composer audit` і, якщо встановлені пакети, запуск
+ * PHPStan, Psalm, PHP-CS-Fixer (dry-run) та PHPCS зі стандартом Security.
+ *
+ * Скрипт не вимагає, щоб усі інструменти були встановлені: якщо відповідного файла
+ * `vendor/bin/<tool>` немає, крок пропускається з повідомленням. Але якщо в корені є
+ * `composer.json`, то `composer` має бути доступний у PATH (інакше це помилка).
+ *
+ * Якщо `composer.json` у корені відсутній — вихід 0 без запуску інструментів.
+ */
+import { spawnSync } from 'node:child_process'
+import { existsSync, statSync } from 'node:fs'
+import { join, resolve } from 'node:path'
+import { isRunAsCli } from './cli-entry.mjs'
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { resolveCmd } from './utils/resolve-cmd.mjs'
+const PHPCS_CODE_DIR_CANDIDATES = ['app', 'src', 'lib', 'public', 'www']
+/**
+ * Каталоги коду для PHPCS (якщо типових директорій немає — перевіряємо `.`).
+ * @param {string} root корінь репозиторію
+ * @returns {string[]} перелік шляхів (відносно root), які варто передати у `phpcs`
+ */
+export function getPhpcsCodePaths(root) {
+  const out = []
+  for (const d of PHPCS_CODE_DIR_CANDIDATES) {
+    const p = join(root, d)
+    if (existsSync(p) && statSync(p).isDirectory()) out.push(d)
+  }
+  return out.length > 0 ? out : ['.']
+}
+/**
+ * @param {string} root корінь репозиторію
+ * @param {string} name імʼя файла у vendor/bin
+ * @returns {string | null} абсолютний шлях або null, якщо файла немає
+ */
+function vendorBin(root, name) {
+  const p = resolve(root, 'vendor', 'bin', name)
+  return existsSync(p) ? p : null
+}
+/**
+ * @param {string} label назва кроку для повідомлень
+ * @param {string} abs абсолютний шлях до CLI
+ * @param {string[]} args аргументи
+ * @param {(msg: string) => void} pass callback pass
+ * @param {(msg: string) => void} fail callback fail
+ * @returns {boolean} true якщо OK
+ */
+function runTool(label, abs, args, pass, fail) {
+  const r = spawnSync(abs, args, { stdio: 'inherit', shell: false })
+  if (r.status === 0) {
+    pass(`lint-php: ${label} — OK`)
+    return true
+  }
+  const code = typeof r.status === 'number' ? r.status : 1
+  fail(`lint-php: ${label} — помилка (код ${code}, php.mdc)`)
+  return false
+}
+/**
+ * Запускає `lint-php`.
+ * @returns {number} 0 — OK, 1 — є помилки
+ */
+export function run() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const root = process.cwd()
+  if (!existsSync(join(root, 'composer.json'))) {
+    pass('lint-php: немає composer.json у корені — кроки PHP пропущено')
+    return reporter.getExitCode()
+  }
+  const composer = resolveCmd('composer')
+  if (!composer) {
+    fail('lint-php: `composer` не знайдено в PATH (потрібен при наявному composer.json, php.mdc)')
+    return reporter.getExitCode()
+  }
+  if (!runTool('composer audit', composer, ['audit', '--no-interaction'], pass, fail)) return reporter.getExitCode()
+  /**
+   * Запускає інструмент з `vendor/bin`, якщо він встановлений.
+   * @param {string} binName імʼя файла у vendor/bin
+   * @param {string} label назва кроку
+   * @param {string[]} args аргументи CLI
+   * @returns {boolean} true, якщо крок успішний або пропущений
+   */
+  function runOptionalVendorTool(binName, label, args) {
+    const abs = vendorBin(root, binName)
+    if (!abs) {
+      pass(`lint-php: vendor/bin/${binName} — відсутній, крок пропущено`)
+      return true
+    }
+    return runTool(label, abs, args, pass, fail)
+  }
+  if (!runOptionalVendorTool('php-cs-fixer', 'PHP-CS-Fixer (dry-run)', ['fix', '--dry-run', '--diff'])) {
+    return reporter.getExitCode()
+  }
+  const phpcsPaths = getPhpcsCodePaths(root)
+  if (
+    !runOptionalVendorTool('phpcs', 'phpcs (Security)', [
+      '--standard=Security',
+      '--ignore=*/vendor/*,*/node_modules/*,*/.git/*',
+      ...phpcsPaths
+    ])
+  ) {
+    return reporter.getExitCode()
+  }
+  if (!runOptionalVendorTool('phpstan', 'PHPStan', ['analyse', '--no-progress'])) return reporter.getExitCode()
+  if (!runOptionalVendorTool('psalm', 'Psalm', ['--no-cache'])) return reporter.getExitCode()
+  return reporter.getExitCode()
+}
+if (isRunAsCli()) {
+  process.exitCode = run()
+}

package/scripts/utils/mssql-pool-scan.mjs ADDED Viewed

@@ -0,0 +1,208 @@
+/**
+ * Знаходить небезпечні патерни використання `mssql`, які створюють підключення/пул
+ * всередині функцій (наприклад handler на кожен запит), замість того щоб мати один
+ * singleton `sql.ConnectionPool` на рівні модуля та повторно використовувати його.
+ *
+ * Також знаходить небезпечний виклик `query(\`...\`)` — це НЕ tagged template, а звичайний
+ * виклик з інтерполяцією рядка, який може призвести до SQL injection. Натомість має
+ * використовуватись tagged template `query\`...\`` (див. js-mssql.mdc).
+ *
+ * Семантика береться з **oxc-parser** по AST, щоб не покладатися на regex.
+ * Якщо файл не парситься або містить синтаксичні помилки — повертаємо порожній
+ * результат (спочатку треба полагодити синтаксис, потім перезапустити перевірку).
+ */
+import { parseSync } from 'oxc-parser'
+const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
+/**
+ * Мова для Oxc за шляхом файлу (розширення).
+ * @param {string} filePath віртуальний або реальний шлях до файлу
+ * @returns {'js' | 'jsx' | 'ts' | 'tsx'} значення опції `lang` для `parseSync`
+ */
+function langFromPath(filePath) {
+  const lower = filePath.toLowerCase()
+  if (lower.endsWith('.tsx')) return 'tsx'
+  if (lower.endsWith('.ts') || lower.endsWith('.mts') || lower.endsWith('.cts')) return 'ts'
+  if (lower.endsWith('.jsx')) return 'jsx'
+  return 'js'
+}
+/**
+ * Номер рядка (1-based) за зміщенням у буфері.
+ * @param {string} content повний текст файлу
+ * @param {number} offset байтове зміщення початку фрагмента
+ * @returns {number} номер рядка від 1
+ */
+function offsetToLine(content, offset) {
+  let line = 1
+  const n = Math.min(offset, content.length)
+  for (let i = 0; i < n; i++) {
+    if (content.codePointAt(i) === 10) line++
+  }
+  return line
+}
+/**
+ * Стискає пробіли для повідомлення про порушення.
+ * @param {string} s фрагмент коду
+ * @returns {string} скорочений однорядковий рядок
+ */
+function normalizeSnippet(s) {
+  return s.replaceAll(/\s+/g, ' ').trim().slice(0, 180)
+}
+/**
+ * Чи є вузол функцією.
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це будь-який вузол-функція
+ */
+function isFunctionNode(node) {
+  return (
+    !!node &&
+    typeof node === 'object' &&
+    typeof node.type === 'string' &&
+    (node.type === 'FunctionDeclaration' ||
+      node.type === 'FunctionExpression' ||
+      node.type === 'ArrowFunctionExpression')
+  )
+}
+/**
+ * Рекурсивний обхід AST з предками, щоб визначати контекст (всередині функції чи ні).
+ * @param {unknown} node поточний вузол
+ * @param {unknown[]} ancestors масив предків від кореня до parent
+ * @param {(n: Record<string, unknown>, ancestors: unknown[]) => void} visit відвідувач для вузлів з `type`
+ * @returns {void}
+ */
+function walkAstWithAncestors(node, ancestors, visit) {
+  if (!node || typeof node !== 'object') return
+  if (Array.isArray(node)) {
+    for (const item of node) walkAstWithAncestors(item, ancestors, visit)
+    return
+  }
+  const rec = /** @type {Record<string, unknown>} */ (node)
+  if (typeof rec.type === 'string') {
+    visit(rec, ancestors)
+    ancestors = [...ancestors, rec]
+  }
+  for (const key of Object.keys(node)) {
+    if (key === 'parent') {
+      continue
+    }
+    const v = rec[key]
+    if (v && typeof v === 'object') {
+      walkAstWithAncestors(v, ancestors, visit)
+    }
+  }
+}
+/**
+ * Чи це `new sql.ConnectionPool(...)` або `new mssql.ConnectionPool(...)`.
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це створення ConnectionPool
+ */
+function isNewConnectionPool(node) {
+  if (!node || node.type !== 'NewExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const obj = callee.object
+  const prop = callee.property
+  if (!obj || obj.type !== 'Identifier') return false
+  if (!prop || prop.type !== 'Identifier' || prop.name !== 'ConnectionPool') return false
+  return obj.name === 'sql' || obj.name === 'mssql'
+}
+/**
+ * Чи це виклик `.query(...)` з TemplateLiteral як першим аргументом (`query(\`...\`)`).
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це небезпечний патерн `query(\`...\`)`
+ */
+function isUnsafeQueryCallWithTemplateLiteral(node) {
+  if (!node || node.type !== 'CallExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const prop = callee.property
+  if (!prop || prop.type !== 'Identifier' || prop.name !== 'query') return false
+  const args = node.arguments
+  if (!Array.isArray(args) || args.length === 0) return false
+  const first = args[0]
+  return !!first && typeof first === 'object' && first.type === 'TemplateLiteral'
+}
+/**
+ * Знаходить створення `ConnectionPool` всередині функцій.
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang` (наприклад `pkg/src/db.ts`)
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findMssqlPerRequestConnectionInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+  walkAstWithAncestors(result.program, [], (node, ancestors) => {
+    const insideFunction = ancestors.some(n => isFunctionNode(n))
+    if (!insideFunction) return
+    if (isNewConnectionPool(node)) {
+      out.push({
+        line: offsetToLine(content, node.start),
+        snippet: normalizeSnippet(content.slice(node.start, node.end))
+      })
+    }
+  })
+  return out
+}
+/**
+ * Знаходить небезпечні виклики `query(\`...\`)` (CallExpression з TemplateLiteral-аргументом).
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang` (наприклад `pkg/src/db.ts`)
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findUnsafeMssqlQueryTemplateCallInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+  walkAstWithAncestors(result.program, [], node => {
+    if (isUnsafeQueryCallWithTemplateLiteral(node)) {
+      out.push({
+        line: offsetToLine(content, node.start),
+        snippet: normalizeSnippet(content.slice(node.start, node.end))
+      })
+    }
+  })
+  return out
+}
+/**
+ * Чи сканувати цей файл за розширенням (JS/TS-сім'я).
+ * @param {string} relativePathPosix відносний шлях (posix)
+ * @returns {boolean} `true`, якщо розширення підходить для AST-скану
+ */
+export function isMssqlScanSourceFile(relativePathPosix) {
+  return SOURCE_FILE_RE.test(relativePathPosix) && !relativePathPosix.endsWith('.d.ts')
+}