@nitra/cursor 1.8.132 → 1.8.138

package/bin/auto-rules.md

@@ -8,6 +8,8 @@ abie - якщо в кореневому package.json в секції "repository
 
 bun - якщо в корені проекту є package.json
 
+capacitor - якщо в проекті є хоч один файл capacitor.config.json
+
 docker - якщо в проекті є хоч один Dockerfile
 
 ga - якщо присутня директорія .github/workflows

package/mdc/capacitor.mdc

@@ -0,0 +1,38 @@
+---
+description: Правила для проєктів Capacitor
+alwaysApply: true
+version: '1.0'
+---
+
+## Версія Capacitor
+
+У `package.json` (у **корені** репозиторію чи **workspace**-пакеті) оголошення **`@capacitor/core`**
+має вказувати діапазон, **сумісний лише з мажорною версією 8 і вище** (наприклад `^8.0.0`).
+**`*`**, `latest` і діапазони, де можлива 7-мажор, — неприйнятні. Програма перевірки — **`check-capacitor.mjs`**
+(репозиторій **@nitra/cursor**).
+
+## iOS: зазвичай лише SPM, виняток Podfile
+
+- **Правило за замовчуванням:** не залишай `Podfile` (поза `Pods/`) у вихідному iOS-шарі, **якщо** уся потрібна
+  iOS-функціональність (нативні плагіни/модулі) може працювати **лише** через **SPM** (Swift Package Manager).
+
+- **Плагіни зі скоупу @nitra/:** за політикою вони **підтримуюють SPM**; **перевіряти** їх на **SPM** **не
+  потрібно** (і **check** цього **не** робить — **немає** обходу `package.json` на предмет **@nitra/**).
+
+- **Коли `Podfile` дозволений:** якщо **не** вся потрібна iOS-функціональність **поза** **@nitra/** (сторонні
+  **Capacitor**-плагіни, інша нативна залежність) **доступна** через **SPM** — `Podfile` **дозволяється**,
+  але це **обов’язково** треба явно задати в кореневому **`package.json`** або в
+  **`capacitor.config.json` / `capacitor.config.ts` / `capacitor.config.mjs`**
+
+  - **`"iosCocoaPodsBecausePluginsLackSpm": true`** (семантика: **не** **вся** потрібна нативна частина
+    **поза** **@nitra/** **на** **SPM**; **@nitra/** у це **не** входить);
+  - або **`"iosCocoaPodsAllowed": true`** (короткий **alias** для того самого **винятку**);
+
+  Без **одного** з цих прапорів `true` наявний **Podfile** поза **`Pods/`** вважається **порушенням** правила **«лише** **SPM**».
+
+- Перевірка читає **лише** кореневі файли: **`package.json`**, потім **capacitor-конфіги** у **корені** (див. вище).
+  У **`.ts` / `.mjs`**: шукається блок **nitra** `{ ... }` і **на його тілі** перевіряються ці **boolean**-поля.
+
+## Перевірка
+
+`npx @nitra/cursor check capacitor` (коли **check-скрипт** підключено до цієї **ruleset**).

package/mdc/docker.mdc

@@ -13,10 +13,13 @@ alwaysApply: false
 
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
 
-- **backend**: `mirror.gcr.io/library/alpine:*`
-- **frontend**: `mirror.gcr.io/library/nginx:*` aбо `mirror.gcr.io/openresty/openresty:*`
+- **backend (типово)**: `mirror.gcr.io/library/alpine:*`
+- **ультра-легкі (glibc / одна статична збірка)**: `scratch` — тільки як `FROM scratch` (офіційний порожній базовий шар), коли весь **runtime** уже в `COPY --from=…`
+- **glibc, Debian (slim)**: `mirror.gcr.io/library/debian:*` **лише** з тегом, у якому є `slim` (наприклад `bookworm-slim`, `trixie-slim`), а не `bookworm` без `slim`
+- **виняток (інтерпретовані стеки)**: `mirror.gcr.io/library/php:*` або `mirror.gcr.io/library/python:*` — якщо сервіс має крутитися в офіційному runtime PHP чи Python, а не як один бінарник на Alpine; інакше лишай **alpine** у фінальному stage
+- **frontend**: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
 
-Це гарантує, що результуючий образ містить лише runtime (alpine) або nginx, без build tooling і node_modules.
+Це стримує зайвий build tooling (Bun, **node_modules** зі збірки) у фінальному образі; для **alpine** / **nginx** / **openresty** у **runtime** лишаються лише відповідні вимоги, для **php** / **python** (виняток) — цільовий інтерпретований **stack**; **scratch** і **debian** з тегом **`*slim*`** — коли glibc і мінімальне оточення Debian важливіші за musl в **alpine**.
 
 ## компіляція
 
@@ -182,7 +185,10 @@ jobs:
 ```yaml title=".hadolint.yaml"
 ignored:
   - DL3007
+  - DL3018
 ```
+Де DL3007 - «Не використовуй тег latest у FROM»
+Де DL3018 - «Піни версії пакетів у apk add»
 
 Якщо немає файлів у межах відповідного набору (**`lint-docker`** або **`check docker`**) — перевірка пропускається (exit 0).
 

package/mdc/k8s.mdc

@@ -416,6 +416,8 @@ spec:
 
 У маніфестах під **`k8s`** заборонено **`apiVersion: autoscaling/v1`** (legacy HPA з єдиною метрикою CPU). Мігруй **HorizontalPodAutoscaler** на **`autoscaling/v2`**: поле **`spec.metrics`** (замість **`spec.targetCPUUtilizationPercentage`**) з **`type: Resource`** і **`target.type: Utilization`** / **`AverageUtilization`** — підтримує декілька метрик і зовнішні метрики. `check k8s` падає на будь-якому документі з **`apiVersion: autoscaling/v1`**.
 
+Ресурси **batch** (наприклад **CronJob**, **Job**): застаріле **`apiVersion: batch/v1beta1`** у файлах під **`k8s` під час `check k8s` переписується** на **`apiVersion: batch/v1`**.
+
 ```yaml
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.132",
+  "version": "1.8.138",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/auto-rules.mjs

@@ -21,6 +21,7 @@ import {
 export const AUTO_RULE_ORDER = Object.freeze([
   'abie',
   'bun',
+  'capacitor',
   'docker',
   'ga',
   'graphql',
@@ -119,6 +120,7 @@ function updateDirFacts(dirName, facts) {
  * @param {string} fileName базове імʼя файлу
  * @param {string} relPath шлях відносно кореня
  * @param {{
+ *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
@@ -129,6 +131,9 @@ function updateDirFacts(dirName, facts) {
  * @returns {void}
  */
 function updateFileFacts(fileName, relPath, facts) {
+  if (fileName === 'capacitor.config.json') {
+    facts.hasCapacitorConfig = true
+  }
   if (fileName === 'Dockerfile' || fileName.startsWith('Dockerfile.')) {
     facts.hasDockerfile = true
   }
@@ -182,6 +187,7 @@ async function updateGqlFactFromFile(absPath, relPath, facts) {
  * @param {string} absPath абсолютний шлях до файлу
  * @param {string} root абсолютний шлях кореня
  * @param {{
+ *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasGqlTaggedTemplates: boolean,
  *   hasJsLikeSource: boolean,
@@ -261,6 +267,7 @@ export function isMonorepoPackage(packageJson) {
  * Обходить дерево проєкту, збираючи факти для автоувімкнення правил.
  * @param {string} root абсолютний шлях кореня репозиторію
  * @returns {Promise<{
+ *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasGaWorkflowsDir: boolean,
  *   hasGqlTaggedTemplates: boolean,
@@ -275,6 +282,7 @@ export function isMonorepoPackage(packageJson) {
  */
 export async function collectAutoRuleFacts(root) {
   const facts = {
+    hasCapacitorConfig: false,
     hasDockerfile: false,
     hasGaWorkflowsDir: existsSync(join(root, '.github', 'workflows')),
     hasGqlTaggedTemplates: false,
@@ -386,6 +394,7 @@ export async function detectAutoRulesAndSkills({
   const autoRuleChecks = [
     { enabled: isAbie, id: 'abie' },
     { enabled: packageJsonExists, id: 'bun' },
+    { enabled: facts.hasCapacitorConfig, id: 'capacitor' },
     { enabled: facts.hasDockerfile, id: 'docker' },
     { enabled: facts.hasGaWorkflowsDir, id: 'ga' },
     { enabled: facts.hasGqlTaggedTemplates, id: 'graphql' },

package/scripts/check-capacitor.mjs

@@ -0,0 +1,480 @@
+/**
+ * Перевіряє відповідність проєкту правилам capacitor.mdc для застосунків **Capacitor**.
+ *
+ * Якщо у репозиторії **немає** ознак Capacitor (див. наведене) — вихід **0**, перевірка не застосовується.
+ *
+ * **Ознака Capacitor:** наявні **`capacitor.config.json`**, **`capacitor.config.ts`**, **`capacitor.config.mjs`**
+ * (у корені) **або** у будь-якому `package.json` (рекурсивно, з пропуском типових каталогів) оголошено
+ * хоча б одну залежність **`@capacitor/…`** (у **`dependencies`**, **`devDependencies`**, опційно
+ * **`optionalDependencies`**, **`peerDependencies`**).
+ *
+ * **Версія мінімум 8:** у кожному `package.json`, де вказано **`@capacitor/core`**, діапазон версії
+ * мусить допускати лише **Capacitor 8+** (оцінка мінімального **major** з рядка діапазону npm, зокрема
+ * `||` і діапазонів через `-` у спрощеному вигляді). **`*`**, **latest** та нерозпізнані випадки — **порушення**:
+ * варто задати явний діапазон, наприклад **`^8.0.0`**. Якщо оголошено `capacitor.config.*` без жодного
+ * **`@capacitor/core`** у дереві `package.json` — також помилка.
+ *
+ * **iOS:** зазвичай **без** **Podfile** поза **Pods** (тільки **SPM**). **@nitra/**-плагіни за політикою **SPM** —
+ * їх **не** перелічуємо й **не** перевіряємо. Якщо **Podfile** є, його можна зареєструвати як **виняток**
+ * (див. **capacitor.mdc**): у кореневому **`package.json`** або
+ * **`capacitor.config.json` / `capacitor.config.ts` / `capacitor.config.mjs`**, об’єкт **nitra** з
+ * **`iosCocoaPodsBecausePluginsLackSpm: true`** (або **`iosCocoaPodsAllowed: true`**); тоді **Podfile** **не** fail.
+ * Якщо **`ios/`** **немає** — iOS-умови не застосовуються.
+ */
+import { existsSync } from 'node:fs'
+import { readdir, readFile } from 'node:fs/promises'
+import { join, relative } from 'node:path'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+
+/** Мінімальна допустима мажорна версія Capacitor (capacitor.mdc) */
+const MIN_CAPACITOR_MAJOR = 8
+
+/** @type {Set<string>} */
+const IGNORED_DIRS_FOR_PACKAGE_JSON = new Set([
+  'node_modules',
+  '.git',
+  'dist',
+  'coverage',
+  'Pods',
+  '.turbo',
+  '.next',
+  'build'
+])
+
+/** `||` у діапазоні npm-версій */
+// eslint-disable-next-line sonarjs/slow-regex -- короткі **semver**-підрядки у **package.json**
+const NPM_OR_PARTS_RE = /\s*\|\|\s*/
+
+/** `a - b` (діапазон діапазонів) */
+// eslint-disable-next-line sonarjs/slow-regex -- форма **X - Y** у **npm**-range
+const NPM_HYPHEN_RANGE_RE = /^(.+?)\s+-\s+(.+)$/
+
+const FIRST_VERSION_NUM_RE = /^(?:v)?(\d+)/i
+
+const PREFIX_GEQ_RE = /^>=\s*/u
+const PREFIX_GT_RE = /^>\s*/u
+const STRIP_CARET_TILDE_EQ_RE = /^[=^~]+\s*/u
+
+/**
+ * Початок блока **nitra: {** у **.ts** / **.mjs** (**capacitor.config**; ключ **nitra**).
+ */
+const RE_NITRA_CONFIG_OBJECT_LEAD_IN = /\bnitra\b\s*:\s*\{|[\u0027"]nitra[\u0027"]\s*:\s*\{/
+
+const RE_COCOAPODS_EXEMPT_SPM = /\biosCocoaPodsBecausePluginsLackSpm\s*:\s*true\b/
+const RE_COCOAPODS_EXEMPT_ALLOW = /\biosCocoaPodsAllowed\s*:\s*true\b/
+
+/**
+ * Мінімальний **major** (нижня межа) для **однієї** OR-частини діапазону npm (без `||` всередині).
+ * @param {string} segment одна частина після `||` або весь рядок
+ * @returns {number | null} null, якщо **`*` / `x` / `latest`**, або **major** **нижньої** межі
+ */
+export function capacitorSegmentMinMajor(segment) {
+  if (typeof segment !== 'string') {
+    return null
+  }
+  const s0 = segment.trim()
+  if (!s0) {
+    return null
+  }
+  const low = s0.toLowerCase()
+  if (s0 === '*' || low === 'x' || low === 'latest') {
+    return null
+  }
+  if (s0.startsWith('<') || s0.startsWith('<=')) {
+    return 0
+  }
+  if (s0.startsWith('>') && !s0.startsWith('>=')) {
+    return firstVersionMajorFromNpmValue(s0.replace(PREFIX_GT_RE, ''))
+  }
+  const rangeHyphen = s0.match(NPM_HYPHEN_RANGE_RE)
+  if (rangeHyphen) {
+    return firstVersionMajorFromNpmValue(rangeHyphen[1].trim())
+  }
+  if (s0.startsWith('^') || s0.startsWith('~') || s0.startsWith('=')) {
+    return firstVersionMajorFromNpmValue(s0.replace(STRIP_CARET_TILDE_EQ_RE, ''))
+  }
+  if (s0.startsWith('>=')) {
+    return firstVersionMajorFromNpmValue(s0.replace(PREFIX_GEQ_RE, ''))
+  }
+  return firstVersionMajorFromNpmValue(s0)
+}
+
+/**
+ * Витягує **major** з першого числа у вигляді **X** або **X.Y** / **X.Y.Z** (опційно **v**).
+ * @param {string} t рядок ділянки **версії** (без префікса **операторів**)
+ * @returns {number | null} перше **ціле** (major) або **null**
+ */
+function firstVersionMajorFromNpmValue(t) {
+  const s = t.trim()
+  if (!s) {
+    return null
+  }
+  const m = s.match(FIRST_VERSION_NUM_RE)
+  if (!m) {
+    return null
+  }
+  return Number.parseInt(m[1], 10)
+}
+
+/**
+ * Мінімальна можлива (нижня) **major**-версія для повного діапазону npm, у т. ч. з `||`.
+ * @param {string} versionRange повне поле `package.json` для **@capacitor/core**
+ * @returns {number | null} **null** якщо **`*` / latest** в одній з частин
+ */
+export function capacitorVersionRangeMinMajor(versionRange) {
+  if (typeof versionRange !== 'string') {
+    return null
+  }
+  const parts = versionRange.split(NPM_OR_PARTS_RE)
+  let overallMin = /** @type {number | null} */ (null)
+  for (const p of parts) {
+    const m = capacitorSegmentMinMajor(p)
+    if (m === null) {
+      return null
+    }
+    if (overallMin === null || m < overallMin) {
+      overallMin = m
+    }
+  }
+  return overallMin
+}
+
+/**
+ * @param {string} versionRange рядок **версії** з `package.json`
+ * @param {number} [min] мінімальний **major** (за замовчуванням `MIN_CAPACITOR_MAJOR`)
+ * @returns {boolean} **true**, якщо нижня межа **≥** **min**
+ */
+export function isCapacitorCoreVersionAtLeast8(versionRange, min = MIN_CAPACITOR_MAJOR) {
+  const low = capacitorVersionRangeMinMajor(versionRange)
+  if (low === null) {
+    return false
+  }
+  return low >= min
+}
+
+/**
+ * @param {(m: string) => void} fail друк помилки
+ * @param {(m: string) => void} pass друк успіху
+ * @param {string} rel відносний **posix**-шлях `package.json`
+ * @param {string} range поле `version` для **@capacitor/core**
+ * @returns {void}
+ */
+function reportOneCapacitorCoreRange(fail, pass, rel, range) {
+  if (isCapacitorCoreVersionAtLeast8(range)) {
+    pass(`«${rel}»: @capacitor/core — діапазон сумісний з ${MIN_CAPACITOR_MAJOR}+`)
+  } else {
+    fail(
+      `«${rel}»: @capacitor/core «${range}» — мінімальна допустима мажорна версія Capacitor ${MIN_CAPACITOR_MAJOR} (capacitor.mdc). Вкажи, наприклад, ^${MIN_CAPACITOR_MAJOR}.0.0`
+    )
+  }
+}
+
+/**
+ * @param {string} rel відносний шлях `package.json`
+ * @param {Record<string, unknown>} obj `dependencies` / `devDependencies` / **…**
+ * @param {{ byPath: Map<string, string>, anyCapacitor: boolean }} out накопичувач **@capacitor** у дереві
+ */
+function recordCapacitorFromDependencyObject(rel, obj, out) {
+  for (const [name, val] of Object.entries(obj)) {
+    if (typeof name === 'string' && name.startsWith('@capacitor/')) {
+      out.anyCapacitor = true
+    }
+    if (name === '@capacitor/core' && typeof val === 'string' && val !== '') {
+      out.byPath.set(rel, val)
+    }
+  }
+}
+
+/**
+ * @param {string} absPath шлях до `package.json`
+ * @param {string} root корінь репозиторію
+ * @param {{ byPath: Map<string, string>, anyCapacitor: boolean }} out накопичувач **byPath** і **anyCapacitor**
+ * @returns {Promise<void>}
+ */
+export async function recordCapacitorFromOnePackageJson(absPath, root, out) {
+  let raw
+  try {
+    raw = await readFile(absPath, 'utf8')
+  } catch {
+    return
+  }
+  let pkg
+  try {
+    pkg = JSON.parse(raw)
+  } catch {
+    return
+  }
+  const rel = (relative(root, absPath) || absPath).replaceAll('\\', '/')
+  for (const block of ['dependencies', 'devDependencies', 'optionalDependencies', 'peerDependencies']) {
+    const rec = pkg?.[block]
+    if (rec !== null && rec !== undefined && typeof rec === 'object' && !Array.isArray(rec)) {
+      recordCapacitorFromDependencyObject(rel, /** @type {Record<string, unknown>} */ (rec), out)
+    }
+  }
+}
+
+/**
+ * Зчитує всі `package.json` з дерева, накопичує `byPath` і `anyCapacitor`.
+ * @param {string} root корінь репозиторію
+ * @param {{ byPath: Map<string, string>, anyCapacitor: boolean }} out накопичувач
+ * @returns {Promise<void>}
+ */
+export async function collectCapacitorDataFromAllPackageJson(root, out) {
+  out.anyCapacitor = false
+  if (out.byPath) {
+    out.byPath.clear()
+  } else {
+    out.byPath = new Map()
+  }
+
+  /**
+   * @param {string} dir абсолютний **каталог** для `readdir`
+   * @returns {Promise<void>}
+   */
+  async function walk(dir) {
+    let entries
+    try {
+      entries = await readdir(dir, { withFileTypes: true })
+    } catch {
+      return
+    }
+    for (const entry of entries) {
+      const absPath = join(dir, entry.name)
+      if (entry.isDirectory() && !IGNORED_DIRS_FOR_PACKAGE_JSON.has(entry.name)) {
+        await walk(absPath)
+      } else if (entry.isFile() && entry.name === 'package.json') {
+        await recordCapacitorFromOnePackageJson(absPath, root, out)
+      }
+    }
+  }
+
+  await walk(root)
+}
+
+/**
+ * @param {string} root абсолютний або **cwd**-відносний **корінь** репозиторію
+ * @returns {boolean} **true** якщо `capacitor.config.{json,ts,mjs}` існує
+ */
+export function hasCapacitorConfigInRoot(root) {
+  return (
+    existsSync(join(root, 'capacitor.config.json')) ||
+    existsSync(join(root, 'capacitor.config.ts')) ||
+    existsSync(join(root, 'capacitor.config.mjs'))
+  )
+}
+
+/**
+ * Чи варто застосовувати правила: конфіг **або** **@capacitor/** у залежностях.
+ * @param {string} root корінь
+ * @param {boolean} anyCapacitor чи зустрілось **@capacitor/** у **package.json**
+ * @returns {boolean} **true** якщо застосовуємо **check capacitor**
+ */
+export function isCapacitorRelevantForCheck(root, anyCapacitor) {
+  return hasCapacitorConfigInRoot(root) || anyCapacitor
+}
+
+/**
+ * Рекурсивно шукає `Podfile` у **ios/**, **не** заходячи в **Pods** (кеш CocoaPods) і типові build-каталоги.
+ * @param {string} root корінь репозиторію
+ * @param {string} dir абсолютний каталог
+ * @param {(rel: string) => void} onPodfileRelative **callback** з **posix**-шляхом `Podfile` від **root**
+ * @returns {Promise<boolean>} **true** — знайдено **хоча б один** `Podfile`
+ */
+export async function walkIosForPodfileSkipPods(root, dir, onPodfileRelative) {
+  let entries
+  try {
+    entries = await readdir(dir, { withFileTypes: true })
+  } catch {
+    return false
+  }
+  for (const e of entries) {
+    if (e.name === 'Pods' || e.name === 'build' || e.name === 'DerivedData') {
+      // skip
+    } else if (e.isFile() === true && e.name === 'Podfile') {
+      const abs = join(dir, e.name)
+      onPodfileRelative((relative(root, abs) || abs).replaceAll('\\', '/'))
+      return true
+    } else if (e.isDirectory() === true) {
+      const abs = join(dir, e.name)
+      const found = await walkIosForPodfileSkipPods(root, abs, onPodfileRelative)
+      if (found === true) {
+        return true
+      }
+    }
+  }
+  return false
+}
+
+/**
+ * @param {string} root корінь
+ * @returns {Promise<string | null>} **relative**-шлях `Podfile` (або **null**)
+ */
+export async function findFirstPodfileUnderIosExcludingPods(root) {
+  const iosDir = join(root, 'ios')
+  if (!existsSync(iosDir)) {
+    return null
+  }
+  let first = /** @type {string | null} */ (null)
+  await walkIosForPodfileSkipPods(root, iosDir, rel => {
+    if (first === null || rel.length < first.length) {
+      first = rel
+    }
+  })
+  return first
+}
+
+/**
+ * Чи дозволяє об’єкт **nitra** використання **Podfile** (CocoaPods) на iOS (див. **capacitor.mdc**; **@nitra/**
+ * **SPM** **не** аналізуємо).
+ * @param {unknown} o об’єкт **nitra** з **package.json** / **capacitor.config**
+ * @returns {boolean} **true** якщо **Podfile** дозволено (один з прапорів **true**)
+ */
+export function nitrAObjectAllowsIosCocoaPods(o) {
+  if (o === null || o === undefined || typeof o !== 'object' || Array.isArray(o)) {
+    return false
+  }
+  const r = /** @type {Record<string, unknown>} */ (o)
+  if (r.iosCocoaPodsBecausePluginsLackSpm === true) {
+    return true
+  }
+  if (r.iosCocoaPodsAllowed === true) {
+    return true
+  }
+  return false
+}
+
+/**
+ * Витягає вихідний текст тіла **{ ... }** після **nitra:** / **"nitra":** у **config**-файлі (**ts** / **mjs**)
+ * (перша відповідність, баланс фігурних дужок).
+ * @param {string} source вміст **.ts** / **.mjs** config
+ * @returns {string | null} фрагмент **`{...}`** після **nitra:** або **null**
+ */
+function extractNitraObjectBodySource(source) {
+  const m = RE_NITRA_CONFIG_OBJECT_LEAD_IN.exec(source)
+  if (!m) {
+    return null
+  }
+  const openBrace = m.index + m[0].length - 1
+  let d = 0
+  for (let i = openBrace; i < source.length; i += 1) {
+    const c = source[i]
+    if (c === '{') {
+      d += 1
+    } else if (c === '}') {
+      d -= 1
+      if (d === 0) {
+        return source.slice(openBrace, i + 1)
+      }
+    }
+  }
+  return null
+}
+
+/**
+ * @param {string} objectBody фрагмент **`{ ... }`** (текст)
+ * @returns {boolean} **true**, якщо в тілі є **iosCocoaPods**…**:** **true**
+ */
+function nitraObjectBodyStringAllowsCocoaPodsExempt(objectBody) {
+  return (
+    RE_COCOAPODS_EXEMPT_SPM.test(objectBody) === true || RE_COCOAPODS_EXEMPT_ALLOW.test(objectBody) === true
+  )
+}
+
+/**
+ * @param {string} absPath повний шлях до **JSON**-файла
+ * @returns {Promise<boolean>} **true**, якщо `obj.nitra` (ключ **nitra** у JSON) — виняток
+ */
+async function pathJsonShowsNitraCocoapodsExempt(absPath) {
+  if (existsSync(absPath) !== true) {
+    return false
+  }
+  try {
+    const t = await readFile(absPath, 'utf8')
+    const j = /** @type {Record<string, unknown>} */ (JSON.parse(t))
+    return nitrAObjectAllowsIosCocoaPods(j['nitra']) === true
+  } catch {
+    return false
+  }
+}
+
+/**
+ * @param {string} root корінь репозиторію
+ * @returns {Promise<boolean>} **true**, якщо **.ts** / **.mjs** містить валідний виняток **nitra**
+ */
+async function capacitorConfigTsMjsNitraCocoapodsExempt(root) {
+  for (const name of ['capacitor.config.ts', 'capacitor.config.mjs']) {
+    const p = join(root, name)
+    if (existsSync(p) === true) {
+      const text = await readFile(p, 'utf8')
+      const body = extractNitraObjectBodySource(text)
+      if (body !== null && nitraObjectBodyStringAllowsCocoaPodsExempt(body) === true) {
+        return true
+      }
+    }
+  }
+  return false
+}
+
+/**
+ * @param {string} root корінь репозиторію (**process.cwd()** у **check**)
+ * @returns {Promise<boolean>} **true** якщо **Podfile** виправдано **nitra**-конфігом
+ */
+async function isIosCocoaPodsExemptByNitraConfig(root) {
+  if ((await pathJsonShowsNitraCocoapodsExempt(join(root, 'package.json'))) === true) {
+    return true
+  }
+  if ((await pathJsonShowsNitraCocoapodsExempt(join(root, 'capacitor.config.json'))) === true) {
+    return true
+  }
+  return capacitorConfigTsMjsNitraCocoapodsExempt(root)
+}
+
+/**
+ * @returns {Promise<number>} **0** — **ok**; **1** — **fail** (див. **capacitor.mdc**)
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail, getExitCode } = reporter
+  const root = process.cwd()
+
+  const acc = { byPath: new Map(), anyCapacitor: false }
+  await collectCapacitorDataFromAllPackageJson(root, acc)
+  const { byPath, anyCapacitor } = acc
+
+  if (!isCapacitorRelevantForCheck(root, anyCapacitor)) {
+    pass('Capacitor не виявлено (без capacitor.config у корені, без @capacitor/ у package.json) — check capacitor пропущено')
+    return getExitCode()
+  }
+
+  pass('Проєкт з ознаками Capacitor — застосовую capacitor.mdc')
+
+  if (byPath.size === 0) {
+    fail(
+      `додай залежність @capacitor/core з діапазоном ^${MIN_CAPACITOR_MAJOR}.0.0 (або іншим, сумісним лише з ${MIN_CAPACITOR_MAJOR}+) у package.json (capacitor.mdc)`
+    )
+  } else {
+    for (const [rel, range] of byPath) {
+      reportOneCapacitorCoreRange(fail, pass, rel, range)
+    }
+  }
+
+  const podfileRel = await findFirstPodfileUnderIosExcludingPods(root)
+  if (podfileRel === null) {
+    if (existsSync(join(root, 'ios'))) {
+      pass('ios/ без Podfile поза Pods/ (лише SPM, capacitor.mdc)')
+    } else {
+      pass('каталог ios/ не знайдено — вимогу iOS/SPM пропущено')
+    }
+  } else if ((await isIosCocoaPodsExemptByNitraConfig(root)) === true) {
+    pass(
+      `iOS: Podfile «${podfileRel}» — дозволено виняток (nitra.iosCocoaPodsBecausePluginsLackSpm / iosCocoaPodsAllowed, capacitor.mdc)`
+    )
+  } else {
+    fail(
+      `iOS: знайдено Podfile «${podfileRel}» — для Capacitor використовуй лише SPM, без CocoaPods, або додай виняток nitra (capacitor.mdc)`
+    )
+  }
+
+  return getExitCode()
+}

package/scripts/check-docker.mjs

@@ -5,8 +5,10 @@
  * вказуються через `mirror.gcr.io` (див. `utils/docker-mirror.mjs`).
  *
  * Також перевіряє, що Dockerfile/Containerfile має **multistage build** і що фінальний stage
- * використовує мінімальний runtime-образ:
- * - backend: `mirror.gcr.io/library/alpine:*`
+ * використовує дозволений runtime-образ (див. docker.mdc):
+ * - backend: `mirror.gcr.io/library/alpine:*`, `scratch`, `mirror.gcr.io/library/debian:` з тегом, що
+ *   містить `slim` (не повний `debian:bookworm`), за винятком PHP/Python — `mirror.gcr.io/library/php:*` або
+ *   `mirror.gcr.io/library/python:*`
  * - frontend: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
  *
  * Якщо в Dockerfile є крок `bun install` і це не frontend-образ (фінальний stage — alpine),
@@ -14,7 +16,7 @@
  * фінальному stage не повинно залишатися build tooling (Bun/Node).
  *
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
- * runtime (alpine), nginx або openresty.
+ * дозволений runtime (alpine, scratch, debian slim, за потреби php/python, nginx або openresty).
  *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
  * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
@@ -84,10 +86,31 @@ export function parseFromStages(fileContent) {
 
 const RUNTIME_IMAGES = /** @type {const} */ ([
   'mirror.gcr.io/library/alpine',
+  'mirror.gcr.io/library/php',
+  'mirror.gcr.io/library/python',
   'mirror.gcr.io/library/nginx',
   'mirror.gcr.io/openresty/openresty'
 ])
 
+/** @type {RegExp} */
+const DEBIAN_VIA_MIRROR_RE = /^mirror\.gcr\.io\/library\/debian:(.+)$/i
+
+/**
+ * Чи ref фінального `FROM` відповідає дозволеним у docker.mdc (multistage / runtime).
+ * @param {string} lastLower ref без digest, lower case
+ * @returns {boolean}
+ */
+function isAllowedFinalRuntimeImage(lastLower) {
+  if (lastLower === 'scratch' || lastLower.startsWith('scratch:')) {
+    return true
+  }
+  const deb = lastLower.match(DEBIAN_VIA_MIRROR_RE)
+  if (deb) {
+    return deb[1].toLowerCase().includes('slim')
+  }
+  return RUNTIME_IMAGES.some(img => lastLower.startsWith(`${img}:`) || lastLower === img)
+}
+
 /**
  * Розбиває Dockerfile на stages за `FROM` (порожній масив, якщо FROM немає).
  * @param {string} fileContent вміст Dockerfile/Containerfile
@@ -113,7 +136,7 @@ export function splitDockerfileStages(fileContent) {
 /**
  * Перевіряє базові вимоги до структури Dockerfile:
  * - multistage: мінімум 2 FROM
- * - фінальний FROM: alpine/nginx/openresty з mirror.gcr.io
+ * - фінальний FROM: дозволені образи в docker.mdc (alpine, scratch, debian slim, php, python, nginx, openresty, …)
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
@@ -129,9 +152,8 @@ export function getMultistageAndRuntimeHint(fileContent) {
   const lastImage = (last?.image || '').split('@')[0] || ''
   const lastLower = lastImage.toLowerCase()
 
-  const okRuntime = RUNTIME_IMAGES.some(img => lastLower.startsWith(`${img}:`) || lastLower === img)
-  if (!okRuntime) {
-    return `фінальний FROM має бути ${RUNTIME_IMAGES.join(' або ')} (runtime stage), зараз: ${last?.image} (рядок ${last?.line})`
+  if (!isAllowedFinalRuntimeImage(lastLower)) {
+    return `фінальний FROM має бути дозволеним runtime-образом (див. docker.mdc: multistage), зараз: ${last?.image} (рядок ${last?.line})`
   }
 
   return null

package/scripts/check-k8s.mjs

@@ -23,6 +23,8 @@
  *
  * **`kind: Ingress`** заборонено (потрібен перехід на Gateway API).
  * **`apiVersion: autoscaling/v1`** заборонено (мігруй **HorizontalPodAutoscaler** на **`autoscaling/v2`**).
+ * Рядок **`apiVersion: batch/v1beta1`** (CronJob, Job) **автоматично** переписується на **`apiVersion: batch/v1`**
+ * (окрім рядків-коментарів і рядків, де після значення йде наприклад `# …`).
  *
  * Файли під **`k8s`**, де всі YAML-документи — лише **`kind: BackendConfig`**, **видаляються** автоматично.
  * Якщо **BackendConfig** змішано з іншими ресурсами в одному файлі — перевірка завершується помилкою (розділи маніфести).
@@ -93,7 +95,7 @@
  * не з’явиться `Deployment` (k8s.mdc).
  */
 import { existsSync } from 'node:fs'
-import { readFile, readdir, stat, unlink } from 'node:fs/promises'
+import { readFile, readdir, stat, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative, resolve } from 'node:path'
 
 import { parseAllDocuments } from 'yaml'
@@ -1561,6 +1563,73 @@ async function removeBackendConfigOnlyK8sYamlFiles(root, fail, pass) {
   }
 }
 
+/**
+ * Один рядок YAML: якщо це `apiVersion` зі значенням **`batch/v1beta1`**, повертає той самий рядок із **`batch/v1`**
+ * (з тими самими відступами/пробілами після `apiVersion:`, крім випадків з лапками — нормалізується до `apiVersion: batch/v1`).
+ * Рядки, що після trim починаються з `#`, не змінюються.
+ * @param {string} line
+ * @returns {string}
+ */
+function rewriteLineBatchV1beta1ApiVersion(line) {
+  const t = line.trimStart()
+  if (t.startsWith('#')) {
+    return line
+  }
+  const m = line.match(/^(\s*apiVersion:\s*)(?:"|')?batch\/v1beta1(?:"|')?(\s*)$/)
+  if (m) {
+    return `${m[1]}batch/v1${m[2]}`
+  }
+  return line
+}
+
+/**
+ * У повному тексті YAML замінює всі **цілі** рядки `apiVersion: batch/v1beta1` (за потреби в лапках) на `apiVersion: batch/v1`.
+ * Зберігає **CRLF** / **LF** як у вихідному рядку.
+ * @param {string} raw вміст файлу
+ * @returns {{ changed: boolean, content: string }}
+ */
+export function replaceBatchV1beta1ApiVersionInYamlText(raw) {
+  const eol = raw.includes('\r\n') ? '\r\n' : '\n'
+  const lines = raw.split(/\r?\n/)
+  let changed = false
+  const out = lines.map(line => {
+    const n = rewriteLineBatchV1beta1ApiVersion(line)
+    if (n !== line) {
+      changed = true
+    }
+    return n
+  })
+  if (!changed) {
+    return { changed: false, content: raw }
+  }
+  return { changed: true, content: out.join(eol) }
+}
+
+/**
+ * Проходить усі `*.yaml` / `*.yml` під сегментом `k8s` і на диску застосовує **`replaceBatchV1beta1ApiVersionInYamlText`**.
+ * @param {string} root корінь репозиторію
+ * @param {(msg: string) => void} fail
+ * @param {(msg: string) => void} pass
+ * @returns {Promise<void>}
+ */
+async function rewriteBatchV1beta1ApiVersionInK8sYamlFiles(root, fail, pass) {
+  const yamlFiles = await findK8sYamlFiles(root)
+  for (const abs of yamlFiles) {
+    const rel = (relative(root, abs) || abs).replaceAll('\\', '/')
+    try {
+      const raw = await readFile(abs, 'utf8')
+      const { changed, content } = replaceBatchV1beta1ApiVersionInYamlText(raw)
+      if (changed) {
+        await writeFile(abs, content, 'utf8')
+        pass(`${rel}: оновлено apiVersion batch/v1beta1 → batch/v1 (k8s.mdc)`)
+      }
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати/записати при заміні batch/v1beta1 → batch/v1 (${msg})`)
+    }
+  }
+}
+
 /**
  * Прибирає BOM і ділить на рядки.
  * @param {string} content вміст файлу
@@ -4819,6 +4888,8 @@ export async function check() {
 
   const root = process.cwd()
 
+  await rewriteBatchV1beta1ApiVersionInK8sYamlFiles(root, fail, pass)
+
   await removeBackendConfigOnlyK8sYamlFiles(root, fail, pass)
 
   const yamlFiles = await findK8sYamlFiles(root)

package/scripts/check-text.mjs

@@ -5,6 +5,7 @@
  * VSCode (formatOnSave, defaultFormatter для js/ts/json/vue/css/html),
  * відсутність Prettier у конфігах і залежностях.
  *
+ * cspell: `.cspell.json` з обовʼязковим набором `ignorePaths` (клон text.mdc: node_modules, vscode, git, report, svg, k8s yaml);
  * cspell, markdownlint через `bunx markdownlint-cli2` у `lint-text` (без оголошення пакета в package.json); у кореневих **`devDependencies`**
  * дозволені лише **`@nitra/*`** (як у bun.mdc), зокрема **`@nitra/cspell-dict` ^2.0.0+**; без імпорту **`@cspell/dict-*`** у `.cspell.json`, заборона
  * `markdownlint-cli2` у dependencies/devDependencies, v8r (`run-v8r.mjs` або чотири `bunx v8r`),
@@ -31,6 +32,17 @@ const UK_APOSTROPHE_HEADING = '**Український апостроф:**'
 /** Мінімальні glob-и в `ignorePatterns` у `.oxfmtrc.json` (text.mdc). */
 const OXFMT_REQUIRED_IGNORE_PATTERNS = ['**/hasura/metadata/**', '**/schema.graphql']
 
+/** Канонічні записи `ignorePaths` у `.cspell.json` (text.mdc) — кожен має бути присутнім. */
+const CSPELL_REQUIRED_IGNORE_PATHS = [
+  '**/node_modules/**',
+  '**/vscode-extension/**',
+  '**/.git/**',
+  '.vscode',
+  'report',
+  '*.svg',
+  '**/k8s/**/*.yaml',
+]
+
 /**
  * Чи діапазон версії `@nitra/cspell-dict` у package.json означає лінію 2.0.0+ (з цієї версії словники входять у пакет).
  * @param {string|undefined} range наприклад "^2.0.0"
@@ -384,6 +396,14 @@ async function checkCspellConfig(pass, fail) {
   } else {
     fail('.cspell.json не містить ignorePaths')
   }
+  if (Array.isArray(cfg.ignorePaths)) {
+    const missing = CSPELL_REQUIRED_IGNORE_PATHS.filter(p => !cfg.ignorePaths.includes(p))
+    if (missing.length === 0) {
+      pass(`.cspell.json ignorePaths містить усі обовʼязкові glob-и з text.mdc`)
+    } else {
+      fail(`.cspell.json ignorePaths бракує за замовчанням: ${missing.join(', ')} (див. text.mdc)`)
+    }
+  }
 }
 
 /**