@nitra/cursor 1.8.138 → 1.8.139

package/mdc/abie.mdc

@@ -222,7 +222,7 @@ patches:
         path: /spec/template/spec/containers/-
         value:
           name: СЕРВІС-p
-          image: nginx:alpine
+          image: nginx:alpine-slim
           ports:
             - containerPort: 8081
               protocol: TCP

package/mdc/docker.mdc

@@ -21,6 +21,10 @@ alwaysApply: false
 
 Це стримує зайвий build tooling (Bun, **node_modules** зі збірки) у фінальному образі; для **alpine** / **nginx** / **openresty** у **runtime** лишаються лише відповідні вимоги, для **php** / **python** (виняток) — цільовий інтерпретований **stack**; **scratch** і **debian** з тегом **`*slim*`** — коли glibc і мінімальне оточення Debian важливіші за musl в **alpine**.
 
+## Мінімальні образи
+
+Якщо використовується nginx, то намагайся щоб тег був `alpine-slim`
+
 ## компіляція
 
 Якщо проект має bun install крок, та не є фронтенд проектом (тобто не має bun build крок), то потрібно щоб була компіляція коду, і далі у фінальному образі був тільки бінарник і Цей образ не містив компілятора, npm, Bun — тільки runtime libs. Наприклад:

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.138",
+  "version": "1.8.139",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-docker.mjs

@@ -18,6 +18,9 @@
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
  * дозволений runtime (alpine, scratch, debian slim, за потреби php/python, nginx або openresty).
  *
+ * Для `mirror.gcr.io/library/nginx` у будь-якому `FROM` очікується тег `alpine-slim` (docker.mdc:
+ * мінімальні образи), не `latest` / `alpine` / інші.
+ *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
  * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
  * Кореневий .hadolint.yaml підхоплюється hadolint автоматично.
@@ -36,6 +39,8 @@ const BUN_BUILD_COMPILE_RE = /\bbun\s+build\b[^\n]*\s--compile\b/iu
 const BUN_WORD_RE = /\bbun\b/iu
 const USER_LINE_RE = /^\s*USER\s+([^\s#]+)/iu
 
+const NGINX_MIRROR_PREFIX = 'mirror.gcr.io/library/nginx'
+
 /**
  * @typedef {{
  *   line: number
@@ -203,6 +208,30 @@ export function getBunCompileHint(fileContent) {
   return null
 }
 
+/**
+ * Перевіряє, що для `mirror.gcr.io/library/nginx` у `FROM` вказано тег `alpine-slim` (docker.mdc).
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getNginxAlpineSlimTagHint(fileContent) {
+  for (const { line, image } of parseFromStages(fileContent)) {
+    const noDigest = (image.split('@')[0] || '').trim()
+    const d = noDigest.toLowerCase()
+    if (!d.startsWith(`${NGINX_MIRROR_PREFIX}:`) && d !== NGINX_MIRROR_PREFIX) {
+      continue
+    }
+    if (d === NGINX_MIRROR_PREFIX) {
+      return `рядок ${line}: \`FROM mirror.gcr.io/library/nginx\` має явний тег \`alpine-slim\` (docker.mdc: мінімальні образи), зараз без тега (типово latest)`
+    }
+    const tag = noDigest.slice(NGINX_MIRROR_PREFIX.length + 1)
+    if (tag.toLowerCase() !== 'alpine-slim') {
+      return `рядок ${line}: для nginx потрібен тег \`alpine-slim\` (docker.mdc: мінімальні образи), зараз: \`${tag}\``
+    }
+  }
+  return null
+}
+
 /**
  * Перевіряє вимогу "non-root" у фінальному runtime stage (docker.mdc).
  *
@@ -282,6 +311,11 @@ export async function check() {
       fail(`${rel} (non-root): ${nonRootHint}`)
     }
 
+    const nginxSlimHint = getNginxAlpineSlimTagHint(content)
+    if (nginxSlimHint) {
+      fail(`${rel} (nginx tag): ${nginxSlimHint}`)
+    }
+
     const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
     const tail = (stdout + stderr).trim()
     if (ok) {