@nitra/cursor 1.8.138 → 1.8.140

package/mdc/abie.mdc

@@ -222,7 +222,7 @@ patches:
         path: /spec/template/spec/containers/-
         value:
           name: СЕРВІС-p
-          image: nginx:alpine
+          image: nginx:alpine-slim
           ports:
             - containerPort: 8081
               protocol: TCP

package/mdc/docker.mdc

@@ -21,6 +21,10 @@ alwaysApply: false
 
 Це стримує зайвий build tooling (Bun, **node_modules** зі збірки) у фінальному образі; для **alpine** / **nginx** / **openresty** у **runtime** лишаються лише відповідні вимоги, для **php** / **python** (виняток) — цільовий інтерпретований **stack**; **scratch** і **debian** з тегом **`*slim*`** — коли glibc і мінімальне оточення Debian важливіші за musl в **alpine**.
 
+## Мінімальні образи
+
+Якщо використовується nginx, то намагайся щоб тег був `alpine-slim`
+
 ## компіляція
 
 Якщо проект має bun install крок, та не є фронтенд проектом (тобто не має bun build крок), то потрібно щоб була компіляція коду, і далі у фінальному образі був тільки бінарник і Цей образ не містив компілятора, npm, Bun — тільки runtime libs. Наприклад:

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.138",
+  "version": "1.8.140",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-docker.mjs

@@ -9,7 +9,8 @@
  * - backend: `mirror.gcr.io/library/alpine:*`, `scratch`, `mirror.gcr.io/library/debian:` з тегом, що
  *   містить `slim` (не повний `debian:bookworm`), за винятком PHP/Python — `mirror.gcr.io/library/php:*` або
  *   `mirror.gcr.io/library/python:*`
- * - frontend: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
+ * - frontend: `mirror.gcr.io/nginxinc/nginx-unprivileged:*` (preferred) або `mirror.gcr.io/library/nginx:*`,
+ *   `mirror.gcr.io/openresty/openresty:*`
  *
  * Якщо в Dockerfile є крок `bun install` і це не frontend-образ (фінальний stage — alpine),
  * то очікується компіляція в один бінарник через `bun build --compile` у build stage, а у
@@ -18,6 +19,11 @@
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
  * дозволений runtime (alpine, scratch, debian slim, за потреби php/python, nginx або openresty).
  *
+ * Для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged`, `mirror.gcr.io/library/nginx`) у
+ * будь-якому `FROM` очікується тег `alpine-slim` (docker.mdc: мінімальні образи), не `latest` /
+ * `alpine` / інші. `nginx-unprivileged` запускається від не-root користувача (uid=101) без явного
+ * `USER` у Dockerfile — перевірка non-root для нього пропускається.
+ *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
  * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
  * Кореневий .hadolint.yaml підхоплюється hadolint автоматично.
@@ -36,6 +42,9 @@ const BUN_BUILD_COMPILE_RE = /\bbun\s+build\b[^\n]*\s--compile\b/iu
 const BUN_WORD_RE = /\bbun\b/iu
 const USER_LINE_RE = /^\s*USER\s+([^\s#]+)/iu
 
+const NGINX_MIRROR_PREFIX = 'mirror.gcr.io/library/nginx'
+const NGINX_UNPRIVILEGED_MIRROR_PREFIX = 'mirror.gcr.io/nginxinc/nginx-unprivileged'
+
 /**
  * @typedef {{
  *   line: number
@@ -89,6 +98,7 @@ const RUNTIME_IMAGES = /** @type {const} */ ([
   'mirror.gcr.io/library/php',
   'mirror.gcr.io/library/python',
   'mirror.gcr.io/library/nginx',
+  'mirror.gcr.io/nginxinc/nginx-unprivileged',
   'mirror.gcr.io/openresty/openresty'
 ])
 
@@ -98,7 +108,7 @@ const DEBIAN_VIA_MIRROR_RE = /^mirror\.gcr\.io\/library\/debian:(.+)$/i
 /**
  * Чи ref фінального `FROM` відповідає дозволеним у docker.mdc (multistage / runtime).
  * @param {string} lastLower ref без digest, lower case
- * @returns {boolean}
+ * @returns {boolean} true, якщо образ дозволений як фінальний runtime
  */
 function isAllowedFinalRuntimeImage(lastLower) {
   if (lastLower === 'scratch' || lastLower.startsWith('scratch:')) {
@@ -184,7 +194,9 @@ export function getBunCompileHint(fileContent) {
   const hasBunInstall = BUN_INSTALL_RE.test(fileContent)
   const isFinalAlpine = lastLower.startsWith('mirror.gcr.io/library/alpine:')
   const isFinalFrontend =
-    lastLower.startsWith('mirror.gcr.io/library/nginx:') || lastLower.startsWith('mirror.gcr.io/openresty/openresty:')
+    lastLower.startsWith('mirror.gcr.io/library/nginx:') ||
+    lastLower.startsWith(`${NGINX_UNPRIVILEGED_MIRROR_PREFIX}:`) ||
+    lastLower.startsWith('mirror.gcr.io/openresty/openresty:')
 
   if (!hasBunInstall) return null
   if (!isFinalAlpine) return null
@@ -203,6 +215,32 @@ export function getBunCompileHint(fileContent) {
   return null
 }
 
+/**
+ * Перевіряє, що для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged` або
+ * `mirror.gcr.io/library/nginx`) у `FROM` вказано тег `alpine-slim` (docker.mdc).
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getNginxAlpineSlimTagHint(fileContent) {
+  const prefixes = [NGINX_UNPRIVILEGED_MIRROR_PREFIX, NGINX_MIRROR_PREFIX]
+  for (const { line, image } of parseFromStages(fileContent)) {
+    const noDigest = (image.split('@')[0] || '').trim()
+    const d = noDigest.toLowerCase()
+    const prefix = prefixes.find(p => d.startsWith(`${p}:`) || d === p)
+    if (prefix) {
+      if (d === prefix) {
+        return `рядок ${line}: \`FROM ${prefix}\` має явний тег \`alpine-slim\` (docker.mdc: мінімальні образи), зараз без тега (типово latest)`
+      }
+      const tag = noDigest.slice(prefix.length + 1)
+      if (tag.toLowerCase() !== 'alpine-slim') {
+        return `рядок ${line}: для nginx потрібен тег \`alpine-slim\` (docker.mdc: мінімальні образи), зараз: \`${tag}\``
+      }
+    }
+  }
+  return null
+}
+
 /**
  * Перевіряє вимогу "non-root" у фінальному runtime stage (docker.mdc).
  *
@@ -218,6 +256,8 @@ export function getNonRootRuntimeHint(fileContent) {
   if (stages.length === 0) return null
 
   const last = stages.at(-1)
+  const lastImage = (last?.from.image || '').split('@')[0] || ''
+  const lastLower = lastImage.toLowerCase()
   const lastStageContent = last?.stageContent || ''
 
   /** @type {string | null} */
@@ -230,6 +270,8 @@ export function getNonRootRuntimeHint(fileContent) {
   }
 
   if (!lastUserToken) {
+    // nginx-unprivileged вже запускається від uid=101 (nginx) без явного USER у Dockerfile
+    if (lastLower.startsWith(`${NGINX_UNPRIVILEGED_MIRROR_PREFIX}:`)) return null
     return 'у фінальному stage має бути `USER <non-root>` (наприклад `USER app`) — принцип non-root (docker.mdc: не превілейований образ)'
   }
 
@@ -282,6 +324,11 @@ export async function check() {
       fail(`${rel} (non-root): ${nonRootHint}`)
     }
 
+    const nginxSlimHint = getNginxAlpineSlimTagHint(content)
+    if (nginxSlimHint) {
+      fail(`${rel} (nginx tag): ${nginxSlimHint}`)
+    }
+
     const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
     const tail = (stdout + stderr).trim()
     if (ok) {

package/scripts/utils/docker-mirror.mjs

@@ -110,14 +110,15 @@ export function normalizeHubRepoPath(imageToken) {
 }
 
 const HUB_REPOS_REQUIRING_MIRROR = /** @type {const} */ (
-  new Set(['oven/bun', 'library/alpine', 'library/nginx', 'library/node'])
+  new Set(['oven/bun', 'library/alpine', 'library/nginx', 'library/node', 'nginxinc/nginx-unprivileged'])
 )
 
 const EXPECTED_MIRROR = /** @type {const} */ ({
   'oven/bun': 'mirror.gcr.io/oven/bun',
   'library/alpine': 'mirror.gcr.io/library/alpine',
   'library/nginx': 'mirror.gcr.io/library/nginx',
-  'library/node': 'mirror.gcr.io/library/node'
+  'library/node': 'mirror.gcr.io/library/node',
+  'nginxinc/nginx-unprivileged': 'mirror.gcr.io/nginxinc/nginx-unprivileged'
 })
 
 /**