@nitra/cursor 1.8.142 → 1.8.143

package/mdc/docker.mdc

@@ -9,7 +9,7 @@ alwaysApply: false
 
 [hadolint](https://github.com/hadolint/hadolint) перевіряє Dockerfile на типові помилки та рекомендації (`FROM`, `RUN`, `COPY`, shell form тощо).
 
-Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginx`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/library/nginx`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
+Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginxinc/nginx-unprivileged`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/nginxinc/nginx-unprivileged`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
 
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
 
@@ -17,13 +17,13 @@ alwaysApply: false
 - **ультра-легкі (glibc / одна статична збірка)**: `scratch` — тільки як `FROM scratch` (офіційний порожній базовий шар), коли весь **runtime** уже в `COPY --from=…`
 - **glibc, Debian (slim)**: `mirror.gcr.io/library/debian:*` **лише** з тегом, у якому є `slim` (наприклад `bookworm-slim`, `trixie-slim`), а не `bookworm` без `slim`
 - **виняток (інтерпретовані стеки)**: `mirror.gcr.io/library/php:*` або `mirror.gcr.io/library/python:*` — якщо сервіс має крутитися в офіційному runtime PHP чи Python, а не як один бінарник на Alpine; інакше лишай **alpine** у фінальному stage
-- **frontend**: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
+- **frontend**: `mirror.gcr.io/nginxinc/nginx-unprivileged:*` або `mirror.gcr.io/openresty/openresty:*`
 
 Це стримує зайвий build tooling (Bun, **node_modules** зі збірки) у фінальному образі; для **alpine** / **nginx** / **openresty** у **runtime** лишаються лише відповідні вимоги, для **php** / **python** (виняток) — цільовий інтерпретований **stack**; **scratch** і **debian** з тегом **`*slim*`** — коли glibc і мінімальне оточення Debian важливіші за musl в **alpine**.
 
 ## Мінімальні образи
 
-Якщо використовується nginx, то намагайся щоб тег був `alpine-slim`
+Якщо використовується nginx, то **використовуй** `mirror.gcr.io/nginxinc/nginx-unprivileged:alpine-slim` (і не `latest` / `alpine`).
 
 ## компіляція
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.142",
+  "version": "1.8.143",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-docker.mjs

@@ -9,8 +9,7 @@
  * - backend: `mirror.gcr.io/library/alpine:*`, `scratch`, `mirror.gcr.io/library/debian:` з тегом, що
  *   містить `slim` (не повний `debian:bookworm`), за винятком PHP/Python — `mirror.gcr.io/library/php:*` або
  *   `mirror.gcr.io/library/python:*`
- * - frontend: `mirror.gcr.io/nginxinc/nginx-unprivileged:*` (preferred) або `mirror.gcr.io/library/nginx:*`,
- *   `mirror.gcr.io/openresty/openresty:*`
+ * - frontend: `mirror.gcr.io/nginxinc/nginx-unprivileged:*`, `mirror.gcr.io/openresty/openresty:*`
  *
  * Якщо в Dockerfile є крок `bun install` і це не frontend-образ (фінальний stage — alpine),
  * то очікується компіляція в один бінарник через `bun build --compile` у build stage, а у
@@ -19,8 +18,8 @@
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
  * дозволений runtime (alpine, scratch, debian slim, за потреби php/python, nginx або openresty).
  *
- * Для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged`, `mirror.gcr.io/library/nginx`) у
- * будь-якому `FROM` очікується тег `alpine-slim` (docker.mdc: мінімальні образи), не `latest` /
+ * Для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged`) у будь-якому `FROM` очікується
+ * тег `alpine-slim` (docker.mdc: мінімальні образи), не `latest` /
  * `alpine` / інші. `nginx-unprivileged` запускається від не-root користувача (uid=101) без явного
  * `USER` у Dockerfile — перевірка non-root для нього пропускається.
  *
@@ -42,7 +41,6 @@ const BUN_BUILD_COMPILE_RE = /\bbun\s+build\b[^\n]*\s--compile\b/iu
 const BUN_WORD_RE = /\bbun\b/iu
 const USER_LINE_RE = /^\s*USER\s+([^\s#]+)/iu
 
-const NGINX_MIRROR_PREFIX = 'mirror.gcr.io/library/nginx'
 const NGINX_UNPRIVILEGED_MIRROR_PREFIX = 'mirror.gcr.io/nginxinc/nginx-unprivileged'
 
 /**
@@ -97,7 +95,6 @@ const RUNTIME_IMAGES = /** @type {const} */ ([
   'mirror.gcr.io/library/alpine',
   'mirror.gcr.io/library/php',
   'mirror.gcr.io/library/python',
-  'mirror.gcr.io/library/nginx',
   'mirror.gcr.io/nginxinc/nginx-unprivileged',
   'mirror.gcr.io/openresty/openresty'
 ])
@@ -179,7 +176,6 @@ export function getMultistageAndRuntimeHint(fileContent) {
  * Очікування:
  * - у build stage є `bun build --compile`;
  * - у фінальному stage немає викликів `bun` (залишків build tooling).
- *
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
@@ -194,7 +190,6 @@ export function getBunCompileHint(fileContent) {
   const hasBunInstall = BUN_INSTALL_RE.test(fileContent)
   const isFinalAlpine = lastLower.startsWith('mirror.gcr.io/library/alpine:')
   const isFinalFrontend =
-    lastLower.startsWith('mirror.gcr.io/library/nginx:') ||
     lastLower.startsWith(`${NGINX_UNPRIVILEGED_MIRROR_PREFIX}:`) ||
     lastLower.startsWith('mirror.gcr.io/openresty/openresty:')
 
@@ -216,14 +211,13 @@ export function getBunCompileHint(fileContent) {
 }
 
 /**
- * Перевіряє, що для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged` або
- * `mirror.gcr.io/library/nginx`) у `FROM` вказано тег `alpine-slim` (docker.mdc).
- *
+ * Перевіряє, що для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged`) у `FROM` вказано
+ * тег `alpine-slim` (docker.mdc).
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
 export function getNginxAlpineSlimTagHint(fileContent) {
-  const prefixes = [NGINX_UNPRIVILEGED_MIRROR_PREFIX, NGINX_MIRROR_PREFIX]
+  const prefixes = [NGINX_UNPRIVILEGED_MIRROR_PREFIX]
   for (const { line, image } of parseFromStages(fileContent)) {
     const noDigest = (image.split('@')[0] || '').trim()
     const d = noDigest.toLowerCase()
@@ -247,7 +241,6 @@ export function getNginxAlpineSlimTagHint(fileContent) {
  * Очікування:
  * - у фінальному stage має бути інструкція `USER <name|uid>`;
  * - користувач не має бути `root` і не має бути `0`.
- *
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
@@ -289,7 +282,7 @@ export function getNonRootRuntimeHint(fileContent) {
  */
 export async function check() {
   const reporter = createCheckReporter()
-  const { pass, fail } = reporter
+  const { pass } = reporter
 
   const root = process.cwd()
   const files = await findDockerfilePaths(root)
@@ -302,42 +295,45 @@ export async function check() {
   pass(`Знайдено файлів для hadolint: ${files.length}`)
 
   for (const abs of files) {
-    const rel = posixRel(root, abs) || basename(abs)
-    const content = await readFile(abs, 'utf8')
-    const hint = getMirrorGcrHint(content)
-    if (hint) {
-      fail(`${rel} (mirror.gcr.io): ${hint}`)
-    }
+    await checkDockerfile(reporter, root, abs)
+  }
 
-    const multistageHint = getMultistageAndRuntimeHint(content)
-    if (multistageHint) {
-      fail(`${rel} (multistage): ${multistageHint}`)
-    }
+  return reporter.getExitCode()
+}
 
-    const compileHint = getBunCompileHint(content)
-    if (compileHint) {
-      fail(`${rel} (compile): ${compileHint}`)
-    }
+/**
+ * Перевіряє один Dockerfile/Containerfile: mirror.gcr.io, multistage/runtime, compile/non-root/nginx tag і hadolint.
+ * @param {ReturnType<typeof createCheckReporter>} reporter репортер перевірок
+ * @param {string} root корінь репозиторію
+ * @param {string} abs абсолютний шлях до Dockerfile/Containerfile
+ * @returns {Promise<void>}
+ */
+async function checkDockerfile(reporter, root, abs) {
+  const { pass, fail } = reporter
+  const rel = posixRel(root, abs) || basename(abs)
+  const content = await readFile(abs, 'utf8')
 
-    const nonRootHint = getNonRootRuntimeHint(content)
-    if (nonRootHint) {
-      fail(`${rel} (non-root): ${nonRootHint}`)
-    }
+  const hint = getMirrorGcrHint(content)
+  if (hint) fail(`${rel} (mirror.gcr.io): ${hint}`)
 
-    const nginxSlimHint = getNginxAlpineSlimTagHint(content)
-    if (nginxSlimHint) {
-      fail(`${rel} (nginx tag): ${nginxSlimHint}`)
-    }
+  const multistageHint = getMultistageAndRuntimeHint(content)
+  if (multistageHint) fail(`${rel} (multistage): ${multistageHint}`)
 
-    const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
-    const tail = (stdout + stderr).trim()
-    if (ok) {
-      pass(`${rel} (${via})`)
-    } else {
-      const detail = tail ? `:\n${tail}` : ''
-      fail(`${rel} (${via})${detail}`)
-    }
-  }
+  const compileHint = getBunCompileHint(content)
+  if (compileHint) fail(`${rel} (compile): ${compileHint}`)
 
-  return reporter.getExitCode()
+  const nonRootHint = getNonRootRuntimeHint(content)
+  if (nonRootHint) fail(`${rel} (non-root): ${nonRootHint}`)
+
+  const nginxSlimHint = getNginxAlpineSlimTagHint(content)
+  if (nginxSlimHint) fail(`${rel} (nginx tag): ${nginxSlimHint}`)
+
+  const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
+  const tail = (stdout + stderr).trim()
+  if (ok) {
+    pass(`${rel} (${via})`)
+  } else {
+    const detail = tail ? `:\n${tail}` : ''
+    fail(`${rel} (${via})${detail}`)
+  }
 }