npm - @nitra/cursor - Versions diffs - 1.8.144 → 1.8.147 - Mend

@nitra/cursor 1.8.144 → 1.8.147

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (25) hide show

package/bin/auto-rules.md +2 -0
package/bin/n-cursor.js +1 -0
package/bin/rename-yaml-extensions.mjs +0 -1
package/mdc/js-bun-db.mdc +118 -0
package/mdc/js-lint.mdc +6 -4
package/mdc/js-mssql.mdc +27 -1
package/mdc/k8s.mdc +2 -2
package/mdc/vue.mdc +3 -3
package/package.json +3 -3
package/scripts/auto-rules.mjs +104 -26
package/scripts/check-ga.mjs +27 -15
package/scripts/check-js-bun-db.mjs +213 -0
package/scripts/check-js-lint.mjs +110 -27
package/scripts/check-js-mssql.mjs +156 -86
package/scripts/check-k8s.mjs +161 -32
package/scripts/check-nginx-default-tpl.mjs +1 -1
package/scripts/check-vue.mjs +82 -45
package/scripts/cli-entry.mjs +2 -5
package/scripts/upgrade-nitra-cursor-and-install.mjs +1 -1
package/scripts/utils/bun-sql-scan.mjs +294 -0
package/scripts/utils/mssql-pool-scan.mjs +188 -1
package/scripts/utils/oxlint-canonical-skeleton.json +27 -0
package/scripts/utils/oxlint-canonical.json +387 -0
package/scripts/utils/oxlint-rules.tsv +359 -0
package/scripts/utils/rebuild-oxlint-canonical.mjs +29 -0

package/scripts/check-js-mssql.mjs CHANGED Viewed

@@ -18,6 +18,7 @@ import {
   findSharedMssqlRequestInText,
   findUnsafeMssqlQueryTemplateCallInText,
   findUnsafeMssqlDynamicSqlListInText,
+  findUnsafeMssqlInListUnparsedInText,
   isMssqlScanSourceFile
 } from './utils/mssql-pool-scan.mjs'
 import { walkDir } from './utils/walkDir.mjs'
@@ -100,8 +101,8 @@ function parseLeadingSemver(range) {
 }
 /**
- * @param {{ major: number, minor: number, patch: number }} a
- * @param {{ major: number, minor: number, patch: number }} b
+ * @param {{ major: number, minor: number, patch: number }} a перша semver
+ * @param {{ major: number, minor: number, patch: number }} b друга semver
  * @returns {boolean} true, якщо a >= b
  */
 function semverGte(a, b) {
@@ -110,6 +111,153 @@ function semverGte(a, b) {
   return a.patch >= b.patch
 }
+/**
+ * Аудит одного package.json на dependencies.mssql: версія має бути >=12.5.0.
+ * Повертає інкремент для лічильників `{ found, bad }`.
+ * @param {string} rel шлях у людино-читабельному вигляді
+ * @param {unknown} parsed розпарений package.json
+ * @param {(msg: string) => void} pass pass callback
+ * @param {(msg: string) => void} fail fail callback
+ * @returns {{ found: 0 | 1, bad: 0 | 1 }} прирости лічильників
+ */
+function auditMssqlVersionInPackageJson(rel, parsed, pass, fail) {
+  const range = getMssqlDependencyRange(asObject(parsed).dependencies)
+  if (!range) return { found: 0, bad: 0 }
+  const parsedVer = parseLeadingSemver(range)
+  if (!parsedVer) {
+    fail(`js-mssql: ${rel}: dependencies.mssql має нечитабельну версію: ${JSON.stringify(range)} (js-mssql.mdc)`)
+    return { found: 1, bad: 1 }
+  }
+  if (semverGte(parsedVer, MIN_MSSQL_VERSION)) {
+    pass(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} (>=12.5.0)`)
+    return { found: 1, bad: 0 }
+  }
+  fail(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} — має бути >=12.5.0 (js-mssql.mdc)`)
+  return { found: 1, bad: 1 }
+}
+/**
+ * Прогін усіх package.json: рахує знайдені mssql і ті, що не задовольняють мінімум.
+ * @param {string} repoRoot корінь репозиторію
+ * @param {string[]} pkgJsonPaths абсолютні шляхи до package.json
+ * @param {(msg: string) => void} pass pass callback
+ * @param {(msg: string) => void} fail fail callback
+ * @returns {Promise<{ found: number, bad: number }>} підсумкові лічильники
+ */
+async function aggregateMssqlVersionsAcrossPackages(repoRoot, pkgJsonPaths, pass, fail) {
+  let found = 0
+  let bad = 0
+  for (const absPath of pkgJsonPaths) {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    let parsed
+    try {
+      parsed = JSON.parse(await readFile(absPath, 'utf8'))
+    } catch {
+      fail(`js-mssql: ${rel} — невалідний JSON`)
+      continue
+    }
+    const inc = auditMssqlVersionInPackageJson(rel, parsed, pass, fail)
+    found += inc.found
+    bad += inc.bad
+  }
+  return { found, bad }
+}
+/**
+ * Підрахунок порушень у одному файлі джерела mssql.
+ * Кожен лічильник інкрементується відповідним сканером, повідомлення йдуть у `fail`.
+ * @param {string} rel relative-шлях файлу
+ * @param {string} content вихідний код
+ * @param {Record<string, number>} counters агрегатор лічильників
+ * @param {(msg: string) => void} fail fail callback
+ */
+function scanMssqlOneSourceFile(rel, content, counters, fail) {
+  for (const v of findMssqlPerRequestConnectionInText(content, rel)) {
+    counters.violations++
+    fail(
+      `js-mssql: ${rel}:${v.line} — не створюй new sql.ConnectionPool(...) на кожен запит; використовуй singleton sql.ConnectionPool: ${v.snippet}`
+    )
+  }
+  for (const v of findSharedMssqlRequestInText(content, rel)) {
+    counters.sharedRequestViolations++
+    fail(
+      `js-mssql: ${rel}:${v.line} — заборонено шарити Request (наприклад export const request = pool.request()); створюй pool.request() щоразу заново (js-mssql.mdc): ${v.snippet}`
+    )
+  }
+  for (const v of findUnsafeMssqlQueryTemplateCallInText(content, rel)) {
+    counters.unsafeQueryCalls++
+    fail(
+      `js-mssql: ${rel}:${v.line} — заборонено query(\`...\`): це не tagged template; використовуй pool.request().query\`...\` (js-mssql.mdc): ${v.snippet}`
+    )
+  }
+  for (const v of findUnsafeMssqlDynamicSqlListInText(content, rel)) {
+    counters.unsafeDynamicSqlLists++
+    fail(
+      `js-mssql: ${rel}:${v.line} — заборонено підставляти у SQL динамічні списки через .join(',') (типово IN (...) / VALUES (...)); використовуй TVP (sql.Table) + JOIN/INSERT (js-mssql.mdc): ${v.snippet}`
+    )
+  }
+  for (const v of findUnsafeMssqlInListUnparsedInText(content, rel)) {
+    counters.unparsedInLists++
+    fail(
+      `js-mssql: ${rel}:${v.line} — у SQL IN (\${...}) значення мають бути попередньо приведені числовим парсером (parseInt/Number/BigInt/parseFloat) і відфільтровані від NaN, інакше можливий SQL injection (js-mssql.mdc): ${v.snippet}`
+    )
+  }
+}
+/**
+ * Звіт про відсутність порушень у джерелах mssql: кожен лічильник із 0 → один pass-рядок.
+ * @param {Record<string, number>} counters лічильники після проходу всіх файлів
+ * @param {(msg: string) => void} pass pass callback
+ */
+function reportZeroMssqlSourceViolations(counters, pass) {
+  if (counters.violations === 0) {
+    pass('js-mssql: немає створення new sql.ConnectionPool(...) всередині функцій (singleton pool)')
+  }
+  if (counters.sharedRequestViolations === 0) {
+    pass('js-mssql: немає shared Request (export const request = pool.request())')
+  }
+  if (counters.unsafeQueryCalls === 0) {
+    pass('js-mssql: немає небезпечних викликів query(`...`) (потрібно query`...`)')
+  }
+  if (counters.unsafeDynamicSqlLists === 0) {
+    pass("js-mssql: немає небезпечних динамічних SQL-списків через .join(',') у IN/VALUES")
+  }
+  if (counters.unparsedInLists === 0) {
+    pass(`js-mssql: немає підстановок IN (\${...}) без числового парсера значень`)
+  }
+}
+/**
+ * Аудит усіх JS/TS-джерел репо щодо безпечного використання mssql.
+ * @param {string} repoRoot корінь репозиторію
+ * @param {(msg: string) => void} pass pass callback
+ * @param {(msg: string) => void} fail fail callback
+ * @returns {Promise<void>}
+ */
+async function auditMssqlSources(repoRoot, pass, fail) {
+  const sourcePaths = await findAllSourcePathsForMssqlScan(repoRoot)
+  if (sourcePaths.length === 0) {
+    pass('js-mssql: немає JS/TS файлів для скану singleton ConnectionPool')
+    return
+  }
+  const counters = {
+    violations: 0,
+    sharedRequestViolations: 0,
+    unsafeQueryCalls: 0,
+    unsafeDynamicSqlLists: 0,
+    unparsedInLists: 0
+  }
+  for (const absPath of sourcePaths) {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    const content = await readFile(absPath, 'utf8')
+    scanMssqlOneSourceFile(rel, content, counters, fail)
+  }
+  reportZeroMssqlSourceViolations(counters, pass)
+}
 /**
  * Перевіряє відповідність проєкту правилу js-mssql.mdc
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
@@ -119,8 +267,7 @@ export async function check() {
   const { pass, fail } = reporter
   const repoRoot = process.cwd()
-  const rootPkg = join(repoRoot, 'package.json')
-  if (!existsSync(rootPkg)) {
+  if (!existsSync(join(repoRoot, 'package.json'))) {
     pass('js-mssql: package.json у корені відсутній — перевірку пропущено')
     return reporter.getExitCode()
   }
@@ -131,94 +278,17 @@ export async function check() {
     return reporter.getExitCode()
   }
-  let found = 0
-  let bad = 0
-  for (const absPath of pkgJsonPaths) {
-    const rel = relative(repoRoot, absPath).split('\\').join('/')
-    let parsed
-    try {
-      parsed = JSON.parse(await readFile(absPath, 'utf8'))
-    } catch {
-      fail(`js-mssql: ${rel} — невалідний JSON`)
-      continue
-    }
-    const range = getMssqlDependencyRange(parsed.dependencies)
-    if (range) {
-      found++
-      const parsedVer = parseLeadingSemver(range)
-      if (!parsedVer) {
-        bad++
-        fail(`js-mssql: ${rel}: dependencies.mssql має нечитабельну версію: ${JSON.stringify(range)} (js-mssql.mdc)`)
-        continue
-      }
-      if (semverGte(parsedVer, MIN_MSSQL_VERSION)) {
-        pass(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} (>=12.5.0)`)
-      } else {
-        bad++
-        fail(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} — має бути >=12.5.0 (js-mssql.mdc)`)
-      }
-    }
-  }
+  const { found, bad } = await aggregateMssqlVersionsAcrossPackages(repoRoot, pkgJsonPaths, pass, fail)
   if (found === 0) {
     pass('js-mssql: пакет mssql не знайдено в dependencies жодного package.json')
-  } else if (bad === 0) {
+    return reporter.getExitCode()
+  }
+  if (bad === 0) {
     pass(`js-mssql: всі знайдені dependencies.mssql відповідають мінімальній версії 12.5.0 (${found})`)
   }
-  if (found > 0) {
-    const sourcePaths = await findAllSourcePathsForMssqlScan(repoRoot)
-    if (sourcePaths.length === 0) {
-      pass('js-mssql: немає JS/TS файлів для скану singleton ConnectionPool')
-      return reporter.getExitCode()
-    }
-    let violations = 0
-    let sharedRequestViolations = 0
-    let unsafeQueryCalls = 0
-    let unsafeDynamicSqlLists = 0
-    for (const absPath of sourcePaths) {
-      const rel = relative(repoRoot, absPath).split('\\').join('/')
-      const content = await readFile(absPath, 'utf8')
-      for (const v of findMssqlPerRequestConnectionInText(content, rel)) {
-        violations++
-        fail(
-          `js-mssql: ${rel}:${v.line} — не створюй new sql.ConnectionPool(...) на кожен запит; використовуй singleton sql.ConnectionPool: ${v.snippet}`
-        )
-      }
-      for (const v of findSharedMssqlRequestInText(content, rel)) {
-        sharedRequestViolations++
-        fail(
-          `js-mssql: ${rel}:${v.line} — заборонено шарити Request (наприклад export const request = pool.request()); створюй pool.request() щоразу заново (js-mssql.mdc): ${v.snippet}`
-        )
-      }
-      for (const v of findUnsafeMssqlQueryTemplateCallInText(content, rel)) {
-        unsafeQueryCalls++
-        fail(
-          `js-mssql: ${rel}:${v.line} — заборонено query(\`...\`): це не tagged template; використовуй pool.request().query\`...\` (js-mssql.mdc): ${v.snippet}`
-        )
-      }
-      for (const v of findUnsafeMssqlDynamicSqlListInText(content, rel)) {
-        unsafeDynamicSqlLists++
-        fail(
-          `js-mssql: ${rel}:${v.line} — заборонено підставляти у SQL динамічні списки через .join(',') (типово IN (...) / VALUES (...)); використовуй TVP (sql.Table) + JOIN/INSERT (js-mssql.mdc): ${v.snippet}`
-        )
-      }
-    }
-    if (violations === 0) {
-      pass('js-mssql: немає створення new sql.ConnectionPool(...) всередині функцій (singleton pool)')
-    }
-    if (sharedRequestViolations === 0) {
-      pass('js-mssql: немає shared Request (export const request = pool.request())')
-    }
-    if (unsafeQueryCalls === 0) {
-      pass('js-mssql: немає небезпечних викликів query(`...`) (потрібно query`...`)')
-    }
-    if (unsafeDynamicSqlLists === 0) {
-      pass("js-mssql: немає небезпечних динамічних SQL-списків через .join(',') у IN/VALUES")
-    }
-  }
+  await auditMssqlSources(repoRoot, pass, fail)
   return reporter.getExitCode()
 }

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -67,9 +67,10 @@
  * **`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS`** зі значенням **`"true"`** (приймається булеве `true`
  * або рядок `"true"`, без регістрової залежності).
  *
- * **HPA / PDB / topologySpreadConstraints для кожного Deployment:** у каталозі з **`Deployment`** поруч
- * обов'язкові **`hpa.yaml`** (`autoscaling/v2`, `HorizontalPodAutoscaler`, `scaleTargetRef.name` = ім'я Deployment)
- * і **`pdb.yaml`** (`policy/v1`, `PodDisruptionBudget`, `selector.matchLabels.app` = мітка `app` Deployment).
+ * **HPA / PDB / topologySpreadConstraints:** для кожного **`Deployment`** у шарі **`…/k8s/…/base/`** (будь-який
+ * `.yaml` у цьому каталозі, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у тому ж каталозі поруч обов'язкові
+ * **`hpa.yaml`**, **`pdb.yaml`** та канонічні **topologySpreadConstraints**. Workload-и без Deployment (**CronJob**
+ * тощо) та каталоги поза **`…/base/`** цим блоком не охоплюються.
  * Env-залежні межі за сегментом після `/k8s/`: **dev-like** (`base`, `dev`, `*-qa`) — `minReplicas === 1`,
  * `maxReplicas === 1`, `minAvailable === 0`; **прод** (решта) — `minReplicas >= 2`, `maxReplicas >= 2`,
  * `minAvailable >= 1`. Сам Deployment має мати у `spec.template.spec.topologySpreadConstraints` запис
@@ -88,11 +89,11 @@
  * `replacements[].path` має вказувати на наявний у репозиторії файл (`.yaml` / `.yml`) або каталог; інакше
  * помилка `check k8s` (k8s.mdc).
  *
- * **HPA / PDB тільки з Deployment у `base`:** у дереві Kustomize з `…/k8s/…/base/kustomization.yaml` не
+ * **HPA / PDB тільки з Deployment у шарі base:** у дереві Kustomize з `…/k8s/…/base/kustomization.yaml` не
  * дозволяти `HorizontalPodAutoscaler` / `PodDisruptionBudget` у `resources` / `bases` / `components` / `crds`
- * (рекурсивно), якщо в цьому ж дереві немає `Deployment`. У `kustomization.yaml` overlay, який підключає
- * каталог `…/k8s/…/base`, не додавай окремі YAML-файли з HPA / PDB, поки в наслідуваному `base` у дереві
- * не з’явиться `Deployment` (k8s.mdc).
+ * (рекурсивно), якщо в цьому ж дереві немає документа **`Deployment`** у жодному YAML під **`…/k8s/…/base/`**. У
+ * `kustomization.yaml` overlay, який підключає каталог `…/k8s/…/base`, не додавай окремі YAML-файли з HPA / PDB,
+ * поки в наслідуваному `base` у дереві не з’явиться такий Deployment (k8s.mdc).
  */
 import { existsSync } from 'node:fs'
 import { readFile, readdir, stat, unlink, writeFile } from 'node:fs/promises'
@@ -118,6 +119,21 @@ const HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES = new Set([
   `docker.io/${HASURA_GRAPHQL_ENGINE_IMAGE}`
 ])
+/**
+ * Чи відносний POSIX-шлях від кореня репо вказує на YAML під **`…/k8s/…/base/…`** (після сегмента **`k8s`** у шляху
+ * є каталог **`base`**). Тут очікуються маніфести шару **base**, включно з будь-яким файлом із **`kind: Deployment`**
+ * (наприклад **`deploy.yaml`**, **`deployment.yaml`**).
+ * @param {string} relPosix шлях через `/`
+ * @returns {boolean} true, якщо шлях лежить у каталозі `…/k8s/…/base/`
+ */
+export function isK8sYamlUnderBaseDirectory(relPosix) {
+  const parts = relPosix.replaceAll('\\', '/').split('/').filter(Boolean)
+  const k = parts.indexOf('k8s')
+  if (k === -1) return false
+  const dirs = parts.slice(k + 1, -1)
+  return dirs.includes('base')
+}
 /**
  * Ключі анотацій GKE (NEG / BackendConfig) у **Service** — заборонені (узгоджено з k8s.mdc).
  * @type {readonly string[]}
@@ -280,6 +296,7 @@ const K8S_BASE_SEGMENT_RE = /(^|\/)k8s\/base\//u
 const OXLINT_SCHEMA_MODELINE_RE = /^\s*#\s*yaml-language-server:\s*\$schema=\S+/u
 const HTTPS_SCHEMA_RE = /^https:/iu
 const HASURA_GRAPHQL_ENGINE_RE = /(^|\/)hasura\/graphql-engine(?::|$)/u
+const BATCH_V1BETA1_API_VERSION_LINE_RE = /^(\s*apiVersion:\s*)["']?batch\/v1beta1["']?(\s*)$/u
 /**
  * Чи містить шлях сегмент директорії `k8s` (рівно ця назва компонента).
@@ -1013,6 +1030,110 @@ async function readK8sYamlDocumentRootsForInventory(abs) {
   return out
 }
+/**
+ * Збирає абсолютні шляхи до YAML-файлів із дерева **`resources` / `bases` / `components` / `crds`** (рекурсивно
+ * через вкладені **kustomization.yaml**). Дублює обхід **`collectResourceDescriptorsForKustomizationWalk`**, але
+ * повертає лише шляхи файлів — для перевірки наявності **`Deployment`** у YAML під **`…/k8s/…/base/`**.
+ * @param {string} kustAbs абсолютний шлях до **kustomization.yaml**
+ * @param {string} rootNorm нормалізований абсолютний корінь репозиторію
+ * @param {Set<string>} visitedKustomization нормалізовані абсолютні шляхи відвіданих **kustomization.yaml**
+ * @returns {Promise<string[]>} список абсолютних шляхів до `.yaml` / `.yml`
+ */
+async function collectYamlAbsPathsFromKustomizationTree(kustAbs, rootNorm, visitedKustomization) {
+  const normKust = resolve(kustAbs)
+  if (visitedKustomization.has(normKust)) {
+    return []
+  }
+  visitedKustomization.add(normKust)
+  let raw
+  try {
+    raw = await readFile(normKust, 'utf8')
+  } catch {
+    return []
+  }
+  const lines = toLines(raw)
+  const body = lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+  /** @type {import('yaml').Document[] | undefined} */
+  let docs
+  try {
+    docs = parseAllDocuments(body)
+  } catch {
+    return []
+  }
+  const first = docs[0]?.toJSON()
+  if (first === null || first === undefined || typeof first !== 'object' || Array.isArray(first)) {
+    return []
+  }
+  const kustDir = dirname(normKust)
+  const pathRefs = resourcePathRefsFromKustomizationObject(first)
+  /** @type {string[]} */
+  const out = []
+  /**
+   * @param {string} ref шлях з resources/bases/…
+   * @returns {Promise<void>}
+   */
+  async function handleResourcePathRef(ref) {
+    if (typeof ref !== 'string' || ref.includes('://')) {
+      return
+    }
+    const resolved = resolve(kustDir, ref)
+    if (!resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+      return
+    }
+    /** @type {import('node:fs').Stats | undefined} */
+    let st
+    try {
+      st = await stat(resolved)
+    } catch {
+      st = undefined
+    }
+    if (st === undefined) {
+      return
+    }
+    if (st.isFile() && YAML_EXTENSION_RE.test(resolved)) {
+      out.push(resolved)
+      return
+    }
+    if (!st.isDirectory()) {
+      return
+    }
+    const childK = existsSync(join(resolved, 'kustomization.yaml')) ? join(resolved, 'kustomization.yaml') : null
+    if (childK !== null) {
+      const sub = await collectYamlAbsPathsFromKustomizationTree(childK, rootNorm, visitedKustomization)
+      out.push(...sub)
+    }
+  }
+  for (const ref of pathRefs) {
+    await handleResourcePathRef(ref)
+  }
+  return out
+}
+/**
+ * Чи в дереві kustomization є **`Deployment`** у будь-якому YAML під **`…/k8s/…/base/`** (умова для HPA/PDB у k8s.mdc).
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rootNorm корінь репо
+ * @returns {Promise<boolean>} true, якщо дерево містить Deployment у шарі base
+ */
+async function kustomizationTreeHasDeploymentUnderK8sBase(kustAbs, rootNorm) {
+  const visited = new Set()
+  const paths = await collectYamlAbsPathsFromKustomizationTree(kustAbs, rootNorm, visited)
+  const rootResolved = resolve(rootNorm)
+  for (const abs of paths) {
+    const rel = (relative(rootResolved, abs) || '').replaceAll('\\', '/')
+    if (!isK8sYamlUnderBaseDirectory(rel)) continue
+    const roots = await readK8sYamlDocumentRootsForInventory(abs)
+    if (roots.some(o => o.kind === 'Deployment')) return true
+  }
+  return false
+}
 /**
  * Збирає дескриптори ресурсів з **`resources` / `bases` / `components` / `crds`** для одного дерева kustomization.
  * Повторний вхід у той самий **`kustomization.yaml`** дає порожній внесок (як у **`collectKustomizeManagedRelPaths`**).
@@ -1243,7 +1364,7 @@ async function resolveExistingYamlFileUnderRoot(kustDir, pathStr, rootNorm) {
     return null
   }
   /** @type {import('node:fs').Stats | null} */
-  let st = null
+  let st
   try {
     st = await stat(resolved)
   } catch {
@@ -1375,8 +1496,8 @@ async function validatePatchTargetsOneKustomizationFile(root, kustAbs, rootNorm,
   }
   const lines = toLines(raw)
   const body = lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
-  /** @type {import('yaml').Document[] | null} */
-  let docs = null
+  /** @type {import('yaml').Document[]} */
+  let docs
   try {
     docs = parseAllDocuments(body)
   } catch {
@@ -1567,15 +1688,15 @@ async function removeBackendConfigOnlyK8sYamlFiles(root, fail, pass) {
  * Один рядок YAML: якщо це `apiVersion` зі значенням **`batch/v1beta1`**, повертає той самий рядок із **`batch/v1`**
  * (з тими самими відступами/пробілами після `apiVersion:`, крім випадків з лапками — нормалізується до `apiVersion: batch/v1`).
  * Рядки, що після trim починаються з `#`, не змінюються.
- * @param {string} line
- * @returns {string}
+ * @param {string} line один рядок YAML
+ * @returns {string} той самий рядок або з заміною apiVersion batch/v1beta1 на batch/v1
  */
 function rewriteLineBatchV1beta1ApiVersion(line) {
   const t = line.trimStart()
   if (t.startsWith('#')) {
     return line
   }
-  const m = line.match(/^(\s*apiVersion:\s*)(?:"|')?batch\/v1beta1(?:"|')?(\s*)$/)
+  const m = line.match(BATCH_V1BETA1_API_VERSION_LINE_RE)
   if (m) {
     return `${m[1]}batch/v1${m[2]}`
   }
@@ -1586,11 +1707,11 @@ function rewriteLineBatchV1beta1ApiVersion(line) {
  * У повному тексті YAML замінює всі **цілі** рядки `apiVersion: batch/v1beta1` (за потреби в лапках) на `apiVersion: batch/v1`.
  * Зберігає **CRLF** / **LF** як у вихідному рядку.
  * @param {string} raw вміст файлу
- * @returns {{ changed: boolean, content: string }}
+ * @returns {{ changed: boolean, content: string }} прапорець зміни та оновлений текст
  */
 export function replaceBatchV1beta1ApiVersionInYamlText(raw) {
   const eol = raw.includes('\r\n') ? '\r\n' : '\n'
-  const lines = raw.split(/\r?\n/)
+  const lines = raw.split(YAML_LINE_SPLIT_RE)
   let changed = false
   const out = lines.map(line => {
     const n = rewriteLineBatchV1beta1ApiVersion(line)
@@ -1608,8 +1729,8 @@ export function replaceBatchV1beta1ApiVersionInYamlText(raw) {
 /**
  * Проходить усі `*.yaml` / `*.yml` під сегментом `k8s` і на диску застосовує **`replaceBatchV1beta1ApiVersionInYamlText`**.
  * @param {string} root корінь репозиторію
- * @param {(msg: string) => void} fail
- * @param {(msg: string) => void} pass
+ * @param {(msg: string) => void} fail колбек повідомлення про помилку
+ * @param {(msg: string) => void} pass колбек успішного повідомлення
  * @returns {Promise<void>}
  */
 async function rewriteBatchV1beta1ApiVersionInK8sYamlFiles(root, fail, pass) {
@@ -1893,7 +2014,7 @@ function failIfJson6902RemoveAddConflictOnSamePath(rel, label, patchText, fail)
  */
 async function auditJson6902PatchExternalFile(rel, resolved, root, patchRef, fail) {
   /** @type {import('node:fs').Stats | null} */
-  let st = null
+  let st
   try {
     st = await stat(resolved)
   } catch {
@@ -2010,8 +2131,8 @@ async function auditJson6902OneKustomizationYamlFile(root, rootNorm, kustAbs, fa
   }
   const lines = toLines(raw)
   const body = lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
-  /** @type {import('yaml').Document[] | null} */
-  let docs = null
+  /** @type {import('yaml').Document[]} */
+  let docs
   try {
     docs = parseAllDocuments(body)
   } catch {
@@ -4480,8 +4601,9 @@ export async function kustomizeResourceTreeHpaPdbDeploymentFlags(kustAbs, rootNo
   /** @type {Set<string>} */
   const visitedKustomization = new Set()
   const desc = await collectResourceDescriptorsForKustomizationWalk(kustAbs, rootNorm, visitedKustomization)
+  const hasDeployment = await kustomizationTreeHasDeploymentUnderK8sBase(kustAbs, rootNorm)
   return {
-    hasDeployment: desc.some(d => d.kind === 'Deployment'),
+    hasDeployment,
     hasHpa: desc.some(d => d.kind === 'HorizontalPodAutoscaler'),
     hasPdb: desc.some(d => d.kind === 'PodDisruptionBudget')
   }
@@ -4854,9 +4976,9 @@ async function extractDeploymentsFromFile(filePath) {
 }
 /**
- * Для кожного **Deployment** під `k8s/` перевіряє: у тому ж каталозі повинні бути
- * `hpa.yaml` (валідний `autoscaling/v2`) і `pdb.yaml` (валідний `policy/v1`), а сам Deployment
- * повинен мати канонічні **topologySpreadConstraints**. Env-залежні межі (`minReplicas`,
+ * Для кожного **Deployment** у шарі **`…/k8s/…/base/`** (будь-який YAML у відповідному каталозі) перевіряє:
+ * у тому ж каталозі повинні бути `hpa.yaml` (валідний `autoscaling/v2`) і `pdb.yaml` (валідний `policy/v1`),
+ * а сам Deployment — канонічні **topologySpreadConstraints**. Env-залежні межі (`minReplicas`,
  * `minAvailable`) — за сегментом після `/k8s/`: `base` / `dev` / `*-qa` = dev-like, решта — прод.
  * @param {string} root корінь репозиторію
  * @param {string[]} yamlFilesAbs yaml під k8s
@@ -4864,18 +4986,25 @@ async function extractDeploymentsFromFile(filePath) {
  * @param {(msg: string) => void} passFn callback при успіху
  */
 async function validateDeploymentHpaPdbAndTopology(root, yamlFilesAbs, fail, passFn) {
-  /** @type {Set<string>} */
-  const seenDirs = new Set()
+  const rootNorm = resolve(root)
+  /** @type {Map<string, Record<string, unknown>[]>} */
+  const deploymentsByDir = new Map()
   for (const abs of yamlFilesAbs) {
+    const rel = (relative(rootNorm, abs) || abs).replaceAll('\\', '/')
+    if (!isK8sYamlUnderBaseDirectory(rel)) continue
+    const deployments = await extractDeploymentsFromFile(abs)
+    if (deployments.length === 0) continue
     const dir = dirname(abs)
-    if (!seenDirs.has(dir)) {
-      const deployments = await extractDeploymentsFromFile(abs)
-      if (deployments.length > 0) {
-        seenDirs.add(dir)
-        await validateDeploymentsInDir(deployments, dir, root, fail, passFn)
-      }
+    const merged = deploymentsByDir.get(dir)
+    if (merged === undefined) {
+      deploymentsByDir.set(dir, [...deployments])
+    } else {
+      merged.push(...deployments)
     }
   }
+  for (const [dir, deployments] of deploymentsByDir) {
+    await validateDeploymentsInDir(deployments, dir, rootNorm, fail, passFn)
+  }
 }
 /**

package/scripts/check-nginx-default-tpl.mjs CHANGED Viewed

@@ -285,7 +285,7 @@ async function checkTemplateFile(abs, root, passFn, failFn) {
   }
   const dir = dirname(abs)
-  let iniNames = []
+  let iniNames
   try {
     const dirEntries = await readdir(dir)
     iniNames = dirEntries.filter(n => n.endsWith('.ini'))