npm - @nitra/cursor - Versions diffs - 1.8.152 → 1.8.154 - Mend

@nitra/cursor 1.8.152 → 1.8.154

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (7) hide show

package/bin/auto-rules.md +1 -1
package/mdc/js-bun-db.mdc +7 -5
package/mdc/k8s.mdc +21 -1
package/package.json +1 -1
package/scripts/auto-rules.mjs +3 -3
package/scripts/check-js-bun-db.mjs +4 -2
package/scripts/check-k8s.mjs +458 -1

package/bin/auto-rules.md CHANGED Viewed

@@ -22,7 +22,7 @@ js-pino - якщо присутній хоч один js файл, не в мо
 js-mssql - якщо в хоч одному package.json в секції dependencies присутній пакет mssql
-js-bun-db - якщо в хоч одному package.json в секції dependencies присутній пакет pg або mysql2 або є імпорт sql/SQL з Bun (приклад: import { sql } from "bun")
+js-bun-db - якщо в хоч одному package.json в секції dependencies присутній пакет pg, pg-format або mysql2 або є імпорт sql/SQL з Bun (приклад: import { sql } from "bun")
 k8s - якщо присутня хоч одна директорія k8s

package/mdc/js-bun-db.mdc CHANGED Viewed

@@ -1,7 +1,7 @@
 ---
 description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
 alwaysApply: true
-version: '1.2'
+version: '1.3'
 ---
 ## Підтримувані версії баз даних
@@ -10,12 +10,14 @@ PostgreSQL 18+, MariaDB 10.6+ (сумісний з MySQL-протоколом,
 ## Заміна на Bun native SQL
-Якщо в проєкті використовуються бібліотеки `pg` або `mysql2`, їх потрібно замінити на Bun native SQL: <https://bun.com/docs/runtime/sql>.
+Якщо в проєкті використовуються бібліотеки `pg`, `pg-format` або `mysql2`, їх потрібно замінити на Bun native SQL: <https://bun.com/docs/runtime/sql>.
-- Видалити з `dependencies`: `pg`, `pg-pool`, `pg-native`, `mysql`, `mysql2`.
+- Видалити з `dependencies`: `pg`, `pg-pool`, `pg-native`, `pg-format`, `mysql`, `mysql2`.
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { sql, SQL } from 'bun'` — Bun має вбудований клієнт із пулом, prepared statements та tagged templates.
+`pg-format` — це ручне форматування SQL через escape (`format('... %L ...', value)`); такі рядки легко поламати неправильним типом, locale-залежним escape або забутим `%L`. Tagged template Bun SQL параметризує значення нативно (`sql\`... ${value} ...\``) і не лишає простору для injection — окремий «форматер» не потрібен.
 ## Підключення (singleton + env)
 Дефолтний експорт `sql` з `'bun'` сам читає змінні середовища (`DATABASE_URL`, `POSTGRES_URL`, `MYSQL_URL`, `PGHOST`/`PGUSER`/... та `MYSQL_HOST`/`MYSQL_USER`/...) і керує пулом — окремий `Pool` як у `pg` створювати не треба.
@@ -142,9 +144,9 @@ function getUser(id) {
 `new SQL(...)` має створюватись **один раз** на рівні модуля. Bun сам тримає пул (`max`, `idleTimeout`, `maxLifetime`) — окремих `Pool`/`Client` як у `pg` не потрібно.
-### Не лишати `pg` / `mysql2` поряд із Bun SQL
+### Не лишати `pg` / `pg-format` / `mysql2` поряд із Bun SQL
-Якщо в коді з'явився `import { sql } from 'bun'`, то `pg` та `mysql2` мають бути прибрані і з `dependencies`, і з імпортів — щоб не лишалось двох паралельних шляхів до БД.
+Якщо в коді з'явився `import { sql } from 'bun'`, то `pg`, `pg-format` та `mysql2` мають бути прибрані і з `dependencies`, і з імпортів — щоб не лишалось двох паралельних шляхів до БД та ручного форматування поряд із параметризованими template literal.
 ## Перевірка

package/mdc/k8s.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.25'
+version: '1.26'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -266,6 +266,26 @@ data:
 - Після перенесення маніфестів у **`base`** та overlays і перевірки (**`check k8s`**, **`lint-k8s`**) **видали** застарілі файли та директорії, які замінені новою схемою (дубльовані копії, колишні шляхи без Kustomize), щоб у репозиторії не залишалося зайвих або суперечливих маніфестів.
+### Зміна image — через `images:`, не через `patches[]`
+Підміну image у Pod-шаблоні Deployment в overlay роби директивою `images:`, а не JSON6902-патчем `op: replace` на `/spec/template/spec/containers/<N>/image`. `images:` — канонічний механізм Kustomize (матчить за іменем образу, не за індексом контейнера, тож стійкий до перестановки).
+- У **`name`** — те, що **дослівно** стоїть у `image:` у base (або в попередньому шарі) **без тегу**: інакше підміна не спрацює. Тег у `name` зайвий — Kustomize матчить лише за іменем.
+- **`newName`** — кінцеве ім'я образу (як правило, збігається з `name`); `**newTag**` — тег для прода. Якщо `newTag` дорівнює тегу, який вже в base, його можна не вказувати.
+- **`digest`** (`@sha256:…`) у `name` / `newName` не чіпай — це не тег.
+```yaml title="k8s/prod/kustomization.yaml (фрагмент)"
+images:
+  - name: europe-west4-docker.pkg.dev/abie-ua/c/apply-on-invoice-discount
+    newName: europe-west4-docker.pkg.dev/abie-ua/c/apply-on-invoice-discount
+    newTag: v2025-04-29
+```
+**`check k8s` автоматично** для кожного `kustomization.yaml`:
+1. конвертує JSON6902-патч `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у запис `images:` (резолвить оригінальний image у base через `resources:` / `bases` / `components` / `crds`); якщо в `patches[]` залишається лише ця операція — патч прибирається повністю;
+2. чистить існуючий блок `images:` — зрізає `:tag` з `name` і видаляє `newTag`, який збігається з відрізаним тегом.
 ## Ingress → Gateway API (GKE)
 Якщо в дереві **`k8s`** трапляється маніфест з **`kind: Ingress`**, його потрібно **замінити на Gateway API**, а не залишати Ingress.

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.152",
+  "version": "1.8.154",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/auto-rules.mjs CHANGED Viewed

@@ -2,7 +2,7 @@
  * Автовизначення правил і skills для `.n-cursor.json` за умовами з `npm/bin/auto-rules.md`.
  *
  * Модуль аналізує дерево проєкту (наявність файлів/директорій, `gql\`...\`` у source,
- * залежності `mssql` / `pg` / `mysql2` у `package.json`, імпорт `sql`/`SQL` з `bun`, кореневий
+ * залежності `mssql` / `pg` / `pg-format` / `mysql2` у `package.json`, імпорт `sql`/`SQL` з `bun`, кореневий
  * `package.json`) та повертає ідентифікатори правил і skills, які потрібно автододати.
  *
  * Також враховує винятки `disable-rules` і `disable-skills`: елементи з цих списків не
@@ -435,9 +435,9 @@ export async function detectAutoRulesAndSkills({
   )
   const isAbie = typeof repositoryUrl === 'string' && repositoryUrl.toLowerCase().includes(ABIE_REPOSITORY_URL_MARKER)
   const isMonorepo = isMonorepoPackage(packageJsonParsed)
-  const depHits = await collectDependencyKeysPresentInPackageJsonTree(root, ['mssql', 'pg', 'mysql2'])
+  const depHits = await collectDependencyKeysPresentInPackageJsonTree(root, ['mssql', 'pg', 'pg-format', 'mysql2'])
   const hasMssqlDependency = depHits.has('mssql')
-  const hasJsBunDbSignal = depHits.has('pg') || depHits.has('mysql2') || facts.hasBunSqlImport
+  const hasJsBunDbSignal = depHits.has('pg') || depHits.has('pg-format') || depHits.has('mysql2') || facts.hasBunSqlImport
   /** @type {string[]} */
   const detectedRules = []

package/scripts/check-js-bun-db.mjs CHANGED Viewed

@@ -2,8 +2,10 @@
  * Перевіряє правило js-bun-db.mdc.
  *
  * 1) У жодному `package.json` (включно з workspace-пакетами) у `dependencies` не повинно
- *    бути `pg` чи `mysql2` — ці бібліотеки треба замінити на Bun native SQL
+ *    бути `pg`, `pg-format` чи `mysql2` — ці бібліотеки треба замінити на Bun native SQL
  *    (`import { sql, SQL } from 'bun'`, https://bun.com/docs/runtime/sql).
+ *    `pg-format` — ручне форматування SQL через escape; tagged template Bun SQL
+ *    параметризує значення нативно і не лишає простору для injection.
  *
  * 2) Якщо в коді використовується Bun SQL (імпорт `sql`/`SQL` з `'bun'`), додатково
  *    перевіряє небезпечні патерни:
@@ -28,7 +30,7 @@ import {
 import { walkDir } from './utils/walkDir.mjs'
 /** Імена забороненої залежності у будь-якому `package.json`. */
-const FORBIDDEN_DEPENDENCIES = Object.freeze(['pg', 'mysql2'])
+const FORBIDDEN_DEPENDENCIES = Object.freeze(['pg', 'pg-format', 'mysql2'])
 /**
  * @param {unknown} v parsed JSON

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -89,6 +89,13 @@
  * `replacements[].path` має вказувати на наявний у репозиторії файл (`.yaml` / `.yml`) або каталог; інакше
  * помилка `check k8s` (k8s.mdc).
  *
+ * **Images у Kustomize — `images:`, не patch:** для кожного `kustomization.yaml` автоматично:
+ * (а) конвертує JSON6902 `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у
+ * запис **`images:`** — `name` береться з оригінального `image:` у base (без тегу), `newName` — з patch.value (без тегу),
+ * `newTag` — лише якщо тег у patch.value відрізняється від тега в base; якщо `patches[]` після цього порожній — ключ
+ * прибирається; (б) чистить існуючий блок **`images:`** — зрізає `:tag` з `name` (digest `@…` не чіпає) і видаляє
+ * `newTag`, який збігається з відрізаним тегом.
+ *
  * **HPA / PDB тільки з Deployment у шарі base:** у дереві Kustomize з `…/k8s/…/base/kustomization.yaml` не
  * дозволяти `HorizontalPodAutoscaler` / `PodDisruptionBudget` у `resources` / `bases` / `components` / `crds`
  * (рекурсивно), якщо в цьому ж дереві немає документа **`Deployment`** у жодному YAML під **`…/k8s/…/base/`**. У
@@ -99,7 +106,7 @@ import { existsSync } from 'node:fs'
 import { readFile, readdir, stat, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative, resolve } from 'node:path'
-import { parseAllDocuments } from 'yaml'
+import { isSeq, parseAllDocuments, parseDocument } from 'yaml'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { walkDir } from './utils/walkDir.mjs'
@@ -5040,6 +5047,454 @@ async function validateDeploymentHpaPdbAndTopology(root, yamlFilesAbs, fail, pas
   }
 }
+/**
+ * Розбирає рядок image на ім'я і тег, з виявленням digest.
+ *
+ * - `foo@sha256:…` — `hasDigest: true`, тег не виділяється;
+ * - `localhost:5000/foo` (порт без тегу) — теж без виділення;
+ * - `localhost:5000/foo:tag` — `name: 'localhost:5000/foo'`, `tag: 'tag'`.
+ *
+ * Тег визначається лише по **останній** двокрапці; якщо після неї є `/` — це порт реєстру, не тег.
+ * @param {string} image рядок image
+ * @returns {{ name: string, tag: string | null, hasDigest: boolean }}
+ */
+export function splitImageNameTagDigest(image) {
+  if (image.includes('@')) {
+    return { name: image, tag: null, hasDigest: true }
+  }
+  const lastColon = image.lastIndexOf(':')
+  if (lastColon === -1) {
+    return { name: image, tag: null, hasDigest: false }
+  }
+  const after = image.slice(lastColon + 1)
+  if (after === '' || after.includes('/')) {
+    return { name: image, tag: null, hasDigest: false }
+  }
+  return { name: image.slice(0, lastColon), tag: after, hasDigest: false }
+}
+/**
+ * Розпаковує YAML-скаляр з оточуючими лапками (single або double). Інші стилі (block scalar) — повертає як є.
+ * @param {string} raw сирий рядок-значення без trailing whitespace/comment
+ * @returns {{ unquoted: string, quote: '' | "'" | '"' }}
+ */
+function parseQuotedYamlScalar(raw) {
+  if (raw.length >= 2) {
+    const first = raw.charAt(0)
+    const last = raw.charAt(raw.length - 1)
+    if (first === '"' && last === '"') {
+      return { unquoted: raw.slice(1, -1), quote: '"' }
+    }
+    if (first === "'" && last === "'") {
+      return { unquoted: raw.slice(1, -1).replaceAll("''", "'"), quote: "'" }
+    }
+  }
+  return { unquoted: raw, quote: '' }
+}
+/**
+ * Загортає скаляр у лапки, повертаючи оригінальний стиль.
+ * @param {string} value значення без оточуючих лапок
+ * @param {'' | "'" | '"'} quote стиль лапок
+ * @returns {string} рядок-скаляр для запису назад у YAML
+ */
+function requoteYamlScalar(value, quote) {
+  if (quote === '"') return `"${value}"`
+  if (quote === "'") return `'${value.replaceAll("'", "''")}'`
+  return value
+}
+/** Regex: рядок верхнього рівня з ключем `images:` (без значення в тому ж рядку). */
+const KUSTOMIZATION_IMAGES_KEY_RE = /^images:\s*(?:#.*)?$/u
+/** Regex: початок елемента масиву (`-` з відступом). Групує сам відступ перед `-`. */
+const KUSTOMIZATION_LIST_ITEM_RE = /^(\s*)-\s/u
+/** Regex: значення поля (name / newName / newTag) у рядку, з опційним `- ` префіксом. */
+const KUSTOMIZATION_IMAGE_FIELD_RE = /^(\s*(?:-\s+)?)(name|newName|newTag):(\s+)(\S.*?)(\s*(?:#.*)?)$/u
+/**
+ * Автофікс блоку `images:` у kustomization.yaml: зрізає `:tag` з `name` (digest `@…` не чіпає)
+ * і видаляє `newTag`, який збігається зі зрізаним тегом. Працює рядково, зберігаючи коментарі
+ * й форматування.
+ * @param {string} raw вміст файлу
+ * @returns {{ changed: boolean, content: string }}
+ */
+export function cleanupKustomizationImagesInYamlText(raw) {
+  const eol = raw.includes('\r\n') ? '\r\n' : '\n'
+  const lines = raw.split(YAML_LINE_SPLIT_RE)
+  let imagesStart = -1
+  for (let i = 0; i < lines.length; i++) {
+    if (KUSTOMIZATION_IMAGES_KEY_RE.test(lines[i])) {
+      imagesStart = i + 1
+      break
+    }
+  }
+  if (imagesStart === -1) return { changed: false, content: raw }
+  let imagesEnd = lines.length
+  for (let i = imagesStart; i < lines.length; i++) {
+    const l = lines[i]
+    if (l === '' || /^\s/u.test(l) || /^#/u.test(l)) continue
+    imagesEnd = i
+    break
+  }
+  /** @type {Array<{ start: number, end: number }>} */
+  const entries = []
+  let curStart = -1
+  for (let i = imagesStart; i < imagesEnd; i++) {
+    if (KUSTOMIZATION_LIST_ITEM_RE.test(lines[i])) {
+      if (curStart >= 0) entries.push({ start: curStart, end: i })
+      curStart = i
+    }
+  }
+  if (curStart >= 0) entries.push({ start: curStart, end: imagesEnd })
+  /** @type {Map<number, string>} */
+  const replacements = new Map()
+  /** @type {Set<number>} */
+  const removals = new Set()
+  let changed = false
+  for (const { start, end } of entries) {
+    /** @type {string | null} */
+    let strippedTag = null
+    let nameProcessed = false
+    /** @type {{ lineIdx: number, value: string } | null} */
+    let newTagInfo = null
+    let newTagProcessed = false
+    for (let i = start; i < end; i++) {
+      const m = lines[i].match(KUSTOMIZATION_IMAGE_FIELD_RE)
+      if (m === null) continue
+      const [, prefix, key, sep, valueRaw, trailing] = m
+      if (key === 'name' && !nameProcessed) {
+        nameProcessed = true
+        const { unquoted, quote } = parseQuotedYamlScalar(valueRaw)
+        const split = splitImageNameTagDigest(unquoted)
+        if (split.tag !== null) {
+          const newLine = `${prefix}name:${sep}${requoteYamlScalar(split.name, quote)}${trailing}`
+          if (newLine !== lines[i]) {
+            replacements.set(i, newLine)
+            changed = true
+          }
+          strippedTag = split.tag
+        }
+      } else if (key === 'newTag' && !newTagProcessed) {
+        newTagProcessed = true
+        const { unquoted } = parseQuotedYamlScalar(valueRaw)
+        newTagInfo = { lineIdx: i, value: unquoted }
+      }
+    }
+    if (newTagInfo !== null && strippedTag !== null && newTagInfo.value === strippedTag) {
+      removals.add(newTagInfo.lineIdx)
+      changed = true
+    }
+  }
+  if (!changed) return { changed: false, content: raw }
+  /** @type {string[]} */
+  const out = []
+  for (let i = 0; i < lines.length; i++) {
+    if (removals.has(i)) continue
+    out.push(replacements.has(i) ? replacements.get(i) : lines[i])
+  }
+  return { changed: true, content: out.join(eol) }
+}
+/** Regex: JSON6902 path для image окремого контейнера у Pod-шаблоні Deployment. */
+const KUSTOMIZATION_DEPLOYMENT_CONTAINER_IMAGE_PATH_RE = /^\/spec\/template\/spec\/containers\/(\d+)\/image$/u
+/**
+ * Якщо `patchObj` — JSON6902 з єдиною операцією `replace` на шляху image-контейнера у `Deployment`,
+ * повертає `{ deployName, containerIndex, newImage }`. Інакше null.
+ * @param {unknown} patchObj елемент масиву `patches[]`
+ * @returns {{ deployName: string, containerIndex: number, newImage: string } | null}
+ */
+export function imageReplaceDeploymentPatchInfo(patchObj) {
+  if (patchObj === null || typeof patchObj !== 'object' || Array.isArray(patchObj)) return null
+  const pr = /** @type {Record<string, unknown>} */ (patchObj)
+  const target = pr.target
+  if (target === null || typeof target !== 'object' || Array.isArray(target)) return null
+  const t = /** @type {Record<string, unknown>} */ (target)
+  if (t.kind !== 'Deployment') return null
+  if (typeof t.name !== 'string' || t.name.trim() === '') return null
+  if (typeof pr.patch !== 'string') return null
+  let parsedArr
+  try {
+    for (const d of parseAllDocuments(pr.patch.trim())) {
+      if (d.errors.length === 0) {
+        const j = d.toJSON()
+        if (Array.isArray(j)) {
+          parsedArr = j
+          break
+        }
+      }
+    }
+  } catch {
+    return null
+  }
+  if (!Array.isArray(parsedArr) || parsedArr.length !== 1) return null
+  const op = parsedArr[0]
+  if (op === null || typeof op !== 'object' || Array.isArray(op)) return null
+  const oo = /** @type {Record<string, unknown>} */ (op)
+  if (typeof oo.op !== 'string' || oo.op.toLowerCase() !== 'replace') return null
+  if (typeof oo.path !== 'string') return null
+  const m = oo.path.match(KUSTOMIZATION_DEPLOYMENT_CONTAINER_IMAGE_PATH_RE)
+  if (m === null) return null
+  if (typeof oo.value !== 'string' || oo.value.trim() === '') return null
+  return {
+    deployName: t.name.trim(),
+    containerIndex: Number(m[1]),
+    newImage: oo.value.trim()
+  }
+}
+/**
+ * Шукає `Deployment.spec.template.spec.containers[N].image` у YAML-файлі.
+ * @param {string} absPath абсолютний шлях до YAML-файлу
+ * @param {string} deployName ім'я Deployment
+ * @param {number} containerIndex індекс контейнера
+ * @returns {Promise<string | null>} рядок image або null
+ */
+async function findDeploymentContainerImageInFile(absPath, deployName, containerIndex) {
+  const raw = await tryReadFileUtf8(absPath)
+  if (raw === undefined) return null
+  const docs = tryParseAllYamlDocs(raw)
+  if (docs === undefined) return null
+  for (const d of docs) {
+    if (d.errors.length !== 0) continue
+    const o = d.toJSON()
+    if (o === null || typeof o !== 'object' || Array.isArray(o)) continue
+    const oo = /** @type {Record<string, unknown>} */ (o)
+    if (oo.kind !== 'Deployment') continue
+    const meta = oo.metadata
+    if (meta === null || typeof meta !== 'object' || Array.isArray(meta)) continue
+    if (/** @type {Record<string, unknown>} */ (meta).name !== deployName) continue
+    const spec = oo.spec
+    if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) continue
+    const tmpl = /** @type {Record<string, unknown>} */ (spec).template
+    if (tmpl === null || typeof tmpl !== 'object' || Array.isArray(tmpl)) continue
+    const podSpec = /** @type {Record<string, unknown>} */ (tmpl).spec
+    if (podSpec === null || typeof podSpec !== 'object' || Array.isArray(podSpec)) continue
+    const containers = /** @type {Record<string, unknown>} */ (podSpec).containers
+    if (!Array.isArray(containers) || containerIndex < 0 || containerIndex >= containers.length) continue
+    const c = containers[containerIndex]
+    if (c === null || typeof c !== 'object' || Array.isArray(c)) continue
+    const img = /** @type {Record<string, unknown>} */ (c).image
+    if (typeof img === 'string' && img.trim() !== '') return img.trim()
+  }
+  return null
+}
+/**
+ * Рекурсивно проходить дерево kustomization (resources / bases / components / crds), шукаючи
+ * `Deployment` із заданим іменем; повертає image потрібного контейнера або null, якщо не знайдено.
+ * @param {string} kustAbs абсолютний шлях до kustomization.yaml (поточний шар)
+ * @param {string} rootNorm нормалізований корінь репо
+ * @param {string} deployName ім'я Deployment
+ * @param {number} containerIndex індекс контейнера
+ * @param {Set<string>} visited нормалізовані відвідані kustomization.yaml
+ * @returns {Promise<string | null>} image або null
+ */
+async function walkKustomizationForDeploymentImage(kustAbs, rootNorm, deployName, containerIndex, visited) {
+  const norm = resolve(kustAbs)
+  if (visited.has(norm)) return null
+  visited.add(norm)
+  const obj = await readFirstYamlObject(norm)
+  if (obj === null) return null
+  const kustDir = dirname(norm)
+  const refs = pathsFromKustomizationObject(obj)
+  for (const ref of refs) {
+    if (typeof ref !== 'string' || ref.includes('://') || ref.trim() === '') continue
+    const resolved = resolve(kustDir, ref.trim())
+    if (!resolvedFilePathIsUnderRoot(rootNorm, resolved)) continue
+    let st
+    try {
+      st = await stat(resolved)
+    } catch {
+      continue
+    }
+    if (st.isFile() && YAML_EXTENSION_RE.test(resolved)) {
+      const img = await findDeploymentContainerImageInFile(resolved, deployName, containerIndex)
+      if (img !== null) return img
+    } else if (st.isDirectory()) {
+      const childK = join(resolved, 'kustomization.yaml')
+      if (existsSync(childK)) {
+        const img = await walkKustomizationForDeploymentImage(childK, rootNorm, deployName, containerIndex, visited)
+        if (img !== null) return img
+      }
+    }
+  }
+  return null
+}
+/**
+ * Конвертує JSON6902 image-replace patches у `images:` для одного kustomization.yaml.
+ *
+ * Алгоритм:
+ *
+ * 1. Читає файл, парсить як **Document** (yaml lib), щоб максимально зберегти форматування.
+ * 2. Для кожного `patches[i]` з `target.kind: Deployment` і єдиною операцією
+ *    `op: replace` на `path: /spec/template/spec/containers/N/image` шукає оригінальний image
+ *    через `walkKustomizationForDeploymentImage` (resources → recursively).
+ * 3. Будує `images:` запис: `name = base_image_без_тегу/digest`, `newName = patch_value_без_тегу`,
+ *    `newTag = patch_value_тег`, **якщо** він відрізняється від тега base.
+ * 4. Видаляє відповідні patches; якщо `patches:` стає порожнім — видаляє ключ.
+ * 5. Записує файл назад через `Document.toString()`.
+ * @param {string} kustAbs абсолютний шлях до kustomization.yaml
+ * @param {string} rootNorm нормалізований корінь репо
+ * @returns {Promise<{ changed: boolean, content?: string, errors: string[] }>}
+ */
+export async function convertImagePatchesToImagesInKustomization(kustAbs, rootNorm) {
+  const raw = await tryReadFileUtf8(kustAbs)
+  if (raw === undefined) return { changed: false, errors: [] }
+  let doc
+  try {
+    doc = parseDocument(raw)
+  } catch {
+    return { changed: false, errors: [] }
+  }
+  if (doc.errors.length > 0) return { changed: false, errors: [] }
+  const obj = doc.toJSON()
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return { changed: false, errors: [] }
+  }
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  if (rec.kind !== 'Kustomization') return { changed: false, errors: [] }
+  if (typeof rec.apiVersion !== 'string' || !rec.apiVersion.startsWith(KUSTOMIZE_CONFIG_API_PREFIX)) {
+    return { changed: false, errors: [] }
+  }
+  if (!Array.isArray(rec.patches)) return { changed: false, errors: [] }
+  /** @type {Array<{ index: number, info: { deployName: string, containerIndex: number, newImage: string } }>} */
+  const candidates = []
+  for (const [i, p] of rec.patches.entries()) {
+    const info = imageReplaceDeploymentPatchInfo(p)
+    if (info !== null) candidates.push({ index: i, info })
+  }
+  if (candidates.length === 0) return { changed: false, errors: [] }
+  /** @type {Array<{ index: number, name: string, newName: string, newTag: string | null }>} */
+  const conversions = []
+  /** @type {string[]} */
+  const errors = []
+  for (const { index, info } of candidates) {
+    /** @type {Set<string>} */
+    const visited = new Set()
+    const baseImage = await walkKustomizationForDeploymentImage(
+      kustAbs,
+      rootNorm,
+      info.deployName,
+      info.containerIndex,
+      visited
+    )
+    if (baseImage === null) {
+      errors.push(
+        `patches[${index}]: не знайдено Deployment ${info.deployName}.containers[${info.containerIndex}].image у дереві resources — конвертацію патча в images: пропущено (k8s.mdc)`
+      )
+      continue
+    }
+    const baseSplit = splitImageNameTagDigest(baseImage)
+    if (baseSplit.hasDigest) {
+      errors.push(
+        `patches[${index}]: base image для ${info.deployName} містить digest (${baseImage}) — автоконвертацію патча пропущено (k8s.mdc)`
+      )
+      continue
+    }
+    const newSplit = splitImageNameTagDigest(info.newImage)
+    if (newSplit.hasDigest) {
+      errors.push(
+        `patches[${index}]: значення патча для ${info.deployName} містить digest (${info.newImage}) — автоконвертацію пропущено (k8s.mdc)`
+      )
+      continue
+    }
+    const finalNewTag = newSplit.tag !== null && newSplit.tag !== baseSplit.tag ? newSplit.tag : null
+    conversions.push({
+      index,
+      name: baseSplit.name,
+      newName: newSplit.name,
+      newTag: finalNewTag
+    })
+  }
+  if (conversions.length === 0) return { changed: false, errors }
+  const patchesNode = doc.get('patches', true)
+  if (!isSeq(patchesNode)) return { changed: false, errors }
+  const removeIdx = new Set(conversions.map(c => c.index))
+  for (let i = patchesNode.items.length - 1; i >= 0; i--) {
+    if (removeIdx.has(i)) patchesNode.delete(i)
+  }
+  if (patchesNode.items.length === 0) {
+    doc.delete('patches')
+  }
+  let imagesNode = doc.get('images', true)
+  if (!isSeq(imagesNode)) {
+    imagesNode = doc.createNode([])
+    doc.set('images', imagesNode)
+  }
+  for (const { name, newName, newTag } of conversions) {
+    const entry = newTag === null ? { name, newName } : { name, newName, newTag }
+    imagesNode.add(doc.createNode(entry))
+  }
+  const content = doc.toString()
+  if (content === raw) return { changed: false, errors }
+  return { changed: true, content, errors }
+}
+/**
+ * Прохід для всіх `kustomization.yaml`: конвертує image-replace patches у `images:`,
+ * потім чистить `images:` (зрізає теги в `name`, видаляє надлишкові `newTag`).
+ * @param {string} root корінь репо
+ * @param {string[]} yamlFilesAbs всі yaml під k8s
+ * @param {(msg: string) => void} fail колбек повідомлення про помилку
+ * @param {(msg: string) => void} pass колбек успішного повідомлення
+ * @returns {Promise<void>}
+ */
+async function autofixKustomizationImagesYaml(root, yamlFilesAbs, fail, pass) {
+  const rootNorm = resolve(root)
+  const kusts = yamlFilesAbs.filter(p => basename(p).toLowerCase() === 'kustomization.yaml')
+  for (const kustAbs of kusts) {
+    const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+    try {
+      const r = await convertImagePatchesToImagesInKustomization(kustAbs, rootNorm)
+      for (const err of r.errors) fail(`${rel}: ${err}`)
+      if (r.changed && r.content !== undefined) {
+        await writeFile(kustAbs, r.content, 'utf8')
+        pass(`${rel}: image-replace patch(es) конвертовано в images: (k8s.mdc)`)
+      }
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося конвертувати image-replace patches → images: (${msg})`)
+    }
+    try {
+      const raw = await readFile(kustAbs, 'utf8')
+      const r = cleanupKustomizationImagesInYamlText(raw)
+      if (r.changed) {
+        await writeFile(kustAbs, r.content, 'utf8')
+        pass(`${rel}: images: cleanup — зрізано :tag з name й видалено надлишкове newTag (k8s.mdc)`)
+      }
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося очистити images: (${msg})`)
+    }
+  }
+}
 /**
  * Перевіряє відповідність проєкту правилам k8s.mdc.
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
@@ -5063,6 +5518,8 @@ export async function check() {
   pass(`YAML у k8s: ${yamlFiles.length} файл(ів)`)
+  await autofixKustomizationImagesYaml(root, yamlFiles, fail, pass)
   assertNoForbiddenK8sDevPaths(yamlFiles, root, fail)
   const kustomizeManagedRel = await collectKustomizeManagedRelPaths(root, yamlFiles)