@nitra/cursor 1.8.155 → 1.8.157

package/scripts/check-hasura.mjs

@@ -0,0 +1,219 @@
+/**
+ * Перевіряє правило hasura.mdc для проєктів **nitra** і **abie**: значення
+ * `HASURA_GRAPHQL_ENDPOINT` у `*.env` має бути **внутрішнім** кластерним URL,
+ * а не публічним доменом.
+ *
+ * Запускається лише якщо в кореневому `package.json` поле `repository`
+ * вказує на `https://github.com/nitra/...` або `https://github.com/abinbevefes/...`
+ * (інші репозиторії пропускаються без помилок — як у check-abie).
+ *
+ * Очікуваний формат URL:
+ *   `http://<service>.<namespace>.svc.<cluster>.internal:<port>`
+ *
+ * приклад: `http://contract-h.ua-contract.svc.abie-ua.internal:8080`
+ *
+ * Сегменти беруться з `hasura/k8s/base/svc-hl.yaml` (`metadata.name` —
+ * має закінчуватись на `-h`, headless-сервіс) і `hasura/k8s/base/namespace.yaml`
+ * (`metadata.name` — namespace). Якщо ці YAML є в репозиторії, у URL додатково
+ * звіряються конкретні `<service>` і `<namespace>` з ними.
+ *
+ * Скануються всі файли `*.env` (наприклад `dev.env`, `production.env`); файл
+ * `.env` без префікса також враховується. Пропускаються `node_modules`,
+ * `.git`, `dist`, `coverage`, `.turbo`, `.next` (як у `walkDir`).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { basename, join, relative } from 'node:path'
+
+import { parseAllDocuments } from 'yaml'
+
+import { getRepositoryUrl } from './auto-rules.mjs'
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+const NITRA_REPOSITORY_URL_MARKER = 'https://github.com/nitra/'
+const ABIE_REPOSITORY_URL_MARKER = 'https://github.com/abinbevefes/'
+
+const HASURA_BASE_DIR = 'hasura/k8s/base'
+const HASURA_SVC_HL_FILE = `${HASURA_BASE_DIR}/svc-hl.yaml`
+const HASURA_NAMESPACE_FILE = `${HASURA_BASE_DIR}/namespace.yaml`
+
+const ENV_FILE_RE = /\.env$/u
+const HASURA_ENDPOINT_LINE_RE = /^[ \t]*(?:export[ \t]+)?HASURA_GRAPHQL_ENDPOINT[ \t]*=[ \t]*['"]?([^'"\r\n#]+)/mu
+
+/**
+ * Розбір значення `HASURA_GRAPHQL_ENDPOINT` як внутрішнього кластерного URL.
+ * Дозволяє лише `http://` (TLS усередині кластера зайвий), вимагає сегментів
+ * `<service>.<namespace>.svc.<cluster>.internal` та явного порту.
+ * @param {string} url значення з `.env` (без огорнутих лапок)
+ * @returns {{ ok: true, service: string, namespace: string, cluster: string, port: string } | { ok: false }}
+ *   деталі URL або фейл, якщо формат не відповідає внутрішньому кластерному URL
+ */
+export function parseInternalHasuraEndpoint(url) {
+  const trimmed = url.trim()
+  const m = trimmed.match(/^http:\/\/([^./]+)\.([^./]+)\.svc\.([^./]+)\.internal:(\d+)\/?$/u)
+  if (!m) {
+    return { ok: false }
+  }
+  return { ok: true, service: m[1], namespace: m[2], cluster: m[3], port: m[4] }
+}
+
+/**
+ * Зчитує `metadata.name` з першого документа YAML, який має заданий `kind`.
+ * @param {string} absPath абсолютний шлях до YAML
+ * @param {string} kind очікуваний `kind` (наприклад `Service`, `Namespace`)
+ * @returns {Promise<string | null>} ім'я ресурсу або null, якщо файл/документ відсутній
+ */
+async function readYamlMetadataName(absPath, kind) {
+  if (!existsSync(absPath)) {
+    return null
+  }
+  let docs
+  try {
+    docs = parseAllDocuments(await readFile(absPath, 'utf8'))
+  } catch {
+    return null
+  }
+  for (const doc of docs) {
+    const obj = doc.toJS()
+    if (obj && typeof obj === 'object' && obj.kind === kind && obj.metadata?.name) {
+      return String(obj.metadata.name)
+    }
+  }
+  return null
+}
+
+/**
+ * Чи відносний шлях вказує на `*.env` (включно з `.env`).
+ * @param {string} relPath posix-шлях відносно кореня
+ * @returns {boolean} true для файлів виду `.env`, `dev.env`, `nitra.env`
+ */
+export function isEnvFile(relPath) {
+  return ENV_FILE_RE.test(relPath)
+}
+
+/**
+ * Збирає всі `*.env` файли в дереві, окрім службових каталогів.
+ * @param {string} root абсолютний шлях кореня
+ * @returns {Promise<string[]>} відсортовані posix-шляхи відносно кореня
+ */
+async function collectEnvFiles(root) {
+  /** @type {string[]} */
+  const out = []
+  await walkDir(root, absPath => {
+    const rel = relative(root, absPath).split('\\').join('/')
+    if (isEnvFile(rel)) {
+      out.push(rel)
+    }
+  })
+  return out.toSorted((a, b) => a.localeCompare(b))
+}
+
+/**
+ * Перевіряє один `.env` файл на коректність `HASURA_GRAPHQL_ENDPOINT`.
+ * Якщо в файлі немає змінної — вважаємо OK.
+ * @param {string} relPath відносний шлях файла
+ * @param {{ service: string | null, namespace: string | null }} expected очікувані сегменти з YAML
+ * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер
+ * @returns {Promise<void>}
+ */
+async function checkEnvFile(relPath, expected, reporter) {
+  const { pass, fail } = reporter
+  const content = await readFile(relPath, 'utf8')
+  const m = content.match(HASURA_ENDPOINT_LINE_RE)
+  if (!m) {
+    return
+  }
+  const value = m[1].trim()
+  const parsed = parseInternalHasuraEndpoint(value)
+  if (!parsed.ok) {
+    fail(
+      `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ` +
+        `https://<service>.<namespace>.svc.<cluster>.internal:<port> (hasura.mdc)`
+    )
+    return
+  }
+  if (expected.service && parsed.service !== expected.service) {
+    fail(
+      `${relPath}: HASURA_GRAPHQL_ENDPOINT — сервіс "${parsed.service}" не збігається з ` +
+        `metadata.name "${expected.service}" із ${HASURA_SVC_HL_FILE} (hasura.mdc)`
+    )
+    return
+  }
+  if (expected.namespace && parsed.namespace !== expected.namespace) {
+    fail(
+      `${relPath}: HASURA_GRAPHQL_ENDPOINT — namespace "${parsed.namespace}" не збігається з ` +
+        `metadata.name "${expected.namespace}" із ${HASURA_NAMESPACE_FILE} (hasura.mdc)`
+    )
+    return
+  }
+  pass(`${relPath}: HASURA_GRAPHQL_ENDPOINT — внутрішній кластерний URL`)
+}
+
+/**
+ * Зчитує URL репозиторію з кореневого `package.json` (або null, якщо файла немає / не валідний).
+ * @returns {Promise<string | null>} URL з поля `repository`
+ */
+async function readRootRepositoryUrl() {
+  if (!existsSync('package.json')) {
+    return null
+  }
+  try {
+    const pkg = JSON.parse(await readFile('package.json', 'utf8'))
+    return getRepositoryUrl(pkg?.repository)
+  } catch {
+    return null
+  }
+}
+
+/**
+ * Чи URL репозиторію вказує на nitra або abie (за маркерами hasura.mdc).
+ * @param {string | null} url значення з `package.json` `repository`
+ * @returns {boolean} true для nitra/abie проєктів
+ */
+export function isNitraOrAbieRepository(url) {
+  if (typeof url !== 'string') {
+    return false
+  }
+  const lc = url.toLowerCase()
+  return lc.includes(NITRA_REPOSITORY_URL_MARKER) || lc.includes(ABIE_REPOSITORY_URL_MARKER)
+}
+
+/**
+ * Перевіряє hasura.mdc для поточного робочого каталогу.
+ * @returns {Promise<number>} 0 — OK / правило не застосовується, 1 — порушення
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass } = reporter
+
+  const repositoryUrl = await readRootRepositoryUrl()
+  if (!isNitraOrAbieRepository(repositoryUrl)) {
+    pass('Пропущено: репозиторій не nitra і не abie (hasura.mdc застосовується лише до них)')
+    return reporter.getExitCode()
+  }
+
+  const root = process.cwd()
+  const expected = {
+    service: await readYamlMetadataName(join(root, HASURA_SVC_HL_FILE), 'Service'),
+    namespace: await readYamlMetadataName(join(root, HASURA_NAMESPACE_FILE), 'Namespace')
+  }
+
+  const envFiles = await collectEnvFiles(root)
+  if (envFiles.length === 0) {
+    pass('Не знайдено жодного *.env файла — нічого перевіряти')
+    return reporter.getExitCode()
+  }
+
+  for (const rel of envFiles) {
+    await checkEnvFile(rel, expected, reporter)
+  }
+
+  // Якщо у файлах не було жодної згадки HASURA_GRAPHQL_ENDPOINT — повідом про це.
+  const exit = reporter.getExitCode()
+  if (exit === 0) {
+    const names = envFiles.map(p => basename(p)).join(', ')
+    pass(`Перевірено ${envFiles.length} *.env файл(ів): ${names}`)
+  }
+  return exit
+}

package/scripts/check-js-bun-db.mjs

@@ -124,11 +124,8 @@ async function checkForbiddenDependencies(pkgJsonPaths, repoRoot, reporter) {
  */
 async function scanSourcesForBunSqlPatterns(sourcePaths, repoRoot, reporter) {
   const { fail } = reporter
+  const counts = { perRequest: 0, unsafeCall: 0, dynamicList: 0, inListGuard: 0 }
   let hasBunSqlImport = false
-  let perRequest = 0
-  let unsafeCall = 0
-  let dynamicList = 0
-  let inListGuard = 0
 
   for (const absPath of sourcePaths) {
     const rel = relative(repoRoot, absPath).split('\\').join('/')
@@ -136,50 +133,72 @@ async function scanSourcesForBunSqlPatterns(sourcePaths, repoRoot, reporter) {
     if (!hasBunSqlImport && textHasBunSqlImport(content)) {
       hasBunSqlImport = true
     }
+    scanFileForBunSqlPatterns(content, rel, fail, counts)
+  }
 
-    for (const v of findBunSqlPerRequestConnectionInText(content, rel)) {
-      perRequest++
-      fail(
-        `js-bun-db: ${rel}:${v.line} — не створюй new SQL(...) всередині функцій; ` +
-          `тримай singleton на рівні модуля (js-bun-db.mdc): ${v.snippet}`
-      )
-    }
-    for (const v of findUnsafeBunSqlUnsafeCallInText(content, rel)) {
-      unsafeCall++
-      fail(
-        `js-bun-db: ${rel}:${v.line} — sql.unsafe(\`...\${...}...\`) недопустимо: ` +
-          `використовуй tagged template sql\`...\${value}...\` або sql.unsafe('static', [params]) (js-bun-db.mdc): ${v.snippet}`
-      )
-    }
-    for (const v of findUnsafeBunSqlDynamicSqlListInText(content, rel)) {
-      dynamicList++
-      fail(
-        `js-bun-db: ${rel}:${v.line} — заборонено підставляти у SQL динамічні списки через .join(',') ` +
-          `у IN (...) / VALUES (...); використовуй sql([...]) (js-bun-db.mdc): ${v.snippet}`
-      )
-    }
-    for (const v of findUnsafeBunSqlInListMissingEmptyGuardInText(content, rel)) {
-      inListGuard++
-      if (v.reason === 'missing_guard') {
-        fail(
-          `js-bun-db: ${rel}:${v.line} — перед IN-списком ${JSON.stringify(v.name)} потрібна перевірка на пустоту ` +
-            `з throw (наприклад if (!${v.name}.length) throw ...), інакше можливі некоректні запити (js-bun-db.mdc): ${v.snippet}`
-        )
-      } else if (v.reason === 'sql_helper_not_var') {
-        fail(
-          `js-bun-db: ${rel}:${v.line} — IN-список у \${sql(...)} має підставлятись зі змінної (Identifier) ` +
-            `після валідації на пустоту + throw (js-bun-db.mdc): ${v.snippet}`
-        )
-      } else {
-        fail(
-          `js-bun-db: ${rel}:${v.line} — значення для IN (...) у template literal треба винести в окрему змінну ` +
-            `і перевірити на пустоту (throw), не підставляти вираз напряму (js-bun-db.mdc): ${v.snippet}`
-        )
-      }
-    }
+  return { hasBunSqlImport, ...counts }
+}
+
+/**
+ * Сканує один файл усіма AST-сканерами bun-sql і реєструє знайдені порушення.
+ * @param {string} content вміст файлу
+ * @param {string} rel posix-шлях відносно `repoRoot`
+ * @param {(msg: string) => void} fail callback при помилці
+ * @param {{ perRequest: number, unsafeCall: number, dynamicList: number, inListGuard: number }} counts акумулятори
+ * @returns {void}
+ */
+function scanFileForBunSqlPatterns(content, rel, fail, counts) {
+  for (const v of findBunSqlPerRequestConnectionInText(content, rel)) {
+    counts.perRequest++
+    fail(
+      `js-bun-db: ${rel}:${v.line} — не створюй new SQL(...) всередині функцій; ` +
+        `тримай singleton на рівні модуля (js-bun-db.mdc): ${v.snippet}`
+    )
+  }
+  for (const v of findUnsafeBunSqlUnsafeCallInText(content, rel)) {
+    counts.unsafeCall++
+    fail(
+      `js-bun-db: ${rel}:${v.line} — sql.unsafe(\`...\${...}...\`) недопустимо: ` +
+        `використовуй tagged template sql\`...\${value}...\` або sql.unsafe('static', [params]) (js-bun-db.mdc): ${v.snippet}`
+    )
+  }
+  for (const v of findUnsafeBunSqlDynamicSqlListInText(content, rel)) {
+    counts.dynamicList++
+    fail(
+      `js-bun-db: ${rel}:${v.line} — заборонено підставляти у SQL динамічні списки через .join(',') ` +
+        `у IN (...) / VALUES (...); використовуй sql([...]) (js-bun-db.mdc): ${v.snippet}`
+    )
+  }
+  for (const v of findUnsafeBunSqlInListMissingEmptyGuardInText(content, rel)) {
+    counts.inListGuard++
+    fail(messageForBunSqlInListGuard(rel, v))
   }
+}
 
-  return { hasBunSqlImport, perRequest, unsafeCall, dynamicList, inListGuard }
+/**
+ * Будує повідомлення `fail` для порушення `findUnsafeBunSqlInListMissingEmptyGuardInText`
+ * залежно від `reason` (різні діагностики однакового сімейства).
+ * @param {string} rel posix-шлях відносно кореня репо
+ * @param {{ line: number, snippet: string, name?: string, reason: string }} v порушення
+ * @returns {string} готове повідомлення для `fail`
+ */
+function messageForBunSqlInListGuard(rel, v) {
+  if (v.reason === 'missing_guard') {
+    return (
+      `js-bun-db: ${rel}:${v.line} — перед IN-списком ${JSON.stringify(v.name)} потрібна перевірка на пустоту ` +
+      `з throw (наприклад if (!${v.name}.length) throw ...), інакше можливі некоректні запити (js-bun-db.mdc): ${v.snippet}`
+    )
+  }
+  if (v.reason === 'sql_helper_not_var') {
+    return (
+      `js-bun-db: ${rel}:${v.line} — IN-список у \${sql(...)} має підставлятись зі змінної (Identifier) ` +
+      `після валідації на пустоту + throw (js-bun-db.mdc): ${v.snippet}`
+    )
+  }
+  return (
+    `js-bun-db: ${rel}:${v.line} — значення для IN (...) у template literal треба винести в окрему змінну ` +
+    `і перевірити на пустоту (throw), не підставляти вираз напряму (js-bun-db.mdc): ${v.snippet}`
+  )
 }
 
 /**

package/scripts/check-js-lint.mjs

@@ -4,7 +4,8 @@
  * Канонічний `lint-js`, flat ESLint з getConfig і ignore для auto-imports, рекомендації VSCode,
  * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
- * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.6.12** (транзитивний
+ * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.8.0** (з цієї версії
+ * правило `no-restricted-syntax` для `ForInStatement` забороняє `for...in`; також тягне транзитивний
  * `@e18e/eslint-plugin` для oxlint), `.jscpd.json` (gitignore, exitCode, reporters, minLines), workflow
  * `lint-js.yml` (checkout@v6, setup-bun-deps, bunx без --fix), без prettier, `engines.node` >= 24,
  * `engines.bun` >= 1.3, `"type": "module"` у кореневому і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
@@ -53,11 +54,12 @@ export function isCanonicalLintJs(script) {
 }
 
 /**
- * Чи діапазон `@nitra/eslint-config` у `package.json` передбачає версію з транзитивним `@e18e/eslint-plugin` (>=3.6.12).
+ * Чи діапазон `@nitra/eslint-config` у `package.json` задовольняє мінімум `>= 3.8.0`
+ * (заборона `for...in` через `no-restricted-syntax` + транзитивний `@e18e/eslint-plugin` для oxlint).
  * @param {unknown} versionSpec значення `devDependencies['@nitra/eslint-config']`
- * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.6.12
+ * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.8.0
  */
-export function nitraEslintConfigDeclaresE18eTransitive(versionSpec) {
+export function nitraEslintConfigMeetsMinVersion(versionSpec) {
   const s = String(versionSpec).trim()
   if (s.startsWith('workspace:')) {
     return true
@@ -70,7 +72,7 @@ export function nitraEslintConfigDeclaresE18eTransitive(versionSpec) {
   if ([major, minor, patch].some(n => Number.isNaN(n))) {
     return false
   }
-  return major > 3 || (major === 3 && minor > 5) || (major === 3 && minor === 5 && patch >= 0)
+  return major > 3 || (major === 3 && minor >= 8 && patch >= 0)
 }
 
 /**
@@ -234,13 +236,13 @@ function checkPackageJsonLintDeps(pkg, passFn, failFn) {
   const nitraEslint = pkg.devDependencies?.['@nitra/eslint-config']
   if (nitraEslint) {
     passFn('@nitra/eslint-config є в devDependencies')
-    if (nitraEslintConfigDeclaresE18eTransitive(nitraEslint)) {
+    if (nitraEslintConfigMeetsMinVersion(nitraEslint)) {
       passFn(
-        '@nitra/eslint-config: мінімум 3.6.12 (транзитивний @e18e/eslint-plugin для oxlint jsPlugins, js-lint.mdc)'
+        '@nitra/eslint-config: мінімум 3.8.0 (no-restricted-syntax для ForInStatement + @e18e/eslint-plugin транзитивно, js-lint.mdc)'
       )
     } else {
       failFn(
-        '@nitra/eslint-config: онови до мінімум "^3.6.12" — з цієї версії постачається @e18e/eslint-plugin для .oxlintrc.json (js-lint.mdc)'
+        '@nitra/eslint-config: онови до мінімум "^3.8.0" — з цієї версії правило no-restricted-syntax забороняє for...in (плюс транзитивний @e18e/eslint-plugin для oxlint, js-lint.mdc)'
       )
     }
   } else {

package/scripts/check-js-run.mjs

@@ -12,10 +12,12 @@
  *    дозволені лише у каталозі conn (за замовчуванням `src/conn/`; за наявності
  *    `package.json#imports['#conn/*']` — у його цільовому каталозі); поза ним — порушення
  *    (див. `utils/conn-imports-scan.mjs`);
- *  - «CheckEnv»: кожне `process.env.X` (включно з `process.env['X']` і деструктуризацією
- *    `const { X } = process.env`) має бути закрите літеральним викликом `checkEnv(['X', ...])`
- *    у тому ж файлі або коментарем `// @nitra/cursor ignore-next-line checkEnv` на попередньому
- *    рядку (див. `utils/check-env-scan.mjs`).
+ *  - «process.env / CheckEnv»: пряме `process.env.X` має бути замінено на `env` —
+ *    з `@nitra/check-env` (для обов'язкових змінних, із `checkEnv([...])`) або з
+ *    `node:process` (для опційних). Коли `env` імпортовано з `@nitra/check-env`,
+ *    кожен `env.X` має бути закритий літеральним викликом `checkEnv(['X', ...])`
+ *    у тому ж файлі або коментарем `// \@nitra/cursor ignore-next-line checkEnv`
+ *    на попередньому рядку (див. `utils/check-env-scan.mjs`).
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -134,9 +136,11 @@ async function checkProcessEnvUsage(absPackageRoot, sourcePaths, label, fail) {
     const content = await readFile(absPath, 'utf8')
     for (const v of findUncheckedProcessEnvInText(content, rel)) {
       violations++
-      fail(
-        `${label}${rel}:${v.line} — process.env.${v.name} без checkEnv(['${v.name}']) (або '// @nitra/cursor ignore-next-line checkEnv' попереду)`
-      )
+      const message =
+        v.kind === 'process-env'
+          ? `${label}${rel}:${v.line} — process.env.${v.name}: заміни на env з '@nitra/check-env' (обов'язкова змінна + checkEnv(['${v.name}'])) або з 'node:process' (опційна)`
+          : `${label}${rel}:${v.line} — env.${v.name} (з '@nitra/check-env') без checkEnv(['${v.name}']) (або '// @nitra/cursor ignore-next-line checkEnv' попереду)`
+      fail(message)
     }
   }
   return violations
@@ -152,22 +156,7 @@ async function checkProcessEnvUsage(absPackageRoot, sourcePaths, label, fail) {
 async function checkWorkspacePackage(rootDir, fail, passFn) {
   const label = `[${rootDir}] `
   const absPackageRoot = join(process.cwd(), rootDir)
-  /** @type {unknown} */
-  let pkgJson = null
-  const pkgPath = join(rootDir, 'package.json')
-  if (existsSync(pkgPath)) {
-    pkgJson = JSON.parse(await readFile(pkgPath, 'utf8'))
-    const deps = /** @type {Record<string, unknown>} */ (pkgJson).dependencies
-    const devDeps = /** @type {Record<string, unknown>} */ (pkgJson).devDependencies
-    const allDeps = { ...(deps || {}), ...(devDeps || {}) }
-
-    if (allDeps['@nitra/bunyan']) {
-      fail(`${label}@nitra/bunyan знайдено — замінити на @nitra/pino`)
-    }
-    if (allDeps.bunyan) {
-      fail(`${label}bunyan знайдено — замінити на @nitra/pino`)
-    }
-  }
+  const pkgJson = await loadPackageJsonAndCheckBunyanDeps(rootDir, label, fail)
 
   const importViolations = await checkBunyanImports(absPackageRoot, label, fail)
   if (importViolations === 0) {
@@ -184,22 +173,59 @@ async function checkWorkspacePackage(rootDir, fail, passFn) {
 
   const envViolations = await checkProcessEnvUsage(absPackageRoot, sourcePaths, label, fail)
   if (envViolations === 0) {
-    passFn(`${label}усі process.env.* закриті checkEnv(['…']) або '// @nitra/cursor ignore-next-line checkEnv'`)
+    passFn(
+      `${label}немає прямого process.env.*; усі env.* з '@nitra/check-env' закриті checkEnv(['…']) (або '// @nitra/cursor ignore-next-line checkEnv')`
+    )
   }
 
+  await checkOtelConfigmap(rootDir, label, fail, passFn)
+}
+
+/**
+ * Завантажує `package.json` пакета (якщо є) і реєструє порушення для bunyan-залежностей.
+ * @param {string} rootDir відносний шлях workspace
+ * @param {string} label префікс повідомлення `[<pkg>] `
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<unknown>} розпарсений package.json або null
+ */
+async function loadPackageJsonAndCheckBunyanDeps(rootDir, label, fail) {
+  const pkgPath = join(rootDir, 'package.json')
+  if (!existsSync(pkgPath)) return null
+  const pkgJson = JSON.parse(await readFile(pkgPath, 'utf8'))
+  const deps = /** @type {Record<string, unknown>} */ (pkgJson).dependencies
+  const devDeps = /** @type {Record<string, unknown>} */ (pkgJson).devDependencies
+  const allDeps = { ...deps, ...devDeps }
+  if (allDeps['@nitra/bunyan']) {
+    fail(`${label}@nitra/bunyan знайдено — замінити на @nitra/pino`)
+  }
+  if (allDeps.bunyan) {
+    fail(`${label}bunyan знайдено — замінити на @nitra/pino`)
+  }
+  return pkgJson
+}
+
+/**
+ * Перевіряє вміст `k8s/base/configmap.yaml` пакета на наявність OTEL_RESOURCE_ATTRIBUTES
+ * з обов'язковими `service.name=` та `service.namespace=` всередині.
+ * @param {string} rootDir відносний шлях workspace
+ * @param {string} label префікс повідомлення `[<pkg>] `
+ * @param {(msg: string) => void} fail callback при помилці
+ * @param {(msg: string) => void} passFn успішне повідомлення
+ * @returns {Promise<void>} завершується після перевірки configmap
+ */
+async function checkOtelConfigmap(rootDir, label, fail, passFn) {
   const configmapPath = join(rootDir, 'k8s', 'base', 'configmap.yaml')
-  if (existsSync(configmapPath)) {
-    const content = await readFile(configmapPath, 'utf8')
-    if (content.includes('OTEL_RESOURCE_ATTRIBUTES')) {
-      passFn(`${label}k8s/base/configmap.yaml містить OTEL_RESOURCE_ATTRIBUTES`)
-      if (content.includes('service.name=') && content.includes('service.namespace=')) {
-        passFn(`${label}OTEL_RESOURCE_ATTRIBUTES містить service.name та service.namespace`)
-      } else {
-        fail(`${label}OTEL_RESOURCE_ATTRIBUTES має містити service.name=<name>,service.namespace=<namespace>`)
-      }
-    } else {
-      fail(`${label}k8s/base/configmap.yaml не містить OTEL_RESOURCE_ATTRIBUTES`)
-    }
+  if (!existsSync(configmapPath)) return
+  const content = await readFile(configmapPath, 'utf8')
+  if (!content.includes('OTEL_RESOURCE_ATTRIBUTES')) {
+    fail(`${label}k8s/base/configmap.yaml не містить OTEL_RESOURCE_ATTRIBUTES`)
+    return
+  }
+  passFn(`${label}k8s/base/configmap.yaml містить OTEL_RESOURCE_ATTRIBUTES`)
+  if (content.includes('service.name=') && content.includes('service.namespace=')) {
+    passFn(`${label}OTEL_RESOURCE_ATTRIBUTES містить service.name та service.namespace`)
+  } else {
+    fail(`${label}OTEL_RESOURCE_ATTRIBUTES має містити service.name=<name>,service.namespace=<namespace>`)
   }
 }