npm - @nitra/cursor - Versions diffs - 1.8.202 → 1.8.204 - Mend

@nitra/cursor 1.8.202 → 1.8.204

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (11) hide show

package/CHANGELOG.md +25 -0
package/bin/n-cursor.js +3 -3
package/mdc/js-lint.mdc +3 -3
package/mdc/k8s.mdc +2 -2
package/package.json +1 -1
package/policy/ga/{clean-ga-workflows.rego → clean_ga_workflows/clean_ga_workflows.rego} +49 -46
package/policy/ga/clean_merged_branch/clean_merged_branch.rego +167 -0
package/scripts/check-ga.mjs +4 -224
package/scripts/check-js-lint.mjs +10 -8
package/scripts/check-k8s.mjs +111 -35
package/scripts/lint-ga.mjs +17 -5

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,31 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.8.204] - 2026-05-07
+### Changed
+- Реструктурував `npm/policy/ga/` під namespaced sub-packages, які проходять regal: `ga/clean_ga_workflows/clean_ga_workflows.rego` та новий `ga/clean_merged_branch/clean_merged_branch.rego` (порт `validateCleanMergedBranch` з check-ga.mjs — `name` / `cron 0 1 15 * *` / `workflow_dispatch` / `concurrency` / `jobs.cleanup_old_branches` / step0 `phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3` з token / age=90 / ignore_branches main,dev / `dry_run: false` (YAML 1.1) / step1 `Get output` + `DELETED_BRANCHES` env + echo).
+- `scripts/lint-ga.mjs`: `CONFTEST_TARGETS` тепер містить `clean-ga-workflows.yml` і `clean-merged-branch.yml`, conftest викликаємо з `--namespace ga.<name>` для ізоляції правил між workflow.
+- `scripts/check-ga.mjs`: видалено `validateCleanGaWorkflows*` і `validateCleanMergedBranch*` — їх повністю покриває conftest у `lint-ga`. `checkCanonicalWorkflowsMatchRule` тепер валідує лише `lint-ga.yml` і `git-ai.yml` (наступні кандидати на міграцію).
+### Added
+- `.regal/config.yaml` у корені — вимикає `idiomatic.no-defined-entrypoint` (для conftest-полісі `deny`-правила є де-факто entrypoint-ами, формальна анотація не несе семантики).
+## [1.8.203] - 2026-05-07
+### Changed
+- `check-k8s.mjs` (автоконверт `image-replace` patches → `images:`): тепер працює і для `patches[i].patch` із **кількома** ops, а не лише з одинокою image-replace op. Сканує всі ops у патчі, конвертує **кожну** `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у запис `images:`; якщо всі ops патча конвертовано — `patches[i]` видаляється повністю; інакше inline `patch:` переписується через `parseDocument` без конвертованих ops зі збереженням block-literal scalar (`|-`) і вихідного порядку решти ops. Реалізовано через нові функції `tryParseJson6902Array` (≥ 1 op, замість `tryParseSingleJson6902Array`) і `rewriteInlinePatchWithoutOps`; `imageReplaceDeploymentPatchInfo` повертає `{ deployName, totalOps, ops: [{ containerIndex, newImage, opIndex }] }` (раніше — одиничний `{ deployName, containerIndex, newImage }` лише за `length === 1`); `applyConversionsToDoc` групує конвертації по індексу патча й вирізає ops або сам патч за потреби. Сортування решти ops після видалення лишається поза цією зміною — за нього відповідає окрема перевірка `kustomizationInlinePatchOpsSortedViolation`.
+- `mdc/k8s.mdc` (v1.26 → v1.27): уточнено крок 1 авто-перевірки в розділі «Зміна image — через `images:`, не через `patches[]`» — тепер описує і випадок, коли в `patches[i].patch` лишаються не-image ops (їх зберігає, у вихідному порядку, без коментарів).
+- `check-js-lint.mjs` + `mdc/js-lint.mdc` (v1.16 → v1.17): мінімум `@nitra/eslint-config` піднято з `^3.8.0` до `^3.9.2`. Обґрунтування: з 3.9.2 у `getConfig` вбудовано ignore для `**/adr/**`, тож ADR-документи не валідуються ESLint, і консьюмерам не треба додавати цей glob у `eslint.config.js` локально. `nitraEslintConfigMeetsMinVersion` тепер повертає `false` для діапазонів `^3.8.x`–`^3.9.1`; `workspace:*` лишається ok без змін. Pass/fail-повідомлення `checkPackageJsonLintDeps` оновлено під новий мінімум; `for...in`-бан з 3.8.0 згадується як накопичена відмінність. Тести `nitraEslintConfigMeetsMinVersion` розширено: `^3.9.2`/`^3.9.10`/`^3.10.0`/`^4.0.0` — ok; `^3.9.1`/`^3.8.0`/`^3.6.12`/`^3.4.3` — ні.
+- `bin/n-cursor.js` (`reexecIfPackageVersionChanged` + `spawnSync`-виклик): `process.env.NITRA_CURSOR_REEXEC` і `...process.env` замінено на `env.NITRA_CURSOR_REEXEC` і `...env` з `node:process` (`import { cwd, env } from 'node:process'`). Підстава: правило `js-run.mdc` забороняє прямий `process.env.*` у Node-коді; `NITRA_CURSOR_REEXEC` — опційна змінна (виставляється лише при re-exec), тож імпорт `env` з `node:process` (а не з `@nitra/check-env`) — канонічна форма для опційних. Поведінка не змінена; раніше `npm/scripts/check-js-run.mjs` помилявся на `bin/n-cursor.js:1136` (правило `process-env`), тепер intergation-test `check-* на реальному репозиторії` проходить.
+### Added
+- `tests/check-k8s-images.test.mjs`: нова форма `imageReplaceDeploymentPatchInfo` (`ops`/`totalOps`/`opIndex`); e2e-тести на multi-op patch (image + `add nodeSelector`), три не-image ops + image у hasura-стилі (`add containers/-` + `add volumes` + `replace nodeSelector`), multi-image patch (containers/0 + containers/1 → обидва конвертовано, патч видаляється), mixed patch з digest у одному з image-values (звичайний tag конвертовано, digest op лишається у патчі) і одиничний digest-image (повертає `errors`, патч на диску не змінюється).
 ## [1.8.202] - 2026-05-07
 ### Added

package/bin/n-cursor.js CHANGED Viewed

@@ -53,7 +53,7 @@ import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
 import { mkdir, readdir, readFile, rename, rm, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join } from 'node:path'
-import { cwd } from 'node:process'
+import { cwd, env } from 'node:process'
 import { fileURLToPath } from 'node:url'
 import { buildAgentsCommandBulletItems } from '../scripts/build-agents-commands.mjs'
@@ -1133,7 +1133,7 @@ async function readBundledVersionAt(packageRoot) {
  * @returns {Promise<void>} повертається лише якщо re-exec не потрібен (інакше викликає `process.exit`)
  */
 async function reexecIfPackageVersionChanged(effectivePackageRoot) {
-  if (process.env.NITRA_CURSOR_REEXEC === '1') {
+  if (env.NITRA_CURSOR_REEXEC === '1') {
     return
   }
   if (effectivePackageRoot === BUNDLED_PACKAGE_ROOT) {
@@ -1155,7 +1155,7 @@ async function reexecIfPackageVersionChanged(effectivePackageRoot) {
   )
   const result = spawnSync(process.execPath, [newBinPath, ...process.argv.slice(2)], {
     stdio: 'inherit',
-    env: { ...process.env, NITRA_CURSOR_REEXEC: '1' }
+    env: { ...env, NITRA_CURSOR_REEXEC: '1' }
   })
   if (result.error) {
     throw result.error

package/mdc/js-lint.mdc CHANGED Viewed

@@ -1,10 +1,10 @@
 ---
 description: Перевірка JavaScript коду
 alwaysApply: true
-version: '1.16'
+version: '1.17'
 ---
-**oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.8.0`** (з цієї версії правило `no-restricted-syntax` забороняє `for...in`; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
+**oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
 ```json title=".vscode/extensions.json"
 {
@@ -25,7 +25,7 @@ version: '1.16'
     "lint-js": "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd ."
   },
   "devDependencies": {
-    "@nitra/eslint-config": "^3.8.0"
+    "@nitra/eslint-config": "^3.9.2"
   }
 }
 ```

package/mdc/k8s.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.26'
+version: '1.27'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -318,7 +318,7 @@ images:
 **`check k8s` автоматично** для кожного `kustomization.yaml`:
-1. конвертує JSON6902-патч `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у запис `images:` (резолвить оригінальний image у base через `resources:` / `bases` / `components` / `crds`); якщо в `patches[]` залишається лише ця операція — патч прибирається повністю;
+1. конвертує кожну JSON6902-операцію `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у запис `images:` (резолвить оригінальний image у base через `resources:` / `bases` / `components` / `crds`). Якщо у `patches[i].patch` після конвертації не залишилось ops — патч прибирається повністю; інакше у `patches[i].patch` залишаються лише не-image ops у вихідному порядку;
 2. чистить існуючий блок `images:` — зрізає `:tag` з `name` і видаляє `newTag`, який збігається з відрізаним тегом.
 ## Ingress → Gateway API (GKE)

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.202",
+  "version": "1.8.204",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/ga/{clean-ga-workflows.rego → clean_ga_workflows/clean_ga_workflows.rego} RENAMED Viewed

@@ -1,26 +1,25 @@
-# PoC-порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs`.
+# Порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs` (ga.mdc).
 #
 # Запуск (локально):
-#   conftest test .github/workflows/clean-ga-workflows.yml -p npm/policy/ga
+#   conftest test .github/workflows/clean-ga-workflows.yml \
+#     -p npm/policy/ga --namespace ga.clean_ga_workflows
 #
-# Conftest читає YAML і дає його в `input`. Кожне правило `deny contains msg if { … }`,
-# що матчиться, друкується як порушення; пустий список — exit 0.
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 #
-# Rego v1 синтаксис (OPA 1.x за замовчуванням; `import rego.v1` робить файл портованим
-# і на старі OPA 0.x): `contains` для partial set rules, `if` перед тілом правила.
-package main
+# Усі `deny`-правила йдуть контигно (regal: messy-rule); helpers і константи —
+# секціями вище та нижче.
+package ga.clean_ga_workflows
 import rego.v1
-# GHA YAML quirk: ключ `on:` парситься як YAML 1.1 boolean `true`, після чого conftest
-# серіалізує його в Rego-input як рядок `"true"`. Тому `input.on` / `input["on"]` /
-# `input[true]` всі недоступні; реальний шлях — `input["true"]`. Виносимо в alias, щоб
-# решта правил читалася як `gha_on.schedule` без бойлерплейту.
-gha_on := input["true"]
+# ── Очікувані значення ─────────────────────────────────────────────────────
+#
+# `${{ … }}` — шаблонний синтаксис GitHub Actions; `{{` у Rego починає string
+# interpolation. Збираємо очікувані рядки з фрагментів через `concat`, як це
+# зроблено в check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
-# `${{ … }}` — це шаблонний синтаксис GitHub Actions, але `{{` у Rego починає
-# string interpolation. Збираємо очікувані рядки з фрагментів, як це зроблено в
-# check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
 expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
 expected_github_token := concat("", ["$", "{{ github.token }}"])
@@ -29,43 +28,43 @@ expected_name := "Clean action for removing completed workflow runs"
 expected_cron := "0 1 16 * *"
-# --- name --------------------------------------------------------------------
+# Шаблон повідомлення про відсутню `concurrency`-секцію — винесено через `concat`,
+# щоб дотриматися regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"clean-ga-workflows.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, конфтест серіалізує його
+# як рядковий ключ "true". Ані `input.on`, ані `input["on"]`, ані `input[true]`
+# не працюють — лише `input["true"]`.
+gha_on := input["true"]
+step0 := input.jobs.cleanup_old_workflows.steps[0]
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
 deny contains msg if {
 	input.name != expected_name
 	msg := sprintf("clean-ga-workflows.yml: name має бути %q (ga.mdc)", [expected_name])
 }
-# --- on.schedule.cron --------------------------------------------------------
 deny contains msg if {
 	not has_expected_cron
 	msg := sprintf("clean-ga-workflows.yml: on.schedule має містити cron: '%s' (ga.mdc)", [expected_cron])
 }
-has_expected_cron if {
-	gha_on.schedule[_].cron == expected_cron
-}
-# --- on.workflow_dispatch ----------------------------------------------------
 deny contains msg if {
 	not has_workflow_dispatch
 	msg := "clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-# --- concurrency -------------------------------------------------------------
 deny contains msg if {
 	not is_object(input.concurrency)
-	msg := sprintf(
-		"clean-ga-workflows.yml: відсутня секція concurrency — додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
-		[expected_concurrency_group],
-	)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
 }
 deny contains msg if {
@@ -80,8 +79,6 @@ deny contains msg if {
 	msg := "clean-ga-workflows.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
 }
-# --- jobs.cleanup_old_workflows ---------------------------------------------
 deny contains msg if {
 	not input.jobs.cleanup_old_workflows
 	msg := "clean-ga-workflows.yml: jobs.cleanup_old_workflows відсутній (ga.mdc)"
@@ -99,15 +96,6 @@ deny contains msg if {
 	msg := "clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)"
 }
-actions_write_contents_read(perms) if {
-	perms.actions == "write"
-	perms.contents == "read"
-}
-# --- jobs.cleanup_old_workflows.steps[0] ------------------------------------
-step0 := input.jobs.cleanup_old_workflows.steps[0]
 deny contains msg if {
 	step0.name != "Delete workflow runs"
 	msg := "clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)"
@@ -120,12 +108,27 @@ deny contains msg if {
 # Триплет полів `with`: token (gh-токен), save_period=31, save_min_runs_number=0.
 # В JS-перевірці помилка спільна для всіх трьох — лишаємо такий самий формат, щоб
-# повідомлення збігалися. Окремі правила нижче роблять діагноз точнішим.
+# повідомлення збігалися.
 deny contains msg if {
 	not step0_with_canonical
 	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc"
 }
+# ── helpers ────────────────────────────────────────────────────────────────
+has_expected_cron if {
+	gha_on.schedule[_].cron == expected_cron
+}
+has_workflow_dispatch if {
+	is_object(gha_on.workflow_dispatch)
+}
+actions_write_contents_read(perms) if {
+	perms.actions == "write"
+	perms.contents == "read"
+}
 step0_with_canonical if {
 	step0.with.token == expected_github_token
 	step0.with.save_period == 31

package/policy/ga/clean_merged_branch/clean_merged_branch.rego ADDED Viewed

@@ -0,0 +1,167 @@
+# Порт перевірки `validateCleanMergedBranch` з `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/clean-merged-branch.yml \
+#     -p npm/policy/ga --namespace ga.clean_merged_branch
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.clean_merged_branch
+import rego.v1
+# ── Очікувані значення ─────────────────────────────────────────────────────
+#
+# Шаблонні токени GitHub Actions (`${{ … }}`) збираємо з фрагментів через
+# `concat`, бо `{{` у Rego починає string interpolation.
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+expected_github_token := concat("", ["$", "{{ github.token }}"])
+expected_deleted_branches_expr := concat("", ["$", "{{ steps.delete_stuff.outputs.deleted_branches }}"])
+expected_echo_substring := concat("", ["echo \"Deleted branches: $", "{DELETED_BRANCHES}\""])
+expected_name := "Clean abandoned branches"
+expected_cron := "0 1 15 * *"
+# Шаблони повідомлень — через `concat` для regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"clean-merged-branch.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+gha_on := input["true"]
+steps := input.jobs.cleanup_old_branches.steps
+step0 := steps[0]
+step1 := steps[1]
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("clean-merged-branch.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+deny contains msg if {
+	not has_expected_cron
+	msg := sprintf("clean-merged-branch.yml: on.schedule має містити cron: '%s' (ga.mdc)", [expected_cron])
+}
+deny contains msg if {
+	not has_workflow_dispatch
+	msg := "clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)"
+}
+deny contains msg if {
+	not is_object(input.concurrency)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("clean-merged-branch.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency["cancel-in-progress"] != true
+	msg := "clean-merged-branch.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+deny contains msg if {
+	not input.jobs.cleanup_old_branches
+	msg := "clean-merged-branch.yml: jobs.cleanup_old_branches відсутній (ga.mdc)"
+}
+deny contains msg if {
+	input.jobs.cleanup_old_branches.permissions.contents != "write"
+	msg := "clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)"
+}
+deny contains msg if {
+	count(steps) < 2
+	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc"
+}
+# ── Step 0 (delete_stuff) ──────────────────────────────────────────────────
+deny contains msg if {
+	step0.id != "delete_stuff"
+	msg := "clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)"
+}
+deny contains msg if {
+	step0.uses != "phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3"
+	msg := "clean-merged-branch.yml: перший крок має uses як у ga.mdc"
+}
+deny contains msg if {
+	step0.with.github_token != expected_github_token
+	msg := sprintf("clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)", [expected_github_token])
+}
+deny contains msg if {
+	step0.with.last_commit_age_days != 90
+	msg := "clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)"
+}
+deny contains msg if {
+	not ignore_branches_has_main_and_dev
+	msg := "clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)"
+}
+# `dry_run: no` у YAML парситься як boolean `false`. JS-перевірка порівнює зі
+# рядком "no", але в нас input уже Go-yaml-парсений — тому очікуємо `false`.
+# (Якщо комусь схочеться явного `"no"` — треба буде брати in quotes у YAML.)
+deny contains msg if {
+	step0.with.dry_run != false # noqa: rules-style-no-equality-with-false
+	msg := "clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)"
+}
+# ── Step 1 (Get output) ────────────────────────────────────────────────────
+deny contains msg if {
+	step1.name != "Get output"
+	msg := "clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)"
+}
+deny contains msg if {
+	step1.env.DELETED_BRANCHES != expected_deleted_branches_expr
+	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc"
+}
+deny contains msg if {
+	not echo_deleted_branches
+	msg := "clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc"
+}
+# ── helpers ────────────────────────────────────────────────────────────────
+has_expected_cron if {
+	gha_on.schedule[_].cron == expected_cron
+}
+has_workflow_dispatch if {
+	is_object(gha_on.workflow_dispatch)
+}
+ignore_branches_has_main_and_dev if {
+	contains(step0.with.ignore_branches, "main")
+	contains(step0.with.ignore_branches, "dev")
+}
+echo_deleted_branches if {
+	contains(step1.run, expected_echo_substring)
+}

package/scripts/check-ga.mjs CHANGED Viewed

@@ -170,220 +170,6 @@ function isExactString(v, expected) {
   return typeof v === 'string' && v === expected
 }
-/**
- * Перевіряє крок dmvict/clean-workflow-runs@v1 у `clean-ga-workflows.yml`.
- * @param {unknown} step0 перший крок workflow
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanGaWorkflowsStep0(step0, passFn, failFn) {
-  if (!isExactString(getObjKey(step0, 'name'), 'Delete workflow runs')) {
-    failFn('clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'dmvict/clean-workflow-runs@v1')) {
-    failFn('clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)')
-  }
-  const withObj = getObjKey(step0, 'with')
-  const githubToken = ['$', '{{ github.token }}'].join('')
-  if (
-    getObjKey(withObj, 'token') === githubToken &&
-    getObjKey(withObj, 'save_period') === 31 &&
-    getObjKey(withObj, 'save_min_runs_number') === 0
-  ) {
-    passFn('clean-ga-workflows.yml: jobs/steps OK')
-  } else {
-    failFn('clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc')
-  }
-}
-/**
- * Перевіряє структуру workflow `clean-ga-workflows.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanGaWorkflows(root, passFn, failFn) {
-  if (!root) {
-    failFn('clean-ga-workflows.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-  if (isExactString(root.name, 'Clean action for removing completed workflow runs')) {
-    passFn('clean-ga-workflows.yml: name OK')
-  } else {
-    failFn('clean-ga-workflows.yml: name має бути "Clean action for removing completed workflow runs" (ga.mdc)')
-  }
-  const on = root.on
-  const schedule = getObjKey(on, 'schedule')
-  const wfDispatch = getObjKey(on, 'workflow_dispatch')
-  const hasCron =
-    Array.isArray(schedule) &&
-    schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 16 * *')
-  if (hasCron) {
-    passFn('clean-ga-workflows.yml: cron OK')
-  } else {
-    failFn("clean-ga-workflows.yml: on.schedule має містити cron: '0 1 16 * *' (ga.mdc)")
-  }
-  if (!wfDispatch || typeof wfDispatch !== 'object') {
-    failFn('clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)')
-  } else {
-    passFn('clean-ga-workflows.yml: workflow_dispatch OK')
-  }
-  validateConcurrencyOnRoot('clean-ga-workflows.yml', root, passFn, failFn)
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'cleanup_old_workflows')
-  if (!job) {
-    failFn('clean-ga-workflows.yml: jobs.cleanup_old_workflows відсутній (ga.mdc)')
-    return
-  }
-  if (!isExactString(getObjKey(job, 'runs-on'), 'ubuntu-latest')) {
-    failFn('clean-ga-workflows.yml: runs-on має бути ubuntu-latest (ga.mdc)')
-  }
-  const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'actions') === 'write' && getObjKey(perm, 'contents') === 'read')) {
-    failFn('clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)')
-  }
-  const steps = getObjKey(job, 'steps')
-  const step0 = Array.isArray(steps) ? steps[0] : null
-  if (!step0 || typeof step0 !== 'object') {
-    failFn('clean-ga-workflows.yml: steps має містити крок з dmvict/clean-workflow-runs@v1 (ga.mdc)')
-    return
-  }
-  validateCleanGaWorkflowsStep0(step0, passFn, failFn)
-}
-/**
- * Перевіряє крок `phpdocker-io/github-actions-delete-abandoned-branches` у `clean-merged-branch.yml`.
- * @param {unknown} step0 перший крок workflow
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranchStep0(step0, failFn) {
-  if (!isExactString(getObjKey(step0, 'id'), 'delete_stuff')) {
-    failFn('clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3')) {
-    failFn('clean-merged-branch.yml: перший крок має uses як у ga.mdc')
-  }
-  const withObj = getObjKey(step0, 'with')
-  const ghToken = ['$', '{{ github.token }}'].join('')
-  if (getObjKey(withObj, 'github_token') !== ghToken) {
-    failFn(['clean-merged-branch.yml: with.github_token має бути $', '{{ github.token }} (ga.mdc)'].join(''))
-  }
-  if (getObjKey(withObj, 'last_commit_age_days') !== 90) {
-    failFn('clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)')
-  }
-  const ignoreBranches = String(getObjKey(withObj, 'ignore_branches') ?? '')
-  if (!(ignoreBranches.includes('main') && ignoreBranches.includes('dev'))) {
-    failFn('clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)')
-  }
-  if (getObjKey(withObj, 'dry_run') !== 'no') {
-    failFn('clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)')
-  }
-}
-/**
- * Перевіряє крок виводу в `clean-merged-branch.yml`.
- * @param {unknown} step1 другий крок workflow
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranchStep1(step1, passFn, failFn) {
-  if (!isExactString(getObjKey(step1, 'name'), 'Get output')) {
-    failFn('clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)')
-  }
-  const env = getObjKey(step1, 'env')
-  const deletedBranchesExpr = ['$', '{{ steps.delete_stuff.outputs.deleted_branches }}'].join('')
-  if (getObjKey(env, 'DELETED_BRANCHES') !== deletedBranchesExpr) {
-    failFn('clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc')
-  }
-  const echoDeletedBranches = ['echo "Deleted branches: $', '{DELETED_BRANCHES}"'].join('')
-  if (String(getObjKey(step1, 'run') ?? '').includes(echoDeletedBranches)) {
-    passFn('clean-merged-branch.yml: jobs/steps OK')
-  } else {
-    failFn('clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc')
-  }
-}
-/**
- * Перевіряє структуру workflow `clean-merged-branch.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranch(root, passFn, failFn) {
-  if (!root) {
-    failFn('clean-merged-branch.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-  if (isExactString(root.name, 'Clean abandoned branches')) {
-    passFn('clean-merged-branch.yml: name OK')
-  } else {
-    failFn('clean-merged-branch.yml: name має бути "Clean abandoned branches" (ga.mdc)')
-  }
-  const on = root.on
-  const schedule = getObjKey(on, 'schedule')
-  const wfDispatch = getObjKey(on, 'workflow_dispatch')
-  const hasCron =
-    Array.isArray(schedule) &&
-    schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 15 * *')
-  if (hasCron) {
-    passFn('clean-merged-branch.yml: cron OK')
-  } else {
-    failFn("clean-merged-branch.yml: on.schedule має містити cron: '0 1 15 * *' (ga.mdc)")
-  }
-  if (!wfDispatch || typeof wfDispatch !== 'object') {
-    failFn('clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)')
-  }
-  validateConcurrencyOnRoot('clean-merged-branch.yml', root, passFn, failFn)
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'cleanup_old_branches')
-  if (!job) {
-    failFn('clean-merged-branch.yml: jobs.cleanup_old_branches відсутній (ga.mdc)')
-    return
-  }
-  const perm = getObjKey(job, 'permissions')
-  if (getObjKey(perm, 'contents') !== 'write') {
-    failFn('clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)')
-  }
-  const steps = getObjKey(job, 'steps')
-  if (!Array.isArray(steps) || steps.length < 2) {
-    failFn('clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc')
-    return
-  }
-  const step0 = steps[0]
-  if (!step0 || typeof step0 !== 'object') {
-    failFn('clean-merged-branch.yml: перший крок невалідний (ga.mdc)')
-    return
-  }
-  validateCleanMergedBranchStep0(step0, failFn)
-  const step1 = steps[1]
-  if (!step1 || typeof step1 !== 'object') {
-    failFn('clean-merged-branch.yml: другий крок невалідний (ga.mdc)')
-    return
-  }
-  validateCleanMergedBranchStep1(step1, passFn, failFn)
-}
 /**
  * Перевіряє тригери `on.push` / `on.pull_request` у `lint-ga.yml`.
  * @param {unknown} on корінь `on:` з YAML
@@ -973,26 +759,20 @@ async function checkGitAiWorkflow(wfDir, passFn, failFn) {
 /**
  * Перевіряє, що “канонічні” workflows відповідають ga.mdc (структура і значення).
+ *
+ * Структурні валідатори `clean-ga-workflows.yml` і `clean-merged-branch.yml` мігровано в Rego-полісі
+ * під `npm/policy/ga/clean_ga_workflows/` та `npm/policy/ga/clean_merged_branch/` (виконує conftest з
+ * `bun run lint-ga`). Тут лишаються `lint-ga.yml` і `git-ai.yml` — їх перенесення в наступних ітераціях.
  * @param {string} wfDir директорія workflows
  * @param {(msg: string) => void} passFn pass
  * @param {(msg: string) => void} failFn fail
  */
 async function checkCanonicalWorkflowsMatchRule(wfDir, passFn, failFn) {
   const paths = {
-    cleanGa: join(wfDir, 'clean-ga-workflows.yml'),
-    cleanMerged: join(wfDir, 'clean-merged-branch.yml'),
     lintGa: join(wfDir, 'lint-ga.yml'),
     gitAi: join(wfDir, 'git-ai.yml')
   }
-  if (existsSync(paths.cleanGa)) {
-    const c = await readFile(paths.cleanGa, 'utf8')
-    validateCleanGaWorkflows(parseWorkflowYaml(c), passFn, failFn)
-  }
-  if (existsSync(paths.cleanMerged)) {
-    const c = await readFile(paths.cleanMerged, 'utf8')
-    validateCleanMergedBranch(parseWorkflowYaml(c), passFn, failFn)
-  }
   if (existsSync(paths.lintGa)) {
     const c = await readFile(paths.lintGa, 'utf8')
     validateLintGaWorkflowStructure(parseWorkflowYaml(c), passFn, failFn)

package/scripts/check-js-lint.mjs CHANGED Viewed

@@ -4,8 +4,9 @@
  * Канонічний `lint-js`, flat ESLint з getConfig і ignore для auto-imports, рекомендації VSCode,
  * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
- * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.8.0** (з цієї версії
- * правило `no-restricted-syntax` для `ForInStatement` забороняє `for...in`; також тягне транзитивний
+ * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.9.2** (з 3.8.0 правило
+ * `no-restricted-syntax` для `ForInStatement` забороняє `for...in`; з 3.9.2 у `getConfig` вбудовано
+ * ignore для ADR-каталогів — локально цей glob додавати не потрібно; також тягне транзитивний
  * `@e18e/eslint-plugin` для oxlint), `.jscpd.json` (gitignore, exitCode, reporters, minLines), workflow
  * `lint-js.yml` (checkout@v6, setup-bun-deps, bunx без --fix), без prettier, `engines.node` >= 24,
  * `engines.bun` >= 1.3, `"type": "module"` у кореневому і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
@@ -54,10 +55,11 @@ export function isCanonicalLintJs(script) {
 }
 /**
- * Чи діапазон `@nitra/eslint-config` у `package.json` задовольняє мінімум `>= 3.8.0`
- * (заборона `for...in` через `no-restricted-syntax` + транзитивний `@e18e/eslint-plugin` для oxlint).
+ * Чи діапазон `@nitra/eslint-config` у `package.json` задовольняє мінімум `>= 3.9.2`
+ * (заборона `for...in` через `no-restricted-syntax` з 3.8.0 + вбудований ignore для ADR-каталогів
+ * у `getConfig` з 3.9.2 + транзитивний `@e18e/eslint-plugin` для oxlint).
  * @param {unknown} versionSpec значення `devDependencies['@nitra/eslint-config']`
- * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.8.0
+ * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.9.2
  */
 export function nitraEslintConfigMeetsMinVersion(versionSpec) {
   const s = String(versionSpec).trim()
@@ -72,7 +74,7 @@ export function nitraEslintConfigMeetsMinVersion(versionSpec) {
   if ([major, minor, patch].some(n => Number.isNaN(n))) {
     return false
   }
-  return major > 3 || (major === 3 && minor >= 8 && patch >= 0)
+  return major > 3 || (major === 3 && (minor > 9 || (minor === 9 && patch >= 2)))
 }
 /**
@@ -269,11 +271,11 @@ function checkPackageJsonLintDeps(pkg, passFn, failFn) {
     passFn('@nitra/eslint-config є в devDependencies')
     if (nitraEslintConfigMeetsMinVersion(nitraEslint)) {
       passFn(
-        '@nitra/eslint-config: мінімум 3.8.0 (no-restricted-syntax для ForInStatement + @e18e/eslint-plugin транзитивно, js-lint.mdc)'
+        '@nitra/eslint-config: мінімум 3.9.2 (no-restricted-syntax для ForInStatement з 3.8.0 + вбудований ignore "**/adr/**" з 3.9.2 + @e18e/eslint-plugin транзитивно, js-lint.mdc)'
       )
     } else {
       failFn(
-        '@nitra/eslint-config: онови до мінімум "^3.8.0" — з цієї версії правило no-restricted-syntax забороняє for...in (плюс транзитивний @e18e/eslint-plugin для oxlint, js-lint.mdc)'
+        '@nitra/eslint-config: онови до мінімум "^3.9.2" — з 3.9.2 у getConfig вбудовано ignore для "**/adr/**" (ADR-документи не валідуються), плюс транзитивний @e18e/eslint-plugin для oxlint і заборона for...in з 3.8.0 (js-lint.mdc)'
       )
     }
   } else {

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -5626,10 +5626,14 @@ function applyNameStripTag(originalLine, parsed) {
 const KUSTOMIZATION_DEPLOYMENT_CONTAINER_IMAGE_PATH_RE = /^\/spec\/template\/spec\/containers\/(\d+)\/image$/u
 /**
- * Якщо `patchObj` — JSON6902 з єдиною операцією `replace` на шляху image-контейнера у `Deployment`,
- * повертає `{ deployName, containerIndex, newImage }`. Інакше null.
+ * Якщо `patchObj` — JSON6902 для `kind: Deployment`, повертає всі image-replace ops
+ * у його `patch:` разом із `opIndex` (позиція в масиві ops) і `totalOps` (загальна довжина).
  * @param {unknown} patchObj елемент масиву `patches[]`
- * @returns {{ deployName: string, containerIndex: number, newImage: string } | null} інформація про патч або null, якщо це не очікувана JSON6902-операція
+ * @returns {{
+ *   deployName: string,
+ *   totalOps: number,
+ *   ops: Array<{ containerIndex: number, newImage: string, opIndex: number }>
+ * } | null} інформація про image-replace ops у патчі або null
  */
 export function imageReplaceDeploymentPatchInfo(patchObj) {
   const pr = asPlainObject(patchObj)
@@ -5638,20 +5642,21 @@ export function imageReplaceDeploymentPatchInfo(patchObj) {
   if (deployName === null) return null
   if (typeof pr.patch !== 'string') return null
-  const parsedArr = tryParseSingleJson6902Array(pr.patch)
+  const parsedArr = tryParseJson6902Array(pr.patch)
   if (parsedArr === null) return null
-  const op = asPlainObject(parsedArr[0])
-  if (op === null) return null
-  const containerIndex = singleImageReplaceContainerIndex(op)
-  if (containerIndex === null) return null
-  if (typeof op.value !== 'string' || op.value.trim() === '') return null
-  return {
-    deployName,
-    containerIndex,
-    newImage: op.value.trim()
+  /** @type {Array<{ containerIndex: number, newImage: string, opIndex: number }>} */
+  const ops = []
+  for (let i = 0; i < parsedArr.length; i++) {
+    const op = asPlainObject(parsedArr[i])
+    if (op === null) continue
+    const containerIndex = singleImageReplaceContainerIndex(op)
+    if (containerIndex === null) continue
+    if (typeof op.value !== 'string' || op.value.trim() === '') continue
+    ops.push({ containerIndex, newImage: op.value.trim(), opIndex: i })
   }
+  if (ops.length === 0) return null
+  return { deployName, totalOps: parsedArr.length, ops }
 }
 /**
@@ -5679,11 +5684,11 @@ function deploymentTargetName(target) {
 }
 /**
- * Парсить `patch`-рядок як YAML-масив з рівно однією операцією JSON6902.
+ * Парсить `patch`-рядок як YAML-масив JSON6902-операцій (≥ 1 елемент).
  * @param {string} patch текст YAML-масиву JSON6902-операцій
- * @returns {unknown[] | null} масив однієї операції або null
+ * @returns {unknown[] | null} масив операцій або null
  */
-function tryParseSingleJson6902Array(patch) {
+function tryParseJson6902Array(patch) {
   let parsedArr
   try {
     for (const d of parseAllDocuments(patch.trim())) {
@@ -5697,7 +5702,7 @@ function tryParseSingleJson6902Array(patch) {
   } catch {
     return null
   }
-  return Array.isArray(parsedArr) && parsedArr.length === 1 ? parsedArr : null
+  return Array.isArray(parsedArr) && parsedArr.length >= 1 ? parsedArr : null
 }
 /**
@@ -5880,11 +5885,17 @@ export async function convertImagePatchesToImagesInKustomization(kustAbs, rootNo
 /**
  * Парсить kustomization.yaml як Document і повертає його разом зі списком кандидатів-патчів
- * (`patches[i]` що відповідає `image-replace` для Deployment). Повертає null, якщо документ не
- * розпарсився, не є Kustomization або не має масиву `patches:`.
+ * (по одному кандидату на кожну image-replace op у `patches[i].patch` — патч може містити кілька).
+ * Повертає null, якщо документ не розпарсився, не є Kustomization або не має масиву `patches:`.
  * @param {string} raw текст файлу
- * @returns {{ doc: ReturnType<typeof parseDocument>, candidates: Array<{ index: number, info: { deployName: string, containerIndex: number, newImage: string } }> } | null}
- *   document і список кандидатів, або null
+ * @returns {{
+ *   doc: ReturnType<typeof parseDocument>,
+ *   candidates: Array<{
+ *     index: number,
+ *     totalOps: number,
+ *     info: { deployName: string, containerIndex: number, newImage: string, opIndex: number }
+ *   }>
+ * } | null} document і список кандидатів, або null
  */
 function parseKustomizationWithPatches(raw) {
   let doc
@@ -5901,11 +5912,23 @@ function parseKustomizationWithPatches(raw) {
   if (typeof rec.apiVersion !== 'string' || !rec.apiVersion.startsWith(KUSTOMIZE_CONFIG_API_PREFIX)) return null
   if (!Array.isArray(rec.patches)) return null
-  /** @type {Array<{ index: number, info: { deployName: string, containerIndex: number, newImage: string } }>} */
+  /** @type {Array<{ index: number, totalOps: number, info: { deployName: string, containerIndex: number, newImage: string, opIndex: number } }>} */
   const candidates = []
   for (const [i, p] of rec.patches.entries()) {
     const info = imageReplaceDeploymentPatchInfo(p)
-    if (info !== null) candidates.push({ index: i, info })
+    if (info === null) continue
+    for (const op of info.ops) {
+      candidates.push({
+        index: i,
+        totalOps: info.totalOps,
+        info: {
+          deployName: info.deployName,
+          containerIndex: op.containerIndex,
+          newImage: op.newImage,
+          opIndex: op.opIndex
+        }
+      })
+    }
   }
   return { doc, candidates }
 }
@@ -5915,17 +5938,17 @@ function parseKustomizationWithPatches(raw) {
  * (або повідомлення про помилку, чому конвертація неможлива).
  * @param {string} kustAbs абсолютний шлях до kustomization.yaml
  * @param {string} rootNorm нормалізований корінь репо
- * @param {Array<{ index: number, info: { deployName: string, containerIndex: number, newImage: string } }>} candidates кандидати з `patches[]`
- * @returns {Promise<{ conversions: Array<{ index: number, name: string, newName: string, newTag: string | null }>, errors: string[] }>}
+ * @param {Array<{ index: number, totalOps: number, info: { deployName: string, containerIndex: number, newImage: string, opIndex: number } }>} candidates кандидати з `patches[]`
+ * @returns {Promise<{ conversions: Array<{ index: number, opIndex: number, totalOps: number, name: string, newName: string, newTag: string | null }>, errors: string[] }>}
  *   результати конвертації та зібрані нефатальні помилки
  */
 async function buildPatchToImageConversions(kustAbs, rootNorm, candidates) {
-  /** @type {Array<{ index: number, name: string, newName: string, newTag: string | null }>} */
+  /** @type {Array<{ index: number, opIndex: number, totalOps: number, name: string, newName: string, newTag: string | null }>} */
   const conversions = []
   /** @type {string[]} */
   const errors = []
-  for (const { index, info } of candidates) {
+  for (const { index, totalOps, info } of candidates) {
     const baseImage = await walkKustomizationForDeploymentImage(
       kustAbs,
       rootNorm,
@@ -5934,7 +5957,7 @@ async function buildPatchToImageConversions(kustAbs, rootNorm, candidates) {
       new Set()
     )
     const conversion = buildConversionForCandidate(index, info, baseImage, errors)
-    if (conversion !== null) conversions.push(conversion)
+    if (conversion !== null) conversions.push({ ...conversion, opIndex: info.opIndex, totalOps })
   }
   return { conversions, errors }
@@ -5944,7 +5967,7 @@ async function buildPatchToImageConversions(kustAbs, rootNorm, candidates) {
  * Будує одну конвертацію `patches[index]` → `images[]` запис з відповідним `newTag`.
  * Якщо щось не так (немає baseImage, digest у base/new) — додає текст у `errors` і повертає null.
  * @param {number} index індекс патча в `patches[]`
- * @param {{ deployName: string, containerIndex: number, newImage: string }} info результат `imageReplaceDeploymentPatchInfo`
+ * @param {{ deployName: string, containerIndex: number, newImage: string, opIndex: number }} info один із записів `imageReplaceDeploymentPatchInfo().ops` (плюс `deployName` патча)
  * @param {string | null} baseImage знайдений базовий image або null
  * @param {string[]} errors буфер нефатальних помилок (мутується)
  * @returns {{ index: number, name: string, newName: string, newTag: string | null } | null} запис конвертації або null
@@ -5975,19 +5998,43 @@ function buildConversionForCandidate(index, info, baseImage, errors) {
 }
 /**
- * Видаляє конвертовані елементи з `patches:` (за потреби — і сам ключ) і дописує `images:`.
+ * Застосовує конвертації до Document: для кожного `patches[i]` або видаляє патч цілком (коли всі
+ * його ops конвертовано), або переписує inline `patch:`, лишаючи решту ops без коментарів.
+ * Допише `images:` з усіма конвертованими записами.
  * @param {ReturnType<typeof parseDocument>} doc документ kustomization.yaml
- * @param {Array<{ index: number, name: string, newName: string, newTag: string | null }>} conversions конвертації
+ * @param {Array<{ index: number, opIndex: number, totalOps: number, name: string, newName: string, newTag: string | null }>} conversions конвертації
  * @returns {boolean} true, якщо мутації відбулися (документ можна серіалізувати)
  */
 function applyConversionsToDoc(doc, conversions) {
   const patchesNode = doc.get('patches', true)
   if (!isSeq(patchesNode)) return false
-  const removeIdx = new Set(conversions.map(c => c.index))
-  for (let i = patchesNode.items.length - 1; i >= 0; i--) {
-    if (removeIdx.has(i)) patchesNode.delete(i)
+  /** @type {Map<number, { totalOps: number, opIdx: number[] }>} */
+  const byPatch = new Map()
+  for (const c of conversions) {
+    const slot = byPatch.get(c.index) ?? { totalOps: c.totalOps, opIdx: [] }
+    slot.opIdx.push(c.opIndex)
+    byPatch.set(c.index, slot)
+  }
+  const sortedIdx = [...byPatch.keys()].sort((a, b) => b - a)
+  for (const i of sortedIdx) {
+    const slot = byPatch.get(i)
+    if (slot === undefined) continue
+    const { totalOps, opIdx } = slot
+    if (opIdx.length === totalOps) {
+      patchesNode.delete(i)
+      continue
+    }
+    const patchEntry = patchesNode.get(i, true)
+    if (patchEntry === undefined || patchEntry === null) continue
+    const patchScalar = patchEntry.get('patch', true)
+    if (patchScalar === undefined || patchScalar === null || typeof patchScalar.value !== 'string') continue
+    const rewritten = rewriteInlinePatchWithoutOps(patchScalar.value, opIdx)
+    if (rewritten === null) continue
+    patchScalar.value = rewritten
   }
   if (patchesNode.items.length === 0) {
     doc.delete('patches')
   }
@@ -6004,6 +6051,35 @@ function applyConversionsToDoc(doc, conversions) {
   return true
 }
+/**
+ * Видаляє ops за списком індексів з inline `patch:` (текст YAML-масиву JSON6902-ops)
+ * і повертає переписаний текст. Зберігає block-style. Повертає null, якщо не вдалося розпарсити
+ * або після видалення не лишилось ops.
+ * @param {string} patchText текст YAML-масиву ops (literal block scalar)
+ * @param {number[]} opIndices індекси ops, які треба видалити
+ * @returns {string | null} переписаний текст або null
+ */
+function rewriteInlinePatchWithoutOps(patchText, opIndices) {
+  let inner
+  try {
+    inner = parseDocument(patchText)
+  } catch {
+    return null
+  }
+  if (inner.errors.length > 0) return null
+  const seq = inner.contents
+  if (!isSeq(seq)) return null
+  const toRemove = [...new Set(opIndices)].sort((a, b) => b - a)
+  for (const i of toRemove) {
+    if (i < 0 || i >= seq.items.length) return null
+    seq.delete(i)
+  }
+  if (seq.items.length === 0) return null
+  seq.flow = false
+  return inner.toString().replace(/\n+$/u, '')
+}
 /**
  * Прохід для всіх `kustomization.yaml`: конвертує image-replace patches у `images:`,
  * потім чистить `images:` (зрізає теги в `name`, видаляє надлишкові `newTag`).

package/scripts/lint-ga.mjs CHANGED Viewed

@@ -27,16 +27,26 @@ import { resolveCmd } from './utils/resolve-cmd.mjs'
 /** Каталог пакету `@nitra/cursor`, від якого ресолвимо вшиту директорію policy/. */
 const PACKAGE_ROOT = dirname(dirname(fileURLToPath(import.meta.url)))
-/** Шлях до Rego-полісі (PoC: лише clean-ga-workflows). У npm-tarball публікується через `files` у package.json. */
+/** Шлях до кореня Rego-полісі для GA. У npm-tarball публікується через `files: ["policy"]` у package.json. */
 const GA_POLICY_DIR = join(PACKAGE_ROOT, 'policy', 'ga')
 /**
- * Workflow-файли, для яких маємо відповідну Rego-полісі. PoC: один файл; інші підтягуватимемо в міру міграції
- * перевірок із `npm/scripts/check-ga.mjs`.
- * @type {Array<{ workflow: string, label: string }>}
+ * Workflow-файли, для яких маємо відповідну Rego-полісі. Кожен таргет посилається на під-пакет
+ * `ga.<name>` у `policy/ga/<name>/<name>.rego`; conftest викликаємо з `--namespace`, щоб правила
+ * іншого workflow не застосовувалися до чужого файлу.
+ * @type {Array<{ workflow: string, namespace: string, label: string }>}
  */
 const CONFTEST_TARGETS = [
-  { workflow: '.github/workflows/clean-ga-workflows.yml', label: 'clean-ga-workflows.yml structure' }
+  {
+    workflow: '.github/workflows/clean-ga-workflows.yml',
+    namespace: 'ga.clean_ga_workflows',
+    label: 'clean-ga-workflows.yml structure'
+  },
+  {
+    workflow: '.github/workflows/clean-merged-branch.yml',
+    namespace: 'ga.clean_merged_branch',
+    label: 'clean-merged-branch.yml structure'
+  }
 ]
 /**
@@ -218,6 +228,8 @@ function runConftestStep() {
       target.workflow,
       '-p',
       GA_POLICY_DIR,
+      '--namespace',
+      target.namespace,
       '--no-color'
     ])
     if (code !== 0) return code