@nitra/cursor 1.8.212 → 1.8.216

package/CHANGELOG.md

@@ -4,6 +4,55 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.216] - 2026-05-09
+
+### Changed
+
+- **k8s / check-k8s:** орієнтир **`DEFAULT_CONTAINER_MEMORY_REQUEST`** поза base — **`512Mi`** (замість **`512`**).
+
+## [1.8.215] - 2026-05-09
+
+### Changed
+
+- **k8s / check-k8s:** канон **`resources.requests.memory`** у шарі **`…/k8s/…/base/…`** — **`128Mi`** (замість **`128`**, щоб відповідати Quantity у Kubernetes); приймається **`Mi`** без урахування регістру.
+
+## [1.8.214] - 2026-05-09
+
+### Fixed
+
+- **k8s / check-k8s:** конвертація image-replace patches → `images:` падала з `byPatch.keys(...).toSorted is not a function`, бо `Map.keys()` повертає ітератор без `toSorted`. Тепер ключі спершу матеріалізуються у масив (`[...byPatch.keys()].toSorted(...)`).
+
+### Changed
+
+- **k8s / check-k8s:** у шарі **`…/k8s/…/base/…`** для **Deployment** жорстко **`resources.requests.cpu: '0.02'`** та **`memory: '128'`**; поза base обов’язкові **cpu** і **memory** (орієнтир **`0.5`** / **`512`** у підказках).
+- **k8s / check-k8s:** заборона **`hpa.yaml`** у каталозі **`…/base/`**; якщо HPA є в дереві base — вимагається strategic-merge **`$patch: delete`** для **HorizontalPodAutoscaler** у **`base/kustomization.yaml`**.
+- **k8s / check-k8s:** прод-оверлей вимагає patches на **HPA** (`minReplicas`/`maxReplicas`) лише якщо успадковане base **не** видаляє HPA через delete-patch; **PDB** **`minAvailable`** — якщо в base є PDB.
+- **k8s.mdc:** оновлено правила та приклади під цю модель.
+
+## [1.8.213] - 2026-05-09
+
+### Added
+
+- Нове правило `js-bun-redis` (`npm/mdc/js-bun-redis.mdc`): заміна `ioredis` /
+  `node-redis` (включно з кореневим `redis` v4 і підпакетами `@redis/*`) на
+  Bun native Redis (`import { redis } from 'bun'`,
+  <https://bun.com/docs/runtime/redis>).
+- AST-сканер `npm/scripts/utils/redis-imports.mjs` (`oxc-parser`) ловить
+  `import` / `require` / динамічний `import()` пакетів `ioredis`, `node-redis`,
+  `redis`, підшляхів `ioredis/...` / `redis/...` і `@redis/*`. Не зачіпає
+  сторонні `redis-*` (наприклад, `redis-mock`).
+- `npm/scripts/check-js-bun-redis.mjs` запускає AST-скан по JS/TS-джерелах і
+  доступний як `npx @nitra/cursor check js-bun-redis`.
+- Rego-полісі `npm/policy/js_bun_redis/package_json/` — заборона
+  `ioredis` / `node-redis` / `redis` / `@redis/*` у `dependencies` будь-якого
+  `package.json` у дереві; зареєстрована таргетом у
+  `npm/scripts/lint-conftest.mjs` (`bun run lint-conftest`).
+- Авто-увімкнення правила в `.n-cursor.json`: `npm/scripts/auto-rules.mjs`
+  додає `js-bun-redis`, якщо в `dependencies` хоч одного `package.json` є
+  `ioredis` або `node-redis` (умова — у `npm/bin/auto-rules.md`).
+- Тести: `npm/tests/redis-imports.test.mjs` (AST-сканер) і нові кейси у
+  `npm/tests/auto-rules.test.mjs` (детект `ioredis` / `node-redis`).
+
 ## [1.8.212] - 2026-05-08
 
 ### Changed
@@ -54,7 +103,7 @@
     `sqlFormat` / `pgFmt` з `%L`/`%I`/`%s` у тілі, плюс `quoteLiteral` /
     `quoteIdent` / `escapeLiteral` / `escapeIdent` без додаткової перевірки)
     та `findPgFormatLikeQueryWrapperInText` (`{ query(text, params) { ...
-    <obj>.unsafe(...) ... } }`). Скан запускається лише у файлах з
+<obj>.unsafe(...) ... } }`). Скан запускається лише у файлах з
     `import { sql|SQL } from 'bun'`.
   - `npm/scripts/check-js-bun-db.mjs` рапортує `pgFormatShim` / `queryWrapper` —
     окремі лічильники й `pass`-рядки, без зміни існуючих перевірок.
@@ -105,10 +154,10 @@
     (prettier-залежність, `@nitra/eslint-config ≥ 3.9.2`),
     `checkPackageJsonTypeModule` для root, `checkEnginesNode/Bun` для root,
     канонічний `lint-js`-скрипт, валідація `lint-js.yml` (`verifyLintJsWorkflowStructure`
-    + fallback). Лишилися — `.oxlintrc.json` canonical-snapshot, VSCode-розширення,
-    workspace-ітерація для `type: "module"` і engines, дубль JS-кроків у `lint.yml`,
-    `.jscpd.json`. Прибрано непотрібні імпорти `parseWorkflowYaml`,
-    `verifyLintJsWorkflowStructure` і `OXLINT_FIX_RE`.
+    - fallback). Лишилися — `.oxlintrc.json` canonical-snapshot, VSCode-розширення,
+      workspace-ітерація для `type: "module"` і engines, дубль JS-кроків у `lint.yml`,
+      `.jscpd.json`. Прибрано непотрібні імпорти `parseWorkflowYaml`,
+      `verifyLintJsWorkflowStructure` і `OXLINT_FIX_RE`.
   - `npm/scripts/check-js-run.mjs` — без перевірок `bunyan` / `@nitra/bunyan` у
     залежностях, canonical `jsconfig.json` через `deepEqualJson`,
     `OTEL_RESOURCE_ATTRIBUTES` у `configmap.yaml`. Лишилися AST-скан коду
@@ -220,7 +269,7 @@
 - `check-k8s.mjs` (автоконверт `image-replace` patches → `images:`): тепер працює і для `patches[i].patch` із **кількома** ops, а не лише з одинокою image-replace op. Сканує всі ops у патчі, конвертує **кожну** `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у запис `images:`; якщо всі ops патча конвертовано — `patches[i]` видаляється повністю; інакше inline `patch:` переписується через `parseDocument` без конвертованих ops зі збереженням block-literal scalar (`|-`) і вихідного порядку решти ops. Реалізовано через нові функції `tryParseJson6902Array` (≥ 1 op, замість `tryParseSingleJson6902Array`) і `rewriteInlinePatchWithoutOps`; `imageReplaceDeploymentPatchInfo` повертає `{ deployName, totalOps, ops: [{ containerIndex, newImage, opIndex }] }` (раніше — одиничний `{ deployName, containerIndex, newImage }` лише за `length === 1`); `applyConversionsToDoc` групує конвертації по індексу патча й вирізає ops або сам патч за потреби. Сортування решти ops після видалення лишається поза цією зміною — за нього відповідає окрема перевірка `kustomizationInlinePatchOpsSortedViolation`.
 - `mdc/k8s.mdc` (v1.26 → v1.27): уточнено крок 1 авто-перевірки в розділі «Зміна image — через `images:`, не через `patches[]`» — тепер описує і випадок, коли в `patches[i].patch` лишаються не-image ops (їх зберігає, у вихідному порядку, без коментарів).
 - `check-js-lint.mjs` + `mdc/js-lint.mdc` (v1.16 → v1.17): мінімум `@nitra/eslint-config` піднято з `^3.8.0` до `^3.9.2`. Обґрунтування: з 3.9.2 у `getConfig` вбудовано ignore для `**/adr/**`, тож ADR-документи не валідуються ESLint, і консьюмерам не треба додавати цей glob у `eslint.config.js` локально. `nitraEslintConfigMeetsMinVersion` тепер повертає `false` для діапазонів `^3.8.x`–`^3.9.1`; `workspace:*` лишається ok без змін. Pass/fail-повідомлення `checkPackageJsonLintDeps` оновлено під новий мінімум; `for...in`-бан з 3.8.0 згадується як накопичена відмінність. Тести `nitraEslintConfigMeetsMinVersion` розширено: `^3.9.2`/`^3.9.10`/`^3.10.0`/`^4.0.0` — ok; `^3.9.1`/`^3.8.0`/`^3.6.12`/`^3.4.3` — ні.
-- `bin/n-cursor.js` (`reexecIfPackageVersionChanged` + `spawnSync`-виклик): `process.env.NITRA_CURSOR_REEXEC` і `...process.env` замінено на `env.NITRA_CURSOR_REEXEC` і `...env` з `node:process` (`import { cwd, env } from 'node:process'`). Підстава: правило `js-run.mdc` забороняє прямий `process.env.*` у Node-коді; `NITRA_CURSOR_REEXEC` — опційна змінна (виставляється лише при re-exec), тож імпорт `env` з `node:process` (а не з `@nitra/check-env`) — канонічна форма для опційних. Поведінка не змінена; раніше `npm/scripts/check-js-run.mjs` помилявся на `bin/n-cursor.js:1136` (правило `process-env`), тепер intergation-test `check-* на реальному репозиторії` проходить.
+- `bin/n-cursor.js` (`reexecIfPackageVersionChanged` + `spawnSync`-виклик): `process.env.NITRA_CURSOR_REEXEC` і `...process.env` замінено на `env.NITRA_CURSOR_REEXEC` і `...env` з `node:process` (`import { cwd, env } from 'node:process'`). Підстава: правило `js-run.mdc` забороняє прямий `process.env.*` у Node-коді; `NITRA_CURSOR_REEXEC` — опційна змінна (виставляється лише при re-exec), тож імпорт `env` з `node:process` (а не з `@nitra/check-env`) — канонічна форма для опційних. Поведінка не змінена; раніше `npm/scripts/check-js-run.mjs` помилявся на `bin/n-cursor.js:1136` (правило `process-env`), тепер integration-test `check-* на реальному репозиторії` проходить.
 
 ### Added
 

package/bin/auto-rules.md

@@ -34,6 +34,8 @@ js-mssql - якщо в хоч одному package.json в секції dependen
 
 js-bun-db - якщо в хоч одному package.json в секції dependencies присутній пакет pg, pg-format або mysql2 або є імпорт sql/SQL з Bun (приклад: import { sql } from "bun")
 
+js-bun-redis - якщо в хоч одному package.json в секції dependencies присутній пакет ioredis або node-redis
+
 k8s - якщо присутня хоч одна директорія k8s
 
 nginx-default-tpl - якщо присутній хоч один файл з переліку - default.conf.template, default.conf, nginx.conf

package/mdc/js-bun-db.mdc

@@ -26,7 +26,7 @@ PostgreSQL 18+, MariaDB 10.6+ (сумісний з MySQL-протоколом,
 - допоміжні `quoteLiteral`, `quoteIdent`, `escapeLiteral`, `escapeIdent` як публічні експорти модуля;
 - обгортки `pgRead.query(text, params)` / `pgWrite.query(text, params)` / `db.query(text, params)`, які складають SQL-рядок (з або без `format`) і викликають `sql.unsafe(text, params)` — це повертає injection-поверхню, від якої ми йдемо, тільки під «зручним» іменем.
 
-Замість цього всі точки використання потрібно перевести на tagged template `sql\`...\${value}...\``. Кожне `${value}` стає окремим параметром bind, без рядкового екранування.
+Замість цього всі точки використання потрібно перевести на tagged template `sql\`...\${value}...\``. Кожне`${value}` стає окремим параметром bind, без рядкового екранування.
 
 ### Типові ідіоми `pg-format` → Bun SQL
 

package/mdc/js-bun-redis.mdc

@@ -0,0 +1,21 @@
+---
+description: Використання Redis/Valkey з Bun
+alwaysApply: true
+version: '1.0'
+---
+
+## Підтримувані версії redis
+
+Redis 7.2+
+
+## Заміна на Bun native Redis
+
+Якщо в проєкті використовуються бібліотеки `ioredis`, `node-redis`, їх потрібно замінити на Bun native Redis: <https://bun.com/docs/runtime/redis>.
+
+- Видалити з `dependencies`: `ioredis`, `node-redis`.
+- Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
+- Замінити на `import { redis } from 'bun'`
+
+## Перевірка
+
+`npx @nitra/cursor check js-bun-redis`.

package/mdc/k8s.mdc

@@ -96,19 +96,51 @@ jobs:
         run: bun run lint-k8s
 ```
 
-## Deployment: `resources.requests.cpu`
+## Deployment: `resources.requests` (CPU і memory)
 
-У **`Deployment`** у кожному **`containers`** має бути **`resources.requests.cpu`** — непорожнє значення (наприклад **`"500m"`**, **`"100m"`** або число на кшталт **`0.5`**). Це гарантує, що Kubernetes планує pod з мінімальним бюджетом CPU і коректно працює з HPA (CPU target %).
+У кожному контейнері **`Deployment`** обов’язкові **`resources.requests.cpu`** і **`resources.requests.memory`** (непорожні скаляри Kubernetes Quantity).
 
-Якщо для сервісу ще не обрано конкретне значення — став **`"0.5"`** як безпечний мінімум:
+### Шар **`…/k8s/…/base/…`** (dev / щільний packing)
+
+У **всіх** `Deployment` у файлах під **`…/k8s/…/base/…`** значення **жорстко фіксовані** (для **cpu** допускається число **`0.02`** у YAML):
+
+```yaml
+resources:
+  requests:
+    cpu: '0.02'
+    memory: '128Mi'
+```
+
+**HPA у base не тримаємо** у локальному **`hpa.yaml`** поруч із `Deployment`. Якщо **HorizontalPodAutoscaler** потрапляє в дерево Kustomize з **`resources`** / **`components`** / **`bases`**, у **`…/base/kustomization.yaml`** додай strategic-merge patch з **`$patch: delete`** і **`kind: HorizontalPodAutoscaler`** (і **`metadata.name`**, що збігається з ресурсом, який треба прибрати). **`check k8s`** перевіряє наявність такого patch, коли в дереві base одночасно є **Deployment** і **HPA**.
+
+### Поза base (оверлеї, окремі каталоги)
+
+Якщо ще не підібрано власні ліміти під сервіс, орієнтир для **`requests`**:
 
 ```yaml
 resources:
   requests:
-    cpu: '0.5' # довільне значення; 0.5 — дефолт, якщо нічого специфічного ще не обрано
+    cpu: '0.5'
+    memory: '512Mi'
+```
+
+У прод-оверлеях підіймай **`cpu` / `memory`** до реального споживання через **`patches`** або окремі фрагменти маніфестів. **`check k8s`** не вимагає саме **`0.5` / `512Mi`** поза base — лише непорожні **`requests.cpu`** і **`requests.memory`**.
+
+```yaml title="k8s/prod/kustomization.yaml (фрагмент)"
+patches:
+  - target:
+      kind: Deployment
+      name: backend-api
+    patch: |-
+      - op: replace
+        path: /spec/template/spec/containers/0/resources/requests/cpu
+        value: '500m'
+      - op: replace
+        path: /spec/template/spec/containers/0/resources/requests/memory
+        value: 1Gi
 ```
 
-**`check k8s`** перевіряє присутність і непорожність **`resources.requests.cpu`** у кожному документі **Deployment** під **`k8s`**. Поле **`imagePullPolicy`** скрипт **не** перевіряє (залишається політиці Kubernetes за тегом образу).
+Поле **`imagePullPolicy`** скрипт **не** перевіряє (залишається політиці Kubernetes за тегом образу).
 
 Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег із константи **`HASURA_GRAPHQL_ENGINE_IMAGE`** у **`check-k8s.mjs`** (допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
 
@@ -341,15 +373,17 @@ images:
 
 **`check k8s`:** заборонено **`kind: Ingress`**.
 
-## Deployment: обов'язкові `hpa.yaml`, `pdb.yaml`, `topologySpreadConstraints`
+## Deployment: `pdb.yaml`, `topologySpreadConstraints`, HPA поза dev-base
 
-Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у **тому ж каталозі** мають бути **`hpa.yaml`** (HPA) і **`pdb.yaml`** (PDB), а сам Deployment — канонічні **`spec.template.spec.topologySpreadConstraints`**. Інші workload-и (**CronJob**, **Job** тощо) або каталоги без шару **`base`** цими вимогами не охоплюються — **`check k8s`** їх не змушує додавати HPA/PDB поруч. Скрипт звіряє прив’язку за іменами:
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у **тому ж каталозі** має бути **`pdb.yaml`** (PDB), а сам Deployment — канонічні **`spec.template.spec.topologySpreadConstraints`**. Локальний **`hpa.yaml`** у каталозі **`…/base/`** **заборонено** — для dev HPA з дерева Kustomize прибирається через **`$patch: delete`** у **`base/kustomization.yaml`** (див. розділ про **`resources.requests`** вище).
 
-- **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
+У **не-base** оверлеях поруч із `Deployment` лишається звична схема: окремий **`hpa.yaml`**, якщо потрібен HPA для цього середовища. **`check k8s`** звіряє прив’язку за іменами:
+
+- **`hpa.yaml`** (поза **`…/base/`**) — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є хоча б один **`Deployment`** у YAML під **`…/k8s/…/base/`**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться такий Deployment. Перевіряє **`check-k8s.mjs`**.
+**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є хоча б один **`Deployment`** у YAML під **`…/k8s/…/base/`**. Якщо після збору в дереві є і **Deployment**, і **HPA**, **base** `kustomization.yaml` має містити strategic-merge видалення **HorizontalPodAutoscaler** (`$patch: delete`). У `kustomization.yaml` overlay, який підключає цей `base`, не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться такий Deployment. Перевіряє **`check-k8s.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 
@@ -359,7 +393,7 @@ images:
 
 **Dev-like середовища** — сегмент `base`, `dev`, або з суфіксом `-qa` (напр. `tr-qa`):
 
-- HPA: `minReplicas` — рівно **1**, `maxReplicas` — рівно **1** (у деві не масштабуємо).
+- У **зібраному** маніфесті (після Kustomize), якщо лишився **HPA**: `minReplicas` — рівно **1**, `maxReplicas` — рівно **1**.
 - PDB: `minAvailable` — рівно **0**.
 
 **Прод-середовища** — усе інше (будь-який overlay без суфікса `-qa`):
@@ -369,12 +403,12 @@ images:
 
 ### Прод-оверрайди у `kustomization.yaml`
 
-Оскільки `base/` (і dev-like середовища) тримають dev-значення (`1`/`1`/`0`), у **кожному** прод-накладенні `kustomization.yaml` у `patches[]` **обов'язково** має бути перевизначення **лише якщо** цей оверлей наслідує base-дерево, де є **Deployment** і **HPA/PDB** (тобто base реально дає dev-like HPA/PDB, які треба підняти в проді):
+У прод-накладенні `kustomization.yaml` у `patches[]` **обов’язкові** перевизначення залежно від того, що дає успадковане **base**-дерево:
 
-- для `HorizontalPodAutoscaler`: `spec.minReplicas` **і** `spec.maxReplicas` (щоб у проді вийшло ≥2).
-- для `PodDisruptionBudget`: `spec.minAvailable` (щоб у проді вийшло ≥1).
+- **`PodDisruptionBudget`**: `spec.minAvailable` — якщо в base-дереві є **Deployment** і **PDB** (типово dev-like `0` → прод ≥1).
+- **`HorizontalPodAutoscaler`**: `spec.minReplicas` **і** `spec.maxReplicas` — **лише якщо** в base-дереві є **HPA**, який **не** прибирається в **base** через **`$patch: delete`**. Якщо base видаляє HPA для dev, у прод-оверлеї додай **HPA** окремим YAML у **`resources`** (або patches на ресурс, що з’являється з іншого шару) з прод-мінімумами.
 
-Формат patch — JSON6902 або Strategic Merge; `check k8s` перевіряє **наявність** перевизначення відповідного поля. Конкретне значення має задовольняти прод-мінімуми — це видно у вмісті patch і остаточно матеріалізується під час збірки Kustomize.
+Формат patch — JSON6902 або Strategic Merge; `check k8s` перевіряє **наявність** відповідних JSON Pointer-ів у **`patches[]`**.
 
 ```yaml title="k8s/prod/kustomization.yaml (фрагмент)"
 patches:
@@ -397,9 +431,30 @@ patches:
         value: 1
 ```
 
+### Приклад: прибрати HPA у `base/kustomization.yaml`
+
+Якщо **HPA** підключений з **`../component`** (або іншого шляху в **`resources`**), а у dev він не потрібен:
+
+```yaml title="k8s/base/kustomization.yaml (фрагмент)"
+resources:
+  - ../component
+  - deploy.yaml
+  - pdb.yaml
+patches:
+  - target:
+      kind: HorizontalPodAutoscaler
+      name: backend-api
+    patch: |-
+      $patch: delete
+      apiVersion: autoscaling/v2
+      kind: HorizontalPodAutoscaler
+      metadata:
+        name: backend-api
+```
+
 ### Приклади
 
-```yaml title="k8s/base/hpa.yaml"
+```yaml title="k8s/prod/hpa.yaml (або компонент з HPA — не в …/base/ локальному hpa.yaml)"
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2
 kind: HorizontalPodAutoscaler
@@ -410,8 +465,8 @@ spec:
     apiVersion: apps/v1
     kind: Deployment
     name: backend-api
-  minReplicas: 1 # dev-like; прод-накладення перевизначають на ≥ 2
-  maxReplicas: 1 # dev-like; прод-накладення перевизначають на ≥ 2
+  minReplicas: 2
+  maxReplicas: 10
   metrics:
     - type: Resource
       resource:
@@ -456,6 +511,13 @@ spec:
 spec:
   template:
     spec:
+      containers:
+        - name: backend-api
+          image: example.registry/backend-api:tag
+          resources:
+            requests:
+              cpu: '0.02'
+              memory: '128Mi'
       topologySpreadConstraints:
         - maxSkew: 1
           topologyKey: kubernetes.io/hostname

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.212",
+  "version": "1.8.216",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/js_bun_redis/package_json/package_json.rego

@@ -0,0 +1,37 @@
+# Перевірка `dependencies` для правила `js-bun-redis.mdc` — паралель до
+# `npm/policy/js_bun_db/package_json/package_json.rego`.
+#
+# Запуск (локально, для будь-якого `package.json` у дереві):
+#   conftest test path/to/package.json -p npm/policy/js_bun_redis \
+#     --namespace js_bun_redis.package_json
+#
+# Перевіряє: у `dependencies` не повинно бути `ioredis`, `node-redis`,
+# `redis` або жодного з підпакетів `@redis/*` — заміна на Bun native Redis
+# (https://bun.com/docs/runtime/redis).
+#
+# AST-скан коду (`import` / `require` / dynamic `import()` тих самих пакетів)
+# лишається у `npm/scripts/check-js-bun-redis.mjs` (потребує `oxc-parser`).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_bun_redis.package_json
+
+import rego.v1
+
+forbidden_dependencies := {
+	"ioredis",
+	"node-redis",
+	"redis",
+	"@redis/client",
+	"@redis/json",
+	"@redis/search",
+	"@redis/time-series",
+	"@redis/bloom",
+}
+
+deny contains msg if {
+	some pkg_name in forbidden_dependencies
+	pkg_name in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("dependencies містить заборонений %q — заміни на Bun native Redis (js-bun-redis.mdc)", [pkg_name])
+}

package/scripts/auto-rules.mjs

@@ -2,9 +2,9 @@
  * Автовизначення правил для `.n-cursor.json` за умовами з `npm/bin/auto-rules.md`.
  *
  * Модуль аналізує дерево проєкту (наявність файлів/директорій, `gql\`...\`` у source,
- * залежності `mssql` / `pg` / `pg-format` / `mysql2` у `package.json`, імпорт `sql`/`SQL` з `bun`, кореневий
- * `package.json`, `config.yaml` з рядком `metadata_directory: metadata` для hasura)
- * та повертає ідентифікатори правил, які потрібно автододати.
+ * залежності `mssql` / `pg` / `pg-format` / `mysql2` / `ioredis` / `node-redis` у `package.json`,
+ * імпорт `sql`/`SQL` з `bun`, кореневий `package.json`, `config.yaml` з рядком
+ * `metadata_directory: metadata` для hasura) та повертає ідентифікатори правил, які потрібно автододати.
  *
  * Враховує винятки `disable-rules`: елементи зі списку не додаються автоматично.
  *
@@ -39,6 +39,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'js-lint',
   'js-mssql',
   'js-bun-db',
+  'js-bun-redis',
   'js-run',
   'k8s',
   'nginx-default-tpl',
@@ -602,10 +603,18 @@ export async function detectAutoRules({
       : null
   )
   const isAbie = typeof repositoryUrl === 'string' && repositoryUrl.toLowerCase().includes(ABIE_REPOSITORY_URL_MARKER)
-  const depHits = await collectDependencyKeysPresentInPackageJsonTree(root, ['mssql', 'pg', 'pg-format', 'mysql2'])
+  const depHits = await collectDependencyKeysPresentInPackageJsonTree(root, [
+    'mssql',
+    'pg',
+    'pg-format',
+    'mysql2',
+    'ioredis',
+    'node-redis'
+  ])
   const hasMssqlDependency = depHits.has('mssql')
   const hasJsBunDbSignal =
     depHits.has('pg') || depHits.has('pg-format') || depHits.has('mysql2') || facts.hasBunSqlImport
+  const hasJsBunRedisSignal = depHits.has('ioredis') || depHits.has('node-redis')
   const hasNestedNodePackage = await hasNestedPackageJsonWithoutViteDevDependency(root)
 
   /** @type {string[]} */
@@ -634,6 +643,7 @@ export async function detectAutoRules({
     { enabled: facts.hasJsLikeSource, id: 'js-lint' },
     { enabled: hasMssqlDependency, id: 'js-mssql' },
     { enabled: hasJsBunDbSignal, id: 'js-bun-db' },
+    { enabled: hasJsBunRedisSignal, id: 'js-bun-redis' },
     { enabled: hasNestedNodePackage, id: 'js-run' },
     { enabled: facts.hasK8sDir, id: 'k8s' },
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },

package/scripts/auto-skills.mjs

@@ -12,13 +12,7 @@
  */
 
 /** Порядок автододавання skills відповідно до `auto-skills.md`. */
-export const AUTO_SKILL_ORDER = Object.freeze([
-  'abie-kustomize',
-  'fix',
-  'lint',
-  'publish-telegram',
-  'taze'
-])
+export const AUTO_SKILL_ORDER = Object.freeze(['abie-kustomize', 'fix', 'lint', 'publish-telegram', 'taze'])
 
 /**
  * Залежність скілів від правил (`auto-skills.md` синтаксис `skill - [rules]`).

package/scripts/check-hasura.mjs

@@ -148,9 +148,8 @@ async function checkEnvFile(relPath, expected, reporter) {
   const value = m[1].trim()
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
-     
     const example =
-      "https://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>"
+      'https://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )

package/scripts/check-js-bun-redis.mjs

@@ -0,0 +1,98 @@
+/**
+ * Перевіряє правило `js-bun-redis.mdc`.
+ *
+ * Заборонено в JS/TS-джерелах будь-який `import` / `require` / динамічний `import()` пакетів
+ * `ioredis`, `node-redis`, `redis` (та підпакетів `@redis/*`, підшляхів `ioredis/...` /
+ * `redis/...`). Замість них треба використовувати Bun native Redis:
+ * `import { redis } from 'bun'` (<https://bun.com/docs/runtime/redis>).
+ *
+ * Перевірку `dependencies` (заборона `ioredis` / `node-redis` / `redis` / `@redis/*` у будь-якому
+ * `package.json`) винесено в Rego-полісі `npm/policy/js_bun_redis/package_json/`; її запускає
+ * `bun run lint-conftest`. Тут лишився AST-скан коду через `oxc-parser`.
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { join, relative } from 'node:path'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
+import { findRedisImportsInText, isRedisScanSourceFile, shouldSkipFileForRedisScan } from './utils/redis-imports.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+/**
+ * Збирає абсолютні шляхи JS/TS джерел у репозиторії для скану заборонених redis-імпортів.
+ * @param {string} repoRoot абсолютний шлях до кореня репозиторію
+ * @param {string[]} ignorePaths абсолютні шляхи каталогів, повністю виключених з обходу
+ * @returns {Promise<string[]>} абсолютні шляхи, відсортовані за відносним шляхом
+ */
+async function findAllSourcePathsForRedisScan(repoRoot, ignorePaths) {
+  /** @type {string[]} */
+  const paths = []
+  await walkDir(
+    repoRoot,
+    absPath => {
+      const rel = relative(repoRoot, absPath).split('\\').join('/')
+      if (isRedisScanSourceFile(rel) && !shouldSkipFileForRedisScan(rel)) {
+        paths.push(absPath)
+      }
+    },
+    ignorePaths
+  )
+  paths.sort((a, b) => relative(repoRoot, a).localeCompare(relative(repoRoot, b)))
+  return paths
+}
+
+/**
+ * Сканує JS/TS-джерела на заборонені імпорти/require пакетів `ioredis` / `node-redis` / `redis`.
+ * @param {string[]} sourcePaths абсолютні шляхи джерел
+ * @param {string} repoRoot абсолютний шлях до кореня
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<number>} кількість знайдених порушень
+ */
+async function scanSourcesForRedisImports(sourcePaths, repoRoot, fail) {
+  let violations = 0
+  for (const absPath of sourcePaths) {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    const content = await readFile(absPath, 'utf8')
+    for (const v of findRedisImportsInText(content, rel)) {
+      violations++
+      fail(
+        `js-bun-redis: ${rel}:${v.line} — заміни '${v.module}' на Bun native Redis ` +
+          `(import { redis } from 'bun', https://bun.com/docs/runtime/redis): ${v.snippet}`
+      )
+    }
+  }
+  return violations
+}
+
+/**
+ * Перевіряє відповідність проєкту правилу `js-bun-redis.mdc`.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const repoRoot = process.cwd()
+  if (!existsSync(join(repoRoot, 'package.json'))) {
+    pass('js-bun-redis: package.json у корені відсутній — перевірку пропущено')
+    return reporter.getExitCode()
+  }
+
+  const ignorePaths = await loadCursorIgnorePaths(repoRoot)
+  const sourcePaths = await findAllSourcePathsForRedisScan(repoRoot, ignorePaths)
+  if (sourcePaths.length === 0) {
+    pass('js-bun-redis: немає JS/TS файлів для скану імпортів ioredis / node-redis / redis')
+    return reporter.getExitCode()
+  }
+
+  const violations = await scanSourcesForRedisImports(sourcePaths, repoRoot, fail)
+  if (violations === 0) {
+    pass(
+      "js-bun-redis: немає імпортів 'ioredis' / 'node-redis' / 'redis' / '@redis/*' у джерелах " +
+        '(використовується Bun native Redis або redis взагалі не задіяно)'
+    )
+  }
+
+  return reporter.getExitCode()
+}