@nitra/cursor 1.8.221 → 1.8.222

package/.claude-template/npm-CLAUDE.md

@@ -21,6 +21,10 @@ npx @nitra/cursor check changelog
 npx @nitra/cursor check npm-module
 ```
 
+## Перш ніж писати `check-*.mjs`
+
+Перед створенням нового `npm/scripts/check-<rule>.mjs` оціни, чи задача лягає на rego-полісі. **Default — Rego**: пер-документні структурні перевірки (kind/apiVersion, поля, форма масивів) пишуться у `npm/policy/<rule>/<name>/<name>.rego` + `_test.rego`. JS — тільки для cross-file resolution, file-system access (`readdir`/`stat`), autofix/rewrite або парсингу до YAML-body. Гібрид (rego як швидкий gate + JS-оркестратор для cross-file) — нормальний патерн; референс — `npm/policy/k8s/*` ↔ `npm/scripts/check-k8s.mjs`. Деталі алгоритму рішення — `.cursor/rules/conftest.mdc` (alwaysApply).
+
 ## Джерело правил
 
 - `.cursor/rules/n-changelog.mdc` — правило про CHANGELOG (PR-scoped, для всіх воркспейсів)

package/CHANGELOG.md

@@ -4,6 +4,21 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.222] - 2026-05-10
+
+### Added
+
+- **k8s / rego-полісі:** розширено `npm/policy/k8s/manifest/manifest.rego` (Deployment cpu+memory у `requests`, Hasura image pin із білим списком тегів, канонічний `topologySpreadConstraints` з мітки `app` самого Deployment). Додано `manifest_test.rego` із вхідними фікстурами; rego тестується через `conftest verify` (опційний крок у `bun run lint-rego`). JS у `check-k8s.mjs` лишається authoritative — нові правила Rego — швидкий gate для одиничного маніфеста.
+- **k8s / нові rego-пакети:** `npm/policy/k8s/gateway/` (Gateway API: backendRef з суфіксом `-hl`, redundant `namespace` у backendRef, HCP `targetRef.name` `-hl`); `npm/policy/k8s/kustomization/` (resources/patches алфавітне сортування, JSON6902 `remove`+`add` на той самий `path`); `npm/policy/k8s/svc_yaml/` (`Service.spec.type: ClusterIP`); `npm/policy/k8s/svc_hl_yaml/` (headless Service з суфіксом `-hl` і `clusterIP: None`); `npm/policy/k8s/base_kustomization/` (обов'язковий `namespace:`); `npm/policy/k8s/base_manifest/` (`metadata.namespace` у base, base-canon `cpu='0.02'`/`memory='128Mi'`); `npm/policy/k8s/kustomize_managed/` (заборона `metadata.namespace` у kustomize-managed файлах); `npm/policy/k8s/hasura_configmap/` (`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS: "true"`); `npm/policy/k8s/hasura_httproute/` (канон 4 правил Hasura: `/ql` Exact + `/ql/` Exact + PathPrefix + WebSocket); `npm/policy/k8s/hpa_pdb/` (структурний gate HPA/PDB: `apiVersion`, `behavior.scaleUp/Down`, `metrics`, `selector.matchLabels`). До кожного пакета додано `*_test.rego` фікстури.
+- **lint-rego:** додано опційний крок `conftest verify` у `npm/scripts/lint-rego.mjs` після `regal lint` для виконання `*_test.rego`. Якщо `conftest` не у PATH — крок мовчки пропускається з install-hint.
+
+### Changed
+
+- **lint-conftest:** `npm/scripts/lint-conftest.mjs` — `k8s.manifest` target тепер указує на `policyDir: 'k8s/manifest'` (вужчий policy-tree), додано targets для нових пакетів `k8s.gateway`, `k8s.hpa_pdb`, `k8s.kustomization`, `k8s.svc_yaml`, `k8s.svc_hl_yaml`, `k8s.base_kustomization`, `k8s.base_manifest`. Шляхові регекспи: `K8S_KUSTOMIZATION_PATH_RE`, `K8S_BASE_KUSTOMIZATION_PATH_RE`, `K8S_BASE_MANIFEST_PATH_RE`, `K8S_SVC_YAML_PATH_RE`, `K8S_SVC_HL_YAML_PATH_RE`. Пакети `kustomize_managed`, `hasura_configmap`, `hasura_httproute` потребують cross-file gating з `check-k8s.mjs` і не входять у `lint-conftest` walk-targets.
+- **n-k8s.mdc:** додано розділ «Швидкий gate через conftest (Rego)» зі списком rego-пакетів і опису того, що cross-file логіка (резолюція kustomize-tree, парність svc.yaml/svc-hl.yaml, прив'язка ConfigMap/HTTPRoute до Hasura-Deployment, HPA/PDB by directory, env-залежні межі min/maxReplicas) лишається у `check-k8s.mjs`.
+- **conftest.mdc (alwaysApply):** замість одного абзацу про «пріоритет conftest» — повний алгоритм рішення для нової перевірки: декізія-дерево (single-document → Rego за замовчуванням; cross-file/FS/autofix/text-pre-YAML → JS), workflow «спершу намалюй вхід → rego або гібрид», список «червоних прапорів» (Rego не вміє X — звір зі списком винятків). Мета: робити Rego default-вибором для нових перевірок.
+- **npm/.claude-template/npm-CLAUDE.md:** додано path-scoped нагадування «Перш ніж писати `check-*.mjs`» з посиланням на алгоритм у `conftest.mdc`. Регенеровано `npm/CLAUDE.md`.
+
 ## [1.8.221] - 2026-05-10
 
 ### Changed

package/bin/auto-rules.md

@@ -48,6 +48,8 @@ rego - якщо в проекті є хоч один rego
 
 style-lint - якщо присутній хоч один vue або css файл
 
+tauri - - якщо в хоч в package.json в секції dependencies присутній пакет @tauri-apps/api
+
 text - завжди
 
 vue - якщо присутній хоч один vue файл

package/mdc/tauri.mdc

@@ -0,0 +1,20 @@
+---
+description: Tauri
+alwaysApply: true
+version: '1.0'
+---
+
+
+в файлі .vscode/extensions.json є налаштування для Vue:
+
+```json title=".vscode/extensions.json"
+{
+  "recommendations": ["tauri-apps.tauri-vscode",
+    "rust-lang.rust-analyzer"]
+}
+```
+
+
+## Перевірка
+
+`npx @nitra/cursor check tauri`

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.221",
+  "version": "1.8.222",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/k8s/base_kustomization/base_kustomization.rego

@@ -0,0 +1,40 @@
+# Порт перевірки `k8s/base/kustomization.yaml` з `npm/scripts/check-k8s.mjs`
+# (k8s.mdc): у base-kustomization обов'язково має бути непорожнє поле
+# `namespace:`.
+#
+# Запуск (локально, лише для одного `k8s/base/kustomization.yaml`):
+#   conftest test path/to/k8s/base/kustomization.yaml \
+#     -p npm/policy/k8s/base_kustomization \
+#     --namespace k8s.base_kustomization
+#
+# JS authoritative (`check-k8s.mjs`: `baseKustomizationNamespaceViolation`,
+# `isBaseKustomizationPath` для відбору файла, `ensureBaseKustomizationHasNamespace`
+# як оркестратор).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.base_kustomization
+
+import rego.v1
+
+base_namespace_required_msg := concat(" ", [
+	"у base/kustomization.yaml завжди додай непорожній namespace:",
+	"(наприклад namespace: dev; k8s.mdc)",
+])
+
+deny contains base_namespace_required_msg if {
+	is_kustomization
+	not is_string(object.get(input, "namespace", null))
+}
+
+deny contains base_namespace_required_msg if {
+	is_kustomization
+	ns := object.get(input, "namespace", "")
+	is_string(ns)
+	trim_space(ns) == ""
+}
+
+is_kustomization if {
+	input.kind == "Kustomization"
+	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
+}

package/policy/k8s/base_kustomization/base_kustomization_test.rego

@@ -0,0 +1,36 @@
+# Тести для `k8s.base_kustomization`. Запуск:
+#   conftest verify -p npm/policy/k8s/base_kustomization --namespace k8s.base_kustomization
+package k8s.base_kustomization_test
+
+import rego.v1
+
+import data.k8s.base_kustomization
+
+base_kust := {
+	"apiVersion": "kustomize.config.k8s.io/v1beta1",
+	"kind": "Kustomization",
+}
+
+test_deny_missing_namespace if {
+	count(base_kustomization.deny) > 0 with input as base_kust
+}
+
+test_deny_empty_namespace if {
+	count(base_kustomization.deny) > 0 with input as object.union(base_kust, {"namespace": ""})
+}
+
+test_deny_whitespace_namespace if {
+	count(base_kustomization.deny) > 0 with input as object.union(base_kust, {"namespace": "   "})
+}
+
+test_allow_with_namespace if {
+	count(base_kustomization.deny) == 0 with input as object.union(base_kust, {"namespace": "dev"})
+}
+
+test_allow_non_kustomization if {
+	count(base_kustomization.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm"},
+	}
+}

package/policy/k8s/base_manifest/base_manifest.rego

@@ -0,0 +1,154 @@
+# Порт пер-документних структурних перевірок для маніфестів у шарі
+# `…/k8s/.../base/...` (k8s.mdc).
+#
+# Запуск (локально, лише для одного файлу під base/):
+#   conftest test path/to/k8s/base/deployment.yaml -p npm/policy/k8s/base_manifest \
+#     --namespace k8s.base_manifest
+#
+# JS відбирає файли під `…/k8s/.../base/…` (окрім `kustomization.yaml`) і
+# викликає conftest з цією намеспейс. JS authoritative
+# (`check-k8s.mjs`: `metadataNamespaceRequiredViolation` з `inBaseDir=true`,
+# `deploymentResourcesViolation` з `inK8sBaseLayer=true`,
+# `isK8sBaseManifestYamlPath`).
+#
+# Перевіряє:
+#  - namespaced kind має непорожній `metadata.namespace` (cluster-scoped kind
+#    і Kustomization/List виняток);
+#  - Deployment у base має фіксовані `resources.requests.cpu == "0.02"` (або
+#    число `0.02`) і `resources.requests.memory == "128Mi"` (case-insensitive
+#    суфікс Mi).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.base_manifest
+
+import rego.v1
+
+# Cluster-scoped kind (не вимагають metadata.namespace) — узгоджено з
+# `CLUSTER_SCOPED_KINDS` у `check-k8s.mjs`.
+cluster_scoped_kinds := {
+	"APIService",
+	"CertificateSigningRequest",
+	"ClusterCIDR",
+	"ClusterRole",
+	"ClusterRoleBinding",
+	"ComponentStatus",
+	"CSIDriver",
+	"CSINode",
+	"CustomResourceDefinition",
+	"FlowSchema",
+	"IPAddress",
+	"IngressClass",
+	"MutatingWebhookConfiguration",
+	"Namespace",
+	"Node",
+	"PersistentVolume",
+	"PriorityClass",
+	"PriorityLevelConfiguration",
+	"RuntimeClass",
+	"ServiceCIDR",
+	"StorageClass",
+	"StorageVersionMigration",
+	"ValidatingAdmissionPolicy",
+	"ValidatingAdmissionPolicyBinding",
+	"ValidatingWebhookConfiguration",
+	"VolumeAttachment",
+}
+
+# Жорстко зафіксовані значення resources.requests у base-шарі (k8s.mdc).
+base_cpu_request := "0.02"
+
+base_memory_request := "128Mi"
+
+base_metadata_missing_msg := concat(" ", [
+	"додай metadata з непорожнім metadata.namespace —",
+	"у k8s/base у кожному ресурсному YAML має бути явний namespace (k8s.mdc)",
+])
+
+base_namespace_required_msg := concat(" ", [
+	"metadata.namespace обов'язковий у k8s/base —",
+	"додай явний namespace у маніфесті (k8s.mdc)",
+])
+
+base_canon_cpu_template := concat(" ", [
+	"контейнер %q: у k8s/.../base resources.requests.cpu має бути рівно %q",
+	"(допускається число 0.02) — зараз %v (k8s.mdc)",
+])
+
+base_canon_memory_template := concat(" ", [
+	"контейнер %q: у k8s/.../base resources.requests.memory має бути рівно %q",
+	"(суфікс Mi без урахування регістру) — зараз %v (k8s.mdc)",
+])
+
+# ── deny: namespaced kind у base/ — обов'язковий metadata.namespace ──────
+
+deny contains base_metadata_missing_msg if {
+	is_namespaced_kind
+	not is_object(object.get(input, "metadata", null))
+}
+
+deny contains base_namespace_required_msg if {
+	is_namespaced_kind
+	meta := object.get(input, "metadata", null)
+	is_object(meta)
+	ns := object.get(meta, "namespace", "")
+	trim_space(ns) == ""
+}
+
+# ── deny: Deployment у base — точне cpu='0.02' / memory='128Mi' ──────────
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	cpu := object.get(object.get(container, "resources", {}), "requests", {}).cpu
+	cpu != null
+	not is_base_canon_cpu(cpu)
+	msg := sprintf(base_canon_cpu_template, [container.name, base_cpu_request, cpu])
+}
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	mem := object.get(object.get(container, "resources", {}), "requests", {}).memory
+	mem != null
+	not is_base_canon_memory(mem)
+	msg := sprintf(base_canon_memory_template, [container.name, base_memory_request, mem])
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+# Це namespaced ресурс, на який має застосовуватись правило metadata.namespace.
+is_namespaced_kind if {
+	is_string(input.kind)
+	input.kind != ""
+	input.kind != "List"
+	input.kind != "Kustomization"
+	is_string(input.apiVersion)
+	input.apiVersion != ""
+	not input.kind in cluster_scoped_kinds
+}
+
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "containers", [])
+}
+
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "initContainers", [])
+}
+
+# Канон cpu='0.02' — рядок (точно "0.02") або число 0.02.
+is_base_canon_cpu(v) if {
+	is_string(v)
+	trim_space(v) == base_cpu_request
+}
+
+is_base_canon_cpu(v) if {
+	is_number(v)
+	v == 0.02
+}
+
+# Канон memory='128Mi' (суфікс Mi без урахування регістру).
+is_base_canon_memory(v) if {
+	is_string(v)
+	lower(trim_space(v)) == "128mi"
+}

package/policy/k8s/base_manifest/base_manifest_test.rego

@@ -0,0 +1,94 @@
+# Тести для `k8s.base_manifest`. Запуск:
+#   conftest verify -p npm/policy/k8s/base_manifest --namespace k8s.base_manifest
+package k8s.base_manifest_test
+
+import rego.v1
+
+import data.k8s.base_manifest
+
+# ── metadata.namespace required ─────────────────────────────────────────
+
+test_deny_namespaced_kind_without_metadata if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+	}
+}
+
+test_deny_namespaced_kind_empty_namespace if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm", "namespace": ""},
+	}
+}
+
+test_allow_cluster_scoped_kind_without_namespace if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Namespace",
+		"metadata": {"name": "dev"},
+	}
+}
+
+test_allow_namespaced_kind_with_namespace if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm", "namespace": "dev"},
+	}
+}
+
+# ── base canon resources ─────────────────────────────────────────────────
+
+test_deny_deployment_cpu_not_base_canon if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "100m", "memory": "128Mi"}},
+		}]}}},
+	}
+}
+
+test_deny_deployment_memory_not_base_canon if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "0.02", "memory": "256Mi"}},
+		}]}}},
+	}
+}
+
+test_allow_deployment_with_base_canon_string if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "0.02", "memory": "128Mi"}},
+		}]}}},
+	}
+}
+
+test_allow_deployment_with_base_canon_number_cpu if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": 0.02, "memory": "128mi"}},
+		}]}}},
+	}
+}

package/policy/k8s/gateway/gateway.rego

@@ -0,0 +1,151 @@
+# Порт пер-документних перевірок для Gateway API і HealthCheckPolicy з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc).
+#
+# Запуск (локально, по одному файлу або по дереву):
+#   conftest test path/to/manifest.yaml -p npm/policy/k8s/gateway \
+#     --namespace k8s.gateway
+#
+# Перевіряє:
+#  - HealthCheckPolicy (`networking.gke.io/v1`): `spec.targetRef.name` має
+#    закінчуватися на `-hl` (headless Service);
+#  - HTTPRoute / GRPCRoute / TCPRoute / TLSRoute / UDPRoute (`gateway.networking.k8s.io/*`):
+#    backendRef до Service має ім'я з суфіксом `-hl` (headless);
+#  - той самий маршрут: backendRef з полем `namespace`, що збігається з
+#    `metadata.namespace` маршруту, — заборонено (надлишкове поле, ламається при
+#    overlay-перенесеннях).
+#
+# JS authoritative (`check-k8s.mjs` — функції `failIfGatewayRouteUsesNonHeadlessService`,
+# `healthCheckPolicyTargetRefHeadlessServiceViolation`,
+# `collectGatewayApiRouteBackendServiceNames`,
+# `collectGatewayApiRouteBackendRefsWithRedundantNamespace`); ця Rego — швидкий
+# gate для одиничного маніфеста.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package k8s.gateway
+
+import rego.v1
+
+# Kind-и маршрутів Gateway API, у `spec` яких шукаємо backendRefs.
+route_kinds := {"HTTPRoute", "GRPCRoute", "TCPRoute", "TLSRoute", "UDPRoute"}
+
+# Префікс apiVersion стандартних ресурсів Gateway API.
+api_group_prefix := "gateway.networking.k8s.io/"
+
+# Суфікс metadata.name для headless-сервісу (k8s.mdc).
+svc_hl_name_suffix := "-hl"
+
+hcp_target_ref_template := concat(" ", [
+	"HealthCheckPolicy: spec.targetRef.name має закінчуватись на %q",
+	"(зараз: %q) (k8s.mdc)",
+])
+
+route_backend_hl_template := concat(" ", [
+	"Gateway API %s: backendRef до Service має вказувати headless-сервіс",
+	"з суфіксом %q (зараз: %q) (k8s.mdc)",
+])
+
+route_backend_redundant_ns_template := concat(" ", [
+	"Gateway API %s: backendRef %q має namespace %q,",
+	"що збігається з metadata.namespace маршруту —",
+	"прибери поле namespace (k8s.mdc)",
+])
+
+# ── deny: HealthCheckPolicy — targetRef.name має закінчуватись на `-hl` ───
+
+deny contains msg if {
+	is_health_check_policy
+	target_ref_kind_is_service
+	name := object.get(object.get(input.spec, "targetRef", {}), "name", "")
+	name != ""
+	not endswith(name, svc_hl_name_suffix)
+	msg := sprintf(hcp_target_ref_template, [svc_hl_name_suffix, name])
+}
+
+deny contains msg if {
+	is_health_check_policy
+	not has_target_ref
+	msg := "HealthCheckPolicy: відсутній spec.targetRef (k8s.mdc)"
+}
+
+# ── deny: Gateway API маршрут — backendRef має суфікс `-hl` ──────────────
+
+deny contains msg if {
+	is_gateway_api_route
+	some backend_name in route_service_backend_names
+	not endswith(backend_name, svc_hl_name_suffix)
+	msg := sprintf(route_backend_hl_template, [input.kind, svc_hl_name_suffix, backend_name])
+}
+
+# ── deny: Gateway API маршрут — backendRef з redundant namespace ─────────
+
+deny contains msg if {
+	is_gateway_api_route
+	route_ns := object.get(input.metadata, "namespace", "")
+	route_ns != ""
+	some redundant in redundant_namespace_backend_names(route_ns)
+	msg := sprintf(route_backend_redundant_ns_template, [input.kind, redundant, route_ns])
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+is_health_check_policy if {
+	input.kind == "HealthCheckPolicy"
+	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
+}
+
+# targetRef.kind не задано або дорівнює "Service" — звіряємо суфікс імені.
+target_ref_kind_is_service if {
+	target_ref_kind == ""
+}
+
+target_ref_kind_is_service if {
+	target_ref_kind == "Service"
+}
+
+target_ref_kind := object.get(object.get(input.spec, "targetRef", {}), "kind", "")
+
+has_target_ref if {
+	object.get(input, "spec", {}).targetRef
+}
+
+is_gateway_api_route if {
+	startswith(object.get(input, "apiVersion", ""), api_group_prefix)
+	input.kind in route_kinds
+}
+
+# Усі імена backend-ів у `spec` що виглядають як backendRef до Service: вузол
+# має `name` (string) і `port` (number); якщо поле `kind`/`group` явне — лише
+# `Service`/`core` (без явного group теж приймаємо).
+route_service_backend_names contains node.name if {
+	walk(object.get(input, "spec", {}), [_, node])
+	is_gateway_api_backend_ref_to_service(node)
+}
+
+# Тільки ті backendRef, у яких `namespace` збігається з namespace маршруту.
+redundant_namespace_backend_names(route_ns) := {node.name |
+	walk(object.get(input, "spec", {}), [_, node])
+	is_gateway_api_backend_ref_to_service(node)
+	node.namespace == route_ns
+}
+
+is_gateway_api_backend_ref_to_service(obj) if {
+	is_object(obj)
+	is_string(obj.name)
+	is_number(obj.port)
+	kind_ok(obj)
+	group_ok(obj)
+}
+
+# Якщо `kind` не вказано — приймаємо як Service (Gateway API дефолт).
+kind_ok(obj) if not obj.kind
+
+kind_ok(obj) if obj.kind == "Service"
+
+# Якщо `group` не вказано / порожній / "core" — приймаємо як Service.
+group_ok(obj) if not obj.group
+
+group_ok(obj) if obj.group == ""
+
+group_ok(obj) if obj.group == "core"

package/policy/k8s/gateway/gateway_test.rego

@@ -0,0 +1,122 @@
+# Тести для `k8s.gateway`. Запуск:
+#   conftest verify -p npm/policy/k8s/gateway --namespace k8s.gateway
+package k8s.gateway_test
+
+import rego.v1
+
+import data.k8s.gateway
+
+# ── HealthCheckPolicy ─────────────────────────────────────────────────────
+
+test_deny_hcp_targetref_without_hl_suffix if {
+	count(gateway.deny) > 0 with input as {
+		"apiVersion": "networking.gke.io/v1",
+		"kind": "HealthCheckPolicy",
+		"metadata": {"name": "hc"},
+		"spec": {"targetRef": {
+			"group": "",
+			"kind": "Service",
+			"name": "auth",
+		}},
+	}
+}
+
+test_allow_hcp_targetref_with_hl_suffix if {
+	count(gateway.deny) == 0 with input as {
+		"apiVersion": "networking.gke.io/v1",
+		"kind": "HealthCheckPolicy",
+		"metadata": {"name": "hc"},
+		"spec": {"targetRef": {
+			"group": "",
+			"kind": "Service",
+			"name": "auth-hl",
+		}},
+	}
+}
+
+test_deny_hcp_missing_targetref if {
+	count(gateway.deny) > 0 with input as {
+		"apiVersion": "networking.gke.io/v1",
+		"kind": "HealthCheckPolicy",
+		"metadata": {"name": "hc"},
+		"spec": {},
+	}
+}
+
+# Без kind=Service у targetRef правило не діє (інші kind не оцінюємо).
+test_allow_hcp_targetref_other_kind if {
+	count(gateway.deny) == 0 with input as {
+		"apiVersion": "networking.gke.io/v1",
+		"kind": "HealthCheckPolicy",
+		"metadata": {"name": "hc"},
+		"spec": {"targetRef": {
+			"kind": "Gateway",
+			"name": "gw",
+		}},
+	}
+}
+
+# ── HTTPRoute backendRef → Service з суфіксом `-hl` ──────────────────────
+
+test_deny_httproute_backend_without_hl if {
+	count(gateway.deny) > 0 with input as {
+		"apiVersion": "gateway.networking.k8s.io/v1",
+		"kind": "HTTPRoute",
+		"metadata": {"name": "r", "namespace": "dev"},
+		"spec": {"rules": [{"backendRefs": [{"name": "auth", "port": 8080}]}]},
+	}
+}
+
+test_allow_httproute_backend_with_hl if {
+	count(gateway.deny) == 0 with input as {
+		"apiVersion": "gateway.networking.k8s.io/v1",
+		"kind": "HTTPRoute",
+		"metadata": {"name": "r", "namespace": "dev"},
+		"spec": {"rules": [{"backendRefs": [{"name": "auth-hl", "port": 8080}]}]},
+	}
+}
+
+# ── HTTPRoute backendRef з redundant namespace ───────────────────────────
+
+test_deny_httproute_backend_redundant_namespace if {
+	count(gateway.deny) > 0 with input as {
+		"apiVersion": "gateway.networking.k8s.io/v1",
+		"kind": "HTTPRoute",
+		"metadata": {"name": "r", "namespace": "dev"},
+		"spec": {"rules": [{"backendRefs": [{
+			"name": "auth-hl",
+			"namespace": "dev",
+			"port": 8080,
+		}]}]},
+	}
+}
+
+test_allow_httproute_backend_different_namespace if {
+	count(gateway.deny) == 0 with input as {
+		"apiVersion": "gateway.networking.k8s.io/v1",
+		"kind": "HTTPRoute",
+		"metadata": {"name": "r", "namespace": "dev"},
+		"spec": {"rules": [{"backendRefs": [{
+			"name": "auth-hl",
+			"namespace": "other",
+			"port": 8080,
+		}]}]},
+	}
+}
+
+# Перевірка не діє на HTTPHeaderMatch (немає `port`).
+test_allow_httproute_header_match_without_port if {
+	count(gateway.deny) == 0 with input as {
+		"apiVersion": "gateway.networking.k8s.io/v1",
+		"kind": "HTTPRoute",
+		"metadata": {"name": "r", "namespace": "dev"},
+		"spec": {"rules": [{
+			"matches": [{"headers": [{
+				"type": "Exact",
+				"name": "X-Tenant",
+				"value": "acme",
+			}]}],
+			"backendRefs": [{"name": "auth-hl", "port": 8080}],
+		}]},
+	}
+}