@nitra/cursor 1.8.221 → 1.8.222

package/scripts/lint-conftest.mjs

@@ -79,6 +79,16 @@ const K8S_DIR_PATH_RE = /(^|\/)k8s\//u
 const K8S_HC_YAML_PATH_RE = /(^|\/)k8s\/.+\/hc\.yaml$/u
 /** `…/k8s/…/base/…/hr.yaml` (HTTPRoute у base-шарі). */
 const K8S_BASE_HR_YAML_PATH_RE = /(^|\/)k8s\/.*base\/.*hr\.yaml$/u
+/** `kustomization.yaml` будь-де під сегментом `k8s/`. */
+const K8S_KUSTOMIZATION_PATH_RE = /(^|\/)k8s\/.*\/kustomization\.yaml$/u
+/** `…/k8s/.../base/.../kustomization.yaml`. */
+const K8S_BASE_KUSTOMIZATION_PATH_RE = /(^|\/)k8s\/.*base\/(?:.*\/)?kustomization\.yaml$/u
+/** Будь-який ресурсний `*.yaml` під сегментом `…/k8s/.../base/...`, окрім `kustomization.yaml`. */
+const K8S_BASE_MANIFEST_PATH_RE = /(^|\/)k8s\/.*base\//u
+/** `…/k8s/.../svc.yaml` (cluster-IP Service). */
+const K8S_SVC_YAML_PATH_RE = /(^|\/)k8s\/.+\/svc\.yaml$/u
+/** `…/k8s/.../svc-hl.yaml` (headless Service). */
+const K8S_SVC_HL_YAML_PATH_RE = /(^|\/)k8s\/.+\/svc-hl\.yaml$/u
 
 /** @type {ConftestTarget[]} */
 const TARGETS = [
@@ -221,11 +231,73 @@ const TARGETS = [
   // Усі YAML у дереві з сегментом `k8s` — пер-документні структурні правила.
   {
     namespace: 'k8s.manifest',
-    policyDir: 'k8s',
+    policyDir: 'k8s/manifest',
     rule: 'k8s',
     walk: { match: rel => K8S_DIR_PATH_RE.test(rel) && (rel.endsWith('.yaml') || rel.endsWith('.yml')) }
   },
 
+  // Gateway API + HealthCheckPolicy — застосовується до будь-якого YAML під k8s
+  // (правила перевіряють лише відповідні kind / apiVersion).
+  {
+    namespace: 'k8s.gateway',
+    policyDir: 'k8s/gateway',
+    rule: 'k8s',
+    walk: { match: rel => K8S_DIR_PATH_RE.test(rel) && (rel.endsWith('.yaml') || rel.endsWith('.yml')) }
+  },
+
+  // Структурні перевірки HPA / PDB (apiVersion / behavior / metrics / selector).
+  {
+    namespace: 'k8s.hpa_pdb',
+    policyDir: 'k8s/hpa_pdb',
+    rule: 'k8s',
+    walk: { match: rel => K8S_DIR_PATH_RE.test(rel) && (rel.endsWith('.yaml') || rel.endsWith('.yml')) }
+  },
+
+  // Kustomization-файли: resources sort, patches sort, JSON6902 conflicts.
+  {
+    namespace: 'k8s.kustomization',
+    policyDir: 'k8s/kustomization',
+    rule: 'k8s',
+    walk: { match: rel => K8S_KUSTOMIZATION_PATH_RE.test(rel) }
+  },
+
+  // svc.yaml — cluster-IP Service.
+  {
+    namespace: 'k8s.svc_yaml',
+    policyDir: 'k8s/svc_yaml',
+    rule: 'k8s',
+    walk: { match: rel => K8S_SVC_YAML_PATH_RE.test(rel) }
+  },
+
+  // svc-hl.yaml — headless Service з суфіксом `-hl`.
+  {
+    namespace: 'k8s.svc_hl_yaml',
+    policyDir: 'k8s/svc_hl_yaml',
+    rule: 'k8s',
+    walk: { match: rel => K8S_SVC_HL_YAML_PATH_RE.test(rel) }
+  },
+
+  // base/kustomization.yaml — обов'язкове непорожнє поле `namespace:`.
+  {
+    namespace: 'k8s.base_kustomization',
+    policyDir: 'k8s/base_kustomization',
+    rule: 'k8s',
+    walk: { match: rel => K8S_BASE_KUSTOMIZATION_PATH_RE.test(rel) }
+  },
+
+  // Ресурсні маніфести під `…/k8s/.../base/...` (окрім kustomization.yaml).
+  {
+    namespace: 'k8s.base_manifest',
+    policyDir: 'k8s/base_manifest',
+    rule: 'k8s',
+    walk: {
+      match: rel =>
+        K8S_BASE_MANIFEST_PATH_RE.test(rel) &&
+        !K8S_BASE_KUSTOMIZATION_PATH_RE.test(rel) &&
+        (rel.endsWith('.yaml') || rel.endsWith('.yml'))
+    }
+  },
+
   // abie HealthCheckPolicy: `hc.yaml` у дереві k8s.
   {
     namespace: 'abie.health_check_policy',

package/scripts/lint-rego.mjs

@@ -1,13 +1,17 @@
 /**
  * Лінт Rego-полісі (`conftest.mdc` + `rego.mdc`): preflight на `opa` і `regal`,
- * далі послідовно `opa check --strict` і `regal lint`.
+ * далі послідовно `opa check --strict`, `regal lint` і опційний
+ * `conftest verify` (для `*_test.rego`-файлів) якщо conftest у PATH.
  *
- * Чому два інструменти:
+ * Чому два-три інструменти:
  * - `opa check --strict` — компіляція з типами і строгим режимом (мертвий код, неоднозначні
  *   правила, незадекларовані змінні). Ловить помилки, які `regal` навмисно лишає поза скоупом
  *   (він — про стиль і ідіоматичність, а не про компіляцію).
  * - `regal lint` (https://docs.styra.com/regal) — статичний лінтер Rego: ловить v0-синтаксис,
  *   неявні set-rules та інші відхилення від `rego.v1`, плюс bugs/idiomatic/performance-правила.
+ * - `conftest verify` (опційно) — виконує `test_*` правила у `*_test.rego` (юніт-тести політик).
+ *   Якщо conftest відсутній у PATH — пропускаємо без помилки (тести опційні в локальному середовищі;
+ *   у CI потрібно встановити conftest).
  *
  * Без preflight-у на бінарники лінт мовчки злетить з невиразним повідомленням від shell —
  * друкуємо явні install-hints (як це робить `lint-ga.mjs` для shellcheck/uv). `opa` додатково
@@ -16,7 +20,7 @@
  *
  * Цілі лінту: `npm/policy/` (місце, де поки що живуть Rego-полісі пакета `@nitra/cursor`).
  * Якщо в репозиторії з’являться інші *.rego поза цим деревом, додай шлях у `LINT_TARGETS` —
- * обидва інструменти приймають кілька шляхів і самі рекурсивно обходять директорії.
+ * усі три інструменти приймають кілька шляхів і самі рекурсивно обходять директорії.
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
@@ -110,7 +114,18 @@ export function runLintRego(cwd = process.cwd()) {
   const opaCode = runStep(opa, ['check', '--strict', ...targets], root)
   if (opaCode !== 0) return opaCode
 
-  return runStep(regal, ['lint', ...targets], root)
+  const regalCode = runStep(regal, ['lint', ...targets], root)
+  if (regalCode !== 0) return regalCode
+
+  const conftest = resolveCmd('conftest')
+  if (!conftest) {
+    console.log(
+      'ℹ conftest не знайдено в PATH — пропускаю `conftest verify` (юніт-тести *_test.rego).\n' +
+        '  Встанови, щоб запустити локально: brew install conftest (macOS) або https://www.conftest.dev/install/'
+    )
+    return 0
+  }
+  return runStep(conftest, ['verify', ...targets.flatMap(t => ['-p', t])], root)
 }
 
 process.exitCode = runLintRego()