@nitra/cursor 1.8.221 → 1.8.228

package/policy/abie/health_check_policy/health_check_policy_test.rego

@@ -0,0 +1,99 @@
+# Тести для `abie.health_check_policy`. Запуск:
+#   conftest verify -p npm/policy/abie/health_check_policy
+package abie.health_check_policy_test
+
+import rego.v1
+
+import data.abie.health_check_policy
+
+valid_hcp := {
+	"apiVersion": "networking.gke.io/v1",
+	"kind": "HealthCheckPolicy",
+	"metadata": {"name": "api"},
+	"spec": {
+		"default": {"config": {
+			"type": "HTTP",
+			"httpHealthCheck": {"requestPath": "/healthz", "port": 8080},
+		}},
+		"targetRef": {"group": "", "kind": "Service", "name": "api-hl"},
+	},
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(health_check_policy.deny) == 0 with input as valid_hcp
+}
+
+# ── apiVersion ────────────────────────────────────────────────────────────
+
+test_deny_wrong_api_version if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/apiVersion", "value": "networking.gke.io/v1beta1"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── metadata.name ─────────────────────────────────────────────────────────
+
+test_deny_empty_name if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/metadata/name", "value": ""}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── spec.default.config.type ──────────────────────────────────────────────
+
+test_deny_config_type_not_http if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/spec/default/config/type", "value": "TCP"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── requestPath ───────────────────────────────────────────────────────────
+
+test_deny_empty_request_path if {
+	bad := json.patch(valid_hcp, [{
+		"op": "replace",
+		"path": "/spec/default/config/httpHealthCheck/requestPath",
+		"value": "",
+	}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+test_deny_request_path_without_slash if {
+	bad := json.patch(valid_hcp, [{
+		"op": "replace",
+		"path": "/spec/default/config/httpHealthCheck/requestPath",
+		"value": "healthz",
+	}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── port ──────────────────────────────────────────────────────────────────
+
+test_deny_port_not_8080 if {
+	bad := json.patch(valid_hcp, [{
+		"op": "replace",
+		"path": "/spec/default/config/httpHealthCheck/port",
+		"value": 9090,
+	}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── targetRef ─────────────────────────────────────────────────────────────
+
+test_deny_target_ref_kind_not_service if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/spec/targetRef/kind", "value": "Gateway"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+test_deny_target_ref_name_without_hl if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/spec/targetRef/name", "value": "api"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# Не HCP — пакет не діє.
+test_allow_other_kind if {
+	count(health_check_policy.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "x"},
+	}
+}

package/policy/abie/http_route_base/http_route_base_test.rego

@@ -0,0 +1,64 @@
+# Тести для `abie.http_route_base`. Запуск:
+#   conftest verify -p npm/policy/abie/http_route_base
+package abie.http_route_base_test
+
+import rego.v1
+
+import data.abie.http_route_base
+
+mk_route(hostnames) := {
+	"apiVersion": "gateway.networking.k8s.io/v1",
+	"kind": "HTTPRoute",
+	"metadata": {"name": "r", "namespace": "dev"},
+	"spec": {"hostnames": hostnames},
+}
+
+# ── allow ────────────────────────────────────────────────────────────────
+
+test_allow_apex if {
+	count(http_route_base.deny) == 0 with input as mk_route(["aiml.live"])
+}
+
+test_allow_subdomain if {
+	count(http_route_base.deny) == 0 with input as mk_route(["api.aiml.live"])
+}
+
+test_allow_wildcard if {
+	count(http_route_base.deny) == 0 with input as mk_route(["*.aiml.live"])
+}
+
+test_allow_uppercase_apex if {
+	count(http_route_base.deny) == 0 with input as mk_route(["AIML.LIVE"])
+}
+
+test_allow_multiple_subdomains if {
+	count(http_route_base.deny) == 0 with input as mk_route(["api.aiml.live", "admin.aiml.live"])
+}
+
+# ── deny ─────────────────────────────────────────────────────────────────
+
+test_deny_other_apex if {
+	count(http_route_base.deny) > 0 with input as mk_route(["example.com"])
+}
+
+test_deny_wrong_subdomain if {
+	count(http_route_base.deny) > 0 with input as mk_route(["api.example.com"])
+}
+
+test_deny_mixed_one_bad if {
+	count(http_route_base.deny) > 0 with input as mk_route(["api.aiml.live", "evil.com"])
+}
+
+test_deny_aiml_live_substring if {
+	# "aiml.live.example.com" не має закінчуватись на ".aiml.live" — це інший домен.
+	count(http_route_base.deny) > 0 with input as mk_route(["aiml.live.example.com"])
+}
+
+# Не HTTPRoute — пакет не діє.
+test_allow_non_httproute if {
+	count(http_route_base.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "x"},
+	}
+}

package/policy/k8s/base_kustomization/base_kustomization.rego

@@ -0,0 +1,40 @@
+# Порт перевірки `k8s/base/kustomization.yaml` з `npm/scripts/check-k8s.mjs`
+# (k8s.mdc): у base-kustomization обов'язково має бути непорожнє поле
+# `namespace:`.
+#
+# Запуск (локально, лише для одного `k8s/base/kustomization.yaml`):
+#   conftest test path/to/k8s/base/kustomization.yaml \
+#     -p npm/policy/k8s/base_kustomization \
+#     --namespace k8s.base_kustomization
+#
+# JS authoritative (`check-k8s.mjs`: `baseKustomizationNamespaceViolation`,
+# `isBaseKustomizationPath` для відбору файла, `ensureBaseKustomizationHasNamespace`
+# як оркестратор).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.base_kustomization
+
+import rego.v1
+
+base_namespace_required_msg := concat(" ", [
+	"у base/kustomization.yaml завжди додай непорожній namespace:",
+	"(наприклад namespace: dev; k8s.mdc)",
+])
+
+deny contains base_namespace_required_msg if {
+	is_kustomization
+	not is_string(object.get(input, "namespace", null))
+}
+
+deny contains base_namespace_required_msg if {
+	is_kustomization
+	ns := object.get(input, "namespace", "")
+	is_string(ns)
+	trim_space(ns) == ""
+}
+
+is_kustomization if {
+	input.kind == "Kustomization"
+	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
+}

package/policy/k8s/base_kustomization/base_kustomization_test.rego

@@ -0,0 +1,36 @@
+# Тести для `k8s.base_kustomization`. Запуск:
+#   conftest verify -p npm/policy/k8s/base_kustomization --namespace k8s.base_kustomization
+package k8s.base_kustomization_test
+
+import rego.v1
+
+import data.k8s.base_kustomization
+
+base_kust := {
+	"apiVersion": "kustomize.config.k8s.io/v1beta1",
+	"kind": "Kustomization",
+}
+
+test_deny_missing_namespace if {
+	count(base_kustomization.deny) > 0 with input as base_kust
+}
+
+test_deny_empty_namespace if {
+	count(base_kustomization.deny) > 0 with input as object.union(base_kust, {"namespace": ""})
+}
+
+test_deny_whitespace_namespace if {
+	count(base_kustomization.deny) > 0 with input as object.union(base_kust, {"namespace": "   "})
+}
+
+test_allow_with_namespace if {
+	count(base_kustomization.deny) == 0 with input as object.union(base_kust, {"namespace": "dev"})
+}
+
+test_allow_non_kustomization if {
+	count(base_kustomization.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm"},
+	}
+}

package/policy/k8s/base_manifest/base_manifest.rego

@@ -0,0 +1,154 @@
+# Порт пер-документних структурних перевірок для маніфестів у шарі
+# `…/k8s/.../base/...` (k8s.mdc).
+#
+# Запуск (локально, лише для одного файлу під base/):
+#   conftest test path/to/k8s/base/deployment.yaml -p npm/policy/k8s/base_manifest \
+#     --namespace k8s.base_manifest
+#
+# JS відбирає файли під `…/k8s/.../base/…` (окрім `kustomization.yaml`) і
+# викликає conftest з цією намеспейс. JS authoritative
+# (`check-k8s.mjs`: `metadataNamespaceRequiredViolation` з `inBaseDir=true`,
+# `deploymentResourcesViolation` з `inK8sBaseLayer=true`,
+# `isK8sBaseManifestYamlPath`).
+#
+# Перевіряє:
+#  - namespaced kind має непорожній `metadata.namespace` (cluster-scoped kind
+#    і Kustomization/List виняток);
+#  - Deployment у base має фіксовані `resources.requests.cpu == "0.02"` (або
+#    число `0.02`) і `resources.requests.memory == "128Mi"` (case-insensitive
+#    суфікс Mi).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.base_manifest
+
+import rego.v1
+
+# Cluster-scoped kind (не вимагають metadata.namespace) — узгоджено з
+# `CLUSTER_SCOPED_KINDS` у `check-k8s.mjs`.
+cluster_scoped_kinds := {
+	"APIService",
+	"CertificateSigningRequest",
+	"ClusterCIDR",
+	"ClusterRole",
+	"ClusterRoleBinding",
+	"ComponentStatus",
+	"CSIDriver",
+	"CSINode",
+	"CustomResourceDefinition",
+	"FlowSchema",
+	"IPAddress",
+	"IngressClass",
+	"MutatingWebhookConfiguration",
+	"Namespace",
+	"Node",
+	"PersistentVolume",
+	"PriorityClass",
+	"PriorityLevelConfiguration",
+	"RuntimeClass",
+	"ServiceCIDR",
+	"StorageClass",
+	"StorageVersionMigration",
+	"ValidatingAdmissionPolicy",
+	"ValidatingAdmissionPolicyBinding",
+	"ValidatingWebhookConfiguration",
+	"VolumeAttachment",
+}
+
+# Жорстко зафіксовані значення resources.requests у base-шарі (k8s.mdc).
+base_cpu_request := "0.02"
+
+base_memory_request := "128Mi"
+
+base_metadata_missing_msg := concat(" ", [
+	"додай metadata з непорожнім metadata.namespace —",
+	"у k8s/base у кожному ресурсному YAML має бути явний namespace (k8s.mdc)",
+])
+
+base_namespace_required_msg := concat(" ", [
+	"metadata.namespace обов'язковий у k8s/base —",
+	"додай явний namespace у маніфесті (k8s.mdc)",
+])
+
+base_canon_cpu_template := concat(" ", [
+	"контейнер %q: у k8s/.../base resources.requests.cpu має бути рівно %q",
+	"(допускається число 0.02) — зараз %v (k8s.mdc)",
+])
+
+base_canon_memory_template := concat(" ", [
+	"контейнер %q: у k8s/.../base resources.requests.memory має бути рівно %q",
+	"(суфікс Mi без урахування регістру) — зараз %v (k8s.mdc)",
+])
+
+# ── deny: namespaced kind у base/ — обов'язковий metadata.namespace ──────
+
+deny contains base_metadata_missing_msg if {
+	is_namespaced_kind
+	not is_object(object.get(input, "metadata", null))
+}
+
+deny contains base_namespace_required_msg if {
+	is_namespaced_kind
+	meta := object.get(input, "metadata", null)
+	is_object(meta)
+	ns := object.get(meta, "namespace", "")
+	trim_space(ns) == ""
+}
+
+# ── deny: Deployment у base — точне cpu='0.02' / memory='128Mi' ──────────
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	cpu := object.get(object.get(container, "resources", {}), "requests", {}).cpu
+	cpu != null
+	not is_base_canon_cpu(cpu)
+	msg := sprintf(base_canon_cpu_template, [container.name, base_cpu_request, cpu])
+}
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	mem := object.get(object.get(container, "resources", {}), "requests", {}).memory
+	mem != null
+	not is_base_canon_memory(mem)
+	msg := sprintf(base_canon_memory_template, [container.name, base_memory_request, mem])
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+# Це namespaced ресурс, на який має застосовуватись правило metadata.namespace.
+is_namespaced_kind if {
+	is_string(input.kind)
+	input.kind != ""
+	input.kind != "List"
+	input.kind != "Kustomization"
+	is_string(input.apiVersion)
+	input.apiVersion != ""
+	not input.kind in cluster_scoped_kinds
+}
+
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "containers", [])
+}
+
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "initContainers", [])
+}
+
+# Канон cpu='0.02' — рядок (точно "0.02") або число 0.02.
+is_base_canon_cpu(v) if {
+	is_string(v)
+	trim_space(v) == base_cpu_request
+}
+
+is_base_canon_cpu(v) if {
+	is_number(v)
+	v == 0.02
+}
+
+# Канон memory='128Mi' (суфікс Mi без урахування регістру).
+is_base_canon_memory(v) if {
+	is_string(v)
+	lower(trim_space(v)) == "128mi"
+}

package/policy/k8s/base_manifest/base_manifest_test.rego

@@ -0,0 +1,94 @@
+# Тести для `k8s.base_manifest`. Запуск:
+#   conftest verify -p npm/policy/k8s/base_manifest --namespace k8s.base_manifest
+package k8s.base_manifest_test
+
+import rego.v1
+
+import data.k8s.base_manifest
+
+# ── metadata.namespace required ─────────────────────────────────────────
+
+test_deny_namespaced_kind_without_metadata if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+	}
+}
+
+test_deny_namespaced_kind_empty_namespace if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm", "namespace": ""},
+	}
+}
+
+test_allow_cluster_scoped_kind_without_namespace if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Namespace",
+		"metadata": {"name": "dev"},
+	}
+}
+
+test_allow_namespaced_kind_with_namespace if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm", "namespace": "dev"},
+	}
+}
+
+# ── base canon resources ─────────────────────────────────────────────────
+
+test_deny_deployment_cpu_not_base_canon if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "100m", "memory": "128Mi"}},
+		}]}}},
+	}
+}
+
+test_deny_deployment_memory_not_base_canon if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "0.02", "memory": "256Mi"}},
+		}]}}},
+	}
+}
+
+test_allow_deployment_with_base_canon_string if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "0.02", "memory": "128Mi"}},
+		}]}}},
+	}
+}
+
+test_allow_deployment_with_base_canon_number_cpu if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": 0.02, "memory": "128mi"}},
+		}]}}},
+	}
+}

package/policy/k8s/gateway/gateway.rego

@@ -0,0 +1,151 @@
+# Порт пер-документних перевірок для Gateway API і HealthCheckPolicy з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc).
+#
+# Запуск (локально, по одному файлу або по дереву):
+#   conftest test path/to/manifest.yaml -p npm/policy/k8s/gateway \
+#     --namespace k8s.gateway
+#
+# Перевіряє:
+#  - HealthCheckPolicy (`networking.gke.io/v1`): `spec.targetRef.name` має
+#    закінчуватися на `-hl` (headless Service);
+#  - HTTPRoute / GRPCRoute / TCPRoute / TLSRoute / UDPRoute (`gateway.networking.k8s.io/*`):
+#    backendRef до Service має ім'я з суфіксом `-hl` (headless);
+#  - той самий маршрут: backendRef з полем `namespace`, що збігається з
+#    `metadata.namespace` маршруту, — заборонено (надлишкове поле, ламається при
+#    overlay-перенесеннях).
+#
+# JS authoritative (`check-k8s.mjs` — функції `failIfGatewayRouteUsesNonHeadlessService`,
+# `healthCheckPolicyTargetRefHeadlessServiceViolation`,
+# `collectGatewayApiRouteBackendServiceNames`,
+# `collectGatewayApiRouteBackendRefsWithRedundantNamespace`); ця Rego — швидкий
+# gate для одиничного маніфеста.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package k8s.gateway
+
+import rego.v1
+
+# Kind-и маршрутів Gateway API, у `spec` яких шукаємо backendRefs.
+route_kinds := {"HTTPRoute", "GRPCRoute", "TCPRoute", "TLSRoute", "UDPRoute"}
+
+# Префікс apiVersion стандартних ресурсів Gateway API.
+api_group_prefix := "gateway.networking.k8s.io/"
+
+# Суфікс metadata.name для headless-сервісу (k8s.mdc).
+svc_hl_name_suffix := "-hl"
+
+hcp_target_ref_template := concat(" ", [
+	"HealthCheckPolicy: spec.targetRef.name має закінчуватись на %q",
+	"(зараз: %q) (k8s.mdc)",
+])
+
+route_backend_hl_template := concat(" ", [
+	"Gateway API %s: backendRef до Service має вказувати headless-сервіс",
+	"з суфіксом %q (зараз: %q) (k8s.mdc)",
+])
+
+route_backend_redundant_ns_template := concat(" ", [
+	"Gateway API %s: backendRef %q має namespace %q,",
+	"що збігається з metadata.namespace маршруту —",
+	"прибери поле namespace (k8s.mdc)",
+])
+
+# ── deny: HealthCheckPolicy — targetRef.name має закінчуватись на `-hl` ───
+
+deny contains msg if {
+	is_health_check_policy
+	target_ref_kind_is_service
+	name := object.get(object.get(input.spec, "targetRef", {}), "name", "")
+	name != ""
+	not endswith(name, svc_hl_name_suffix)
+	msg := sprintf(hcp_target_ref_template, [svc_hl_name_suffix, name])
+}
+
+deny contains msg if {
+	is_health_check_policy
+	not has_target_ref
+	msg := "HealthCheckPolicy: відсутній spec.targetRef (k8s.mdc)"
+}
+
+# ── deny: Gateway API маршрут — backendRef має суфікс `-hl` ──────────────
+
+deny contains msg if {
+	is_gateway_api_route
+	some backend_name in route_service_backend_names
+	not endswith(backend_name, svc_hl_name_suffix)
+	msg := sprintf(route_backend_hl_template, [input.kind, svc_hl_name_suffix, backend_name])
+}
+
+# ── deny: Gateway API маршрут — backendRef з redundant namespace ─────────
+
+deny contains msg if {
+	is_gateway_api_route
+	route_ns := object.get(input.metadata, "namespace", "")
+	route_ns != ""
+	some redundant in redundant_namespace_backend_names(route_ns)
+	msg := sprintf(route_backend_redundant_ns_template, [input.kind, redundant, route_ns])
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+is_health_check_policy if {
+	input.kind == "HealthCheckPolicy"
+	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
+}
+
+# targetRef.kind не задано або дорівнює "Service" — звіряємо суфікс імені.
+target_ref_kind_is_service if {
+	target_ref_kind == ""
+}
+
+target_ref_kind_is_service if {
+	target_ref_kind == "Service"
+}
+
+target_ref_kind := object.get(object.get(input.spec, "targetRef", {}), "kind", "")
+
+has_target_ref if {
+	object.get(input, "spec", {}).targetRef
+}
+
+is_gateway_api_route if {
+	startswith(object.get(input, "apiVersion", ""), api_group_prefix)
+	input.kind in route_kinds
+}
+
+# Усі імена backend-ів у `spec` що виглядають як backendRef до Service: вузол
+# має `name` (string) і `port` (number); якщо поле `kind`/`group` явне — лише
+# `Service`/`core` (без явного group теж приймаємо).
+route_service_backend_names contains node.name if {
+	walk(object.get(input, "spec", {}), [_, node])
+	is_gateway_api_backend_ref_to_service(node)
+}
+
+# Тільки ті backendRef, у яких `namespace` збігається з namespace маршруту.
+redundant_namespace_backend_names(route_ns) := {node.name |
+	walk(object.get(input, "spec", {}), [_, node])
+	is_gateway_api_backend_ref_to_service(node)
+	node.namespace == route_ns
+}
+
+is_gateway_api_backend_ref_to_service(obj) if {
+	is_object(obj)
+	is_string(obj.name)
+	is_number(obj.port)
+	kind_ok(obj)
+	group_ok(obj)
+}
+
+# Якщо `kind` не вказано — приймаємо як Service (Gateway API дефолт).
+kind_ok(obj) if not obj.kind
+
+kind_ok(obj) if obj.kind == "Service"
+
+# Якщо `group` не вказано / порожній / "core" — приймаємо як Service.
+group_ok(obj) if not obj.group
+
+group_ok(obj) if obj.group == ""
+
+group_ok(obj) if obj.group == "core"