npm - @nitra/cursor - Versions diffs - 1.8.221 → 1.8.228 - Mend

@nitra/cursor 1.8.221 → 1.8.228

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (44) hide show

package/.claude-template/npm-CLAUDE.md +4 -0
package/CHANGELOG.md +69 -0
package/bin/auto-rules.md +2 -0
package/bin/n-cursor.js +3 -2
package/mdc/abie.mdc +13 -0
package/mdc/ci4.mdc +8 -0
package/mdc/tauri.mdc +20 -0
package/package.json +1 -1
package/policy/abie/base_deployment_preem/base_deployment_preem.rego +56 -0
package/policy/abie/base_deployment_preem/base_deployment_preem_test.rego +60 -0
package/policy/abie/clean_merged_ignore_branches/clean_merged_ignore_branches.rego +100 -0
package/policy/abie/clean_merged_ignore_branches/clean_merged_ignore_branches_test.rego +48 -0
package/policy/abie/health_check_policy/health_check_policy.rego +91 -22
package/policy/abie/health_check_policy/health_check_policy_test.rego +99 -0
package/policy/abie/http_route_base/http_route_base_test.rego +64 -0
package/policy/k8s/base_kustomization/base_kustomization.rego +40 -0
package/policy/k8s/base_kustomization/base_kustomization_test.rego +36 -0
package/policy/k8s/base_manifest/base_manifest.rego +154 -0
package/policy/k8s/base_manifest/base_manifest_test.rego +94 -0
package/policy/k8s/gateway/gateway.rego +151 -0
package/policy/k8s/gateway/gateway_test.rego +122 -0
package/policy/k8s/hasura_configmap/hasura_configmap.rego +69 -0
package/policy/k8s/hasura_configmap/hasura_configmap_test.rego +49 -0
package/policy/k8s/hasura_httproute/hasura_httproute.rego +298 -0
package/policy/k8s/hasura_httproute/hasura_httproute_test.rego +148 -0
package/policy/k8s/hpa_pdb/hpa_pdb.rego +139 -0
package/policy/k8s/hpa_pdb/hpa_pdb_test.rego +101 -0
package/policy/k8s/kustomization/kustomization.rego +220 -0
package/policy/k8s/kustomization/kustomization_test.rego +128 -0
package/policy/k8s/kustomize_managed/kustomize_managed.rego +31 -0
package/policy/k8s/kustomize_managed/kustomize_managed_test.rego +30 -0
package/policy/k8s/manifest/manifest.rego +151 -4
package/policy/k8s/manifest/manifest_test.rego +309 -0
package/policy/k8s/svc_hl_yaml/svc_hl_yaml.rego +51 -0
package/policy/k8s/svc_hl_yaml/svc_hl_yaml_test.rego +42 -0
package/policy/k8s/svc_yaml/svc_yaml.rego +31 -0
package/policy/k8s/svc_yaml/svc_yaml_test.rego +41 -0
package/scripts/check-abie.mjs +102 -369
package/scripts/check-ga.mjs +89 -9
package/scripts/check-k8s.mjs +128 -569
package/scripts/lint-conftest.mjs +98 -3
package/scripts/lint-ga.mjs +18 -132
package/scripts/lint-rego.mjs +19 -4
package/scripts/utils/run-conftest-batch.mjs +117 -0

package/policy/k8s/hpa_pdb/hpa_pdb.rego ADDED Viewed

@@ -0,0 +1,139 @@
+# Порт **структурних** пер-документних перевірок HPA та PDB з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc). Перевіряє лише ті властивості, що
+# не залежать від cross-file контексту (`expectedDeployName`, `expectedAppLabel`,
+# `isDevLike`-сегмента). Cross-file перевірки лишаються в JS
+# (`hpaManifestViolations`, `pdbManifestViolations`,
+# `validateDeploymentHpaPdbAndTopology`).
+#
+# Запуск (локально, по одному файлу):
+#   conftest test path/to/hpa.yaml -p npm/policy/k8s/hpa_pdb \
+#     --namespace k8s.hpa_pdb
+#
+# Перевіряє:
+#  - HPA: `apiVersion: autoscaling/v2`, `kind: HorizontalPodAutoscaler`;
+#         `spec` присутній; `spec.behavior.scaleUp` / `scaleDown` з непорожніми
+#         `policies`; `spec.metrics` — непорожній масив;
+#  - PDB: `apiVersion: policy/v1`, `kind: PodDisruptionBudget`;
+#         `spec.selector.matchLabels` присутній.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.hpa_pdb
+import rego.v1
+hpa_kind_template := "kind має бути HorizontalPodAutoscaler (зараз: %v) (k8s.mdc)"
+hpa_api_template := "apiVersion має бути autoscaling/v2 (зараз: %v) (k8s.mdc)"
+pdb_kind_template := "kind має бути PodDisruptionBudget (зараз: %v) (k8s.mdc)"
+pdb_api_template := "apiVersion має бути policy/v1 (зараз: %v) (k8s.mdc)"
+# ── HPA: apiVersion / kind / spec ────────────────────────────────────────
+deny contains msg if {
+	is_hpa_doc
+	input.kind != "HorizontalPodAutoscaler"
+	msg := sprintf(hpa_kind_template, [input.kind])
+}
+deny contains msg if {
+	is_hpa_doc
+	input.apiVersion != "autoscaling/v2"
+	msg := sprintf(hpa_api_template, [input.apiVersion])
+}
+deny contains "spec відсутній або некоректний (HPA; k8s.mdc)" if {
+	is_hpa_doc
+	not is_object(object.get(input, "spec", null))
+}
+# ── HPA: spec.behavior.scaleUp / scaleDown з policies ────────────────────
+deny contains "spec.behavior відсутній (має містити scaleUp і scaleDown) (HPA; k8s.mdc)" if {
+	is_hpa_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not is_object(object.get(spec, "behavior", null))
+}
+deny contains msg if {
+	is_hpa_doc
+	behavior := object.get(object.get(input, "spec", {}), "behavior", null)
+	is_object(behavior)
+	some key in {"scaleUp", "scaleDown"}
+	not is_object(object.get(behavior, key, null))
+	msg := sprintf("spec.behavior.%s відсутній (HPA; k8s.mdc)", [key])
+}
+deny contains msg if {
+	is_hpa_doc
+	behavior := object.get(object.get(input, "spec", {}), "behavior", null)
+	is_object(behavior)
+	some key in {"scaleUp", "scaleDown"}
+	branch := object.get(behavior, key, null)
+	is_object(branch)
+	not is_non_empty_array(object.get(branch, "policies", null))
+	msg := sprintf("spec.behavior.%s.policies має бути непорожнім масивом (HPA; k8s.mdc)", [key])
+}
+# ── HPA: spec.metrics — непорожній масив ──────────────────────────────────
+deny contains "spec.metrics має бути непорожнім масивом (наприклад Resource/cpu/Utilization) (HPA; k8s.mdc)" if {
+	is_hpa_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not is_non_empty_array(object.get(spec, "metrics", null))
+}
+# ── PDB: apiVersion / kind / spec.selector.matchLabels ───────────────────
+deny contains msg if {
+	is_pdb_doc
+	input.kind != "PodDisruptionBudget"
+	msg := sprintf(pdb_kind_template, [input.kind])
+}
+deny contains msg if {
+	is_pdb_doc
+	input.apiVersion != "policy/v1"
+	msg := sprintf(pdb_api_template, [input.apiVersion])
+}
+deny contains "spec відсутній або некоректний (PDB; k8s.mdc)" if {
+	is_pdb_doc
+	not is_object(object.get(input, "spec", null))
+}
+deny contains "spec.selector відсутній (PDB; k8s.mdc)" if {
+	is_pdb_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not is_object(object.get(spec, "selector", null))
+}
+deny contains "spec.selector.matchLabels відсутній (PDB; k8s.mdc)" if {
+	is_pdb_doc
+	selector := object.get(object.get(input, "spec", {}), "selector", null)
+	is_object(selector)
+	not is_object(object.get(selector, "matchLabels", null))
+}
+# ── helpers ───────────────────────────────────────────────────────────────
+# Кваліфікуємо як HPA-документ: входить hint `kind == "HorizontalPodAutoscaler"`
+# або apiVersion з префіксом autoscaling/. Це уникає false-positive на ConfigMap
+# чи інших kind у тому самому файлі.
+is_hpa_doc if input.kind == "HorizontalPodAutoscaler"
+is_hpa_doc if startswith(object.get(input, "apiVersion", ""), "autoscaling/")
+is_pdb_doc if input.kind == "PodDisruptionBudget"
+is_pdb_doc if input.apiVersion == "policy/v1"
+is_non_empty_array(x) if {
+	is_array(x)
+	count(x) > 0
+}

package/policy/k8s/hpa_pdb/hpa_pdb_test.rego ADDED Viewed

@@ -0,0 +1,101 @@
+# Тести для `k8s.hpa_pdb`. Запуск:
+#   conftest verify -p npm/policy/k8s/hpa_pdb --namespace k8s.hpa_pdb
+package k8s.hpa_pdb_test
+import rego.v1
+import data.k8s.hpa_pdb
+valid_hpa := {
+	"apiVersion": "autoscaling/v2",
+	"kind": "HorizontalPodAutoscaler",
+	"metadata": {"name": "api"},
+	"spec": {
+		"scaleTargetRef": {"apiVersion": "apps/v1", "kind": "Deployment", "name": "api"},
+		"minReplicas": 1,
+		"maxReplicas": 1,
+		"metrics": [{
+			"type": "Resource",
+			"resource": {"name": "cpu", "target": {"type": "Utilization", "averageUtilization": 75}},
+		}],
+		"behavior": {
+			"scaleUp": {"policies": [{"type": "Pods", "value": 1, "periodSeconds": 60}]},
+			"scaleDown": {"policies": [{"type": "Pods", "value": 1, "periodSeconds": 60}]},
+		},
+	},
+}
+valid_pdb := {
+	"apiVersion": "policy/v1",
+	"kind": "PodDisruptionBudget",
+	"metadata": {"name": "api"},
+	"spec": {
+		"minAvailable": 1,
+		"selector": {"matchLabels": {"app": "api"}},
+	},
+}
+# ── HPA позитив / негатив ────────────────────────────────────────────────
+test_allow_valid_hpa if {
+	count(hpa_pdb.deny) == 0 with input as valid_hpa
+}
+test_deny_hpa_v1 if {
+	count(hpa_pdb.deny) > 0 with input as object.union(valid_hpa, {"apiVersion": "autoscaling/v1"})
+}
+test_deny_hpa_missing_metrics if {
+	bad := json.patch(valid_hpa, [{"op": "remove", "path": "/spec/metrics"}])
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+test_deny_hpa_empty_metrics if {
+	bad := json.patch(valid_hpa, [{"op": "replace", "path": "/spec/metrics", "value": []}])
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+test_deny_hpa_missing_behavior if {
+	bad := json.patch(valid_hpa, [{"op": "remove", "path": "/spec/behavior"}])
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+test_deny_hpa_empty_scale_up_policies if {
+	bad := json.patch(valid_hpa, [{"op": "replace", "path": "/spec/behavior/scaleUp/policies", "value": []}])
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+test_deny_hpa_missing_scale_down if {
+	bad := json.patch(valid_hpa, [{"op": "remove", "path": "/spec/behavior/scaleDown"}])
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+# ── PDB позитив / негатив ────────────────────────────────────────────────
+test_allow_valid_pdb if {
+	count(hpa_pdb.deny) == 0 with input as valid_pdb
+}
+test_deny_pdb_wrong_api_version if {
+	bad := object.union(valid_pdb, {"apiVersion": "policy/v1beta1"})
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+test_deny_pdb_missing_selector if {
+	bad := json.patch(valid_pdb, [{"op": "remove", "path": "/spec/selector"}])
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+test_deny_pdb_missing_match_labels if {
+	bad := json.patch(valid_pdb, [{"op": "replace", "path": "/spec/selector", "value": {}}])
+	count(hpa_pdb.deny) > 0 with input as bad
+}
+# Не той kind/apiVersion — пакет не діє.
+test_allow_unrelated_manifest if {
+	count(hpa_pdb.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "x"},
+	}
+}

package/policy/k8s/kustomization/kustomization.rego ADDED Viewed

@@ -0,0 +1,220 @@
+# Порт пер-документних структурних перевірок `kustomization.yaml` з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc).
+#
+# Запуск (локально, на одному kustomization.yaml):
+#   conftest test path/to/kustomization.yaml -p npm/policy/k8s/kustomization \
+#     --namespace k8s.kustomization
+#
+# Перевіряє (тільки для `kind: Kustomization`, `apiVersion: kustomize.config.k8s.io/...`):
+#  - `resources[]` — за алфавітом (en, case-insensitive); порожні рядки ігноруються;
+#  - `patches[]` — за tuple `(target.kind, target.name, target.namespace, path)`;
+#  - всередині одного inline `patch` (JSON6902) не може бути одночасно
+#    операцій `op: remove` і `op: add` на той самий `path` — k8s.mdc вимагає
+#    `op: replace` у такому випадку.
+#
+# JS authoritative: повна резолюція kustomize-дерева, перевірка існування
+# refs на диску, парність `svc.yaml`/`svc-hl.yaml`, вибір conftest-цілей за
+# patternом `kustomization.yaml` — у `check-k8s.mjs`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package k8s.kustomization
+import rego.v1
+# Префікс apiVersion маніфесту Kustomize Kustomization.
+api_prefix := "kustomize.config.k8s.io/"
+resources_unsorted_template := concat(" ", [
+	"Kustomization.resources має бути за алфавітом (en, case-insensitive).",
+	"Зараз: %s; очікувано: %s (k8s.mdc)",
+])
+resources_not_array_template := "Kustomization.resources має бути масивом (k8s.mdc)"
+resources_item_not_string_template := "Kustomization.resources[%d] — очікується рядок-шлях (k8s.mdc)"
+patches_unsorted_template := concat(" ", [
+	"Kustomization.patches має бути за алфавітом",
+	"(target.kind → target.name → target.namespace → path).",
+	"Зараз: %s; очікувано: %s (k8s.mdc)",
+])
+patches_not_array_template := "Kustomization.patches має бути масивом (k8s.mdc)"
+json6902_conflict_template := concat(" ", [
+	"Kustomization.patches[%d]: у наборі JSON6902 операцій є і remove,",
+	"і add на той самий path %q — використай op: replace (k8s.mdc)",
+])
+# ── deny: resources[] не масив / нечитаний елемент ───────────────────────
+deny contains resources_not_array_template if {
+	is_kustomization
+	resources_present
+	not is_array(input.resources)
+}
+deny contains msg if {
+	is_kustomization
+	some i, item in input.resources
+	not is_string(item)
+	msg := sprintf(resources_item_not_string_template, [i])
+}
+# ── deny: resources[] не за алфавітом ────────────────────────────────────
+deny contains msg if {
+	is_kustomization
+	is_array(input.resources)
+	count(non_empty_resource_paths) >= 2
+	not resources_sorted
+	msg := sprintf(
+		resources_unsorted_template,
+		[concat(", ", non_empty_resource_paths), concat(", ", sorted_resource_paths_alpha)],
+	)
+}
+# ── deny: patches[] не масив ─────────────────────────────────────────────
+deny contains patches_not_array_template if {
+	is_kustomization
+	patches_present
+	not is_array(input.patches)
+}
+# ── deny: patches[] не за tuple-сортом ───────────────────────────────────
+deny contains msg if {
+	is_kustomization
+	is_array(input.patches)
+	count(input.patches) >= 2
+	not patches_sorted
+	msg := sprintf(
+		patches_unsorted_template,
+		[concat(", ", patches_have_labels), concat(", ", patches_want_labels)],
+	)
+}
+# ── deny: JSON6902 — remove+add на той самий path всередині одного patch ──
+deny contains msg if {
+	is_kustomization
+	is_array(object.get(input, "patches", []))
+	some i, p in input.patches
+	patch_text := patch_inline_text(p)
+	patch_text != ""
+	some conflict_path in json6902_remove_add_conflicts(patch_text)
+	msg := sprintf(json6902_conflict_template, [i, conflict_path])
+}
+# ── helpers ───────────────────────────────────────────────────────────────
+is_kustomization if {
+	input.kind == "Kustomization"
+	startswith(object.get(input, "apiVersion", ""), api_prefix)
+}
+resources_present if {
+	_ := input.resources
+}
+patches_present if {
+	_ := input.patches
+}
+# Список непорожніх рядкових шляхів resources у порядку файлу (для повідомлення).
+non_empty_resource_paths := [trim_space(item) |
+	some item in input.resources
+	is_string(item)
+	trim_space(item) != ""
+]
+resources_sorted if {
+	non_empty_resource_paths == sorted_resource_paths_alpha
+}
+# Case-insensitive en-сорт: будуємо tuple `[lower(s), s]`, сортуємо
+# rego-built-in `sort` (за першою позицією — lower-case), повертаємо оригінали.
+# Це відповідає JS `localeCompare('en', { sensitivity: 'base' })` для ASCII.
+sorted_resource_paths_alpha := [pair[1] | some pair in sorted_lowered_pairs]
+sorted_lowered_pairs := sort([[lower(s), s] | some s in non_empty_resource_paths])
+# ── patches sort helpers ─────────────────────────────────────────────────
+patch_keys := [patch_sort_key(p) | some p in input.patches]
+patch_sort_key(p) := key if {
+	target := object.get(p, "target", {})
+	key := [
+		lower(string_or_empty(target, "kind")),
+		lower(string_or_empty(target, "name")),
+		lower(string_or_empty(target, "namespace")),
+		lower(string_or_empty(p, "path")),
+	]
+}
+string_or_empty(obj, k) := v if {
+	v := object.get(obj, k, "")
+	is_string(v)
+} else := ""
+patches_sorted if {
+	patch_keys == sort(patch_keys)
+}
+# Лейбли для повідомлень: «kind/name» якщо обидва є; «path=…» якщо є path; «#i» інакше.
+patches_have_labels := [patch_label(input.patches[i], i) |
+	some i, _ in input.patches
+]
+patches_want_labels := [patch_label(pair[1], pair[2]) | some pair in sorted_patches_with_index]
+sorted_patches_with_index := sort([[patch_sort_key(input.patches[i]), input.patches[i], i] |
+	some i, _ in input.patches
+])
+patch_label(p, i) := sprintf("%s/%s", [kind, name]) if {
+	target := object.get(p, "target", {})
+	kind := string_or_empty(target, "kind")
+	kind != ""
+	name := string_or_empty(target, "name")
+	name != ""
+} else := sprintf("path=%s", [path]) if {
+	path := string_or_empty(p, "path")
+	path != ""
+} else := sprintf("#%d", [i])
+# ── JSON6902 conflict helpers ────────────────────────────────────────────
+# Текст inline `patch` у одному записі patches[]. Якщо немає поля `patch` або
+# не рядок — повертаємо "" (зовнішні patch-файли через `path` тут не читаємо;
+# JS дивиться їх окремо).
+patch_inline_text(p) := v if {
+	v := object.get(p, "patch", "")
+	is_string(v)
+} else := ""
+# Витягує `op`/`path` пари з тексту JSON6902. Спершу пробуємо JSON, потім YAML
+# (типова форма kustomization — YAML literal block).
+json6902_ops(text) := ops if {
+	yaml.is_valid(text)
+	parsed := yaml.unmarshal(text)
+	is_array(parsed)
+	ops := [{"op": lower(item.op), "path": item.path} |
+		some item in parsed
+		is_string(object.get(item, "op", null))
+		is_string(object.get(item, "path", null))
+		trim_space(item.path) != ""
+	]
+} else := []
+# Шляхи з конфліктом `remove` + `add` у одному наборі операцій.
+json6902_remove_add_conflicts(text) := paths if {
+	ops := json6902_ops(text)
+	remove_paths := {op.path | some op in ops; op.op == "remove"}
+	add_paths := {op.path | some op in ops; op.op == "add"}
+	paths := remove_paths & add_paths
+}

package/policy/k8s/kustomization/kustomization_test.rego ADDED Viewed

@@ -0,0 +1,128 @@
+# Тести для `k8s.kustomization`. Запуск:
+#   conftest verify -p npm/policy/k8s/kustomization --namespace k8s.kustomization
+package k8s.kustomization_test
+import rego.v1
+import data.k8s.kustomization
+base_kust := {
+	"apiVersion": "kustomize.config.k8s.io/v1beta1",
+	"kind": "Kustomization",
+}
+# ── resources sort ───────────────────────────────────────────────────────
+test_deny_resources_unsorted if {
+	count(kustomization.deny) > 0 with input as object.union(base_kust, {"resources": [
+		"deployment.yaml",
+		"configmap.yaml",
+	]})
+}
+test_allow_resources_sorted if {
+	count(kustomization.deny) == 0 with input as object.union(base_kust, {"resources": [
+		"configmap.yaml",
+		"deployment.yaml",
+	]})
+}
+test_allow_resources_case_insensitive_sorted if {
+	count(kustomization.deny) == 0 with input as object.union(base_kust, {"resources": [
+		"AAA.yaml",
+		"bbb.yaml",
+		"CCC.yaml",
+	]})
+}
+test_deny_resources_not_array if {
+	count(kustomization.deny) > 0 with input as object.union(base_kust, {"resources": "string-not-array"})
+}
+test_deny_resources_item_not_string if {
+	count(kustomization.deny) > 0 with input as object.union(base_kust, {"resources": [
+		"a.yaml",
+		{"obj": "not allowed"},
+	]})
+}
+# ── patches sort ─────────────────────────────────────────────────────────
+test_deny_patches_unsorted_by_kind_name if {
+	count(kustomization.deny) > 0 with input as object.union(base_kust, {"patches": [
+		{"target": {"kind": "Deployment", "name": "z"}},
+		{"target": {"kind": "Deployment", "name": "a"}},
+	]})
+}
+test_allow_patches_sorted_by_kind_name if {
+	count(kustomization.deny) == 0 with input as object.union(base_kust, {"patches": [
+		{"target": {"kind": "Deployment", "name": "a"}},
+		{"target": {"kind": "Deployment", "name": "z"}},
+	]})
+}
+test_deny_patches_not_array if {
+	count(kustomization.deny) > 0 with input as object.union(base_kust, {"patches": "string-not-array"})
+}
+# ── JSON6902 remove+add conflict ─────────────────────────────────────────
+test_deny_json6902_remove_and_add_same_path if {
+	patch_text := concat("\n", [
+		"- op: remove",
+		"  path: /spec/replicas",
+		"- op: add",
+		"  path: /spec/replicas",
+		"  value: 3",
+	])
+	count(kustomization.deny) > 0 with input as object.union(base_kust, {"patches": [{
+		"target": {"kind": "Deployment", "name": "api"},
+		"patch": patch_text,
+	}]})
+}
+test_allow_json6902_replace_same_path if {
+	patch_text := concat("\n", [
+		"- op: replace",
+		"  path: /spec/replicas",
+		"  value: 3",
+	])
+	count(kustomization.deny) == 0 with input as object.union(base_kust, {"patches": [{
+		"target": {"kind": "Deployment", "name": "api"},
+		"patch": patch_text,
+	}]})
+}
+test_allow_json6902_remove_and_add_different_paths if {
+	patch_text := concat("\n", [
+		"- op: remove",
+		"  path: /spec/replicas",
+		"- op: add",
+		"  path: /spec/strategy",
+		"  value: {}",
+	])
+	count(kustomization.deny) == 0 with input as object.union(base_kust, {"patches": [{
+		"target": {"kind": "Deployment", "name": "api"},
+		"patch": patch_text,
+	}]})
+}
+# Маніфест не Kustomization — правила не діють.
+test_allow_non_kustomization if {
+	count(kustomization.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "x"},
+		"data": {"key": "value"},
+	}
+}
+# Не той apiVersion — правила не діють.
+test_allow_kustomization_other_api_version if {
+	count(kustomization.deny) == 0 with input as {
+		"apiVersion": "other.example.com/v1",
+		"kind": "Kustomization",
+		"resources": ["z.yaml", "a.yaml"],
+	}
+}

package/policy/k8s/kustomize_managed/kustomize_managed.rego ADDED Viewed

@@ -0,0 +1,31 @@
+# Порт перевірки `metadataNamespaceForbiddenViolation` з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc): для файлів, які підключено до якогось
+# `kustomization.yaml` через `resources` / `patches` / `…`, поле
+# `metadata.namespace` забороняється — namespace задає сам kustomization.
+#
+# Запуск (локально, лише для одного kustomize-managed YAML):
+#   conftest test path/to/manifest.yaml -p npm/policy/k8s/kustomize_managed \
+#     --namespace k8s.kustomize_managed
+#
+# JS відбирає kustomize-managed файли через `collectKustomizeManagedRelPaths`
+# і викликає conftest з цією намеспейс. JS authoritative
+# (`check-k8s.mjs`: `metadataNamespaceForbiddenViolation`,
+# `failIfK8sPolicyNamespaceRulesViolated`).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.kustomize_managed
+import rego.v1
+namespace_forbidden_msg := concat(" ", [
+	"metadata.namespace заборонено — namespace задає kustomization.yaml",
+	"(поле namespace); файл підключено через resources / patches / …",
+	"(k8s.mdc)",
+])
+deny contains namespace_forbidden_msg if {
+	meta := object.get(input, "metadata", null)
+	is_object(meta)
+	"namespace" in object.keys(meta)
+}

package/policy/k8s/kustomize_managed/kustomize_managed_test.rego ADDED Viewed

@@ -0,0 +1,30 @@
+# Тести для `k8s.kustomize_managed`. Запуск:
+#   conftest verify -p npm/policy/k8s/kustomize_managed --namespace k8s.kustomize_managed
+package k8s.kustomize_managed_test
+import rego.v1
+import data.k8s.kustomize_managed
+test_deny_metadata_with_namespace if {
+	count(kustomize_managed.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm", "namespace": "dev"},
+	}
+}
+test_allow_metadata_without_namespace if {
+	count(kustomize_managed.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm"},
+	}
+}
+test_allow_no_metadata if {
+	count(kustomize_managed.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+	}
+}