@nitra/cursor 1.8.221 → 1.8.228

package/policy/k8s/manifest/manifest.rego

@@ -4,7 +4,7 @@
 # запускає policy на кожен документ окремо.
 #
 # Запуск (локально, по одному файлу або по дереву):
-#   conftest test path/to/k8s/manifest.yaml -p npm/policy/k8s \
+#   conftest test path/to/k8s/manifest.yaml -p npm/policy/k8s/manifest \
 #     --namespace k8s.manifest
 #
 # Перевіряє:
@@ -13,8 +13,13 @@
 #  - `kind: Service` без `cloud.google.com/neg` /
 #    `cloud.google.com/backend-config` в `metadata.annotations` (k8s.mdc);
 #  - `kind: Deployment` — у кожного контейнера спільно `containers` +
-#    `initContainers` має бути `resources.requests.cpu` (рядок на кшталт
-#    `"500m"` чи число), без порожнього значення.
+#    `initContainers` має бути `resources.requests.cpu` і
+#    `resources.requests.memory` (рядок або додатне число);
+#  - `kind: Deployment` з образом `hasura/graphql-engine` — образ має бути
+#    у білому списку `allowed_hasura_images` (з digest або без; префікс
+#    `docker.io/` дозволено);
+#  - `kind: Deployment` — наявність канонічного запису у
+#    `spec.template.spec.topologySpreadConstraints` (k8s.mdc).
 #
 # CROSS-FILE логіка (Kustomize-резолюція ресурсів, парність svc.yaml/svc-hl.yaml,
 # HPA/PDB/topologySpreadConstraints за каталогом, BackendConfig-сепарація,
@@ -32,11 +37,25 @@ import rego.v1
 
 default_cpu_request := "0.5"
 
+default_memory_request := "512Mi"
+
 forbidden_service_annotations := {
 	"cloud.google.com/neg",
 	"cloud.google.com/backend-config",
 }
 
+# Дозволені посилання на образ `hasura/graphql-engine` (узгоджено з
+# `HASURA_GRAPHQL_ENGINE_IMAGE` у `check-k8s.mjs`). Зараз — один канонічний тег
+# у двох варіантах префіксу (із `docker.io/` і без). Digest (`@sha256:…`)
+# відрізається перед звіркою.
+allowed_hasura_images := {
+	"hasura/graphql-engine:v2.48.15.ubi.amd64",
+	"docker.io/hasura/graphql-engine:v2.48.15.ubi.amd64",
+}
+
+# Канонічне значення `topologyKey` для `topologySpreadConstraints` (k8s.mdc).
+topology_spread_topology_key := "kubernetes.io/hostname"
+
 ingress_template := concat(" ", [
 	"знайдено kind: Ingress — заміни на Gateway API:",
 	"HTTPRoute (hr.yaml), HealthCheckPolicy (hc.yaml) (k8s.mdc)",
@@ -57,6 +76,27 @@ cpu_empty_template := concat(" ", [
 	"значенням (наприклад \"500m\") (зараз: %v) (k8s.mdc)",
 ])
 
+memory_missing_template := concat(" ", [
+	"Deployment %q, контейнер %q: відсутнє resources.requests.memory —",
+	"додай (за замовчуванням %s) (k8s.mdc)",
+])
+
+memory_empty_template := concat(" ", [
+	"Deployment %q, контейнер %q: resources.requests.memory має бути непорожнім",
+	"значенням (наприклад \"512Mi\") (зараз: %v) (k8s.mdc)",
+])
+
+hasura_image_template := concat(" ", [
+	"Deployment %q, контейнер %q: образ hasura/graphql-engine має бути одним",
+	"із дозволених тегів (зараз: %q) (k8s.mdc)",
+])
+
+topology_spread_missing_template := concat(" ", [
+	"Deployment %q: відсутній канонічний запис у spec.template.spec.topologySpreadConstraints —",
+	"додай maxSkew=1, topologyKey=%s, whenUnsatisfiable=ScheduleAnyway,",
+	"labelSelector.matchLabels.app=%q (k8s.mdc)",
+])
+
 # ── deny: заборонені kind/apiVersion ──────────────────────────────────────
 
 deny contains ingress_template if {
@@ -100,11 +140,58 @@ deny contains msg if {
 	msg := sprintf(cpu_empty_template, [deployment_name, container.name, cpu])
 }
 
+# ── deny: Deployment — у кожного контейнера resources.requests.memory ─────
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	not has_non_empty_memory_request(container)
+	not has_memory_field(container)
+	msg := sprintf(memory_missing_template, [deployment_name, container.name, default_memory_request])
+}
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	not has_non_empty_memory_request(container)
+	has_memory_field(container)
+	mem := container.resources.requests.memory
+	msg := sprintf(memory_empty_template, [deployment_name, container.name, mem])
+}
+
+# ── deny: Deployment — образ hasura/graphql-engine з білого списку ────────
+#
+# Spec вимагає рівно тег із константи `HASURA_GRAPHQL_ENGINE_IMAGE`
+# (з опційним префіксом `docker.io/`). Digest `@sha256:…` у поточних правилах
+# відрізається перед порівнянням (k8s.mdc допускає, але не вимагає його).
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	is_hasura_graphql_engine_image_ref(container.image)
+	stripped := strip_image_digest(container.image)
+	not stripped in allowed_hasura_images
+	msg := sprintf(hasura_image_template, [deployment_name, container.name, container.image])
+}
+
+# ── deny: Deployment — канонічний topologySpreadConstraints ───────────────
+#
+# Перевіряємо лише Deployment-и, що мають мітку `app` у
+# `spec.selector.matchLabels.app` — без неї канон не визначений (так само
+# як у JS-перевірці).
+
+deny contains msg if {
+	input.kind == "Deployment"
+	deployment_app_label != ""
+	not has_canonical_topology_spread_constraint(deployment_app_label)
+	msg := sprintf(topology_spread_missing_template, [deployment_name, topology_spread_topology_key, deployment_app_label])
+}
+
 # ── helpers ────────────────────────────────────────────────────────────────
 
 deployment_name := object.get(object.get(input, "metadata", {}), "name", "<no-name>")
 
-# Усі контейнери (звичайні + ініт) Deployment-а — для перевірки CPU.
+# Усі контейнери (звичайні + ініт) Deployment-а — для перевірки CPU/memory/image.
 deployment_all_containers contains container if {
 	some container in object.get(object.get(input.spec.template, "spec", {}), "containers", [])
 }
@@ -130,3 +217,63 @@ has_non_empty_cpu_request(container) if {
 has_cpu_field(container) if {
 	_ := container.resources.requests.cpu
 }
+
+# Чи у контейнера є непорожнє resources.requests.memory (рядок або число > 0).
+has_non_empty_memory_request(container) if {
+	mem := container.resources.requests.memory
+	is_string(mem)
+	trim_space(mem) != ""
+}
+
+has_non_empty_memory_request(container) if {
+	mem := container.resources.requests.memory
+	is_number(mem)
+	mem > 0
+}
+
+# Чи у контейнера в реальності присутнє поле resources.requests.memory.
+has_memory_field(container) if {
+	_ := container.resources.requests.memory
+}
+
+# Чи рядок `image` посилається на репозиторій `hasura/graphql-engine` (з тегом
+# або без). Digest `@sha256:…` ігнорується.
+is_hasura_graphql_engine_image_ref(image) if {
+	is_string(image)
+	stripped := strip_image_digest(image)
+	regex.match(`(^|/)hasura/graphql-engine(:|$)`, stripped)
+}
+
+# Прибирає digest (`@sha256:…`) з image-string для звірки тегу.
+strip_image_digest(image) := stripped if {
+	at_idx := indexof(image, "@")
+	at_idx >= 0
+	stripped := substring(image, 0, at_idx)
+}
+
+strip_image_digest(image) := image if {
+	indexof(image, "@") == -1
+}
+
+# Витягує мітку `app` з `spec.selector.matchLabels.app`. Повертає "" якщо немає.
+default deployment_app_label := ""
+
+deployment_app_label := app if {
+	app := object.get(object.get(object.get(input.spec, "selector", {}), "matchLabels", {}), "app", "")
+	is_string(app)
+}
+
+# Чи серед `spec.template.spec.topologySpreadConstraints` є запис, який
+# відповідає канону (maxSkew=1, потрібний topologyKey, whenUnsatisfiable,
+# labelSelector.matchLabels.app == очікувана мітка).
+has_canonical_topology_spread_constraint(expected_app) if {
+	some item in object.get(object.get(input.spec.template, "spec", {}), "topologySpreadConstraints", [])
+	is_canonical_topology_spread_constraint(item, expected_app)
+}
+
+is_canonical_topology_spread_constraint(item, expected_app) if {
+	item.maxSkew == 1
+	item.topologyKey == topology_spread_topology_key
+	item.whenUnsatisfiable == "ScheduleAnyway"
+	object.get(object.get(item, "labelSelector", {}), "matchLabels", {}).app == expected_app
+}

package/policy/k8s/manifest/manifest_test.rego

@@ -0,0 +1,309 @@
+# Тести для `k8s.manifest`. Запуск:
+#   conftest verify -p npm/policy/k8s/manifest --namespace k8s.manifest
+#
+# Покриваємо deny-правила: Ingress, autoscaling/v1, Service GCP-анотації,
+# Deployment cpu/memory/image (Hasura), topologySpreadConstraints. Тести
+# перевіряють як спрацювання правила (count(deny) > 0), так і його відсутність
+# для коректного маніфесту.
+package k8s.manifest_test
+
+import rego.v1
+
+import data.k8s.manifest
+
+# ── Ingress / autoscaling/v1 ──────────────────────────────────────────────
+
+test_deny_ingress if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "networking.k8s.io/v1",
+		"kind": "Ingress",
+		"metadata": {"name": "x"},
+	}
+}
+
+test_deny_autoscaling_v1 if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "autoscaling/v1",
+		"kind": "HorizontalPodAutoscaler",
+		"metadata": {"name": "x"},
+	}
+}
+
+test_allow_autoscaling_v2 if {
+	count(manifest.deny) == 0 with input as {
+		"apiVersion": "autoscaling/v2",
+		"kind": "HorizontalPodAutoscaler",
+		"metadata": {"name": "x"},
+	}
+}
+
+# ── Service: GCP-анотації ─────────────────────────────────────────────────
+
+test_deny_service_neg_annotation if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {
+			"name": "api",
+			"annotations": {"cloud.google.com/neg": "{}"},
+		},
+	}
+}
+
+test_deny_service_backend_config_annotation if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {
+			"name": "api",
+			"annotations": {"cloud.google.com/backend-config": "{}"},
+		},
+	}
+}
+
+test_allow_service_clean_annotations if {
+	count(manifest.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {
+			"name": "api",
+			"namespace": "dev",
+			"annotations": {"foo": "bar"},
+		},
+		"spec": {"type": "ClusterIP"},
+	}
+}
+
+# ── Deployment: resources.requests.cpu ────────────────────────────────────
+
+test_deny_deployment_missing_cpu if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {"containers": [{
+				"name": "main",
+				"image": "registry.example.com/api:1.0",
+				"resources": {"requests": {"memory": "64Mi"}},
+			}]}},
+		},
+	}
+}
+
+test_deny_deployment_empty_cpu if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {"containers": [{
+				"name": "main",
+				"image": "registry.example.com/api:1.0",
+				"resources": {"requests": {"cpu": "", "memory": "64Mi"}},
+			}]}},
+		},
+	}
+}
+
+# ── Deployment: resources.requests.memory ─────────────────────────────────
+
+test_deny_deployment_missing_memory if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {"containers": [{
+				"name": "main",
+				"image": "registry.example.com/api:1.0",
+				"resources": {"requests": {"cpu": "100m"}},
+			}]}},
+		},
+	}
+}
+
+test_deny_deployment_empty_memory if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {"containers": [{
+				"name": "main",
+				"image": "registry.example.com/api:1.0",
+				"resources": {"requests": {"cpu": "100m", "memory": ""}},
+			}]}},
+		},
+	}
+}
+
+test_deny_init_container_missing_resources if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {
+				"containers": [{
+					"name": "main",
+					"image": "registry.example.com/api:1.0",
+					"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+				}],
+				"initContainers": [{"name": "wait", "image": "busybox:1"}],
+			}},
+		},
+	}
+}
+
+# ── Deployment: образ hasura/graphql-engine ──────────────────────────────
+
+test_deny_deployment_hasura_unpinned_image if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "db-h", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "db-h"}},
+			"template": {"spec": {"containers": [{
+				"name": "graphql-engine",
+				"image": "hasura/graphql-engine:latest",
+				"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+			}]}},
+		},
+	}
+}
+
+test_allow_deployment_hasura_canonical_image if {
+	count(manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "db-h", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "db-h"}},
+			"template": {"spec": {
+				"containers": [{
+					"name": "graphql-engine",
+					"image": "hasura/graphql-engine:v2.48.15.ubi.amd64",
+					"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+				}],
+				"topologySpreadConstraints": [{
+					"maxSkew": 1,
+					"topologyKey": "kubernetes.io/hostname",
+					"whenUnsatisfiable": "ScheduleAnyway",
+					"labelSelector": {"matchLabels": {"app": "db-h"}},
+				}],
+			}},
+		},
+	}
+}
+
+test_allow_deployment_hasura_canonical_image_with_digest if {
+	count(manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "db-h", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "db-h"}},
+			"template": {"spec": {
+				"containers": [{
+					"name": "graphql-engine",
+					"image": "docker.io/hasura/graphql-engine:v2.48.15.ubi.amd64@sha256:0000",
+					"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+				}],
+				"topologySpreadConstraints": [{
+					"maxSkew": 1,
+					"topologyKey": "kubernetes.io/hostname",
+					"whenUnsatisfiable": "ScheduleAnyway",
+					"labelSelector": {"matchLabels": {"app": "db-h"}},
+				}],
+			}},
+		},
+	}
+}
+
+# ── Deployment: topologySpreadConstraints ────────────────────────────────
+
+test_deny_deployment_missing_topology_spread if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {"containers": [{
+				"name": "main",
+				"image": "registry.example.com/api:1.0",
+				"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+			}]}},
+		},
+	}
+}
+
+test_deny_deployment_topology_spread_wrong_app_label if {
+	count(manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {
+				"containers": [{
+					"name": "main",
+					"image": "registry.example.com/api:1.0",
+					"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+				}],
+				"topologySpreadConstraints": [{
+					"maxSkew": 1,
+					"topologyKey": "kubernetes.io/hostname",
+					"whenUnsatisfiable": "ScheduleAnyway",
+					"labelSelector": {"matchLabels": {"app": "wrong"}},
+				}],
+			}},
+		},
+	}
+}
+
+test_allow_deployment_canonical_topology_spread if {
+	count(manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {
+			"selector": {"matchLabels": {"app": "api"}},
+			"template": {"spec": {
+				"containers": [{
+					"name": "main",
+					"image": "registry.example.com/api:1.0",
+					"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+				}],
+				"topologySpreadConstraints": [{
+					"maxSkew": 1,
+					"topologyKey": "kubernetes.io/hostname",
+					"whenUnsatisfiable": "ScheduleAnyway",
+					"labelSelector": {"matchLabels": {"app": "api"}},
+				}],
+			}},
+		},
+	}
+}
+
+# Без app-мітки топологічна перевірка не запускається — JS-парність
+# (k8sEnvSegmentFromRelPath без appLabel skipує перевірку).
+test_allow_deployment_without_app_label_skips_topology if {
+	count(manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "registry.example.com/api:1.0",
+			"resources": {"requests": {"cpu": "100m", "memory": "64Mi"}},
+		}]}}},
+	}
+}

package/policy/k8s/svc_hl_yaml/svc_hl_yaml.rego

@@ -0,0 +1,51 @@
+# Порт пер-документної структурної перевірки `svc-hl.yaml` з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc): headless Service з суфіксом
+# `metadata.name` `-hl` і `spec.clusterIP: None`.
+#
+# Запуск (локально, лише для одного svc-hl.yaml):
+#   conftest test path/to/k8s/.../svc-hl.yaml -p npm/policy/k8s/svc_hl_yaml \
+#     --namespace k8s.svc_hl_yaml
+#
+# JS authoritative (`check-k8s.mjs`: `serviceSvcHlYamlHeadlessViolation`,
+# вибір файла `svc-hl.yaml` через walk).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.svc_hl_yaml
+
+import rego.v1
+
+svc_hl_name_suffix := "-hl"
+
+name_suffix_template := concat(" ", [
+	"Service metadata.name має закінчуватися на %q",
+	"(svc-hl.yaml; зараз: %q; k8s.mdc)",
+])
+
+deny contains "Service: потрібні metadata.name з суфіксом -hl (svc-hl.yaml; k8s.mdc)" if {
+	input.kind == "Service"
+	not is_object(object.get(input, "metadata", null))
+}
+
+deny contains msg if {
+	input.kind == "Service"
+	meta := object.get(input, "metadata", null)
+	is_object(meta)
+	name := object.get(meta, "name", "")
+	not endswith(name, svc_hl_name_suffix)
+	msg := sprintf(name_suffix_template, [svc_hl_name_suffix, name])
+}
+
+deny contains "Service: додай spec.clusterIP: None (svc-hl.yaml; k8s.mdc)" if {
+	input.kind == "Service"
+	not is_object(object.get(input, "spec", null))
+}
+
+deny contains msg if {
+	input.kind == "Service"
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	cluster_ip := object.get(spec, "clusterIP", "<absent>")
+	cluster_ip != "None"
+	msg := sprintf("Service spec.clusterIP має бути None (headless, svc-hl.yaml; зараз: %v; k8s.mdc)", [cluster_ip])
+}

package/policy/k8s/svc_hl_yaml/svc_hl_yaml_test.rego

@@ -0,0 +1,42 @@
+# Тести для `k8s.svc_hl_yaml`. Запуск:
+#   conftest verify -p npm/policy/k8s/svc_hl_yaml --namespace k8s.svc_hl_yaml
+package k8s.svc_hl_yaml_test
+
+import rego.v1
+
+import data.k8s.svc_hl_yaml
+
+test_deny_service_name_without_hl if {
+	count(svc_hl_yaml.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "api"},
+		"spec": {"clusterIP": "None"},
+	}
+}
+
+test_deny_service_clusterip_not_none if {
+	count(svc_hl_yaml.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "api-hl"},
+		"spec": {"clusterIP": "1.2.3.4"},
+	}
+}
+
+test_allow_headless_service if {
+	count(svc_hl_yaml.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "api-hl"},
+		"spec": {"clusterIP": "None"},
+	}
+}
+
+test_allow_non_service if {
+	count(svc_hl_yaml.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api"},
+	}
+}

package/policy/k8s/svc_yaml/svc_yaml.rego

@@ -0,0 +1,31 @@
+# Порт пер-документної структурної перевірки `svc.yaml` з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc): `Service` у файлі `svc.yaml` має
+# мати `spec.type: ClusterIP`.
+#
+# Запуск (локально, лише для одного svc.yaml):
+#   conftest test path/to/k8s/.../svc.yaml -p npm/policy/k8s/svc_yaml \
+#     --namespace k8s.svc_yaml
+#
+# JS authoritative (`check-k8s.mjs`: `serviceSvcYamlClusterIpTypeViolation`,
+# вибір файла `svc.yaml` через walk). Цю Rego JS викликає окремою таргет-командою
+# лише для basename == `svc.yaml`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.svc_yaml
+
+import rego.v1
+
+deny contains "Service: додай spec.type: ClusterIP (svc.yaml; k8s.mdc)" if {
+	input.kind == "Service"
+	not is_object(object.get(input, "spec", null))
+}
+
+deny contains msg if {
+	input.kind == "Service"
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	type_value := object.get(spec, "type", "<absent>")
+	type_value != "ClusterIP"
+	msg := sprintf("Service spec.type має бути ClusterIP (svc.yaml; зараз: %v; k8s.mdc)", [type_value])
+}

package/policy/k8s/svc_yaml/svc_yaml_test.rego

@@ -0,0 +1,41 @@
+# Тести для `k8s.svc_yaml`. Запуск:
+#   conftest verify -p npm/policy/k8s/svc_yaml --namespace k8s.svc_yaml
+package k8s.svc_yaml_test
+
+import rego.v1
+
+import data.k8s.svc_yaml
+
+test_deny_service_missing_spec if {
+	count(svc_yaml.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "api"},
+	}
+}
+
+test_deny_service_wrong_type if {
+	count(svc_yaml.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "api"},
+		"spec": {"type": "LoadBalancer"},
+	}
+}
+
+test_allow_service_clusterip if {
+	count(svc_yaml.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "api"},
+		"spec": {"type": "ClusterIP"},
+	}
+}
+
+test_allow_non_service if {
+	count(svc_yaml.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api"},
+	}
+}