@nitra/cursor 1.8.222 → 1.8.228

package/CHANGELOG.md

@@ -4,6 +4,60 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.228] - 2026-05-10
+
+### Changed
+
+- **k8s / Plan B (rego-authoritative, повна централізація):** rego-крок переїхав на початок `check-k8s.mjs::check()` через новий helper `runAllK8sRego` — батч-виклик `runConftestBatch` для 9 пакетів (`k8s.manifest`, `k8s.gateway`, `k8s.hpa_pdb`, `k8s.kustomization`, `k8s.svc_yaml`, `k8s.svc_hl_yaml`, `k8s.base_kustomization`, `k8s.base_manifest`, `k8s.kustomize_managed`). JS у `check-k8s.mjs` робить лише cross-file orchestration + autofix + modeline. Cross-file orchestrators `validateHasuraConfigMapRemoteSchemaPermissions` і `validateHasuraHttpRouteCanon` рефакторнуто: JS відбирає paired-with-Hasura-Deployment файли, далі батч-conftest на `k8s.hasura_configmap`/`k8s.hasura_httproute`. Видалено JS-orchestrator-функції-дублі (≈10 шт): `scanForbiddenManifestsInYamlDocuments`, `failIfIngressInDocument`, `failIfAutoscalingV1InDocument`, `validateK8sYamlPolicyDocuments`, `failIfK8sPolicyNamespaceRulesViolated`, `failIfK8sPolicyResourceRulesViolated`, `runK8sYamlPolicyAndGatewayScans`, `scanGatewayApiRouteBackendRefsInYamlBody`, `failIfGatewayRouteUsesNonHeadlessService`, `validateKustomizationResourcesSortedAlphabetically`, `validateKustomizationPatchesStructuralSort`, `validateInlinePatchesSorted`, `validateKustomizationJson6902NoRemoveAddSamePath`, `auditJson6902OneKustomizationYamlFile`, `auditJson6902ForKustomizationYamlDoc`, `auditKustomizationPatchesJson6902`, `auditOneKustomizationJson6902Patch`, `auditJson6902PatchExternalFile`, `failIfJson6902RemoveAddConflictOnSamePath`, `verifyBaseKustomizationNamespaceOnFile`, `ensureBaseKustomizationHasNamespace`, `readFirstConfigMapDoc`. Видалено публічний predicate `isForbiddenAutoscalingV1Manifest` + його тест (rego `k8s.manifest` авторитативно). Решта predicates лишилися як публічні exports для back-compat (`hpaManifestViolations`, `pdbManifestViolations`, `deploymentTopologySpreadConstraintsViolation` все ще активно використовуються JS cross-file для expected-name/dev-like; інші — тестові shim, можна прибрати окремо).
+- **`checkK8sYamlFile`** залишає тільки modeline + `$schema`-URL перевірки; per-document валідація (Ingress/autoscaling/v1 заборонено, Service GCP-анотації, Deployment resources/Hasura image/topologySpread, Gateway API backendRef правила, HCP, svc/svc-hl, namespace правила) — у rego, виконано на початку `check()`.
+
+## [1.8.227] - 2026-05-10
+
+### Changed
+
+- **conftest.mdc (alwaysApply):** канонізовано патерн «Rego-authoritative + JS-orchestrator» (Plan B) як основний для всіх перевірок у репо. Розділ «Гібрид» переписано: замість «JS authoritative + rego-копія» (Plan A) — тепер чітко: пер-документне правило існує **рівно в одному місці** (rego), а `check-<rule>.mjs` делегує його через `runConftestBatch` (`npm/scripts/utils/run-conftest-batch.mjs`), один спавн на namespace. Додано конкретний шаблон `check()` (rego-крок перший, JS cross-file — після) і опис інтеграції з `lint-<rule>.mjs` (external-tools wrapper викликає `await checkX()` як останній крок). Реальні приклади — abie (пілот) і ga (повна централізація). Новий «червоний прапор» забороняє лишати JS-копію rego-правила «про всяк випадок» — це плодить дрифт.
+
+## [1.8.226] - 2026-05-10
+
+### Changed
+
+- **ga / Plan B (rego-authoritative, повна централізація):** rego-крок переїхав із `lint-ga.mjs` у `check-ga.mjs::check()` як **перший крок**. Раніше `bun run lint-ga` сам викликав 4 per-workflow conftest + 1 batch для `ga.workflow_common`, а `npx @nitra/cursor check ga` цю частину не робив — тепер вся ga-логіка (rego + JS cross-file) в одному `check-ga.check()`. `lint-ga.mjs::runLintGaCli` спрощено: preflight (shellcheck/uv) → actionlint → zizmor → `await checkGa()`. Видалено: `CONFTEST_TARGETS`, `GA_POLICY_DIR`, `runConftestStep`, `runConftestWorkflowCommon` — і непотрібні імпорти `existsSync`/`readdirSync`/`dirname`/`join`/`fileURLToPath`. `runLintGaCli` тепер `async`; `bin/n-cursor.js` оновлено на `await runLintGaCli()`. Тест `lint-ga.test.mjs` оновлено: `await fn()` замість `fn()`. Тест `check-ga.test.mjs::"exit 1 коли shellcheck відсутній"` переведений на точковий виклик експортованої `checkShellcheckInstalled` (бо `withBinRemovedFromPath('shellcheck')` на macOS заодно видаляв `/opt/homebrew/bin` де conftest, ламаючи hard-fail у `runConftestBatch`).
+- **`check-ga.mjs::checkShellcheckInstalled`:** додано `export` (потрібен для точкового тесту після рефактору).
+- **тестова фікстура `setupCanonicalGaProject` у check-ga.test.mjs:** додано секцію `concurrency` (з канонічними `group` і `cancel-in-progress: true`) у workflow `clean-ga-workflows.yml`, `clean-merged-branch.yml`, `git-ai.yml` — `ga.workflow_common` rego тепер запускається у `check()`, а ці workflow раніше не мали concurrency у фікстурі (правило `lint-ga.yml` уже мало). Це **правильна** реакція: rego-перевірка тепер ловить порушення на тих самих фікстурах, на яких раніше не запускалась.
+
+## [1.8.225] - 2026-05-10
+
+### Added
+
+- **utility `runConftestBatch`:** новий `npm/scripts/utils/run-conftest-batch.mjs` — спавнить `conftest test` одним викликом для batched-списку файлів, парсить `--output json`, повертає структуровані `{filename, namespace, message}` порушення. Hard-fail зі install-hint якщо `conftest` не у PATH (узгоджено з рішенням Plan B). Використовується з `check-*.mjs` для делегування пер-документної валідації у Rego-полісі без помітного сповільнення (один спавн на namespace, не на файл).
+
+### Changed
+
+- **abie / Plan B (rego-authoritative, pilot):** `npm/scripts/check-abie.mjs` рефакторнуто — пер-документна валідація 4 правил тепер делегується rego через `runConftestBatch`, JS залишає лише cross-file-оркестрацію (walking, path-фільтрацію, парність файлів). Видалені JS-функції-предикати (тепер єдине джерело істини — rego): `abieBaseHttpRouteHostnamesErrors`, `deploymentDocumentHasAbieBasePreemNodeSelector`, `parseCleanMergedIgnoreBranches`, `ignoreBranchesIncludesRequired`, `validateAbieHcPolicy`, плюс хелпери `collectAbieHostnames`, `isAllowedAbieBaseDevHostname`, `isAbiePreemTruthy`, `processBaseHttpRouteDoc`, `httpRouteHasNonEmptyHostnames`, `findHealthCheckPolicyInDocs` і константа `ABIE_REQUIRED_IGNORE_BRANCHES`. Імпорти `flattenWorkflowSteps`, `getStepUses`, `parseWorkflowYaml` (`./utils/gha-workflow.mjs`) теж прибрано — orphan після видалення JS-парсера workflow.
+- **abie.health_check_policy (rego):** виправлено divergence з JS — тепер targetRef.name перевіряється точним match-ем `<hcp.metadata.name>-hl` (з нормалізацією: якщо name вже закінчується на `-hl`, береться як є). До цього rego перевіряло лише суфікс `-hl`, що дозволяло `targetRef.name=bar-hl` для HCP з `name=foo` — це не дзеркалило JS.
+- **`validateAbieHcYaml` → `validateAbieHcModeline`:** export перейменовано — JS-частина перевірки hc.yaml тепер обмежується modeline (`# yaml-language-server: $schema=…`); парсинг YAML і структурна валідація HCP делеговано rego.
+- **`npm/tests/check-abie.test.mjs`:** прибрано тести видалених JS-предикатів (8 тестів) — їх покриття тепер забезпечують `_test.rego` фікстури через `conftest verify`.
+- **`npm/tests/cross-check-rego-abie.test.mjs`:** видалено — після Plan B JS-сторони для крос-чеку немає; `_test.rego` фікстури в кожному abie-пакеті дають аналогічне покриття.
+
+## [1.8.224] - 2026-05-10
+
+### Added
+
+- **golden cross-check тести JS↔rego (abie):** додано `npm/tests/cross-check-rego-abie.test.mjs` (25 тестів), який для кожної пари (JS-предикат у `check-abie.mjs` ↔ rego-пакет у `npm/policy/abie/`) подає однаковий вхід у обидва імплементації через `opa eval --format json` і перевіряє інваріант **«обидва бачать порушення або обидва ні»**. Покриває: `deploymentDocumentHasAbieBasePreemNodeSelector` ↔ `abie.base_deployment_preem`; `parseCleanMergedIgnoreBranches`+`ignoreBranchesIncludesRequired` ↔ `abie.clean_merged_ignore_branches`; `abieBaseHttpRouteHostnamesErrors` ↔ `abie.http_route_base`; rego-only golden-фікстури для `abie.health_check_policy` (бо JS-функція `validateAbieHcPolicy` приватна). Тест автоматично пропускається, якщо `opa` не у PATH. Sanity-check ламанням rego навмисно — drift детектується.
+
+## [1.8.223] - 2026-05-10
+
+### Added
+
+- **abie / нові rego-пакети:** `npm/policy/abie/base_deployment_preem/` (Deployment у `…/k8s/.../base/...` має `spec.template.spec.nodeSelector.preem` зі значенням, що вважається істинним — boolean `true` або рядок `"true"`); `npm/policy/abie/clean_merged_ignore_branches/` (у workflow `.github/workflows/clean-merged-branch.yml` крок `phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches` з токенами `dev,ua,ru`, case-insensitive). Реєстрація в `lint-conftest.mjs` TARGETS: walk-pattern для base-resource YAML і single-target для workflow.
+- **abie / `_test.rego` фікстури:** додано юніт-тести для всіх 4 abie-пакетів — нових (`base_deployment_preem_test.rego`, `clean_merged_ignore_branches_test.rego`) і існуючих (`http_route_base_test.rego`, `health_check_policy_test.rego`). 35 тестів покривають happy paths і deny-кейси.
+
+### Changed
+
+- **abie.health_check_policy (rego):** виправлено помилковий шлях `spec.config.httpHealthCheck` → правильний `spec.default.config.httpHealthCheck` (узгоджено з `validateAbieHcPolicy` у `check-abie.mjs`). Розширено перевірками: точна `apiVersion: networking.gke.io/v1`, `metadata.name` непорожній, `spec.default.config.type: HTTP`, `targetRef.kind: Service`. Cross-file звірка `<deployment.name>-hl` лишається у JS.
+- **abie.mdc:** додано розділ «Швидкий gate через conftest (Rego)» зі списком rego-пакетів і опису того, що cross-file логіка (парність HCP↔Deployment, обчислений `<name>-hl`, валідація ru/ua-overlay JSON6902 patches, env→cluster DNS, cross-namespace backendRefs) лишається у `check-abie.mjs`.
+- **lint-conftest.mjs TARGETS:** `abie.health_check_policy` і `abie.http_route_base` — `policyDir` уточнено до конкретного підкаталогу (`abie/health_check_policy`, `abie/http_route_base`) замість загального `abie`. Додано шляховий regex `K8S_BASE_RESOURCE_PATH_RE` для базових ресурсних YAML.
+
 ## [1.8.222] - 2026-05-10
 
 ### Added

package/bin/n-cursor.js

@@ -1327,8 +1327,9 @@ try {
       break
     }
     case 'lint-ga': {
-      // Канонічний lint-ga з preflight на shellcheck → actionlint → zizmor (ga.mdc).
-      process.exitCode = runLintGaCli()
+      // Канонічний lint-ga з preflight на shellcheck → actionlint → zizmor → check-ga (ga.mdc).
+      // Останній крок (check-ga) async — тому await обов'язковий, інакше process.exitCode буде Promise.
+      process.exitCode = await runLintGaCli()
 
       break
     }

package/mdc/abie.mdc

@@ -388,3 +388,16 @@ with:
 ## Перевірка
 
 **`npx @nitra/cursor check abie`**
+
+### Швидкий gate через conftest (Rego)
+
+Підмножину пер-документних правил продубльовано як rego-полісі у **`npm/policy/abie/`** (запускається через **`bun run lint-rego`** для `*_test.rego` тестів і **`npx @nitra/cursor lint-conftest`** для прогону по реальних YAML — деталі в **conftest.mdc** / **n-rego.mdc**). JS у **`check-abie.mjs`** authoritative — rego тільки швидкий gate для одиничного маніфеста (зокрема через IDE-розширення `tsandall.opa`).
+
+Пакети (директорія в **`npm/policy/abie/`** → namespace → що перевіряє):
+
+- **`http_route_base/`** → `abie.http_route_base` — у HTTPRoute під `…/k8s/.../base/...` усі `spec.hostnames` мають бути в домені `aiml.live` (включно з `*.aiml.live` та піддоменами). **Цільові файли:** `…/k8s/.../base/.../hr.yaml`.
+- **`health_check_policy/`** → `abie.health_check_policy` — структура HealthCheckPolicy: `apiVersion: networking.gke.io/v1`, `metadata.name`, `spec.default.config.type: HTTP`, `httpHealthCheck.requestPath` починається з `/`, `port: 8080`, `targetRef.kind: Service`, `targetRef.name` має суфікс `-hl`. **Цільові файли:** `…/k8s/.../hc.yaml`.
+- **`base_deployment_preem/`** → `abie.base_deployment_preem` — Deployment у base/ має `spec.template.spec.nodeSelector.preem` зі значенням `true` (boolean або рядок). **Цільові файли:** ресурсні YAML під `…/k8s/.../base/...`.
+- **`clean_merged_ignore_branches/`** → `abie.clean_merged_ignore_branches` — у workflow `.github/workflows/clean-merged-branch.yml` крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches`, що містить токени `dev,ua,ru` (case-insensitive). **Цільові файли:** `.github/workflows/clean-merged-branch.yml`.
+
+Cross-file логіка (парність HCP↔Deployment у каталозі, обчислений `<deployment.name>-hl` для `targetRef.name`, валідація ru/ua-overlay JSON6902 patches на Service/HTTPRoute, env→cluster DNS, аналіз cross-namespace backendRefs у пакетах) лишається у **`check-abie.mjs`** — Rego не читає файлову систему й не робить cross-document резолюцію.

package/mdc/ci4.mdc

@@ -15,6 +15,14 @@ C4-діаграми проєкту живуть у Markdown поряд із ко
 тримати знання разом із кодом — версійно, в одному PR і доступно для агентів. Якщо щось
 важливе про систему існує лише у Confluence/Notion/месенджері — для проєкту цього **немає**.
 
+## Розташування
+
+C4-діаграми проєкту живуть у теці `docs/ci4/` — це **канонічне місце** для всіх рівнів
+моделі: `01-context.md`, `02-containers.md`, `03-components.md`, `04-code.md`, плюс
+супутні `README.md` (вступ) і `decisions.md` (зведення ADR-впливів на C4). Інших місць
+для C4-схем у репозиторії немає: розпорошення по підтеках сервісів ламає навігацію
+«від системи вглиб» і робить агентський аналіз перед зміною дорожчим.
+
 ## Аналіз перед зміною
 
 Перш ніж вносити зміни, агент **читає відповідні C4-файли**: контекст, контейнери, компоненти

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.222",
+  "version": "1.8.228",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/abie/base_deployment_preem/base_deployment_preem.rego

@@ -0,0 +1,56 @@
+# Порт перевірки `deploymentDocumentHasAbieBasePreemNodeSelector` з
+# `npm/scripts/check-abie.mjs` (abie.mdc): кожен `Deployment` у файлах під
+# `…/k8s/.../base/…` має `spec.template.spec.nodeSelector.preem` зі
+# значенням, що вважається істинним (boolean `true` або рядок `"true"`
+# без урахування регістру). Overlays (ua/ru) далі підміняють селектор
+# JSON6902-патчами на `preem: false` / `yandex.cloud/preemptible: false`.
+#
+# Запуск (локально, лише для одного base-YAML з Deployment):
+#   conftest test path/to/k8s/base/deployment.yaml \
+#     -p npm/policy/abie/base_deployment_preem \
+#     --namespace abie.base_deployment_preem
+#
+# JS відбирає файли під `…/k8s/.../base/…` (через `isAbieK8sBaseYamlPath`) і
+# викликає conftest з цією намеспейс. JS authoritative (`check-abie.mjs`:
+# `deploymentDocumentHasAbieBasePreemNodeSelector` + `ensureAbieBaseDeploymentPreemNodeSelector`).
+# Cross-file gating (правило `abie` у `.n-cursor.json`, шлях файла) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package abie.base_deployment_preem
+
+import rego.v1
+
+deny_msg := concat(" ", [
+	"Deployment у base: потрібен spec.template.spec.nodeSelector.preem:",
+	"true (або 'true') — abie.mdc",
+])
+
+deny contains deny_msg if {
+	input.kind == "Deployment"
+	not has_truthy_preem
+}
+
+# preem truthy: boolean true або рядок "true" (case-insensitive, з обрізаними пробілами).
+has_truthy_preem if {
+	preem := object.get(node_selector, "preem", null)
+	is_preem_truthy(preem)
+}
+
+is_preem_truthy(true)
+
+is_preem_truthy(v) if {
+	is_string(v)
+	lower(trim_space(v)) == "true"
+}
+
+node_selector := object.get(
+	object.get(
+		object.get(object.get(input, "spec", {}), "template", {}),
+		"spec",
+		{},
+	),
+	"nodeSelector",
+	{},
+)

package/policy/abie/base_deployment_preem/base_deployment_preem_test.rego

@@ -0,0 +1,60 @@
+# Тести для `abie.base_deployment_preem`. Запуск:
+#   conftest verify -p npm/policy/abie/base_deployment_preem
+package abie.base_deployment_preem_test
+
+import rego.v1
+
+import data.abie.base_deployment_preem
+
+mk_deployment(node_selector) := {
+	"apiVersion": "apps/v1",
+	"kind": "Deployment",
+	"metadata": {"name": "api", "namespace": "dev"},
+	"spec": {"template": {"spec": object.union(
+		{"containers": [{"name": "main", "image": "x"}]},
+		{"nodeSelector": node_selector},
+	)}},
+}
+
+test_deny_no_node_selector if {
+	input_doc := {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api"},
+		"spec": {"template": {"spec": {"containers": [{"name": "main", "image": "x"}]}}},
+	}
+	count(base_deployment_preem.deny) > 0 with input as input_doc
+}
+
+test_deny_node_selector_without_preem if {
+	count(base_deployment_preem.deny) > 0 with input as mk_deployment({"role": "worker"})
+}
+
+test_deny_preem_false if {
+	count(base_deployment_preem.deny) > 0 with input as mk_deployment({"preem": false})
+}
+
+test_deny_preem_string_false if {
+	count(base_deployment_preem.deny) > 0 with input as mk_deployment({"preem": "false"})
+}
+
+test_allow_preem_boolean_true if {
+	count(base_deployment_preem.deny) == 0 with input as mk_deployment({"preem": true})
+}
+
+test_allow_preem_string_true if {
+	count(base_deployment_preem.deny) == 0 with input as mk_deployment({"preem": "true"})
+}
+
+test_allow_preem_string_uppercase_true if {
+	count(base_deployment_preem.deny) == 0 with input as mk_deployment({"preem": "TRUE"})
+}
+
+# Не Deployment — пакет не діє (дзеркало JS-предиката).
+test_allow_non_deployment if {
+	count(base_deployment_preem.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "x"},
+	}
+}

package/policy/abie/clean_merged_ignore_branches/clean_merged_ignore_branches.rego

@@ -0,0 +1,100 @@
+# Порт перевірки `parseCleanMergedIgnoreBranches` + `ignoreBranchesIncludesRequired`
+# з `npm/scripts/check-abie.mjs` (abie.mdc): у workflow
+# `.github/workflows/clean-merged-branch.yml` крок з
+# `uses: phpdocker-io/github-actions-delete-abandoned-branches` має у
+# `with.ignore_branches` містити усі обовʼязкові токени `dev,ua,ru`
+# (case-insensitive, кома-розділені).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/clean-merged-branch.yml \
+#     -p npm/policy/abie/clean_merged_ignore_branches \
+#     --namespace abie.clean_merged_ignore_branches
+#
+# JS authoritative (`check-abie.mjs`: `checkCleanMergedBranch`,
+# `parseCleanMergedIgnoreBranches`, `ignoreBranchesIncludesRequired`); ця Rego —
+# швидкий gate для одиничного workflow YAML. Cross-file гейтинг (правило
+# `abie` у `.n-cursor.json`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package abie.clean_merged_ignore_branches
+
+import rego.v1
+
+# Обовʼязкові гілки в `ignore_branches` (узгоджено з `ABIE_REQUIRED_IGNORE_BRANCHES`).
+required_branches := {"dev", "ua", "ru"}
+
+# Префікс `uses:` для GitHub Action, у якого читаємо `with.ignore_branches`.
+target_action_marker := "phpdocker-io/github-actions-delete-abandoned-branches"
+
+step_missing_msg := concat(" ", [
+	"clean-merged-branch.yml: не знайдено крок з uses: phpdocker-io/github-actions-delete-abandoned-branches",
+	"(abie.mdc)",
+])
+
+ignore_branches_missing_msg := concat(" ", [
+	"clean-merged-branch.yml: не знайдено with.ignore_branches у кроці",
+	"phpdocker-io/github-actions-delete-abandoned-branches (abie.mdc)",
+])
+
+# ── deny: крок не знайдено ────────────────────────────────────────────────
+
+deny contains step_missing_msg if {
+	count(target_steps) == 0
+}
+
+# ── deny: з step нема with.ignore_branches ────────────────────────────────
+
+deny contains ignore_branches_missing_msg if {
+	count(target_steps) > 0
+	not has_ignore_branches_value
+}
+
+# ── deny: ignore_branches не містить усіх обов'язкових токенів ────────────
+
+deny contains msg if {
+	count(target_steps) > 0
+	ignore_branches_value != ""
+	missing := required_branches - parsed_ignore_tokens(ignore_branches_value)
+	count(missing) > 0
+	msg := sprintf(
+		"clean-merged-branch.yml: ignore_branches має містити %v (зараз: %q; не вистачає: %v) (abie.mdc)",
+		[concat(",", sort(required_branches)), ignore_branches_value, concat(",", sort(missing))],
+	)
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+# Усі steps з усіх jobs у workflow (підтримує jobs.<job>.steps[]).
+target_steps contains step if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	uses := object.get(step, "uses", "")
+	is_string(uses)
+	contains(uses, target_action_marker)
+}
+
+# Чи у знайдених steps хоча б у одного є with.ignore_branches непорожнім рядком.
+has_ignore_branches_value if {
+	some step in target_steps
+	v := object.get(object.get(step, "with", {}), "ignore_branches", null)
+	is_string(v)
+}
+
+default ignore_branches_value := ""
+
+ignore_branches_value := values[0] if {
+	values := [v |
+		some step in target_steps
+		v := object.get(object.get(step, "with", {}), "ignore_branches", null)
+		is_string(v)
+	]
+	count(values) > 0
+}
+
+# Розбирає `ignore_branches` як `,`-розділений список, нормалізує через trim+lower.
+parsed_ignore_tokens(value) := {lower(trim_space(part)) |
+	some part in split(value, ",")
+	trim_space(part) != ""
+}

package/policy/abie/clean_merged_ignore_branches/clean_merged_ignore_branches_test.rego

@@ -0,0 +1,48 @@
+# Тести для `abie.clean_merged_ignore_branches`. Запуск:
+#   conftest verify -p npm/policy/abie/clean_merged_ignore_branches
+package abie.clean_merged_ignore_branches_test
+
+import rego.v1
+
+import data.abie.clean_merged_ignore_branches
+
+# Каркас workflow з одним job, що містить step із заданим with.
+mk_workflow(step_with) := {"jobs": {"cleanup": {"steps": [{
+	"uses": "phpdocker-io/github-actions-delete-abandoned-branches@v2",
+	"with": step_with,
+}]}}}
+
+other_step_workflow := {"jobs": {"cleanup": {"steps": [{"uses": "actions/checkout@v6"}]}}}
+
+# Workflow без потрібного кроку.
+test_deny_step_missing if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as other_step_workflow
+}
+
+test_deny_ignore_branches_missing if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as mk_workflow({})
+}
+
+test_deny_missing_required_token if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as mk_workflow({"ignore_branches": "dev,ua"})
+}
+
+test_deny_completely_wrong_tokens if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as mk_workflow({"ignore_branches": "main,develop"})
+}
+
+test_allow_all_three_tokens if {
+	count(clean_merged_ignore_branches.deny) == 0 with input as mk_workflow({"ignore_branches": "dev,ua,ru"})
+}
+
+# Регістронезалежне порівняння і пропуск пробілів.
+test_allow_uppercase_with_spaces if {
+	count(clean_merged_ignore_branches.deny) == 0 with input as mk_workflow({"ignore_branches": " DEV , UA , RU "})
+}
+
+extra_branches_workflow := mk_workflow({"ignore_branches": "dev,ua,ru,main,release/*"})
+
+# Додаткові гілки після обов'язкових — дозволено.
+test_allow_extra_branches if {
+	count(clean_merged_ignore_branches.deny) == 0 with input as extra_branches_workflow
+}

package/policy/abie/health_check_policy/health_check_policy.rego

@@ -1,22 +1,25 @@
-# Порт мінімальної структурної перевірки `HealthCheckPolicy` з
+# Порт структурної перевірки `HealthCheckPolicy` з
 # `npm/scripts/check-abie.mjs` (abie.mdc).
 #
 # Запуск (локально):
-#   conftest test path/to/k8s/.../hc.yaml -p npm/policy/abie \
+#   conftest test path/to/k8s/.../hc.yaml \
+#     -p npm/policy/abie/health_check_policy \
 #     --namespace abie.health_check_policy
 #
-# Перевіряє, для документів з `kind: HealthCheckPolicy` (apiVersion
-# `networking.gke.io/v1`):
-#  - `spec.config.httpHealthCheck.requestPath` — непорожній шлях, що починається з `/`;
-#  - `spec.config.httpHealthCheck.port` (або `spec.targetRef.name` суфікс) — `8080`;
-#  - `spec.targetRef.name` має закінчуватись на `-hl` (headless backend).
+# Перевіряє для `kind: HealthCheckPolicy`:
+#  - `apiVersion: networking.gke.io/v1` (точна відповідність);
+#  - `metadata.name` — непорожній рядок;
+#  - `spec.default.config.type: HTTP`;
+#  - `spec.default.config.httpHealthCheck.requestPath` — непорожній і
+#    починається з `/`;
+#  - `spec.default.config.httpHealthCheck.port: 8080`;
+#  - `spec.targetRef.kind: Service`;
+#  - `spec.targetRef.name` має суфікс `-hl` (headless backend).
 #
-# Cross-file gating (`abie` правило в `.n-cursor.json`, парність з Deployment-каталогу,
-# узгодження з `metadata.name` Deployment) — у JS (`check-abie.mjs`). JS-перевірка
-# в `check-abie.mjs` (`validateAbieHcPolicy`) authoritative й тестує ширший набір полів
-# (apiVersion, spec.default.config.type=="HTTP", targetRef.kind=="Service",
-# обчислений `<name>-hl` суфікс); ця Rego — швидкий gate для одиничного YAML
-# (наприклад через IDE).
+# Cross-file gating (правило `abie` у `.n-cursor.json`, парність з Deployment-каталогу,
+# точна звірка `targetRef.name` з обчисленим `<deployment.name>-hl`) — у JS
+# (`check-abie.mjs`: `validateAbieHcPolicy`, `checkHcYamlFiles`). JS authoritative;
+# ця Rego — швидкий gate для одиничного YAML (наприклад через IDE).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
@@ -25,21 +28,58 @@ package abie.health_check_policy
 
 import rego.v1
 
+expected_api_version := "networking.gke.io/v1"
+
 req_path_starts_with_slash_template := concat(" ", [
 	"HealthCheckPolicy: requestPath має починатись з `/`",
 	"(зараз %q) (abie.mdc)",
 ])
 
-# ── deny: requestPath ──────────────────────────────────────────────────────
+target_ref_name_template := concat(" ", [
+	"HealthCheckPolicy: targetRef.name має посилатися на headless Service",
+	"(очікується %q, суфікс -hl) (зараз %q) (abie.mdc)",
+])
+
+# ── deny: apiVersion / kind ───────────────────────────────────────────────
 
 deny contains msg if {
+	input.kind == "HealthCheckPolicy"
+	api_version := object.get(input, "apiVersion", "")
+	api_version != expected_api_version
+	msg := sprintf(
+		"HealthCheckPolicy: apiVersion має бути %q (зараз %q) (abie.mdc)",
+		[expected_api_version, api_version],
+	)
+}
+
+# ── deny: metadata.name ───────────────────────────────────────────────────
+
+deny contains "HealthCheckPolicy: metadata.name має бути непорожнім рядком (abie.mdc)" if {
+	input.kind == "HealthCheckPolicy"
+	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
+	name := object.get(object.get(input, "metadata", {}), "name", "")
+	trim_space(name) == ""
+}
+
+# ── deny: spec.default.config.type ────────────────────────────────────────
+
+deny contains "HealthCheckPolicy: spec.default.config.type має бути HTTP (abie.mdc)" if {
 	is_health_check_policy
+	is_object(default_config)
+	object.get(default_config, "type", "") != "HTTP"
+}
+
+# ── deny: requestPath ─────────────────────────────────────────────────────
+
+deny contains "HealthCheckPolicy: spec.default.config.httpHealthCheck.requestPath має бути непорожнім (abie.mdc)" if {
+	is_health_check_policy
+	is_object(http_health_check)
 	req_path == ""
-	msg := "HealthCheckPolicy: spec.config.httpHealthCheck.requestPath має бути непорожнім (abie.mdc)"
 }
 
 deny contains msg if {
 	is_health_check_policy
+	is_object(http_health_check)
 	req_path != ""
 	not startswith(req_path, "/")
 	msg := sprintf(req_path_starts_with_slash_template, [req_path])
@@ -49,29 +89,58 @@ deny contains msg if {
 
 deny contains msg if {
 	is_health_check_policy
+	is_object(http_health_check)
 	port := object.get(http_health_check, "port", null)
 	port != null
 	port != 8080
 	msg := sprintf("HealthCheckPolicy: port має бути 8080 (зараз %v) (abie.mdc)", [port])
 }
 
-# ── deny: targetRef.name закінчується на `-hl` ────────────────────────────
+# ── deny: targetRef.kind == Service ──────────────────────────────────────
 
 deny contains msg if {
 	is_health_check_policy
-	name := object.get(object.get(input.spec, "targetRef", {}), "name", "")
-	name != ""
-	not endswith(name, "-hl")
-	msg := sprintf("HealthCheckPolicy: targetRef.name має закінчуватись на `-hl` (зараз %q) (abie.mdc)", [name])
+	target_ref := object.get(object.get(input, "spec", {}), "targetRef", null)
+	is_object(target_ref)
+	kind := object.get(target_ref, "kind", "")
+	kind != ""
+	kind != "Service"
+	msg := sprintf("HealthCheckPolicy: targetRef.kind має бути Service (зараз %q) (abie.mdc)", [kind])
 }
 
-# ── helpers ────────────────────────────────────────────────────────────────
+# ── deny: targetRef.name = `<hcp.metadata.name>-hl` (exact, з нормалізацією)
+
+deny contains msg if {
+	is_health_check_policy
+	hcp_name := object.get(object.get(input, "metadata", {}), "name", "")
+	hcp_name != ""
+	target_name := object.get(object.get(object.get(input, "spec", {}), "targetRef", {}), "name", "")
+	target_name != ""
+	expected_hl := expected_target_ref_name(hcp_name)
+	target_name != expected_hl
+	msg := sprintf(target_ref_name_template, [expected_hl, target_name])
+}
+
+# Нормалізація: якщо `metadata.name` уже закінчується на `-hl` — використовуємо
+# як є; інакше додаємо суфікс. Узгоджено з `validateAbieHcPolicy`
+# у `check-abie.mjs`.
+expected_target_ref_name(name) := name if {
+	endswith(name, "-hl")
+} else := concat("", [name, "-hl"])
+
+# ── helpers ───────────────────────────────────────────────────────────────
 
 is_health_check_policy if {
 	input.kind == "HealthCheckPolicy"
 	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
 }
 
-http_health_check := object.get(object.get(object.get(input, "spec", {}), "config", {}), "httpHealthCheck", {})
+default_config := object.get(
+	object.get(object.get(input, "spec", {}), "default", {}),
+	"config",
+	{},
+)
+
+http_health_check := object.get(default_config, "httpHealthCheck", {})
 
 req_path := object.get(http_health_check, "requestPath", "")