@nitra/cursor 1.8.222 → 1.9.0

package/CHANGELOG.md

@@ -4,6 +4,72 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.0] - 2026-05-11
+
+### Changed
+
+- **mdc frontmatter — `alwaysApply: false` + `globs` для файлово-чітких правил:** `ga` (`.github/workflows/*.yml`), `vue` (`**/*.vue`), `php` (`**/*.php`), `style-lint` (`**/*.{css,scss,vue}`), `nginx-default-tpl` (`**/default.{conf.template,tpl.conf}`), `image-avif` (`**/*.{png,jpg,jpeg,gif,avif,vue,html}`), `image-compress` (`**/*.{png,jpg,jpeg,gif,svg}`), `changelog` (`**/{CHANGELOG.md,package.json}`), `hasura` (`**/hasura/**,**/*.env`), `graphql` (`**/*.{vue,js,mjs,cjs,ts,tsx,jsx}`). Раніше тільки `docker`, `k8s`, `rego` тримали file-scoped формат; решта вантажилася в контекст Cursor завжди (`alwaysApply: true`). Тепер правило підтягується лише коли в контексті є файл за патерном — менше «шуму» у промптах для несуміжних задач. Версії bump-нуто на патч-крок у кожному `*.mdc`. Проєктно-широкі правила (`bun`, `npm-module`, `ci4`, `text`, `js-lint`) і opt-in (`abie`, `adr`) лишилися `alwaysApply: true` без globs.
+
+## [1.8.229] - 2026-05-11
+
+### Removed
+
+- **k8s / `k8s.kustomize_managed`:** правило «`metadata.namespace` заборонено у YAML, досяжних через граф Kustomize» зняте — воно конфліктувало з `k8s.base_manifest`, який натомість **вимагає** `metadata.namespace` у `…/k8s/base/…` для namespaced kind. Перетин предикатів був порожній, що давало ~50 хибних помилок у канонічних деревах `base + overlays` (adminer, run/nginx, reference-grant, otel, dremio, gateway тощо). Видалено: правило з `mdc/k8s.mdc` (бульйт «Де не дублювати `metadata.namespace`»), rego-полісь `npm/policy/k8s/kustomize_managed/`, JS-helpers `metadataNamespaceForbiddenViolation` і `collectKustomizeManagedRelPaths` разом з відповідними тестами та плумінгом `kustomizeManagedRel` через `runAllK8sRego` / `checkK8sYamlFile`. Логіка `base_manifest` (`metadata.namespace` обов'язковий у `k8s/base/`) лишається; у overlays Kustomize це значення буде перезаписано полем `namespace:` з `kustomization.yaml`.
+
+## [1.8.228] - 2026-05-10
+
+### Changed
+
+- **k8s / Plan B (rego-authoritative, повна централізація):** rego-крок переїхав на початок `check-k8s.mjs::check()` через новий helper `runAllK8sRego` — батч-виклик `runConftestBatch` для 9 пакетів (`k8s.manifest`, `k8s.gateway`, `k8s.hpa_pdb`, `k8s.kustomization`, `k8s.svc_yaml`, `k8s.svc_hl_yaml`, `k8s.base_kustomization`, `k8s.base_manifest`, `k8s.kustomize_managed`). JS у `check-k8s.mjs` робить лише cross-file orchestration + autofix + modeline. Cross-file orchestrators `validateHasuraConfigMapRemoteSchemaPermissions` і `validateHasuraHttpRouteCanon` рефакторнуто: JS відбирає paired-with-Hasura-Deployment файли, далі батч-conftest на `k8s.hasura_configmap`/`k8s.hasura_httproute`. Видалено JS-orchestrator-функції-дублі (≈10 шт): `scanForbiddenManifestsInYamlDocuments`, `failIfIngressInDocument`, `failIfAutoscalingV1InDocument`, `validateK8sYamlPolicyDocuments`, `failIfK8sPolicyNamespaceRulesViolated`, `failIfK8sPolicyResourceRulesViolated`, `runK8sYamlPolicyAndGatewayScans`, `scanGatewayApiRouteBackendRefsInYamlBody`, `failIfGatewayRouteUsesNonHeadlessService`, `validateKustomizationResourcesSortedAlphabetically`, `validateKustomizationPatchesStructuralSort`, `validateInlinePatchesSorted`, `validateKustomizationJson6902NoRemoveAddSamePath`, `auditJson6902OneKustomizationYamlFile`, `auditJson6902ForKustomizationYamlDoc`, `auditKustomizationPatchesJson6902`, `auditOneKustomizationJson6902Patch`, `auditJson6902PatchExternalFile`, `failIfJson6902RemoveAddConflictOnSamePath`, `verifyBaseKustomizationNamespaceOnFile`, `ensureBaseKustomizationHasNamespace`, `readFirstConfigMapDoc`. Видалено публічний predicate `isForbiddenAutoscalingV1Manifest` + його тест (rego `k8s.manifest` авторитативно). Решта predicates лишилися як публічні exports для back-compat (`hpaManifestViolations`, `pdbManifestViolations`, `deploymentTopologySpreadConstraintsViolation` все ще активно використовуються JS cross-file для expected-name/dev-like; інші — тестові shim, можна прибрати окремо).
+- **`checkK8sYamlFile`** залишає тільки modeline + `$schema`-URL перевірки; per-document валідація (Ingress/autoscaling/v1 заборонено, Service GCP-анотації, Deployment resources/Hasura image/topologySpread, Gateway API backendRef правила, HCP, svc/svc-hl, namespace правила) — у rego, виконано на початку `check()`.
+
+## [1.8.227] - 2026-05-10
+
+### Changed
+
+- **conftest.mdc (alwaysApply):** канонізовано патерн «Rego-authoritative + JS-orchestrator» (Plan B) як основний для всіх перевірок у репо. Розділ «Гібрид» переписано: замість «JS authoritative + rego-копія» (Plan A) — тепер чітко: пер-документне правило існує **рівно в одному місці** (rego), а `check-<rule>.mjs` делегує його через `runConftestBatch` (`npm/scripts/utils/run-conftest-batch.mjs`), один спавн на namespace. Додано конкретний шаблон `check()` (rego-крок перший, JS cross-file — після) і опис інтеграції з `lint-<rule>.mjs` (external-tools wrapper викликає `await checkX()` як останній крок). Реальні приклади — abie (пілот) і ga (повна централізація). Новий «червоний прапор» забороняє лишати JS-копію rego-правила «про всяк випадок» — це плодить дрифт.
+
+## [1.8.226] - 2026-05-10
+
+### Changed
+
+- **ga / Plan B (rego-authoritative, повна централізація):** rego-крок переїхав із `lint-ga.mjs` у `check-ga.mjs::check()` як **перший крок**. Раніше `bun run lint-ga` сам викликав 4 per-workflow conftest + 1 batch для `ga.workflow_common`, а `npx @nitra/cursor check ga` цю частину не робив — тепер вся ga-логіка (rego + JS cross-file) в одному `check-ga.check()`. `lint-ga.mjs::runLintGaCli` спрощено: preflight (shellcheck/uv) → actionlint → zizmor → `await checkGa()`. Видалено: `CONFTEST_TARGETS`, `GA_POLICY_DIR`, `runConftestStep`, `runConftestWorkflowCommon` — і непотрібні імпорти `existsSync`/`readdirSync`/`dirname`/`join`/`fileURLToPath`. `runLintGaCli` тепер `async`; `bin/n-cursor.js` оновлено на `await runLintGaCli()`. Тест `lint-ga.test.mjs` оновлено: `await fn()` замість `fn()`. Тест `check-ga.test.mjs::"exit 1 коли shellcheck відсутній"` переведений на точковий виклик експортованої `checkShellcheckInstalled` (бо `withBinRemovedFromPath('shellcheck')` на macOS заодно видаляв `/opt/homebrew/bin` де conftest, ламаючи hard-fail у `runConftestBatch`).
+- **`check-ga.mjs::checkShellcheckInstalled`:** додано `export` (потрібен для точкового тесту після рефактору).
+- **тестова фікстура `setupCanonicalGaProject` у check-ga.test.mjs:** додано секцію `concurrency` (з канонічними `group` і `cancel-in-progress: true`) у workflow `clean-ga-workflows.yml`, `clean-merged-branch.yml`, `git-ai.yml` — `ga.workflow_common` rego тепер запускається у `check()`, а ці workflow раніше не мали concurrency у фікстурі (правило `lint-ga.yml` уже мало). Це **правильна** реакція: rego-перевірка тепер ловить порушення на тих самих фікстурах, на яких раніше не запускалась.
+
+## [1.8.225] - 2026-05-10
+
+### Added
+
+- **utility `runConftestBatch`:** новий `npm/scripts/utils/run-conftest-batch.mjs` — спавнить `conftest test` одним викликом для batched-списку файлів, парсить `--output json`, повертає структуровані `{filename, namespace, message}` порушення. Hard-fail зі install-hint якщо `conftest` не у PATH (узгоджено з рішенням Plan B). Використовується з `check-*.mjs` для делегування пер-документної валідації у Rego-полісі без помітного сповільнення (один спавн на namespace, не на файл).
+
+### Changed
+
+- **abie / Plan B (rego-authoritative, pilot):** `npm/scripts/check-abie.mjs` рефакторнуто — пер-документна валідація 4 правил тепер делегується rego через `runConftestBatch`, JS залишає лише cross-file-оркестрацію (walking, path-фільтрацію, парність файлів). Видалені JS-функції-предикати (тепер єдине джерело істини — rego): `abieBaseHttpRouteHostnamesErrors`, `deploymentDocumentHasAbieBasePreemNodeSelector`, `parseCleanMergedIgnoreBranches`, `ignoreBranchesIncludesRequired`, `validateAbieHcPolicy`, плюс хелпери `collectAbieHostnames`, `isAllowedAbieBaseDevHostname`, `isAbiePreemTruthy`, `processBaseHttpRouteDoc`, `httpRouteHasNonEmptyHostnames`, `findHealthCheckPolicyInDocs` і константа `ABIE_REQUIRED_IGNORE_BRANCHES`. Імпорти `flattenWorkflowSteps`, `getStepUses`, `parseWorkflowYaml` (`./utils/gha-workflow.mjs`) теж прибрано — orphan після видалення JS-парсера workflow.
+- **abie.health_check_policy (rego):** виправлено divergence з JS — тепер targetRef.name перевіряється точним match-ем `<hcp.metadata.name>-hl` (з нормалізацією: якщо name вже закінчується на `-hl`, береться як є). До цього rego перевіряло лише суфікс `-hl`, що дозволяло `targetRef.name=bar-hl` для HCP з `name=foo` — це не дзеркалило JS.
+- **`validateAbieHcYaml` → `validateAbieHcModeline`:** export перейменовано — JS-частина перевірки hc.yaml тепер обмежується modeline (`# yaml-language-server: $schema=…`); парсинг YAML і структурна валідація HCP делеговано rego.
+- **`npm/tests/check-abie.test.mjs`:** прибрано тести видалених JS-предикатів (8 тестів) — їх покриття тепер забезпечують `_test.rego` фікстури через `conftest verify`.
+- **`npm/tests/cross-check-rego-abie.test.mjs`:** видалено — після Plan B JS-сторони для крос-чеку немає; `_test.rego` фікстури в кожному abie-пакеті дають аналогічне покриття.
+
+## [1.8.224] - 2026-05-10
+
+### Added
+
+- **golden cross-check тести JS↔rego (abie):** додано `npm/tests/cross-check-rego-abie.test.mjs` (25 тестів), який для кожної пари (JS-предикат у `check-abie.mjs` ↔ rego-пакет у `npm/policy/abie/`) подає однаковий вхід у обидва імплементації через `opa eval --format json` і перевіряє інваріант **«обидва бачать порушення або обидва ні»**. Покриває: `deploymentDocumentHasAbieBasePreemNodeSelector` ↔ `abie.base_deployment_preem`; `parseCleanMergedIgnoreBranches`+`ignoreBranchesIncludesRequired` ↔ `abie.clean_merged_ignore_branches`; `abieBaseHttpRouteHostnamesErrors` ↔ `abie.http_route_base`; rego-only golden-фікстури для `abie.health_check_policy` (бо JS-функція `validateAbieHcPolicy` приватна). Тест автоматично пропускається, якщо `opa` не у PATH. Sanity-check ламанням rego навмисно — drift детектується.
+
+## [1.8.223] - 2026-05-10
+
+### Added
+
+- **abie / нові rego-пакети:** `npm/policy/abie/base_deployment_preem/` (Deployment у `…/k8s/.../base/...` має `spec.template.spec.nodeSelector.preem` зі значенням, що вважається істинним — boolean `true` або рядок `"true"`); `npm/policy/abie/clean_merged_ignore_branches/` (у workflow `.github/workflows/clean-merged-branch.yml` крок `phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches` з токенами `dev,ua,ru`, case-insensitive). Реєстрація в `lint-conftest.mjs` TARGETS: walk-pattern для base-resource YAML і single-target для workflow.
+- **abie / `_test.rego` фікстури:** додано юніт-тести для всіх 4 abie-пакетів — нових (`base_deployment_preem_test.rego`, `clean_merged_ignore_branches_test.rego`) і існуючих (`http_route_base_test.rego`, `health_check_policy_test.rego`). 35 тестів покривають happy paths і deny-кейси.
+
+### Changed
+
+- **abie.health_check_policy (rego):** виправлено помилковий шлях `spec.config.httpHealthCheck` → правильний `spec.default.config.httpHealthCheck` (узгоджено з `validateAbieHcPolicy` у `check-abie.mjs`). Розширено перевірками: точна `apiVersion: networking.gke.io/v1`, `metadata.name` непорожній, `spec.default.config.type: HTTP`, `targetRef.kind: Service`. Cross-file звірка `<deployment.name>-hl` лишається у JS.
+- **abie.mdc:** додано розділ «Швидкий gate через conftest (Rego)» зі списком rego-пакетів і опису того, що cross-file логіка (парність HCP↔Deployment, обчислений `<name>-hl`, валідація ru/ua-overlay JSON6902 patches, env→cluster DNS, cross-namespace backendRefs) лишається у `check-abie.mjs`.
+- **lint-conftest.mjs TARGETS:** `abie.health_check_policy` і `abie.http_route_base` — `policyDir` уточнено до конкретного підкаталогу (`abie/health_check_policy`, `abie/http_route_base`) замість загального `abie`. Додано шляховий regex `K8S_BASE_RESOURCE_PATH_RE` для базових ресурсних YAML.
+
 ## [1.8.222] - 2026-05-10
 
 ### Added

package/bin/n-cursor.js

@@ -1327,8 +1327,9 @@ try {
       break
     }
     case 'lint-ga': {
-      // Канонічний lint-ga з preflight на shellcheck → actionlint → zizmor (ga.mdc).
-      process.exitCode = runLintGaCli()
+      // Канонічний lint-ga з preflight на shellcheck → actionlint → zizmor → check-ga (ga.mdc).
+      // Останній крок (check-ga) async — тому await обов'язковий, інакше process.exitCode буде Promise.
+      process.exitCode = await runLintGaCli()
 
       break
     }

package/mdc/abie.mdc

@@ -388,3 +388,16 @@ with:
 ## Перевірка
 
 **`npx @nitra/cursor check abie`**
+
+### Швидкий gate через conftest (Rego)
+
+Підмножину пер-документних правил продубльовано як rego-полісі у **`npm/policy/abie/`** (запускається через **`bun run lint-rego`** для `*_test.rego` тестів і **`npx @nitra/cursor lint-conftest`** для прогону по реальних YAML — деталі в **conftest.mdc** / **n-rego.mdc**). JS у **`check-abie.mjs`** authoritative — rego тільки швидкий gate для одиничного маніфеста (зокрема через IDE-розширення `tsandall.opa`).
+
+Пакети (директорія в **`npm/policy/abie/`** → namespace → що перевіряє):
+
+- **`http_route_base/`** → `abie.http_route_base` — у HTTPRoute під `…/k8s/.../base/...` усі `spec.hostnames` мають бути в домені `aiml.live` (включно з `*.aiml.live` та піддоменами). **Цільові файли:** `…/k8s/.../base/.../hr.yaml`.
+- **`health_check_policy/`** → `abie.health_check_policy` — структура HealthCheckPolicy: `apiVersion: networking.gke.io/v1`, `metadata.name`, `spec.default.config.type: HTTP`, `httpHealthCheck.requestPath` починається з `/`, `port: 8080`, `targetRef.kind: Service`, `targetRef.name` має суфікс `-hl`. **Цільові файли:** `…/k8s/.../hc.yaml`.
+- **`base_deployment_preem/`** → `abie.base_deployment_preem` — Deployment у base/ має `spec.template.spec.nodeSelector.preem` зі значенням `true` (boolean або рядок). **Цільові файли:** ресурсні YAML під `…/k8s/.../base/...`.
+- **`clean_merged_ignore_branches/`** → `abie.clean_merged_ignore_branches` — у workflow `.github/workflows/clean-merged-branch.yml` крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches`, що містить токени `dev,ua,ru` (case-insensitive). **Цільові файли:** `.github/workflows/clean-merged-branch.yml`.
+
+Cross-file логіка (парність HCP↔Deployment у каталозі, обчислений `<deployment.name>-hl` для `targetRef.name`, валідація ru/ua-overlay JSON6902 patches на Service/HTTPRoute, env→cluster DNS, аналіз cross-namespace backendRefs у пакетах) лишається у **`check-abie.mjs`** — Rego не читає файлову систему й не робить cross-document резолюцію.

package/mdc/changelog.mdc

@@ -1,7 +1,8 @@
 ---
 description: CHANGELOG.md в кожному workspace, з двома моделями бази порівняння
-alwaysApply: true
-version: '2.0'
+version: '2.1'
+globs: "**/{CHANGELOG.md,package.json}"
+alwaysApply: false
 ---
 
 Bun monorepo: у кожному workspace із кореневого `package.json.workspaces` (плюс кореневий пакет, плюс `npm/`) має бути власний **`CHANGELOG.md`**. Спільного на репозиторій змісту змін **не існує** — кожен пакет веде свій. Правило `npm-module` відповідає лише за публікацію типів і workflow, а CHANGELOG — за цим правилом.

package/mdc/ci4.mdc

@@ -15,6 +15,14 @@ C4-діаграми проєкту живуть у Markdown поряд із ко
 тримати знання разом із кодом — версійно, в одному PR і доступно для агентів. Якщо щось
 важливе про систему існує лише у Confluence/Notion/месенджері — для проєкту цього **немає**.
 
+## Розташування
+
+C4-діаграми проєкту живуть у теці `docs/ci4/` — це **канонічне місце** для всіх рівнів
+моделі: `01-context.md`, `02-containers.md`, `03-components.md`, `04-code.md`, плюс
+супутні `README.md` (вступ) і `decisions.md` (зведення ADR-впливів на C4). Інших місць
+для C4-схем у репозиторії немає: розпорошення по підтеках сервісів ламає навігацію
+«від системи вглиб» і робить агентський аналіз перед зміною дорожчим.
+
 ## Аналіз перед зміною
 
 Перш ніж вносити зміни, агент **читає відповідні C4-файли**: контекст, контейнери, компоненти

package/mdc/ga.mdc

@@ -1,7 +1,8 @@
 ---
 description: Правила форматів для .github/workflows
-alwaysApply: true
-version: '1.7'
+version: '1.8'
+globs: ".github/workflows/*.yml"
+alwaysApply: false
 ---
 
 У `.github/workflows/` лише **`.yml`**. Мають бути **`clean-ga-workflows.yml`**, **`clean-merged-branch.yml`**, **`lint-ga.yml`**, **`git-ai.yml`**. Якщо є **`apply-k8s.yml`** / **`apply-nats-consumer.yml`** — paths у тригері як у фрагментах.

package/mdc/graphql.mdc

@@ -1,7 +1,8 @@
 ---
 description: GraphQL у коді (tagged template `gql`) — GraphQL Config і розширення VS Code
-alwaysApply: true
-version: '1.0'
+version: '1.1'
+globs: "**/*.{vue,js,mjs,cjs,ts,tsx,jsx}"
+alwaysApply: false
 ---
 
 Якщо в **`.vue`** або в **JavaScript / TypeScript** джерелах (`.js`, `.mjs`, `.cjs`, `.ts`, `.tsx`, `.jsx` тощо) зустрічається **tagged template literal** з тегом **`gql`** (типово `gql\`query …\`` для GraphQL-запиту), у **корені репозиторію** мають бути:

package/mdc/hasura.mdc

@@ -1,7 +1,8 @@
 ---
 description: Правила для директорії з hasura graphql-engine
-alwaysApply: true
-version: '1.0'
+version: '1.1'
+globs: "**/hasura/**,**/*.env"
+alwaysApply: false
 ---
 
 ## Підключення для оновлення метаданих у CI (Nitra та Abinbevefes)

package/mdc/image-avif.mdc

@@ -1,7 +1,8 @@
 ---
 description: AVIF-двійники для raster-зображень з ув'язуванням у .vue/.html
-alwaysApply: true
-version: '1.1'
+version: '1.2'
+globs: "**/*.{png,jpg,jpeg,gif,avif,vue,html}"
+alwaysApply: false
 ---
 
 AVIF-двійники (`<name>.<ext>.avif`) генерує **виключно** `npx @nitra/cursor check image-avif` — у `lint-image` прапорець `--avif` заборонений (це валідує правило `image-compress`). Перевірка робить три кроки в порядку:

package/mdc/image-compress.mdc

@@ -1,7 +1,8 @@
 ---
 description: Оптимізація raster/SVG через @nitra/minify-image у локальному lint
-alwaysApply: true
-version: '1.1'
+version: '1.2'
+globs: "**/*.{png,jpg,jpeg,gif,svg}"
+alwaysApply: false
 ---
 
 CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (≥ **3.3.1**) запускається через `npx` (як `markdownlint-cli2` у text.mdc) і **не** додається в `dependencies` / `devDependencies`. Канонічний `lint-image` — авто-оптимізація з прапорцем `--write`: стискає raster/SVG на місці. **AVIF-генерація (`--avif`) у `lint-image` заборонена** — її виконує окреме правило `image-avif` (`npx @nitra/cursor check image-avif`), яке заодно прибирає AVIF-сироти. Split-cache робить повторні прогони дешевими — і локально, і після `git clone`.

package/mdc/k8s.mdc

@@ -313,9 +313,7 @@ data:
 
 - **`base/kustomization.yaml`:** поле **`namespace:`** має бути **непорожнім** (перевіряє **check k8s**, якщо файл є).
 
-- **Де не дублювати `metadata.namespace`:** у YAML, досяжних через **граф Kustomize** (шляхи з **`kustomization.yaml`**, як у логіці **`collectKustomizeManagedRelPaths`** / **check k8s**). **Namespace** задає **`namespace:`** у kustomization.
-
-- **Коли `metadata.namespace` обов’язковий у файлі:** YAML під **`k8s`**, який **не** в графі жодного kustomization — непорожній **`metadata.namespace`** для namespaced **kind** (винятки — кластерні **kind**, перелік **`CLUSTER_SCOPED_KINDS`** у **`check-k8s.mjs`**). Якщо namespace у маніфесті не потрібен — підключи файл через **`resources`** / **`patches`** тощо.
+- **Коли `metadata.namespace` обов’язковий у файлі:** YAML під **`k8s`** — непорожній **`metadata.namespace`** для namespaced **kind** (винятки — кластерні **kind**, перелік **`CLUSTER_SCOPED_KINDS`** у **`check-k8s.mjs`**). У overlays Kustomize значення в маніфесті буде перезаписано полем **`namespace:`** з відповідного **`kustomization.yaml`**, тому в `base` пиши канонічний dev-namespace.
 
 - **Не додавай** окремі **patches** Kustomize, які лише змінюють **namespace**: **namespace** визначає Kustomize; у overlays додаткові зміни — без дублювання логіки **namespace**.
 

package/mdc/nginx-default-tpl.mdc

@@ -1,6 +1,8 @@
 ---
 description: Правила nginx для статичних файлів
-version: '1.2'
+version: '1.3'
+globs: "**/default.{conf.template,tpl.conf}"
+alwaysApply: false
 ---
 
 > **Автоматична міграція:** `npx @nitra/cursor check nginx-default-tpl` автоматично перейменовує `default.tpl.conf` → `default.conf.template` (або перезаписує вміст, якщо обидва файли існують). Якщо шаблон відсутній — перевірка пропускається.

package/mdc/php.mdc

@@ -1,7 +1,8 @@
 ---
 description: PHP
-alwaysApply: true
-version: '1.0'
+version: '1.1'
+globs: "**/*.php"
+alwaysApply: false
 ---
 
 Весь код повинен відповідати PHP 8.5, перевіряти за допомогою PHPCompatibility, конвертувати за допомогою Rector.

package/mdc/style-lint.mdc

@@ -1,7 +1,8 @@
 ---
 description: Правила стилів CSS та SCSS
-alwaysApply: true
-version: '1.2'
+version: '1.3'
+globs: "**/*.{css,scss,vue}"
+alwaysApply: false
 ---
 
 ## Генерація та редагування стилів (Cursor і інші агенти)

package/mdc/vue.mdc

@@ -1,7 +1,8 @@
 ---
 description: Vue
-alwaysApply: true
-version: '1.7'
+version: '1.8'
+globs: "**/*.vue"
+alwaysApply: false
 ---
 
 # Vue 3 Composition API — правила для .cursorrules

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.222",
+  "version": "1.9.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/abie/base_deployment_preem/base_deployment_preem.rego

@@ -0,0 +1,56 @@
+# Порт перевірки `deploymentDocumentHasAbieBasePreemNodeSelector` з
+# `npm/scripts/check-abie.mjs` (abie.mdc): кожен `Deployment` у файлах під
+# `…/k8s/.../base/…` має `spec.template.spec.nodeSelector.preem` зі
+# значенням, що вважається істинним (boolean `true` або рядок `"true"`
+# без урахування регістру). Overlays (ua/ru) далі підміняють селектор
+# JSON6902-патчами на `preem: false` / `yandex.cloud/preemptible: false`.
+#
+# Запуск (локально, лише для одного base-YAML з Deployment):
+#   conftest test path/to/k8s/base/deployment.yaml \
+#     -p npm/policy/abie/base_deployment_preem \
+#     --namespace abie.base_deployment_preem
+#
+# JS відбирає файли під `…/k8s/.../base/…` (через `isAbieK8sBaseYamlPath`) і
+# викликає conftest з цією намеспейс. JS authoritative (`check-abie.mjs`:
+# `deploymentDocumentHasAbieBasePreemNodeSelector` + `ensureAbieBaseDeploymentPreemNodeSelector`).
+# Cross-file gating (правило `abie` у `.n-cursor.json`, шлях файла) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package abie.base_deployment_preem
+
+import rego.v1
+
+deny_msg := concat(" ", [
+	"Deployment у base: потрібен spec.template.spec.nodeSelector.preem:",
+	"true (або 'true') — abie.mdc",
+])
+
+deny contains deny_msg if {
+	input.kind == "Deployment"
+	not has_truthy_preem
+}
+
+# preem truthy: boolean true або рядок "true" (case-insensitive, з обрізаними пробілами).
+has_truthy_preem if {
+	preem := object.get(node_selector, "preem", null)
+	is_preem_truthy(preem)
+}
+
+is_preem_truthy(true)
+
+is_preem_truthy(v) if {
+	is_string(v)
+	lower(trim_space(v)) == "true"
+}
+
+node_selector := object.get(
+	object.get(
+		object.get(object.get(input, "spec", {}), "template", {}),
+		"spec",
+		{},
+	),
+	"nodeSelector",
+	{},
+)

package/policy/abie/base_deployment_preem/base_deployment_preem_test.rego

@@ -0,0 +1,60 @@
+# Тести для `abie.base_deployment_preem`. Запуск:
+#   conftest verify -p npm/policy/abie/base_deployment_preem
+package abie.base_deployment_preem_test
+
+import rego.v1
+
+import data.abie.base_deployment_preem
+
+mk_deployment(node_selector) := {
+	"apiVersion": "apps/v1",
+	"kind": "Deployment",
+	"metadata": {"name": "api", "namespace": "dev"},
+	"spec": {"template": {"spec": object.union(
+		{"containers": [{"name": "main", "image": "x"}]},
+		{"nodeSelector": node_selector},
+	)}},
+}
+
+test_deny_no_node_selector if {
+	input_doc := {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api"},
+		"spec": {"template": {"spec": {"containers": [{"name": "main", "image": "x"}]}}},
+	}
+	count(base_deployment_preem.deny) > 0 with input as input_doc
+}
+
+test_deny_node_selector_without_preem if {
+	count(base_deployment_preem.deny) > 0 with input as mk_deployment({"role": "worker"})
+}
+
+test_deny_preem_false if {
+	count(base_deployment_preem.deny) > 0 with input as mk_deployment({"preem": false})
+}
+
+test_deny_preem_string_false if {
+	count(base_deployment_preem.deny) > 0 with input as mk_deployment({"preem": "false"})
+}
+
+test_allow_preem_boolean_true if {
+	count(base_deployment_preem.deny) == 0 with input as mk_deployment({"preem": true})
+}
+
+test_allow_preem_string_true if {
+	count(base_deployment_preem.deny) == 0 with input as mk_deployment({"preem": "true"})
+}
+
+test_allow_preem_string_uppercase_true if {
+	count(base_deployment_preem.deny) == 0 with input as mk_deployment({"preem": "TRUE"})
+}
+
+# Не Deployment — пакет не діє (дзеркало JS-предиката).
+test_allow_non_deployment if {
+	count(base_deployment_preem.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "x"},
+	}
+}

package/policy/abie/clean_merged_ignore_branches/clean_merged_ignore_branches.rego

@@ -0,0 +1,100 @@
+# Порт перевірки `parseCleanMergedIgnoreBranches` + `ignoreBranchesIncludesRequired`
+# з `npm/scripts/check-abie.mjs` (abie.mdc): у workflow
+# `.github/workflows/clean-merged-branch.yml` крок з
+# `uses: phpdocker-io/github-actions-delete-abandoned-branches` має у
+# `with.ignore_branches` містити усі обовʼязкові токени `dev,ua,ru`
+# (case-insensitive, кома-розділені).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/clean-merged-branch.yml \
+#     -p npm/policy/abie/clean_merged_ignore_branches \
+#     --namespace abie.clean_merged_ignore_branches
+#
+# JS authoritative (`check-abie.mjs`: `checkCleanMergedBranch`,
+# `parseCleanMergedIgnoreBranches`, `ignoreBranchesIncludesRequired`); ця Rego —
+# швидкий gate для одиничного workflow YAML. Cross-file гейтинг (правило
+# `abie` у `.n-cursor.json`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package abie.clean_merged_ignore_branches
+
+import rego.v1
+
+# Обовʼязкові гілки в `ignore_branches` (узгоджено з `ABIE_REQUIRED_IGNORE_BRANCHES`).
+required_branches := {"dev", "ua", "ru"}
+
+# Префікс `uses:` для GitHub Action, у якого читаємо `with.ignore_branches`.
+target_action_marker := "phpdocker-io/github-actions-delete-abandoned-branches"
+
+step_missing_msg := concat(" ", [
+	"clean-merged-branch.yml: не знайдено крок з uses: phpdocker-io/github-actions-delete-abandoned-branches",
+	"(abie.mdc)",
+])
+
+ignore_branches_missing_msg := concat(" ", [
+	"clean-merged-branch.yml: не знайдено with.ignore_branches у кроці",
+	"phpdocker-io/github-actions-delete-abandoned-branches (abie.mdc)",
+])
+
+# ── deny: крок не знайдено ────────────────────────────────────────────────
+
+deny contains step_missing_msg if {
+	count(target_steps) == 0
+}
+
+# ── deny: з step нема with.ignore_branches ────────────────────────────────
+
+deny contains ignore_branches_missing_msg if {
+	count(target_steps) > 0
+	not has_ignore_branches_value
+}
+
+# ── deny: ignore_branches не містить усіх обов'язкових токенів ────────────
+
+deny contains msg if {
+	count(target_steps) > 0
+	ignore_branches_value != ""
+	missing := required_branches - parsed_ignore_tokens(ignore_branches_value)
+	count(missing) > 0
+	msg := sprintf(
+		"clean-merged-branch.yml: ignore_branches має містити %v (зараз: %q; не вистачає: %v) (abie.mdc)",
+		[concat(",", sort(required_branches)), ignore_branches_value, concat(",", sort(missing))],
+	)
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+# Усі steps з усіх jobs у workflow (підтримує jobs.<job>.steps[]).
+target_steps contains step if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	uses := object.get(step, "uses", "")
+	is_string(uses)
+	contains(uses, target_action_marker)
+}
+
+# Чи у знайдених steps хоча б у одного є with.ignore_branches непорожнім рядком.
+has_ignore_branches_value if {
+	some step in target_steps
+	v := object.get(object.get(step, "with", {}), "ignore_branches", null)
+	is_string(v)
+}
+
+default ignore_branches_value := ""
+
+ignore_branches_value := values[0] if {
+	values := [v |
+		some step in target_steps
+		v := object.get(object.get(step, "with", {}), "ignore_branches", null)
+		is_string(v)
+	]
+	count(values) > 0
+}
+
+# Розбирає `ignore_branches` як `,`-розділений список, нормалізує через trim+lower.
+parsed_ignore_tokens(value) := {lower(trim_space(part)) |
+	some part in split(value, ",")
+	trim_space(part) != ""
+}

package/policy/abie/clean_merged_ignore_branches/clean_merged_ignore_branches_test.rego

@@ -0,0 +1,48 @@
+# Тести для `abie.clean_merged_ignore_branches`. Запуск:
+#   conftest verify -p npm/policy/abie/clean_merged_ignore_branches
+package abie.clean_merged_ignore_branches_test
+
+import rego.v1
+
+import data.abie.clean_merged_ignore_branches
+
+# Каркас workflow з одним job, що містить step із заданим with.
+mk_workflow(step_with) := {"jobs": {"cleanup": {"steps": [{
+	"uses": "phpdocker-io/github-actions-delete-abandoned-branches@v2",
+	"with": step_with,
+}]}}}
+
+other_step_workflow := {"jobs": {"cleanup": {"steps": [{"uses": "actions/checkout@v6"}]}}}
+
+# Workflow без потрібного кроку.
+test_deny_step_missing if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as other_step_workflow
+}
+
+test_deny_ignore_branches_missing if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as mk_workflow({})
+}
+
+test_deny_missing_required_token if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as mk_workflow({"ignore_branches": "dev,ua"})
+}
+
+test_deny_completely_wrong_tokens if {
+	count(clean_merged_ignore_branches.deny) > 0 with input as mk_workflow({"ignore_branches": "main,develop"})
+}
+
+test_allow_all_three_tokens if {
+	count(clean_merged_ignore_branches.deny) == 0 with input as mk_workflow({"ignore_branches": "dev,ua,ru"})
+}
+
+# Регістронезалежне порівняння і пропуск пробілів.
+test_allow_uppercase_with_spaces if {
+	count(clean_merged_ignore_branches.deny) == 0 with input as mk_workflow({"ignore_branches": " DEV , UA , RU "})
+}
+
+extra_branches_workflow := mk_workflow({"ignore_branches": "dev,ua,ru,main,release/*"})
+
+# Додаткові гілки після обов'язкових — дозволено.
+test_allow_extra_branches if {
+	count(clean_merged_ignore_branches.deny) == 0 with input as extra_branches_workflow
+}