@nitra/cursor 1.8.222 → 1.9.0

package/policy/abie/health_check_policy/health_check_policy.rego

@@ -1,22 +1,25 @@
-# Порт мінімальної структурної перевірки `HealthCheckPolicy` з
+# Порт структурної перевірки `HealthCheckPolicy` з
 # `npm/scripts/check-abie.mjs` (abie.mdc).
 #
 # Запуск (локально):
-#   conftest test path/to/k8s/.../hc.yaml -p npm/policy/abie \
+#   conftest test path/to/k8s/.../hc.yaml \
+#     -p npm/policy/abie/health_check_policy \
 #     --namespace abie.health_check_policy
 #
-# Перевіряє, для документів з `kind: HealthCheckPolicy` (apiVersion
-# `networking.gke.io/v1`):
-#  - `spec.config.httpHealthCheck.requestPath` — непорожній шлях, що починається з `/`;
-#  - `spec.config.httpHealthCheck.port` (або `spec.targetRef.name` суфікс) — `8080`;
-#  - `spec.targetRef.name` має закінчуватись на `-hl` (headless backend).
+# Перевіряє для `kind: HealthCheckPolicy`:
+#  - `apiVersion: networking.gke.io/v1` (точна відповідність);
+#  - `metadata.name` — непорожній рядок;
+#  - `spec.default.config.type: HTTP`;
+#  - `spec.default.config.httpHealthCheck.requestPath` — непорожній і
+#    починається з `/`;
+#  - `spec.default.config.httpHealthCheck.port: 8080`;
+#  - `spec.targetRef.kind: Service`;
+#  - `spec.targetRef.name` має суфікс `-hl` (headless backend).
 #
-# Cross-file gating (`abie` правило в `.n-cursor.json`, парність з Deployment-каталогу,
-# узгодження з `metadata.name` Deployment) — у JS (`check-abie.mjs`). JS-перевірка
-# в `check-abie.mjs` (`validateAbieHcPolicy`) authoritative й тестує ширший набір полів
-# (apiVersion, spec.default.config.type=="HTTP", targetRef.kind=="Service",
-# обчислений `<name>-hl` суфікс); ця Rego — швидкий gate для одиничного YAML
-# (наприклад через IDE).
+# Cross-file gating (правило `abie` у `.n-cursor.json`, парність з Deployment-каталогу,
+# точна звірка `targetRef.name` з обчисленим `<deployment.name>-hl`) — у JS
+# (`check-abie.mjs`: `validateAbieHcPolicy`, `checkHcYamlFiles`). JS authoritative;
+# ця Rego — швидкий gate для одиничного YAML (наприклад через IDE).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
@@ -25,21 +28,58 @@ package abie.health_check_policy
 
 import rego.v1
 
+expected_api_version := "networking.gke.io/v1"
+
 req_path_starts_with_slash_template := concat(" ", [
 	"HealthCheckPolicy: requestPath має починатись з `/`",
 	"(зараз %q) (abie.mdc)",
 ])
 
-# ── deny: requestPath ──────────────────────────────────────────────────────
+target_ref_name_template := concat(" ", [
+	"HealthCheckPolicy: targetRef.name має посилатися на headless Service",
+	"(очікується %q, суфікс -hl) (зараз %q) (abie.mdc)",
+])
+
+# ── deny: apiVersion / kind ───────────────────────────────────────────────
 
 deny contains msg if {
+	input.kind == "HealthCheckPolicy"
+	api_version := object.get(input, "apiVersion", "")
+	api_version != expected_api_version
+	msg := sprintf(
+		"HealthCheckPolicy: apiVersion має бути %q (зараз %q) (abie.mdc)",
+		[expected_api_version, api_version],
+	)
+}
+
+# ── deny: metadata.name ───────────────────────────────────────────────────
+
+deny contains "HealthCheckPolicy: metadata.name має бути непорожнім рядком (abie.mdc)" if {
+	input.kind == "HealthCheckPolicy"
+	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
+	name := object.get(object.get(input, "metadata", {}), "name", "")
+	trim_space(name) == ""
+}
+
+# ── deny: spec.default.config.type ────────────────────────────────────────
+
+deny contains "HealthCheckPolicy: spec.default.config.type має бути HTTP (abie.mdc)" if {
 	is_health_check_policy
+	is_object(default_config)
+	object.get(default_config, "type", "") != "HTTP"
+}
+
+# ── deny: requestPath ─────────────────────────────────────────────────────
+
+deny contains "HealthCheckPolicy: spec.default.config.httpHealthCheck.requestPath має бути непорожнім (abie.mdc)" if {
+	is_health_check_policy
+	is_object(http_health_check)
 	req_path == ""
-	msg := "HealthCheckPolicy: spec.config.httpHealthCheck.requestPath має бути непорожнім (abie.mdc)"
 }
 
 deny contains msg if {
 	is_health_check_policy
+	is_object(http_health_check)
 	req_path != ""
 	not startswith(req_path, "/")
 	msg := sprintf(req_path_starts_with_slash_template, [req_path])
@@ -49,29 +89,58 @@ deny contains msg if {
 
 deny contains msg if {
 	is_health_check_policy
+	is_object(http_health_check)
 	port := object.get(http_health_check, "port", null)
 	port != null
 	port != 8080
 	msg := sprintf("HealthCheckPolicy: port має бути 8080 (зараз %v) (abie.mdc)", [port])
 }
 
-# ── deny: targetRef.name закінчується на `-hl` ────────────────────────────
+# ── deny: targetRef.kind == Service ──────────────────────────────────────
 
 deny contains msg if {
 	is_health_check_policy
-	name := object.get(object.get(input.spec, "targetRef", {}), "name", "")
-	name != ""
-	not endswith(name, "-hl")
-	msg := sprintf("HealthCheckPolicy: targetRef.name має закінчуватись на `-hl` (зараз %q) (abie.mdc)", [name])
+	target_ref := object.get(object.get(input, "spec", {}), "targetRef", null)
+	is_object(target_ref)
+	kind := object.get(target_ref, "kind", "")
+	kind != ""
+	kind != "Service"
+	msg := sprintf("HealthCheckPolicy: targetRef.kind має бути Service (зараз %q) (abie.mdc)", [kind])
 }
 
-# ── helpers ────────────────────────────────────────────────────────────────
+# ── deny: targetRef.name = `<hcp.metadata.name>-hl` (exact, з нормалізацією)
+
+deny contains msg if {
+	is_health_check_policy
+	hcp_name := object.get(object.get(input, "metadata", {}), "name", "")
+	hcp_name != ""
+	target_name := object.get(object.get(object.get(input, "spec", {}), "targetRef", {}), "name", "")
+	target_name != ""
+	expected_hl := expected_target_ref_name(hcp_name)
+	target_name != expected_hl
+	msg := sprintf(target_ref_name_template, [expected_hl, target_name])
+}
+
+# Нормалізація: якщо `metadata.name` уже закінчується на `-hl` — використовуємо
+# як є; інакше додаємо суфікс. Узгоджено з `validateAbieHcPolicy`
+# у `check-abie.mjs`.
+expected_target_ref_name(name) := name if {
+	endswith(name, "-hl")
+} else := concat("", [name, "-hl"])
+
+# ── helpers ───────────────────────────────────────────────────────────────
 
 is_health_check_policy if {
 	input.kind == "HealthCheckPolicy"
 	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
 }
 
-http_health_check := object.get(object.get(object.get(input, "spec", {}), "config", {}), "httpHealthCheck", {})
+default_config := object.get(
+	object.get(object.get(input, "spec", {}), "default", {}),
+	"config",
+	{},
+)
+
+http_health_check := object.get(default_config, "httpHealthCheck", {})
 
 req_path := object.get(http_health_check, "requestPath", "")

package/policy/abie/health_check_policy/health_check_policy_test.rego

@@ -0,0 +1,99 @@
+# Тести для `abie.health_check_policy`. Запуск:
+#   conftest verify -p npm/policy/abie/health_check_policy
+package abie.health_check_policy_test
+
+import rego.v1
+
+import data.abie.health_check_policy
+
+valid_hcp := {
+	"apiVersion": "networking.gke.io/v1",
+	"kind": "HealthCheckPolicy",
+	"metadata": {"name": "api"},
+	"spec": {
+		"default": {"config": {
+			"type": "HTTP",
+			"httpHealthCheck": {"requestPath": "/healthz", "port": 8080},
+		}},
+		"targetRef": {"group": "", "kind": "Service", "name": "api-hl"},
+	},
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(health_check_policy.deny) == 0 with input as valid_hcp
+}
+
+# ── apiVersion ────────────────────────────────────────────────────────────
+
+test_deny_wrong_api_version if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/apiVersion", "value": "networking.gke.io/v1beta1"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── metadata.name ─────────────────────────────────────────────────────────
+
+test_deny_empty_name if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/metadata/name", "value": ""}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── spec.default.config.type ──────────────────────────────────────────────
+
+test_deny_config_type_not_http if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/spec/default/config/type", "value": "TCP"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── requestPath ───────────────────────────────────────────────────────────
+
+test_deny_empty_request_path if {
+	bad := json.patch(valid_hcp, [{
+		"op": "replace",
+		"path": "/spec/default/config/httpHealthCheck/requestPath",
+		"value": "",
+	}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+test_deny_request_path_without_slash if {
+	bad := json.patch(valid_hcp, [{
+		"op": "replace",
+		"path": "/spec/default/config/httpHealthCheck/requestPath",
+		"value": "healthz",
+	}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── port ──────────────────────────────────────────────────────────────────
+
+test_deny_port_not_8080 if {
+	bad := json.patch(valid_hcp, [{
+		"op": "replace",
+		"path": "/spec/default/config/httpHealthCheck/port",
+		"value": 9090,
+	}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# ── targetRef ─────────────────────────────────────────────────────────────
+
+test_deny_target_ref_kind_not_service if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/spec/targetRef/kind", "value": "Gateway"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+test_deny_target_ref_name_without_hl if {
+	bad := json.patch(valid_hcp, [{"op": "replace", "path": "/spec/targetRef/name", "value": "api"}])
+	count(health_check_policy.deny) > 0 with input as bad
+}
+
+# Не HCP — пакет не діє.
+test_allow_other_kind if {
+	count(health_check_policy.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "x"},
+	}
+}

package/policy/abie/http_route_base/http_route_base_test.rego

@@ -0,0 +1,64 @@
+# Тести для `abie.http_route_base`. Запуск:
+#   conftest verify -p npm/policy/abie/http_route_base
+package abie.http_route_base_test
+
+import rego.v1
+
+import data.abie.http_route_base
+
+mk_route(hostnames) := {
+	"apiVersion": "gateway.networking.k8s.io/v1",
+	"kind": "HTTPRoute",
+	"metadata": {"name": "r", "namespace": "dev"},
+	"spec": {"hostnames": hostnames},
+}
+
+# ── allow ────────────────────────────────────────────────────────────────
+
+test_allow_apex if {
+	count(http_route_base.deny) == 0 with input as mk_route(["aiml.live"])
+}
+
+test_allow_subdomain if {
+	count(http_route_base.deny) == 0 with input as mk_route(["api.aiml.live"])
+}
+
+test_allow_wildcard if {
+	count(http_route_base.deny) == 0 with input as mk_route(["*.aiml.live"])
+}
+
+test_allow_uppercase_apex if {
+	count(http_route_base.deny) == 0 with input as mk_route(["AIML.LIVE"])
+}
+
+test_allow_multiple_subdomains if {
+	count(http_route_base.deny) == 0 with input as mk_route(["api.aiml.live", "admin.aiml.live"])
+}
+
+# ── deny ─────────────────────────────────────────────────────────────────
+
+test_deny_other_apex if {
+	count(http_route_base.deny) > 0 with input as mk_route(["example.com"])
+}
+
+test_deny_wrong_subdomain if {
+	count(http_route_base.deny) > 0 with input as mk_route(["api.example.com"])
+}
+
+test_deny_mixed_one_bad if {
+	count(http_route_base.deny) > 0 with input as mk_route(["api.aiml.live", "evil.com"])
+}
+
+test_deny_aiml_live_substring if {
+	# "aiml.live.example.com" не має закінчуватись на ".aiml.live" — це інший домен.
+	count(http_route_base.deny) > 0 with input as mk_route(["aiml.live.example.com"])
+}
+
+# Не HTTPRoute — пакет не діє.
+test_allow_non_httproute if {
+	count(http_route_base.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Service",
+		"metadata": {"name": "x"},
+	}
+}

package/policy/k8s/kustomization/kustomization.rego

@@ -117,11 +117,11 @@ is_kustomization if {
 }
 
 resources_present if {
-	_ := input.resources
+	"resources" in object.keys(input)
 }
 
 patches_present if {
-	_ := input.patches
+	"patches" in object.keys(input)
 }
 
 # Список непорожніх рядкових шляхів resources у порядку файлу (для повідомлення).

package/policy/k8s/manifest/manifest.rego

@@ -215,7 +215,8 @@ has_non_empty_cpu_request(container) if {
 
 # Чи у контейнера в реальності присутнє поле resources.requests.cpu (хай і порожнє).
 has_cpu_field(container) if {
-	_ := container.resources.requests.cpu
+	requests := object.get(object.get(container, "resources", {}), "requests", {})
+	"cpu" in object.keys(requests)
 }
 
 # Чи у контейнера є непорожнє resources.requests.memory (рядок або число > 0).
@@ -233,7 +234,8 @@ has_non_empty_memory_request(container) if {
 
 # Чи у контейнера в реальності присутнє поле resources.requests.memory.
 has_memory_field(container) if {
-	_ := container.resources.requests.memory
+	requests := object.get(object.get(container, "resources", {}), "requests", {})
+	"memory" in object.keys(requests)
 }
 
 # Чи рядок `image` посилається на репозиторій `hasura/graphql-engine` (з тегом