@nitra/cursor 1.8.222 → 1.9.0

package/scripts/lint-conftest.mjs

@@ -79,6 +79,8 @@ const K8S_DIR_PATH_RE = /(^|\/)k8s\//u
 const K8S_HC_YAML_PATH_RE = /(^|\/)k8s\/.+\/hc\.yaml$/u
 /** `…/k8s/…/base/…/hr.yaml` (HTTPRoute у base-шарі). */
 const K8S_BASE_HR_YAML_PATH_RE = /(^|\/)k8s\/.*base\/.*hr\.yaml$/u
+/** Будь-який ресурсний YAML під `…/k8s/.../base/...` (для abie.base_deployment_preem). */
+const K8S_BASE_RESOURCE_PATH_RE = /(^|\/)k8s\/.*base\//u
 /** `kustomization.yaml` будь-де під сегментом `k8s/`. */
 const K8S_KUSTOMIZATION_PATH_RE = /(^|\/)k8s\/.*\/kustomization\.yaml$/u
 /** `…/k8s/.../base/.../kustomization.yaml`. */
@@ -301,7 +303,7 @@ const TARGETS = [
   // abie HealthCheckPolicy: `hc.yaml` у дереві k8s.
   {
     namespace: 'abie.health_check_policy',
-    policyDir: 'abie',
+    policyDir: 'abie/health_check_policy',
     rule: 'abie',
     walk: { match: rel => K8S_HC_YAML_PATH_RE.test(rel) }
   },
@@ -309,9 +311,30 @@ const TARGETS = [
   // abie HTTPRoute у `base/`.
   {
     namespace: 'abie.http_route_base',
-    policyDir: 'abie',
+    policyDir: 'abie/http_route_base',
     rule: 'abie',
     walk: { match: rel => K8S_BASE_HR_YAML_PATH_RE.test(rel) }
+  },
+
+  // abie Deployment у `…/k8s/.../base/...` має preem nodeSelector.
+  {
+    namespace: 'abie.base_deployment_preem',
+    policyDir: 'abie/base_deployment_preem',
+    rule: 'abie',
+    walk: {
+      match: rel =>
+        K8S_BASE_RESOURCE_PATH_RE.test(rel) &&
+        !K8S_BASE_KUSTOMIZATION_PATH_RE.test(rel) &&
+        (rel.endsWith('.yaml') || rel.endsWith('.yml'))
+    }
+  },
+
+  // abie clean-merged-branch.yml: with.ignore_branches має містити dev/ua/ru.
+  {
+    namespace: 'abie.clean_merged_ignore_branches',
+    policyDir: 'abie/clean_merged_ignore_branches',
+    rule: 'abie',
+    single: '.github/workflows/clean-merged-branch.yml'
   }
 ]
 

package/scripts/lint-ga.mjs

@@ -1,18 +1,14 @@
 /**
  * CLI-обгортка над канонічним `lint-ga` (ga.mdc): робить preflight на `shellcheck` і `uv` (для `uvx`),
  * тоді послідовно виконує `bunx github-actionlint`, `uvx zizmor --offline --collect=workflows .` і
- * (PoC) `conftest test` на структуру канонічних workflow проти Rego-полісі з `npm/policy/ga/`.
+ * делегує до `check-ga.mjs::check()` — там і Rego-частина (через `runConftestBatch`),
+ * і JS cross-file перевірки правил `ga.mdc`.
  *
- * Conftest-крок навмисно **не** додається в preflight: якщо бінарник не встановлений, виводимо `ℹ`
- * повідомлення й продовжуємо з кодом 0. Структурні перевірки тих самих workflow паралельно живуть у
- * `npm/scripts/check-ga.mjs`, тож відсутність conftest не пропускає порушення мовчки.
- *
- * Conftest проганяється у двох режимах:
- * 1) per-workflow polysi (`ga.<name>`) — для канонічних `clean-ga-workflows`, `clean-merged-branch`,
- *    `lint-ga`, `git-ai`, що мають фіксовані поля (cron, ім'я кроку тощо);
- * 2) `ga.workflow_common` — універсальні правила (concurrency, заборонені setup-bun/cache/install у
- *    кроках, shell line-continuation у `run:`, checkout перед локальним setup-bun-deps), які
- *    застосовуються до **кожного** `.github/workflows/*.yml`.
+ * Plan B-патерн (rego-authoritative): Rego-полісі (`npm/policy/ga/`) запускає вже сам
+ * `check-ga.mjs::check()` як перший крок — `lint-ga.mjs` про це не знає. Раніше `lint-ga.mjs` сам
+ * спавнив conftest для `ga.<name>` per-workflow і `ga.workflow_common` (PoC); тепер ця логіка
+ * централізована у `check-ga.mjs`, тож одне джерело істини, без дублювання між
+ * `lint-ga` і `npx @nitra/cursor check ga`.
  *
  * Без preflight `actionlint` (через `bunx github-actionlint`) мовчки пропускає shell-перевірки в
  * `run:` блоках, коли `shellcheck` відсутній у PATH; локально `bun lint-ga` лишається зеленим, а CI
@@ -23,49 +19,12 @@
  *
  * Експортовано окремо `runLintGaCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-ga`.
  */
-import { existsSync, readdirSync } from 'node:fs'
 import { spawnSync } from 'node:child_process'
-import { dirname, join } from 'node:path'
 import { platform } from 'node:process'
-import { fileURLToPath } from 'node:url'
 
+import { check as checkGa } from './check-ga.mjs'
 import { resolveCmd } from './utils/resolve-cmd.mjs'
 
-/** Каталог пакету `@nitra/cursor`, від якого ресолвимо вшиту директорію policy/. */
-const PACKAGE_ROOT = dirname(dirname(fileURLToPath(import.meta.url)))
-
-/** Шлях до кореня Rego-полісі для GA. У npm-tarball публікується через `files: ["policy"]` у package.json. */
-const GA_POLICY_DIR = join(PACKAGE_ROOT, 'policy', 'ga')
-
-/**
- * Workflow-файли, для яких маємо відповідну Rego-полісі. Кожен таргет посилається на під-пакет
- * `ga.<name>` у `policy/ga/<name>/<name>.rego`; conftest викликаємо з `--namespace`, щоб правила
- * іншого workflow не застосовувалися до чужого файлу.
- * @type {Array<{ workflow: string, namespace: string, label: string }>}
- */
-const CONFTEST_TARGETS = [
-  {
-    workflow: '.github/workflows/clean-ga-workflows.yml',
-    namespace: 'ga.clean_ga_workflows',
-    label: 'clean-ga-workflows.yml structure'
-  },
-  {
-    workflow: '.github/workflows/clean-merged-branch.yml',
-    namespace: 'ga.clean_merged_branch',
-    label: 'clean-merged-branch.yml structure'
-  },
-  {
-    workflow: '.github/workflows/lint-ga.yml',
-    namespace: 'ga.lint_ga',
-    label: 'lint-ga.yml structure'
-  },
-  {
-    workflow: '.github/workflows/git-ai.yml',
-    namespace: 'ga.git_ai',
-    label: 'git-ai.yml structure'
-  }
-]
-
 /**
  * Опис залежності preflight-ом: бінарник, для чого потрібен, і команди встановлення.
  * @typedef {object} PreflightDep
@@ -177,22 +136,24 @@ function runStep(title, cmd, args) {
 }
 
 /**
- * Виконує канонічний `lint-ga` з preflight-перевірками й послідовним запуском actionlint + zizmor.
+ * Виконує канонічний `lint-ga` з preflight-перевірками і делегує до `check-ga.check()`.
  *
  * Послідовність:
  * 1) preflight: `shellcheck` (для actionlint SC-правил) і `uv` (для `uvx zizmor`); відсутній → exit 1;
  * 2) `bunx github-actionlint`;
- * 3) `uvx zizmor --offline --collect=workflows .`.
+ * 3) `uvx zizmor --offline --collect=workflows .`;
+ * 4) `check-ga.mjs::check()` — Rego-полісі (батч conftest з `npm/policy/ga/`) + JS cross-file
+ *    перевірки правил `ga.mdc`. Це **те саме**, що робить `npx @nitra/cursor check ga`, тож
+ *    `lint-ga` тепер є суперсетом перевірки правила: external-tools + check.
  *
  * Якщо хоча б один preflight не пройшов — виходимо одразу з кодом 1, **до** запуску actionlint/zizmor,
  * бо їхні власні повідомлення про відсутність залежностей менш інформативні (особливо для shellcheck —
  * actionlint мовчки пропускає SC-правила; ця перевірка — головний сенс обгортки).
  *
- * Першу помилку від actionlint/zizmor повертаємо як код виходу; наступні кроки не запускаються
- * (відповідає `&&` у package.json).
- * @returns {number} 0 — все OK, інакше — код першого кроку, що впав
+ * Першу помилку від actionlint/zizmor/check повертаємо як код виходу; наступні кроки не запускаються.
+ * @returns {Promise<number>} 0 — все OK, інакше — код першого кроку, що впав
  */
-export function runLintGaCli() {
+export async function runLintGaCli() {
   let preflightOk = true
   for (const dep of [SHELLCHECK_PREFLIGHT, UV_PREFLIGHT]) {
     if (!preflight(dep)) preflightOk = false
@@ -205,81 +166,6 @@ export function runLintGaCli() {
   const zizmorCode = runStep('zizmor', 'uvx', ['zizmor', '--offline', '--collect=workflows', '.'])
   if (zizmorCode !== 0) return zizmorCode
 
-  return runConftestStep()
-}
-
-/**
- * PoC-крок: запускає conftest на YAML workflow проти Rego-полісі з пакету (`policy/ga/`).
- *
- * Поведінка fallback:
- * - якщо `conftest` не знайдено в PATH — друкуємо `ℹ` повідомлення з підказкою встановлення й
- *   повертаємо 0 (тобто конфтест поки що **не** є обовʼязковою залежністю lint-ga; перевірки лежать
- *   паралельно в `check-ga.mjs`, і `npx \@nitra/cursor check ga` все одно їх запустить);
- * - якщо `conftest` є й полісі-каталог відсутній (нетипова інсталяція) — також `ℹ` skip;
- * - якщо є цільовий workflow і conftest — запускаємо `conftest test <workflow> -p <policy-dir>` і
- *   повертаємо його exit-код, щоб порушення зупиняли lint-ga, як це робить actionlint/zizmor.
- *
- * Локальний `conftest` встановлюється через `brew install conftest` / `go install ...` — деталі в
- * https://www.conftest.dev/install/.
- * @returns {number} 0 — OK або skip, інакше — exit-код conftest
- */
-function runConftestStep() {
-  const conftestBin = resolveCmd('conftest')
-  if (!conftestBin) {
-    console.log(
-      '\nℹ conftest не знайдено в PATH — пропускаю PoC-перевірку структури workflow через Rego-полісі.\n' +
-        '   Встанови, щоб запустити її локально: brew install conftest (macOS) або https://www.conftest.dev/install/'
-    )
-    return 0
-  }
-
-  if (!existsSync(GA_POLICY_DIR)) {
-    console.log(`\nℹ Каталог Rego-полісі не знайдено (${GA_POLICY_DIR}) — пропускаю conftest.`)
-    return 0
-  }
-
-  for (const target of CONFTEST_TARGETS) {
-    if (!existsSync(target.workflow)) continue
-    const code = runStep(`conftest (${target.label})`, conftestBin, [
-      'test',
-      target.workflow,
-      '-p',
-      GA_POLICY_DIR,
-      '--namespace',
-      target.namespace,
-      '--no-color'
-    ])
-    if (code !== 0) return code
-  }
-
-  return runConftestWorkflowCommon(conftestBin)
-}
-
-/**
- * Прогоняє `ga.workflow_common` на кожному `.github/workflows/*.yml` — універсальні перевірки
- * (concurrency, заборонені setup-bun/cache/install, shell line-continuation, checkout перед
- * локальним setup-bun-deps). Якщо директорії немає або файлів немає — мовчки skip.
- *
- * Викликаємо conftest на всіх файлах одним прогоном (`conftest test <files...>`) — швидше, ніж
- * по одному, і summary-лог зрозуміліший. Перший ненульовий exit-код повертаємо як результат.
- * @param {string} conftestBin абсолютний шлях до бінарника conftest
- * @returns {number} 0 — OK, інакше exit-код conftest
- */
-function runConftestWorkflowCommon(conftestBin) {
-  const wfDir = '.github/workflows'
-  if (!existsSync(wfDir)) return 0
-  const ymlFiles = readdirSync(wfDir)
-    .filter(f => f.endsWith('.yml'))
-    .map(f => join(wfDir, f))
-  if (ymlFiles.length === 0) return 0
-
-  return runStep('conftest (workflow_common — усі workflow)', conftestBin, [
-    'test',
-    ...ymlFiles,
-    '-p',
-    GA_POLICY_DIR,
-    '--namespace',
-    'ga.workflow_common',
-    '--no-color'
-  ])
+  console.log('\n▶ check-ga (rego-полісі npm/policy/ga/ + JS cross-file перевірки)')
+  return await checkGa()
 }

package/scripts/utils/run-conftest-batch.mjs

@@ -0,0 +1,117 @@
+/**
+ * Запускає `conftest test` на batched-списку файлів і повертає всі порушення
+ * у структурованому вигляді. Використовується з `check-*.mjs`-скриптів, де
+ * пер-документні правила винесені у `npm/policy/<rule>/<name>/` як rego-полісі
+ * (Rego-authoritative). JS у `check-*.mjs` робить cross-file частину (walking
+ * дерева, парність, kustomize-резолюція), а пер-документне валідаційне ядро
+ * делегується сюди — один спавн `conftest` на (`namespace`, `policyDir`),
+ * незалежно від кількості файлів. Це закриває дублювання JS↔rego і прибирає
+ * ризик дрифту (типу `spec.config` vs `spec.default.config` у
+ * `health_check_policy.rego`, що ми ловили cross-check тестами).
+ *
+ * Hard-fail на відсутність `conftest` у PATH — узгоджено з рішенням Plan B:
+ * якщо правило делегує свою логіку до Rego, а інструмент відсутній, тиха
+ * відмова приховує реальні порушення. Друкуємо install-hint (як `lint-rego.mjs`
+ * робить для opa/regal).
+ */
+import { spawnSync } from 'node:child_process'
+import { existsSync } from 'node:fs'
+import { dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
+
+import { resolveCmd } from './resolve-cmd.mjs'
+
+/** Каталог пакета `@nitra/cursor`, від якого ресолвимо вшиту директорію `policy/`. */
+const PACKAGE_ROOT = dirname(dirname(dirname(fileURLToPath(import.meta.url))))
+
+/** Шлях до кореня rego-полісі. У npm-tarball публікується через `files: ["policy"]`. */
+const POLICY_ROOT = join(PACKAGE_ROOT, 'policy')
+
+/**
+ * Друкує install-hint для conftest і кидає виняток, щоб викликана `check-*`
+ * команда ясно завершилась з кодом 1.
+ * @returns {never}
+ */
+function failConftestMissing() {
+  throw new Error(
+    [
+      '❌ conftest не знайдено в PATH.',
+      '   Без нього не запускається пер-документна валідація через rego-полісі (npm/policy/).',
+      '   Встанови:',
+      '     macOS:     brew install conftest',
+      '     Universal: https://www.conftest.dev/install/'
+    ].join('\n')
+  )
+}
+
+/**
+ * @typedef {object} ConftestViolation
+ * @property {string} filename абсолютний шлях до файла, що дав порушення (з output conftest)
+ * @property {string} message текст порушення (як у `deny` rego-пакета)
+ * @property {string} namespace namespace rego-пакета (наприклад `abie.base_deployment_preem`)
+ */
+
+/**
+ * @typedef {object} ConftestBatchOptions
+ * @property {string} policyDirRel шлях до підкаталогу `npm/policy/...` (наприклад `abie/base_deployment_preem`)
+ * @property {string} namespace повне імʼя rego-пакета (наприклад `abie.base_deployment_preem`)
+ * @property {string[]} files список абсолютних шляхів файлів для перевірки (порожній — повертаємо порожньо)
+ * @property {string[]} [extraArgs] додаткові аргументи для conftest (наприклад `--combine` для крос-документних правил)
+ */
+
+/**
+ * Виконує `conftest test` для всіх файлів одним спавном і повертає масив
+ * порушень. Якщо `files` порожній — повертає `[]` без спавна. Якщо `conftest`
+ * не у PATH — кидає виняток (hard fail, див. модульний docstring).
+ * @param {ConftestBatchOptions} opts параметри запуску
+ * @returns {ConftestViolation[]} масив порушень (порожній — все ок)
+ */
+export function runConftestBatch(opts) {
+  if (opts.files.length === 0) return []
+  const conftestBin = resolveCmd('conftest')
+  if (!conftestBin) {
+    failConftestMissing()
+  }
+  const policyAbs = join(POLICY_ROOT, opts.policyDirRel)
+  if (!existsSync(policyAbs)) {
+    throw new Error(`runConftestBatch: rego-каталог не знайдено: ${policyAbs}`)
+  }
+  const args = [
+    'test',
+    ...opts.files,
+    '-p',
+    policyAbs,
+    '--namespace',
+    opts.namespace,
+    '--output',
+    'json',
+    '--no-color',
+    ...(opts.extraArgs ?? [])
+  ]
+  const result = spawnSync(conftestBin, args, { encoding: 'utf8' })
+  if (result.error) {
+    throw result.error
+  }
+  // conftest exit 1 = є failures (це валідно для нас); >1 = справжня помилка.
+  if (result.status !== 0 && result.status !== 1) {
+    throw new Error(
+      `conftest exit ${result.status}: ${(result.stderr || result.stdout || '').slice(0, 500)}`
+    )
+  }
+  /** @type {Array<{ filename: string, namespace: string, failures?: Array<{ msg: string }> }>} */
+  let parsed
+  try {
+    parsed = JSON.parse(result.stdout)
+  } catch {
+    throw new Error(`conftest stdout не парситься як JSON: ${(result.stdout || '').slice(0, 200)}`)
+  }
+  /** @type {ConftestViolation[]} */
+  const out = []
+  for (const entry of parsed) {
+    const failures = entry.failures ?? []
+    for (const f of failures) {
+      out.push({ filename: entry.filename, namespace: entry.namespace, message: f.msg })
+    }
+  }
+  return out
+}

package/policy/k8s/kustomize_managed/kustomize_managed.rego

@@ -1,31 +0,0 @@
-# Порт перевірки `metadataNamespaceForbiddenViolation` з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc): для файлів, які підключено до якогось
-# `kustomization.yaml` через `resources` / `patches` / `…`, поле
-# `metadata.namespace` забороняється — namespace задає сам kustomization.
-#
-# Запуск (локально, лише для одного kustomize-managed YAML):
-#   conftest test path/to/manifest.yaml -p npm/policy/k8s/kustomize_managed \
-#     --namespace k8s.kustomize_managed
-#
-# JS відбирає kustomize-managed файли через `collectKustomizeManagedRelPaths`
-# і викликає conftest з цією намеспейс. JS authoritative
-# (`check-k8s.mjs`: `metadataNamespaceForbiddenViolation`,
-# `failIfK8sPolicyNamespaceRulesViolated`).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
-package k8s.kustomize_managed
-
-import rego.v1
-
-namespace_forbidden_msg := concat(" ", [
-	"metadata.namespace заборонено — namespace задає kustomization.yaml",
-	"(поле namespace); файл підключено через resources / patches / …",
-	"(k8s.mdc)",
-])
-
-deny contains namespace_forbidden_msg if {
-	meta := object.get(input, "metadata", null)
-	is_object(meta)
-	"namespace" in object.keys(meta)
-}

package/policy/k8s/kustomize_managed/kustomize_managed_test.rego

@@ -1,30 +0,0 @@
-# Тести для `k8s.kustomize_managed`. Запуск:
-#   conftest verify -p npm/policy/k8s/kustomize_managed --namespace k8s.kustomize_managed
-package k8s.kustomize_managed_test
-
-import rego.v1
-
-import data.k8s.kustomize_managed
-
-test_deny_metadata_with_namespace if {
-	count(kustomize_managed.deny) > 0 with input as {
-		"apiVersion": "v1",
-		"kind": "ConfigMap",
-		"metadata": {"name": "cm", "namespace": "dev"},
-	}
-}
-
-test_allow_metadata_without_namespace if {
-	count(kustomize_managed.deny) == 0 with input as {
-		"apiVersion": "v1",
-		"kind": "ConfigMap",
-		"metadata": {"name": "cm"},
-	}
-}
-
-test_allow_no_metadata if {
-	count(kustomize_managed.deny) == 0 with input as {
-		"apiVersion": "v1",
-		"kind": "ConfigMap",
-	}
-}