@nitra/cursor 1.8.228 → 1.9.1

package/CHANGELOG.md

@@ -4,6 +4,28 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.1] - 2026-05-11
+
+### Added
+
+- **rego `k8s.base_kustomization` — defense-in-depth deny на HPA/PDB у `base/kustomization.yaml::resources:`:** додано пер-документне правило, що відмовляє, якщо `resources:` локально містить запис із basename `hpa.yaml`/`pdb.yaml`/`hpa.yml`/`pdb.yml` (у будь-якому підкаталозі). Канон k8s.mdc — HPA/PDB у sibling `components/` (Kustomize Component) і підключаються з overlay. Рекурсивний обхід дерева `resources:`/`components:`/`bases:` (із зануренням у вкладені kustomization.yaml) лишається у JS-оркестраторі `verifyK8sBaseKustomizeHasNoHpaPdb` (потребує fs-доступу). Rego-deny ловить найпоширеніший локальний випадок навіть якщо JS-крок упаде з винятку раніше. 5 нових rego-тестів (`hpa.yaml`/`pdb.yaml`/`hpa.yml` у `resources:`, чистий `resources:`, lookalike basename `myhpa.yaml`); `opa test` зелений (10/10).
+
+### Fixed
+
+- **`check-k8s.mjs`:** додано константу `GATEWAY_API_GROUP_PREFIX = 'gateway.networking.k8s.io/'`. Її відсутність кидала `ReferenceError` у `indexOneK8sYamlForHasuraCanon` (на лінії з `av.startsWith(GATEWAY_API_GROUP_PREFIX)`), яку ловив outer try/catch у `bin/n-cursor.js` і **тихо пропускав** усі наступні JS-валідатори в `check-k8s.mjs::check()` — серед них `validateKustomizeHpaPdbOnlyWithBaseDeployment`, `validateConfigMapNameMatchesDeployment`, `validateDeploymentHpaPdbAndTopology`, `validateProdKustomizationOverrides`. Наслідок у репах споживачів: правило «HPA/PDB заборонені у `k8s/base/`» не спрацьовувало (хоча `verifyK8sBaseKustomizeHasNoHpaPdb` логіку містив правильну), бо exception вилітав раніше за чергу JS-кроків. Rego-крок (`runAllK8sRego`) ішов **до** crash-точки й тому продовжував працювати — пер-документні перевірки залишалися активними, а cross-file JS — ні.
+
+## [1.9.0] - 2026-05-11
+
+### Changed
+
+- **mdc frontmatter — `alwaysApply: false` + `globs` для файлово-чітких правил:** `ga` (`.github/workflows/*.yml`), `vue` (`**/*.vue`), `php` (`**/*.php`), `style-lint` (`**/*.{css,scss,vue}`), `nginx-default-tpl` (`**/default.{conf.template,tpl.conf}`), `image-avif` (`**/*.{png,jpg,jpeg,gif,avif,vue,html}`), `image-compress` (`**/*.{png,jpg,jpeg,gif,svg}`), `changelog` (`**/{CHANGELOG.md,package.json}`), `hasura` (`**/hasura/**,**/*.env`), `graphql` (`**/*.{vue,js,mjs,cjs,ts,tsx,jsx}`). Раніше тільки `docker`, `k8s`, `rego` тримали file-scoped формат; решта вантажилася в контекст Cursor завжди (`alwaysApply: true`). Тепер правило підтягується лише коли в контексті є файл за патерном — менше «шуму» у промптах для несуміжних задач. Версії bump-нуто на патч-крок у кожному `*.mdc`. Проєктно-широкі правила (`bun`, `npm-module`, `ci4`, `text`, `js-lint`) і opt-in (`abie`, `adr`) лишилися `alwaysApply: true` без globs.
+
+## [1.8.229] - 2026-05-11
+
+### Removed
+
+- **k8s / `k8s.kustomize_managed`:** правило «`metadata.namespace` заборонено у YAML, досяжних через граф Kustomize» зняте — воно конфліктувало з `k8s.base_manifest`, який натомість **вимагає** `metadata.namespace` у `…/k8s/base/…` для namespaced kind. Перетин предикатів був порожній, що давало ~50 хибних помилок у канонічних деревах `base + overlays` (adminer, run/nginx, reference-grant, otel, dremio, gateway тощо). Видалено: правило з `mdc/k8s.mdc` (бульйт «Де не дублювати `metadata.namespace`»), rego-полісь `npm/policy/k8s/kustomize_managed/`, JS-helpers `metadataNamespaceForbiddenViolation` і `collectKustomizeManagedRelPaths` разом з відповідними тестами та плумінгом `kustomizeManagedRel` через `runAllK8sRego` / `checkK8sYamlFile`. Логіка `base_manifest` (`metadata.namespace` обов'язковий у `k8s/base/`) лишається; у overlays Kustomize це значення буде перезаписано полем `namespace:` з `kustomization.yaml`.
+
 ## [1.8.228] - 2026-05-10
 
 ### Changed

package/mdc/changelog.mdc

@@ -1,7 +1,8 @@
 ---
 description: CHANGELOG.md в кожному workspace, з двома моделями бази порівняння
-alwaysApply: true
-version: '2.0'
+version: '2.1'
+globs: "**/{CHANGELOG.md,package.json}"
+alwaysApply: false
 ---
 
 Bun monorepo: у кожному workspace із кореневого `package.json.workspaces` (плюс кореневий пакет, плюс `npm/`) має бути власний **`CHANGELOG.md`**. Спільного на репозиторій змісту змін **не існує** — кожен пакет веде свій. Правило `npm-module` відповідає лише за публікацію типів і workflow, а CHANGELOG — за цим правилом.

package/mdc/ci4.mdc

@@ -15,6 +15,54 @@ C4-діаграми проєкту живуть у Markdown поряд із ко
 тримати знання разом із кодом — версійно, в одному PR і доступно для агентів. Якщо щось
 важливе про систему існує лише у Confluence/Notion/месенджері — для проєкту цього **немає**.
 
+## Специфікація як джерело істини (Spec-as-Source)
+
+У AI-native розробці первинним артефактом, який підтримують інженери, є **специфікація**, а не
+кодова база. Код — похідний артефакт, «будівельне риштування», яке агент генерує, верифікує або
+повністю відновлює зі специфікації. Якщо поведінка системи має змінитися — **спочатку оновлюємо
+специфікацію (C4/ADR/опис компонента), і лише потім** агент генерує відповідний код. Зворотний
+порядок («код вже написаний, доку напишемо потім») перетворює специфікацію на декорацію.
+
+## Тест на повне відтворення (Rebuild Test)
+
+Документація вважається повною лише тоді, коли проходить бінарний тест: якщо видалити теку
+`src/`, відкрити нову LLM-сесію з чистим контекстом і дати агенту доступ лише до `.md`-файлів —
+агент має **відтворити робочу кодову базу**. Архітектурні збої (агент не знає структуру тек),
+інтеграційні (неописані міжсервісні контракти), падіння юніт-тестів (неописана бізнес-логіка) —
+це не «складність задачі», а **прогалини документації**, які треба заповнити у тому ж PR.
+
+## Ефективність токенів і чистий Markdown
+
+Вікно контексту LLM обмежене, а якість міркування деградує в міру його заповнення (ефект
+«Lost in the Middle»). Тому документація **очищається від HTML-розмітки, CSS-класів,
+навігаційних обгорток** і всього, що не несе семантичного навантаження. Чистий Markdown замість
+HTML економить 80–90 % токенів (≈16 000 → 1 600 на сторінку), що прямо впливає на точність
+згенерованого коду і знижує вартість API. Жодних `<div>`/`<span>`/класів у тілі `.md`/`.mdc`.
+
+## Контекстна незалежність розділів
+
+RAG витягує **фрагменти**, не цілі документи. Тому кожен розділ має сенс **без сусіднього
+тексту**. Заборонено: «як було згадано вище», «ця змінна», «попередній метод», «той самий
+сервіс». Замість цього — щоразу явно повторюємо назву сутності: «автентифікація OAuth 2.0»,
+«функція `calculateTotal()`», «контейнер `api-gateway`». Коли агент отримає лише цей фрагмент,
+у нього має бути повний словник для коректної генерації.
+
+## Docs-as-Code
+
+Документація живе у Git поруч із кодом, проходить **той самий Code Review**, версіонується і
+автоматично перевіряється у CI (лінтери Markdown, валідатори посилань, `npx @nitra/cursor
+check`). Биті посилання й документація, що «не компілюється», — **блокуючий баг**, не
+косметика. Це продовження принципу «оновлення синхронно зі змінами» нижче: один PR — код +
+схема + ADR + тести.
+
+## Трасування як документація недетермінованої поведінки
+
+Для компонентів, де рішення приймає нейромережа або складна евристика, класичної форми
+«вхід X → вихід Y» **недостатньо** — поведінка недетермінована. Джерелом істини стає
+**пайплайн логування й трасування**: які інструменти використав агент, який контекст мав,
+чому ухвалив це рішення. У C4-компоненті такого типу — посилання на дашборд/storage трасувань
+обов'язкове нарівні з посиланнями на тести.
+
 ## Розташування
 
 C4-діаграми проєкту живуть у теці `docs/ci4/` — це **канонічне місце** для всіх рівнів

package/mdc/ga.mdc

@@ -1,7 +1,8 @@
 ---
 description: Правила форматів для .github/workflows
-alwaysApply: true
-version: '1.7'
+version: '1.8'
+globs: ".github/workflows/*.yml"
+alwaysApply: false
 ---
 
 У `.github/workflows/` лише **`.yml`**. Мають бути **`clean-ga-workflows.yml`**, **`clean-merged-branch.yml`**, **`lint-ga.yml`**, **`git-ai.yml`**. Якщо є **`apply-k8s.yml`** / **`apply-nats-consumer.yml`** — paths у тригері як у фрагментах.

package/mdc/graphql.mdc

@@ -1,7 +1,8 @@
 ---
 description: GraphQL у коді (tagged template `gql`) — GraphQL Config і розширення VS Code
-alwaysApply: true
-version: '1.0'
+version: '1.1'
+globs: "**/*.{vue,js,mjs,cjs,ts,tsx,jsx}"
+alwaysApply: false
 ---
 
 Якщо в **`.vue`** або в **JavaScript / TypeScript** джерелах (`.js`, `.mjs`, `.cjs`, `.ts`, `.tsx`, `.jsx` тощо) зустрічається **tagged template literal** з тегом **`gql`** (типово `gql\`query …\`` для GraphQL-запиту), у **корені репозиторію** мають бути:

package/mdc/hasura.mdc

@@ -1,7 +1,8 @@
 ---
 description: Правила для директорії з hasura graphql-engine
-alwaysApply: true
-version: '1.0'
+version: '1.1'
+globs: "**/hasura/**,**/*.env"
+alwaysApply: false
 ---
 
 ## Підключення для оновлення метаданих у CI (Nitra та Abinbevefes)

package/mdc/image-avif.mdc

@@ -1,7 +1,8 @@
 ---
 description: AVIF-двійники для raster-зображень з ув'язуванням у .vue/.html
-alwaysApply: true
-version: '1.1'
+version: '1.2'
+globs: "**/*.{png,jpg,jpeg,gif,avif,vue,html}"
+alwaysApply: false
 ---
 
 AVIF-двійники (`<name>.<ext>.avif`) генерує **виключно** `npx @nitra/cursor check image-avif` — у `lint-image` прапорець `--avif` заборонений (це валідує правило `image-compress`). Перевірка робить три кроки в порядку:

package/mdc/image-compress.mdc

@@ -1,7 +1,8 @@
 ---
 description: Оптимізація raster/SVG через @nitra/minify-image у локальному lint
-alwaysApply: true
-version: '1.1'
+version: '1.2'
+globs: "**/*.{png,jpg,jpeg,gif,svg}"
+alwaysApply: false
 ---
 
 CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (≥ **3.3.1**) запускається через `npx` (як `markdownlint-cli2` у text.mdc) і **не** додається в `dependencies` / `devDependencies`. Канонічний `lint-image` — авто-оптимізація з прапорцем `--write`: стискає raster/SVG на місці. **AVIF-генерація (`--avif`) у `lint-image` заборонена** — її виконує окреме правило `image-avif` (`npx @nitra/cursor check image-avif`), яке заодно прибирає AVIF-сироти. Split-cache робить повторні прогони дешевими — і локально, і після `git clone`.

package/mdc/k8s.mdc

@@ -313,9 +313,7 @@ data:
 
 - **`base/kustomization.yaml`:** поле **`namespace:`** має бути **непорожнім** (перевіряє **check k8s**, якщо файл є).
 
-- **Де не дублювати `metadata.namespace`:** у YAML, досяжних через **граф Kustomize** (шляхи з **`kustomization.yaml`**, як у логіці **`collectKustomizeManagedRelPaths`** / **check k8s**). **Namespace** задає **`namespace:`** у kustomization.
-
-- **Коли `metadata.namespace` обов’язковий у файлі:** YAML під **`k8s`**, який **не** в графі жодного kustomization — непорожній **`metadata.namespace`** для namespaced **kind** (винятки — кластерні **kind**, перелік **`CLUSTER_SCOPED_KINDS`** у **`check-k8s.mjs`**). Якщо namespace у маніфесті не потрібен — підключи файл через **`resources`** / **`patches`** тощо.
+- **Коли `metadata.namespace` обов’язковий у файлі:** YAML під **`k8s`** — непорожній **`metadata.namespace`** для namespaced **kind** (винятки — кластерні **kind**, перелік **`CLUSTER_SCOPED_KINDS`** у **`check-k8s.mjs`**). У overlays Kustomize значення в маніфесті буде перезаписано полем **`namespace:`** з відповідного **`kustomization.yaml`**, тому в `base` пиши канонічний dev-namespace.
 
 - **Не додавай** окремі **patches** Kustomize, які лише змінюють **namespace**: **namespace** визначає Kustomize; у overlays додаткові зміни — без дублювання логіки **namespace**.
 

package/mdc/nginx-default-tpl.mdc

@@ -1,6 +1,8 @@
 ---
 description: Правила nginx для статичних файлів
-version: '1.2'
+version: '1.3'
+globs: "**/default.{conf.template,tpl.conf}"
+alwaysApply: false
 ---
 
 > **Автоматична міграція:** `npx @nitra/cursor check nginx-default-tpl` автоматично перейменовує `default.tpl.conf` → `default.conf.template` (або перезаписує вміст, якщо обидва файли існують). Якщо шаблон відсутній — перевірка пропускається.

package/mdc/php.mdc

@@ -1,7 +1,8 @@
 ---
 description: PHP
-alwaysApply: true
-version: '1.0'
+version: '1.1'
+globs: "**/*.php"
+alwaysApply: false
 ---
 
 Весь код повинен відповідати PHP 8.5, перевіряти за допомогою PHPCompatibility, конвертувати за допомогою Rector.

package/mdc/style-lint.mdc

@@ -1,7 +1,8 @@
 ---
 description: Правила стилів CSS та SCSS
-alwaysApply: true
-version: '1.2'
+version: '1.3'
+globs: "**/*.{css,scss,vue}"
+alwaysApply: false
 ---
 
 ## Генерація та редагування стилів (Cursor і інші агенти)

package/mdc/vue.mdc

@@ -1,7 +1,8 @@
 ---
 description: Vue
-alwaysApply: true
-version: '1.7'
+version: '1.8'
+globs: "**/*.vue"
+alwaysApply: false
 ---
 
 # Vue 3 Composition API — правила для .cursorrules

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.228",
+  "version": "1.9.1",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/k8s/base_kustomization/base_kustomization.rego

@@ -34,7 +34,37 @@ deny contains base_namespace_required_msg if {
 	trim_space(ns) == ""
 }
 
+# HPA/PDB у base заборонені — канон k8s.mdc: тримати у sibling каталозі `components/`
+# і підключати з overlay (`components: [- ../components]`). Цей deny — швидкий gate
+# на *локальний* `resources:` base/kustomization.yaml (точне ім'я `hpa.yaml`/`pdb.yaml`,
+# у будь-якому підкаталозі). Рекурсивний обхід `resources:`/`components:`/`bases:`
+# (із зануренням у вкладені kustomization.yaml) — JS-оркестратор
+# `verifyK8sBaseKustomizeHasNoHpaPdb` у `check-k8s.mjs` (потребує fs-доступу). Цей
+# rego-deny — defense-in-depth: спрацює навіть якщо JS-крок упаде з винятку раніше.
+deny contains hpa_pdb_in_base_resources_msg(r) if {
+	is_kustomization
+	some r in object.get(input, "resources", [])
+	is_string(r)
+	is_hpa_or_pdb_filename(r)
+}
+
+hpa_pdb_in_base_resources_msg(file) := sprintf(
+	concat("", [
+		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB заборонені у base, ",
+		"перенесіть у sibling каталог components/ і підключайте з overlay (k8s.mdc)",
+	]),
+	[file],
+)
+
 is_kustomization if {
 	input.kind == "Kustomization"
 	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
 }
+
+is_hpa_or_pdb_filename(p) if {
+	basename(p) in {"hpa.yaml", "pdb.yaml", "hpa.yml", "pdb.yml"}
+}
+
+basename(p) := parts[count(parts) - 1] if {
+	parts := split(p, "/")
+}

package/policy/k8s/base_kustomization/base_kustomization_test.rego

@@ -34,3 +34,40 @@ test_allow_non_kustomization if {
 		"metadata": {"name": "cm"},
 	}
 }
+
+base_kust_ok := object.union(base_kust, {"namespace": "dev"})
+
+test_deny_hpa_yaml_in_resources if {
+	count(base_kustomization.deny) > 0 with input as object.union(
+		base_kust_ok,
+		{"resources": ["deployment.yaml", "hpa.yaml"]},
+	)
+}
+
+test_deny_pdb_yaml_in_resources if {
+	count(base_kustomization.deny) > 0 with input as object.union(
+		base_kust_ok,
+		{"resources": ["pdb.yaml"]},
+	)
+}
+
+test_deny_hpa_yml_in_subdir if {
+	count(base_kustomization.deny) > 0 with input as object.union(
+		base_kust_ok,
+		{"resources": ["nested/dir/hpa.yml"]},
+	)
+}
+
+test_allow_resources_without_hpa_pdb if {
+	count(base_kustomization.deny) == 0 with input as object.union(
+		base_kust_ok,
+		{"resources": ["deployment.yaml", "service.yaml", "configmap.yaml"]},
+	)
+}
+
+test_allow_lookalike_basename if {
+	count(base_kustomization.deny) == 0 with input as object.union(
+		base_kust_ok,
+		{"resources": ["myhpa.yaml", "pdb-extra.yaml"]},
+	)
+}

package/policy/k8s/kustomization/kustomization.rego

@@ -117,11 +117,11 @@ is_kustomization if {
 }
 
 resources_present if {
-	_ := input.resources
+	"resources" in object.keys(input)
 }
 
 patches_present if {
-	_ := input.patches
+	"patches" in object.keys(input)
 }
 
 # Список непорожніх рядкових шляхів resources у порядку файлу (для повідомлення).

package/policy/k8s/manifest/manifest.rego

@@ -215,7 +215,8 @@ has_non_empty_cpu_request(container) if {
 
 # Чи у контейнера в реальності присутнє поле resources.requests.cpu (хай і порожнє).
 has_cpu_field(container) if {
-	_ := container.resources.requests.cpu
+	requests := object.get(object.get(container, "resources", {}), "requests", {})
+	"cpu" in object.keys(requests)
 }
 
 # Чи у контейнера є непорожнє resources.requests.memory (рядок або число > 0).
@@ -233,7 +234,8 @@ has_non_empty_memory_request(container) if {
 
 # Чи у контейнера в реальності присутнє поле resources.requests.memory.
 has_memory_field(container) if {
-	_ := container.resources.requests.memory
+	requests := object.get(object.get(container, "resources", {}), "requests", {})
+	"memory" in object.keys(requests)
 }
 
 # Чи рядок `image` посилається на репозиторій `hasura/graphql-engine` (з тегом

package/scripts/check-k8s.mjs

@@ -309,6 +309,8 @@ const YANNH_GROUPS = new Set([
   'storagemigration.k8s.io'
 ])
 
+const GATEWAY_API_GROUP_PREFIX = 'gateway.networking.k8s.io/'
+
 const MODELINE_RE = /^#\s*yaml-language-server:\s*\$schema=(\S+)\s*$/
 const PATH_SPLIT_RE = /[/\\]/u
 const YAML_EXTENSION_RE = /\.ya?ml$/iu
@@ -360,18 +362,6 @@ export function isForbiddenK8sDevPath(rel) {
   return n.includes('/k8s/dev/')
 }
 
-/**
- * Відносний шлях від кореня репозиторію у вигляді з `/` (для множини kustomize).
- * @param {string} root корінь cwd
- * @param {string} abs абсолютний шлях
- * @returns {string | null} posix-відносний шлях або null, якщо поза root
- */
-function posixRelFromAbs(root, abs) {
-  const r = (relative(root, abs) || abs).replaceAll('\\', '/')
-  if (r.startsWith('..')) return null
-  return r
-}
-
 /**
  * Вбудовані та поширені **кластерні** `kind`, для яких **`metadata.namespace`** не застосовується.
  * CRD з невідомим kind лишаються з вимогою namespace, якщо файл не в kustomization — за потреби додай path у `resources`.
@@ -887,104 +877,6 @@ async function validateKustomizationIncludesSvcHlWithSvc(root, yamlFiles, fail)
   }
 }
 
-/**
- * Збирає відносні шляхи (posix) до YAML, підключених до Kustomize з будь-якого **`kustomization.yaml`** під `k8s`.
- * Обходить **`resources`**, **`bases`**, **`components`**, **`crds`**, **`patches[].path`**, **`patchesStrategicMerge`**;
- * для каталогу з **`kustomization.yaml`** виконує рекурсивний обхід.
- * @param {string} root корінь репозиторію
- * @param {string[]} yamlFilesAbs відсортовані абсолютні шляхи до `*.yaml` / `*.yml` під k8s (для `.yml` check-k8s вимагає перейменувати на `.yaml`)
- * @returns {Promise<Set<string>>} множина відносних шляхів до керованих файлів
- */
-export async function collectKustomizeManagedRelPaths(root, yamlFilesAbs) {
-  /** @type {Set<string>} */
-  const managed = new Set()
-  const kustomizationAbsList = yamlFilesAbs.filter(abs => {
-    const b = basename(abs).toLowerCase()
-    return b === 'kustomization.yaml'
-  })
-
-  /** @type {Set<string>} */
-  const visitedKustomization = new Set()
-
-  /**
-   * @param {string} kustAbs абсолютний шлях до kustomization.yaml
-   * @returns {Promise<void>}
-   */
-  async function walkKustomization(kustAbs) {
-    const normKust = resolve(kustAbs)
-    if (visitedKustomization.has(normKust)) return
-    visitedKustomization.add(normKust)
-
-    let raw
-    try {
-      raw = await readFile(normKust, 'utf8')
-    } catch {
-      return
-    }
-    const lines = toLines(raw)
-    const body = yamlBodyAfterModeline(lines)
-
-    /** @type {import('yaml').Document[] | undefined} */
-    let docs
-    try {
-      docs = parseAllDocuments(body)
-    } catch {
-      return
-    }
-    const first = docs[0]?.toJSON()
-    if (first === null || first === undefined || typeof first !== 'object' || Array.isArray(first)) return
-
-    const kustDir = dirname(normKust)
-    const pathRefs = pathsFromKustomizationObject(first)
-
-    /**
-     * @param {string} ref шлях з kustomization
-     * @returns {Promise<void>}
-     */
-    async function handleKustomizeManagedPathRef(ref) {
-      if (ref.includes('://')) {
-        return
-      }
-      const resolved = resolve(kustDir, ref)
-      let st
-      try {
-        st = await stat(resolved)
-      } catch {
-        st = undefined
-      }
-      if (!st) {
-        return
-      }
-      if (st.isFile()) {
-        if (YAML_EXTENSION_RE.test(resolved)) {
-          const pr = posixRelFromAbs(root, resolved)
-          if (pr !== null) {
-            managed.add(pr)
-          }
-        }
-        return
-      }
-      if (!st.isDirectory()) {
-        return
-      }
-      const childK = existsSync(join(resolved, 'kustomization.yaml')) ? join(resolved, 'kustomization.yaml') : null
-      if (childK !== null) {
-        await walkKustomization(childK)
-      }
-    }
-
-    for (const ref of pathRefs) {
-      await handleKustomizeManagedPathRef(ref)
-    }
-  }
-
-  for (const k of kustomizationAbsList) {
-    await walkKustomization(k)
-  }
-
-  return managed
-}
-
 /**
  * Шляхи лише з полів ресурсів Kustomization (**без** patch-файлів).
  * @param {unknown} obj корінь першого документа Kustomization
@@ -1331,7 +1223,7 @@ async function kustomizationTreeHasDeploymentUnderK8sBase(kustAbs, rootNorm) {
 
 /**
  * Збирає дескриптори ресурсів з **`resources` / `bases` / `components` / `crds`** для одного дерева kustomization.
- * Повторний вхід у той самий **`kustomization.yaml`** дає порожній внесок (як у **`collectKustomizeManagedRelPaths`**).
+ * Повторний вхід у той самий **`kustomization.yaml`** дає порожній внесок.
  * @param {string} kustAbs абсолютний шлях до **kustomization.yaml**
  * @param {string} rootNorm нормалізований абсолютний корінь репозиторію
  * @param {Set<string>} visitedKustomization нормалізовані абсолютні шляхи відвіданих **kustomization.yaml**
@@ -3505,22 +3397,6 @@ async function validateHasuraHttpRouteCanon(root, yamlFiles, fail) {
   }
 }
 
-/**
- * Для маніфестів, **підключених** до Kustomize (шлях у `resources` / `patches` / …), **metadata.namespace** не додають.
- * @param {unknown} manifest корінь YAML-документа
- * @returns {string | null} текст порушення або null, якщо поля немає
- */
-export function metadataNamespaceForbiddenViolation(manifest) {
-  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
-    return null
-  const rec = /** @type {Record<string, unknown>} */ (manifest)
-  const meta = rec.metadata
-  if (meta !== null && typeof meta === 'object' && !Array.isArray(meta) && 'namespace' in meta) {
-    return 'metadata.namespace заборонено — namespace задає kustomization.yaml (поле namespace); файл підключено через resources / patches / … (див. k8s.mdc)'
-  }
-  return null
-}
-
 /**
  * Вимагає непорожній **metadata.namespace** для namespaced-документів (крім кластерних kind).
  * @param {unknown} manifest корінь YAML-документа
@@ -3574,7 +3450,7 @@ export function isK8sBaseManifestYamlPath(rel, baseLower) {
 
 // Plan B: per-document валідаційне ядро для k8s YAML повністю в rego —
 // `k8s.manifest`, `k8s.gateway`, `k8s.svc_yaml`, `k8s.svc_hl_yaml`,
-// `k8s.kustomize_managed`, `k8s.base_manifest`. Виклик через `runAllK8sRego`.
+// `k8s.base_manifest`. Виклик через `runAllK8sRego`.
 // JS-функції failIfK8sPolicyNamespaceRulesViolated, failIfK8sPolicyResourceRulesViolated,
 // validateK8sYamlPolicyDocuments видалено.
 
@@ -3679,13 +3555,12 @@ function countSchemaModelines(lines) {
  * @param {string[]} lines рядки файлу
  * @param {(msg: string) => void} fail реєстрація помилки
  * @param {(msg: string) => void} pass реєстрація успіху
- * @param {Set<string>} kustomizeManagedRel kustomize-managed шляхи
  * @returns {void}
  */
-function checkK8sYamlHttpBackendGroupFile(rel, _baseLower, _lines, _fail, pass, _kustomizeManagedRel) {
+function checkK8sYamlHttpBackendGroupFile(rel, _baseLower, _lines, _fail, pass) {
   // Per-document валідація (Ingress/autoscaling/v1 заборонено, Gateway API backendRef,
-  // metadata.namespace правила) — у rego (`k8s.manifest`, `k8s.gateway`, `k8s.kustomize_managed`,
-  // `k8s.base_manifest`), батч-виклик з `runAllK8sRego` на початку `check()`.
+  // metadata.namespace правила) — у rego (`k8s.manifest`, `k8s.gateway`, `k8s.base_manifest`),
+  // батч-виклик з `runAllK8sRego` на початку `check()`.
   pass(`${rel}: HttpBackendGroup (alb.yc.io/v1alpha1) — modeline $schema не застосовується (k8s.mdc)`)
 }
 
@@ -3697,10 +3572,9 @@ function checkK8sYamlHttpBackendGroupFile(rel, _baseLower, _lines, _fail, pass,
  * @param {string[]} lines рядки файлу
  * @param {(msg: string) => void} fail реєстрація помилки
  * @param {(msg: string) => void} pass реєстрація успіху
- * @param {Set<string>} kustomizeManagedRel kustomize-managed шляхи
  * @returns {void}
  */
-function checkK8sYamlFileWithSchemaModeline(abs, rel, baseLower, lines, fail, pass, kustomizeManagedRel) {
+function checkK8sYamlFileWithSchemaModeline(abs, rel, baseLower, lines, fail, pass) {
   const match = lines[0].match(MODELINE_RE)
   if (!match) {
     fail(`${rel}: некоректний modeline $schema у першому рядку`)
@@ -3746,10 +3620,9 @@ function checkK8sYamlFileWithSchemaModeline(abs, rel, baseLower, lines, fail, pa
  * @param {string} root корінь репозиторію
  * @param {(msg: string) => void} fail реєстрація помилки
  * @param {(msg: string) => void} pass реєстрація успіху
- * @param {Set<string>} kustomizeManagedRel відносні posix-шляхи з collectKustomizeManagedRelPaths
  * @returns {Promise<void>}
  */
-async function checkK8sYamlFile(abs, root, fail, pass, kustomizeManagedRel) {
+async function checkK8sYamlFile(abs, root, fail, pass) {
   const rel = (relative(root, abs) || abs).replaceAll('\\', '/')
   const base = basename(abs)
   const baseLower = base.toLowerCase()
@@ -3790,7 +3663,7 @@ async function checkK8sYamlFile(abs, root, fail, pass, kustomizeManagedRel) {
       )
       return
     }
-    checkK8sYamlHttpBackendGroupFile(rel, baseLower, lines, fail, pass, kustomizeManagedRel)
+    checkK8sYamlHttpBackendGroupFile(rel, baseLower, lines, fail, pass)
     return
   }
 
@@ -3799,7 +3672,7 @@ async function checkK8sYamlFile(abs, root, fail, pass, kustomizeManagedRel) {
     return
   }
 
-  checkK8sYamlFileWithSchemaModeline(abs, rel, baseLower, lines, fail, pass, kustomizeManagedRel)
+  checkK8sYamlFileWithSchemaModeline(abs, rel, baseLower, lines, fail, pass)
 }
 
 /**
@@ -6030,19 +5903,18 @@ async function runKustomizationImagesCleanup(kustAbs, rel, fail, pass) {
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
  */
 /**
- * Plan B (rego-authoritative): на початку `check()` батч-викликаємо всі 9 path-фільтрованих
- * rego-пакетів з `npm/policy/k8s/` через `runConftestBatch`. Пакети hasura_configmap і
+ * Plan B (rego-authoritative): на початку `check()` батч-викликаємо path-фільтровані
+ * rego-пакети з `npm/policy/k8s/` через `runConftestBatch`. Пакети hasura_configmap і
  * hasura_httproute мають cross-file gating (паруються з Hasura-Deployment) — вони запускаються
  * з відповідних orchestrator-функцій (`validateHasuraConfigMapRemoteSchemaPermissions`,
  * `validateHasuraHttpRouteCanon`). Структурна частина HPA/PDB (`k8s.hpa_pdb`) тут на всіх yaml,
  * env-залежні межі min/maxReplicas і expected-name — JS-cross-file у `validateDeploymentHpaPdbAndTopology`.
  * @param {string} root корінь репозиторію (cwd)
  * @param {string[]} yamlFiles абсолютні шляхи знайдених *.yaml під `…/k8s/`
- * @param {Set<string>} kustomizeManagedRel відносні posix-шляхи kustomize-managed файлів
  * @param {(msg: string) => void} fail callback при помилці
  * @returns {void}
  */
-function runAllK8sRego(root, yamlFiles, kustomizeManagedRel, fail) {
+function runAllK8sRego(root, yamlFiles, fail) {
   const relOf = abs => relative(root, abs).replaceAll('\\', '/') || abs
 
   const allYaml = yamlFiles
@@ -6055,7 +5927,6 @@ function runAllK8sRego(root, yamlFiles, kustomizeManagedRel, fail) {
     if (!K8S_BASE_SEGMENT_RE.test(r)) return false
     return basename(p).toLowerCase() !== 'kustomization.yaml'
   })
-  const kustomizeManagedFiles = yamlFiles.filter(p => kustomizeManagedRel.has(relOf(p)))
 
   /** @type {Array<{ ns: string, dir: string, files: string[] }>} */
   const targets = [
@@ -6066,8 +5937,7 @@ function runAllK8sRego(root, yamlFiles, kustomizeManagedRel, fail) {
     { ns: 'k8s.svc_yaml', dir: 'k8s/svc_yaml', files: svcYaml },
     { ns: 'k8s.svc_hl_yaml', dir: 'k8s/svc_hl_yaml', files: svcHlYaml },
     { ns: 'k8s.base_kustomization', dir: 'k8s/base_kustomization', files: baseKustYaml },
-    { ns: 'k8s.base_manifest', dir: 'k8s/base_manifest', files: baseResourceYaml },
-    { ns: 'k8s.kustomize_managed', dir: 'k8s/kustomize_managed', files: kustomizeManagedFiles }
+    { ns: 'k8s.base_manifest', dir: 'k8s/base_manifest', files: baseResourceYaml }
   ]
 
   for (const t of targets) {
@@ -6103,16 +5973,14 @@ export async function check() {
 
   assertNoForbiddenK8sDevPaths(yamlFiles, root, fail)
 
-  const kustomizeManagedRel = await collectKustomizeManagedRelPaths(root, yamlFiles)
-
   // Plan B: пер-документні структурні правила — у rego-полісі `npm/policy/k8s/*`,
   // викликаємо одним батчем на namespace через runConftestBatch. JS нижче робить
   // лише cross-file orchestration, modeline та FS-existence перевірки.
-  runAllK8sRego(root, yamlFiles, kustomizeManagedRel, fail)
+  runAllK8sRego(root, yamlFiles, fail)
   pass(`Rego-полісі (npm/policy/k8s/*) виконано на ${yamlFiles.length} файл(ах)`)
 
   for (const abs of yamlFiles) {
-    await checkK8sYamlFile(abs, root, fail, pass, kustomizeManagedRel)
+    await checkK8sYamlFile(abs, root, fail, pass)
   }
 
   await validateSvcYamlAndSvcHlPairs(root, yamlFiles, fail)

package/scripts/utils/run-conftest-batch.mjs

@@ -102,7 +102,7 @@ export function runConftestBatch(opts) {
   let parsed
   try {
     parsed = JSON.parse(result.stdout)
-  } catch (e) {
+  } catch {
     throw new Error(`conftest stdout не парситься як JSON: ${(result.stdout || '').slice(0, 200)}`)
   }
   /** @type {ConftestViolation[]} */

package/policy/k8s/kustomize_managed/kustomize_managed.rego

@@ -1,31 +0,0 @@
-# Порт перевірки `metadataNamespaceForbiddenViolation` з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc): для файлів, які підключено до якогось
-# `kustomization.yaml` через `resources` / `patches` / `…`, поле
-# `metadata.namespace` забороняється — namespace задає сам kustomization.
-#
-# Запуск (локально, лише для одного kustomize-managed YAML):
-#   conftest test path/to/manifest.yaml -p npm/policy/k8s/kustomize_managed \
-#     --namespace k8s.kustomize_managed
-#
-# JS відбирає kustomize-managed файли через `collectKustomizeManagedRelPaths`
-# і викликає conftest з цією намеспейс. JS authoritative
-# (`check-k8s.mjs`: `metadataNamespaceForbiddenViolation`,
-# `failIfK8sPolicyNamespaceRulesViolated`).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
-package k8s.kustomize_managed
-
-import rego.v1
-
-namespace_forbidden_msg := concat(" ", [
-	"metadata.namespace заборонено — namespace задає kustomization.yaml",
-	"(поле namespace); файл підключено через resources / patches / …",
-	"(k8s.mdc)",
-])
-
-deny contains namespace_forbidden_msg if {
-	meta := object.get(input, "metadata", null)
-	is_object(meta)
-	"namespace" in object.keys(meta)
-}

package/policy/k8s/kustomize_managed/kustomize_managed_test.rego

@@ -1,30 +0,0 @@
-# Тести для `k8s.kustomize_managed`. Запуск:
-#   conftest verify -p npm/policy/k8s/kustomize_managed --namespace k8s.kustomize_managed
-package k8s.kustomize_managed_test
-
-import rego.v1
-
-import data.k8s.kustomize_managed
-
-test_deny_metadata_with_namespace if {
-	count(kustomize_managed.deny) > 0 with input as {
-		"apiVersion": "v1",
-		"kind": "ConfigMap",
-		"metadata": {"name": "cm", "namespace": "dev"},
-	}
-}
-
-test_allow_metadata_without_namespace if {
-	count(kustomize_managed.deny) == 0 with input as {
-		"apiVersion": "v1",
-		"kind": "ConfigMap",
-		"metadata": {"name": "cm"},
-	}
-}
-
-test_allow_no_metadata if {
-	count(kustomize_managed.deny) == 0 with input as {
-		"apiVersion": "v1",
-		"kind": "ConfigMap",
-	}
-}