@nitra/cursor 1.8.41 → 1.8.55

package/bin/n-cursor.js

@@ -8,6 +8,7 @@
  *   `npx \@nitra/cursor check`       — перевірити правила, перелічені в AGENTS.md (якщо є check-*.mjs);
  *                                     якщо в корені вже є `.n-cursor.json`, спочатку зчитується конфіг і за потреби дописується `$schema`
  *   `npx \@nitra/cursor check bun`   — перевірити лише вказані правила (ігнорує AGENTS.md)
+ *   `npx \@nitra/cursor rename-yaml-extensions` — k8s `*.yml` → `*.yaml`, `.github` `*.yaml` → `*.yml` (опції: `--dry-run`, `--root=…`; див. bin/rename-yaml-extensions.mjs)
  *
  * Якщо у корені репозиторію немає .n-cursor.json, спочатку перейменовується за наявності nitra-cursor.json;
  * у `.cursor/rules` файли `nitra-*.mdc` перейменовуються на `n-*.mdc`; інакше конфіг створюється автоматично
@@ -43,6 +44,7 @@ import {
   ensureNitraCursorInRootDevDependencies,
   readBundledPackageVersion
 } from '../scripts/ensure-nitra-cursor-dev-dependencies.mjs'
+import { runRenameYamlExtensionsCli } from './rename-yaml-extensions.mjs'
 import { syncSetupBunDepsAction } from '../scripts/sync-setup-bun-deps-action.mjs'
 
 const PACKAGE_NAME = '@nitra/cursor'
@@ -863,10 +865,31 @@ const [command, ...args] = process.argv.slice(2)
 
 try {
   await ensureNitraCursorInRootDevDependencies(cwd())
-  if (command === 'check') {
-    await runChecks(args)
-  } else {
-    await runSync()
+  switch (command) {
+    case 'check': {
+      await runChecks(args)
+
+      break
+    }
+    case 'rename-yaml-extensions': {
+      const code = await runRenameYamlExtensionsCli(args)
+      if (code !== 0) {
+        process.exitCode = 1
+      }
+
+      break
+    }
+    case undefined:
+    case '': {
+      await runSync()
+
+      break
+    }
+    default: {
+      console.error(`❌ Невідома команда: ${command}`)
+      console.error(`   Очікується: (без аргументів) синхронізація правил, check, rename-yaml-extensions`)
+      process.exitCode = 1
+    }
   }
 } catch {
   process.exitCode = 1

package/bin/rename-yaml-extensions.mjs

@@ -0,0 +1,44 @@
+#!/usr/bin/env node
+
+/**
+ * CLI для перейменування розширень YAML (k8s та `.github`). Бізнес-логіка — у **`scripts/rename-yaml-extensions.mjs`**.
+ *
+ * Точки входу:
+ * - **`npx \@nitra/cursor rename-yaml-extensions`** [опції]
+ * - **`npx n-rename-yaml-extensions`** [опції] (глобальний shim з `package.json` bin)
+ * - **`bun ./node_modules/\@nitra/cursor/bin/rename-yaml-extensions.mjs`**
+ *
+ * Опції: **`--dry-run`**, **`--root=<шлях>`** (корінь обходу; за замовчуванням **`process.cwd()`**).
+ */
+import { isRunAsCli } from '../scripts/cli-entry.mjs'
+import { parseRenameYamlArgs, renameYamlExtensions } from '../scripts/rename-yaml-extensions.mjs'
+
+/**
+ * Запускає перейменування з виводом у консоль (для підкоманди **`n-cursor`** або прямого bin).
+ * @param {string[]} argv аргументи без імені команди (усі після `rename-yaml-extensions` у **`n-cursor`**)
+ * @returns {Promise<number>} **0** — успіх; **1** — були помилки (існуючий цільовий файл тощо)
+ */
+export async function runRenameYamlExtensionsCli(argv) {
+  const { dryRun, root } = parseRenameYamlArgs(argv)
+  const label = dryRun ? '[dry-run] ' : ''
+  const { renamed, errors } = await renameYamlExtensions(root, { dryRun })
+
+  for (const { relFrom, relTo } of renamed) {
+    console.log(`${label}${relFrom} → ${relTo}`)
+  }
+  if (renamed.length === 0 && errors.length === 0) {
+    console.log(`${label}Немає файлів для перейменування (k8s + .yml → .yaml; .github + .yaml → .yml).`)
+  }
+  for (const err of errors) {
+    console.error(`  ❌ ${err}`)
+  }
+
+  return errors.length > 0 ? 1 : 0
+}
+
+if (isRunAsCli()) {
+  const code = await runRenameYamlExtensionsCli(process.argv.slice(2))
+  if (code !== 0) {
+    process.exitCode = 1
+  }
+}

package/mdc/abie.mdc

@@ -28,7 +28,7 @@ spec:
     name: НАЗВА_СЕРВІСУ_ДЛЯ_РОЗГОРТАННЯ
 ```
 
-і підключення до kustomize. Але у директорії ru повинен бути файл kustomization.yaml з patch, що видаляє ресурс **HealthCheckPolicy**.
+**Overlay `ru`:** у **`…/ru/kustomization.yaml`** під **`k8s`** додай **видалення** ресурсу HealthCheckPolicy для середовища, де політика не потрібна (підстав **реальне ім’я** замість `НАЗВА_СЕРВІСУ_ДЛЯ_РОЗГОРТАННЯ`):
 
 ```yaml title="kustomization.yaml"
 patches:
@@ -53,4 +53,6 @@ ignore_branches: dev,ua,ru
 
 `npx @nitra/cursor check abie`
 
+Повна матриця полів **`hc.yaml`**, **`ignore_branches`** і умов для **`ru/kustomization.yaml`** — у **`npm/scripts/check-abie.mjs`**.
+
 Програмна перевірка (**`check-abie.mjs`**) виконується лише якщо у **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень (щоб не вимагати **ua**/**ru** у репозиторіях без цього правила).

package/mdc/k8s.mdc

@@ -1,13 +1,13 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.18'
-globs: "**/k8s/**/*.{yaml,yml}"
+version: '1.23'
+globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
 
 # Kubernetes YAML у шляхах з `k8s`
 
-Для кожного файлу `*.yaml` або `*.yml`, у шляху якого є сегмент директорії **`k8s`** (наприклад `site/k8s/base/deployment.yaml`), **перший рядок** — коментар-директива для [YAML Language Server](https://github.com/redhat-developer/yaml-language-server):
+Для кожного файлу `*.yaml`, у шляху якого є сегмент директорії **`k8s`** (наприклад `site/k8s/base/deployment.yaml`), **перший рядок** — коментар-директива для [YAML Language Server](https://github.com/redhat-developer/yaml-language-server):
 
 ```yaml
 # yaml-language-server: $schema=https://...
@@ -15,7 +15,7 @@ alwaysApply: false
 
 Далі — вміст маніфесту. Зайвий порожній рядок між коментарем і YAML не додавай, якщо в проєкті не прийнято інше.
 
-**Розширення:** усі маніфести — **`.yaml`**. Виняток: **`kustomization.yml`** (і `kustomization.yaml`) дозволені за іменем.
+**Розширення:** усі маніфести під **`k8s`**, включно з **`kustomization.yaml`**, — лише **`.yaml`** (розширення **`.yml`** не використовуй).
 
 **Dockerfile / hadolint** — окреме правило **`docker.mdc`** і **`npx @nitra/cursor check docker`**.
 
@@ -46,7 +46,7 @@ alwaysApply: false
 
 Шлях до скрипта підстав свій (`./scripts/…` після копіювання, `node_modules/@nitra/cursor/scripts/…` якщо пакет у залежностях).
 
-Додай workflow **`.github/workflows/lint-k8s.yml`** (гілки **`dev`** і **`main`**, лише **`.yml`**, узгоджено з **`ga.mdc`**):
+Додай workflow **`.github/workflows/lint-k8s.yml`** (гілки **`dev`** і **`main`**, лише **`.yml`**, узгоджено з **`ga.mdc`**). **Не** дублюй **`setup-node`**, **`oven-sh/setup-bun`**, **`actions/cache`** і **`bun install`** у job — після **`checkout`** використовуй локальний composite **`setup-bun-deps`** (шлях **`./.github/actions/setup-bun-deps`** або **`./npm/github-actions/setup-bun-deps`**, як у репозиторії). Встановлення **kubeconform** / **kubescape** лишаються окремими кроками.
 
 ```yaml title=".github/workflows/lint-k8s.yml"
 name: Lint K8s
@@ -57,7 +57,7 @@ on:
       - dev
       - main
     paths:
-      - '**/k8s/**/*.yml'
+      - '**/k8s/**/*.yaml'
 
   pull_request:
     branches:
@@ -78,6 +78,8 @@ jobs:
         with:
           persist-credentials: false
 
+      - uses: ./.github/actions/setup-bun-deps
+
       - name: Install kubeconform
         run: |
           curl -sSL "https://github.com/yannh/kubeconform/releases/download/v0.7.0/kubeconform-linux-amd64.tar.gz" | tar xz
@@ -88,33 +90,10 @@ jobs:
           curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
           echo "$HOME/.kubescape/bin" >> $GITHUB_PATH
 
-      - uses: actions/setup-node@v6
-        with:
-          node-version: '24'
-
-      - uses: oven-sh/setup-bun@v2
-
-      - name: Cache Bun dependencies
-        uses: actions/cache@v5
-        with:
-          path: |
-            ~/.bun/install/cache
-            node_modules
-          key: ${{ runner.os }}-bun-${{ hashFiles('**/bun.lock') }}
-          restore-keys: |
-            ${{ runner.os }}-bun-
-
-      - name: Install dependencies
-        run: bun install --frozen-lockfile
-
       - name: Lint K8s
         run: bun run lint-k8s
 ```
 
-Після **`install.sh`** kubescape може опинитися поза стандартним PATH; за потреби додай крок **`echo "$HOME/.kubescape/bin" >> $GITHUB_PATH`** (див. документацію [kubescape](https://github.com/kubescape/kubescape#readme)).
-
-Кореневий скрипт **`lint`** (див. **`n-bun.mdc`**) **обов'язково** містить **`bun run lint-k8s`**, коли в проєкті підключено правило **`k8s`**.
-
 ## Deployment: `resources`
 
 Для **`kind: Deployment`** у кожному контейнері **`spec.template.spec.containers[]`** має бути явне поле **`resources`**. Якщо ліміти та requests ще не задані, додай порожній об'єкт:
@@ -144,7 +123,11 @@ resources: {}
 
 ### Namespace
 
-- У **`base/kustomization.yaml`** задай **`namespace: dev`** (або узгоджене ім’я для dev **namespace**), щоб **усі ресурси base** потрапляли в цей namespace через Kustomize.
+- **`base/kustomization.yaml`:** у цьому файлі поле **`namespace:`** **завжди** має бути присутнє й **непорожнє**, щоб Kustomize застосував один цільовий namespace до ресурсів **base**. **`check k8s`** перевіряє це, коли файл є в репозиторії.
+
+- **Де не дублювати `metadata.namespace`:** у YAML під **`k8s`**, чиї шляхи **досяжні** з будь-якого **`kustomization.yaml`** через **`resources`**, **`bases`**, **`components`**, **`crds`**, елементи **`patches`** з полем **`path`**, **`patchesStrategicMerge`** (транзитивно, зокрема через каталог із дочірнім **`kustomization.yaml`**). У таких файлах **не** вказуй **`metadata.namespace`** — його виставляє Kustomize за полем **`namespace:`** у kustomization.
+
+- **Коли `metadata.namespace` обов’язковий:** YAML під **`k8s`**, який **ніде** не перелічений у згаданих полях жодного kustomization-файлу, має містити **непорожній** **`metadata.namespace`** у кожному документі з **`apiVersion`** та **`kind`**, **окрім** кластерних ресурсів (наприклад **`Namespace`**, **`ClusterRole`**, **`PersistentVolume`** — повний перелік у **`check-k8s.mjs`**, **`CLUSTER_SCOPED_KINDS`**). Якщо файл має бути без namespace у маніфесті — підключи його до kustomization через **`resources`** / **`patches`** тощо.
 
 - **Не додавай** окремі **patches** Kustomize, які лише змінюють **namespace**: **namespace** визначає Kustomize; у overlays додаткові зміни — без дублювання логіки **namespace**.
 
@@ -176,28 +159,15 @@ resources: {}
 
    Для `$schema` у першому рядку див. приклад **HealthCheckPolicy** у тому ж розділі (datree CRDs-catalog).
 
-3. **Overlay `ru`:** у **`ru/kustomization.yaml`** (шлях з сегментами **`…/ru/kustomization.yaml`** під **`k8s`**) додай **видалення** ресурсу HealthCheckPolicy для середовища, де політика не потрібна (підстав **реальне ім’я** замість `SERVICE_NAME`):
-
-   ```yaml
-   patches:
-     - target:
-         kind: HealthCheckPolicy
-       patch: |-
-         kind: HealthCheckPolicy
-         metadata:
-           name: SERVICE_NAME
-         $patch: delete
-   ```
-
    За потреби розшир **`target`** (`name`, `namespace`), щоб однозначно вказати об’єкт.
 
-**`check k8s`:** заборонено **`kind: Ingress`**; якщо в проєкті є **`kind: HealthCheckPolicy`**, має існувати хоча б один **`ru/kustomization.yaml`** під **`k8s`** із блоком видалення (**`$patch: delete`** для **HealthCheckPolicy**).
+**`check k8s`:** заборонено **`kind: Ingress`**.
 
 ## Перевірка
 
-**`npx @nitra/cursor check k8s`** — узгодженість першого рядка (`$schema`), один рядок `# yaml-language-server` на файл, правило для `.yml`, відповідність URL першому YAML-документу (до `---`) за логікою нижче; для кожного документа **`Deployment`** — **`containers[].resources`**, **`imagePullPolicy: Always`**; заборона **`kind: Ingress`**; наявність **`HealthCheckPolicy`** — вимога до **`ru/kustomization.yaml`** з **`$patch: delete`** (див. **Ingress → Gateway API**); заборона шляхів **`…/k8s/dev/…`**; якщо існує **`k8s/base/kustomization.yaml`** (або **`.yml`**) — непорожній **`namespace`** у першому документі. Якщо під `k8s` немає yaml/yml — перевірку пропущено. Інший зміст маніфесту — вручну / **`lint-k8s`**.
+**`npx @nitra/cursor check k8s`** — критерії збігаються з розділом **«Що закодовано в `check-k8s.mjs`»** і з **«Визначення схеми YAML»** вище. Якщо під `k8s` немає `*.yaml` — перевірку пропущено. Інший зміст маніфесту — вручну / **`lint-k8s`**.
 
-Після змін у маніфестах: **`bun run lint-k8s`** (kubeconform + kubescape; обов'язково для проєктів з правилом **`k8s`** у **`.n-cursor.json`**).
+Після змін у маніфестах: **`bun run lint-k8s`** (kubeconform + kubescape).
 
 ## Що закодовано в `check-k8s.mjs`
 
@@ -206,25 +176,24 @@ resources: {}
 - Обхід з пропуском `node_modules`, `.git`, `dist`, `coverage`, `.turbo`, `.next`.
 - **`file:`** у `$schema` — URL до apiVersion/kind не звіряється; **`https:`** — kustomization за іменем файлу → Schema Store; далі перевіряється **`EXPLICIT_K8S_SCHEMAS`** (`Map`: `apiVersion` + `kind` + `type`, для записів без `type` у маніфесті — третій компонент **`*`**); потім `v1` → yannh; група з `YANNH_GROUPS` → yannh; інакше → datree (GitHub Pages), крім рядків явної таблиці (наприклад **InfisicalSecret** — raw на `main`).
 - У кожному YAML-документі з **`kind: Deployment`** — парсинг через **`yaml`**: у кожного елемента **`spec.template.spec.containers[]`** має існувати ключ **`resources`** зі значенням-об'єктом (допускається порожній **`{}`**); у кожного контейнера — **`imagePullPolicy: Always`**.
-- У файлах, ім’я яких **не** `kustomization.yaml`.
+- **Namespace у маніфестах (не ім’я `kustomization`):** ресурсні YAML у **`…/k8s/base/`** — **завжди** непорожній **`metadata.namespace`**. Інакше будується множина шляхів, досяжних з **`kustomization.yaml`** через **`resources`**, **`bases`**, **`components`**, **`crds`**, **`patches[].path`**, **`patchesStrategicMerge`**, з рекурсією в каталоги з дочірнім **`kustomization.yaml`**: для таких файлів **поза** **`k8s/base`** — **заборона** **`metadata.namespace`**; для файлів поза **`k8s/base`** і поза множиною — **вимога** непорожнього **`metadata.namespace`** (крім **`CLUSTER_SCOPED_KINDS`**).
 - Документи з **`kind: Ingress`** — заборонені (потрібен перехід на Gateway API, див. розділ **Ingress → Gateway API**).
-- Якщо в будь-якому файлі під **`k8s`** є **`kind: HealthCheckPolicy`**, серед файлів має бути **`ru/kustomization.yaml`** (сегмент шляху **`ru`** перед іменем файлу), а його вміст — patch видалення **HealthCheckPolicy** з **`$patch: delete`** (див. той самий розділ).
 - Заборона шляхів **`…/k8s/dev/…`** (окремої директорії **`dev`** під **`k8s`** не має бути).
-- Якщо існує **`k8s/base/kustomization.yaml`** (або **`.yml`**), у першому документі має бути непорожнє поле **`namespace`** (типово **`dev`**; див. розділ **Namespace**).
+- Якщо в дереві є **`k8s/base/kustomization.yaml`**, у першому документі **завжди** має бути непорожнє поле **`namespace`** (типово **`dev`**; див. розділ **Namespace**).
 
 ## Коли застосовувати (агентам)
 
 - Зміни в k8s YAML — після правок **`check k8s`**.
 - Якщо перший рядок уже коректний і URL відповідає `apiVersion` / `kind` — не дублюй; змінився ресурс — онови лише `$schema`.
 - У **`Deployment`** без поля **`resources`** у контейнері — додай **`resources: {}`** (див. розділ **Deployment: `resources`**); додай **`imagePullPolicy: Always`** для кожного контейнера.
-- Дотримуйся структури **Kustomize** (`base` = dev, overlays без дублювання `base`, коментарі для рядків, що змінюються в overlay).
+- Дотримуйся структури **Kustomize** (`base` = dev, overlays без дублювання `base`, коментарі для рядків, що змінюються в overlay). У **`base/kustomization.yaml`** завжди задавай непорожній **`namespace:`**. У **`k8s/base`** у кожному ресурсному YAML має бути явний **`metadata.namespace`**. Поза **base**, якщо не хочеш **`metadata.namespace`** у файлі — підключи його до kustomization (**`resources`** / **`patches`** тощо); інакше додай явний **`metadata.namespace`**.
 - Після міграції на нову структуру **видали** застарілі файли та каталоги, які вже замінені (див. **Міграція зі старої структури**).
 
 ## Визначення схеми YAML (канон)
 
 Орієнтир — **перший документ** (до наступного `---`).
 
-1. **Ім’я** `kustomization.yaml` або `kustomization.yml` → `https://json.schemastore.org/kustomization.json`.
+1. **Ім’я** `kustomization.yaml` → `https://json.schemastore.org/kustomization.json`.
 2. **`apiVersion: v1`** → yannh, PIN набору схем **`v1.33.9-standalone-strict`**, ref репозиторію для raw URL — **`master`** (каталог версії не є коренем репо на GitHub):
    `https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/<PIN>/<kind>-v1.json`
    `<kind>`: літери в нижньому регістрі без роздільників між CamelCase (наприклад `Service` → `service`).

package/mdc/style-lint.mdc

@@ -1,17 +1,17 @@
 ---
 description: Правила стилів CSS та SCSS
 alwaysApply: true
-version: '1.1'
+version: '1.2'
 ---
 
 ## Генерація та редагування стилів (Cursor і інші агенти)
 
 - **Джерело правил:** перед тим як писати або суттєво змінювати **`.css`**, **`.scss`** або стилі в **`.vue`**, переглянь у корені проєкту (і в релевантних пакетах монорепо, якщо є) поле **`stylelint`** у **`package.json`** (зокрема `extends`), наявні **`.stylelintrc.*`**, **`stylelint.config.*`** та **`.stylelintignore`**. Не покладайся на «типові» правила stylelint з пам’яті — дотримуйся **проєктного** **`@nitra/stylelint-config`** і будь-яких локальних доповнень у репозиторії.
 - **Форматування** узгоджуй з **`n-js-format.mdc`** (oxfmt / `.oxfmtrc.json` для css, scss тощо), щоб форматер і stylelint не суперечили один одному.
-- **Після змін:** запускай **`bun run lint-style`** (або `bunx stylelint` з тими ж glob-ами та прапорцями, що в скрипті та CI) і виправляй усе, що лишилось після auto-fix. За потреби пройдись повним набором `lint-*` з `package.json` (див. навичку **`n-fix`**).
-- **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** / вузькі придушення правил без потреби; краще змінити стилі під правила проєкту.
+- **Запуск stylelint:** лише **`npx stylelint`** (у **`lint-style`**, у CI, вручну). Не використовуй **`bunx stylelint`** і не запускай **stylelint** напряму без **`npx`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний набір `lint-*` (навичка **`n-fix`**).
+- **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** без потреби; краще підлаштувати стилі під правила проєкту.
 
-В файлі .vscode/extensions.json є налаштування для офіційного плагіну:
+**VSCode:** у **`.vscode/extensions.json`** рекомендуй **`stylelint.vscode-stylelint`**. У **`.vscode/settings.json`** вимкни вбудовану валідацію CSS/SCSS/Less і увімкни явні code actions:
 
 ```json title=".vscode/extensions.json"
 {
@@ -19,8 +19,6 @@ version: '1.1'
 }
 ```
 
-в файлі .vscode/settings.json є налаштування для stylelint:
-
 ```json title=".vscode/settings.json"
 {
   "css.validate": false,
@@ -32,11 +30,11 @@ version: '1.1'
 }
 ```
 
-в файлі package.json є налаштування для stylelint:
+**`package.json`:**
 
 ```json title="package.json"
   "scripts": {
-    "lint-style": "stylelint '**/*.{css,scss,vue}' --fix",
+    "lint-style": "npx stylelint '**/*.{css,scss,vue}' --fix",
   },
   "devDependencies": {
     "@nitra/stylelint-config": "^1.4.0"
@@ -46,9 +44,9 @@ version: '1.1'
   },
 ```
 
-Є гітхаб actions .github/workflows/lint-style.yml:
+Додай **`.github/workflows/lint-style.yml`** (лише **`.yml`**, **`ga.mdc`**): після **`checkout`** — локальний composite **`setup-bun-deps`**, далі **`bun run lint-style`** (у скрипті вже **`npx stylelint`**). **Не** дублюй окремі кроки **`setup-node`** / **`oven-sh/setup-bun`** / кеш / **`npm install`**.
 
-```yaml
+```yaml title=".github/workflows/lint-style.yml"
 name: StyleLint
 
 on:
@@ -77,23 +75,20 @@ concurrency:
 jobs:
   stylelint:
     runs-on: ubuntu-latest
+    permissions:
+      contents: read
     steps:
       - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
 
       - name: StyleLint
-        run: |
-          node - <<'NODE'
-          const fs = require('fs')
-          const data = JSON.parse(fs.readFileSync('package.json', 'utf8'))
-          delete data.workspaces
-          data.devDependencies = {}
-          fs.writeFileSync('package.json', JSON.stringify(data, null, 2) + '\n')
-          NODE
-          npm install @nitra/stylelint-config
-          npx stylelint '**/*.{css,scss,vue}'
+        run: bun run lint-style
 ```
 
-В корені проекту має бути файл .stylelintignore з виключенням:
+У корені проєкту має бути **`.stylelintignore`**:
 
 ```text title=".stylelintignore"
 dist/

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.41",
+  "version": "1.8.55",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -20,7 +20,8 @@
     "url": "git+https://github.com/n/cursor.git"
   },
   "bin": {
-    "n-cursor": "./bin/n-cursor.js"
+    "n-cursor": "./bin/n-cursor.js",
+    "n-rename-yaml-extensions": "./bin/rename-yaml-extensions.mjs"
   },
   "files": [
     "mdc",
@@ -33,7 +34,8 @@
   ],
   "type": "module",
   "scripts": {
-    "test": "bun test tests"
+    "test": "bun test tests",
+    "rename-yaml-extensions": "bun ./bin/rename-yaml-extensions.mjs"
   },
   "dependencies": {
     "oxc-parser": "^0.124.0",

package/scripts/check-k8s.mjs

@@ -2,29 +2,33 @@
  * Перевіряє Kubernetes YAML у шляхах з сегментом `k8s` (див. k8s.mdc).
  *
  * Перший рядок `# yaml-language-server: $schema=…`, без дублікатів, розширення `.yaml`
- * (окрім `kustomization.yml`); URL схеми за першим документом — kustomization / yannh / datree
+ * (окрім `kustomization.yaml`); URL схеми за першим документом — kustomization / yannh / datree
  * (datree за замовчуванням: GitHub Pages `https://datreeio.github.io/CRDs-catalog/…`).
  *
  * Додатково: у кожному YAML-документі з **`kind: Deployment`** у кожного контейнера
  * **`spec.template.spec.containers[]`** має бути ключ **`resources`** (значення — об'єкт, допускається
  * порожній **`{}`**) та **`imagePullPolicy: Always`**.
  *
- * У файлах **не** `kustomization.yaml` / `kustomization.yml` у документах не має бути **`metadata.namespace`**
- * (namespace лише в Kustomize).
+ * **Namespace і Kustomize:** YAML у **`…/k8s/base/`** (окрім імені **`kustomization.yaml`**)
+ * завжди має **непорожній** **`metadata.namespace`** у відповідних документах (узгоджено з dev у репозиторії),
+ * навіть якщо **`namespace:`** заданий у **`base/kustomization.yaml`**.
+ * Поза **`k8s/base`**: для файлів, досяжних з kustomization через **`resources`**, **`bases`**, **`components`**,
+ * **`crds`**, **`patches[].path`**, **`patchesStrategicMerge`**, **`metadata.namespace`** у маніфесті **не** додають;
+ * файли **поза** цим графом — **непорожній** **`metadata.namespace`** (крім **кластерних** kind; див. k8s.mdc).
  *
- * **`kind: Ingress`** заборонено (потрібен перехід на Gateway API). Якщо є **`HealthCheckPolicy`**,
- * має існувати **`ru/kustomization.yaml`** з patch видалення цього kind (`$patch: delete`).
+ * **`kind: Ingress`** заборонено (потрібен перехід на Gateway API).
  *
- * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; якщо є **`…/k8s/base/kustomization.yaml`**
- * (або **`.yml`**), у першому документі має бути непорожнє поле **`namespace`**.
+ * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; у **`k8s/base/kustomization.yaml`**
+ * завжди має бути непорожнє поле **`namespace:`** (перевірка, якщо файл існує).
  *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
  * компонент). Спочатку шукається збіг за фактичним `type`, потім за **`*`**.
  * Dockerfile — правило docker.mdc, скрипт check-docker.mjs.
  */
-import { readFile } from 'node:fs/promises'
-import { basename, relative } from 'node:path'
+import { existsSync } from 'node:fs'
+import { readFile, stat } from 'node:fs/promises'
+import { basename, dirname, join, relative, resolve } from 'node:path'
 
 import { parseAllDocuments } from 'yaml'
 
@@ -164,34 +168,218 @@ export function isForbiddenK8sDevPath(rel) {
 }
 
 /**
- * Чи це **`k8s/base/kustomization.yaml`** або **`kustomization.yml`** (перевірка поля **`namespace`**).
+ * Відносний шлях від кореня репозиторію у вигляді з `/` (для множини kustomize).
+ * @param {string} root корінь cwd
+ * @param {string} abs абсолютний шлях
+ * @returns {string | null} posix-відносний шлях або null, якщо поза root
+ */
+function posixRelFromAbs(root, abs) {
+  const r = (relative(root, abs) || abs).replaceAll('\\', '/')
+  if (r.startsWith('..')) return null
+  return r
+}
+
+/**
+ * Вбудовані та поширені **кластерні** `kind`, для яких **`metadata.namespace`** не застосовується.
+ * CRD з невідомим kind лишаються з вимогою namespace, якщо файл не в kustomization — за потреби додай path у `resources`.
+ * @type {Set<string>}
+ */
+const CLUSTER_SCOPED_KINDS = new Set([
+  'APIService',
+  'CertificateSigningRequest',
+  'ClusterCIDR',
+  'ClusterRole',
+  'ClusterRoleBinding',
+  'ComponentStatus',
+  'CSIDriver',
+  'CSINode',
+  'CustomResourceDefinition',
+  'FlowSchema',
+  'IPAddress',
+  'IngressClass',
+  'MutatingWebhookConfiguration',
+  'Namespace',
+  'Node',
+  'PersistentVolume',
+  'PriorityClass',
+  'PriorityLevelConfiguration',
+  'RuntimeClass',
+  'ServiceCIDR',
+  'StorageClass',
+  'StorageVersionMigration',
+  'ValidatingAdmissionPolicy',
+  'ValidatingAdmissionPolicyBinding',
+  'ValidatingWebhookConfiguration',
+  'VolumeAttachment'
+])
+
+/**
+ * Чи `kind` за замовчуванням **кластерний** (без namespace у маніфесті).
+ * @param {string} kind значення `kind`
+ * @returns {boolean} true для кластерних built-in / поширених API
+ */
+export function isClusterScopedKubernetesKind(kind) {
+  return typeof kind === 'string' && kind !== '' && CLUSTER_SCOPED_KINDS.has(kind)
+}
+
+/**
+ * Додає рядки шляхів з поля-масиву kustomization.
+ * @param {unknown} arr значення з YAML
+ * @param {string[]} acc накопичувач
+ */
+function pushStringPaths(arr, acc) {
+  if (!Array.isArray(arr)) return
+  for (const item of arr) {
+    if (typeof item === 'string' && item.trim() !== '') acc.push(item.trim())
+  }
+}
+
+/**
+ * Шляхи з полів Kustomization для resolve відносно каталогу **`kustomization.yaml`**.
+ * @param {unknown} obj корінь першого документа Kustomization
+ * @returns {string[]} відносні або абсолютні посилання з маніфесту
+ */
+function pathsFromKustomizationObject(obj) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) return []
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  /** @type {string[]} */
+  const out = []
+  pushStringPaths(rec.resources, out)
+  pushStringPaths(rec.bases, out)
+  pushStringPaths(rec.components, out)
+  pushStringPaths(rec.crds, out)
+  pushStringPaths(rec.patchesStrategicMerge, out)
+  const patches = rec.patches
+  if (Array.isArray(patches)) {
+    for (const p of patches) {
+      if (
+        p !== null &&
+        typeof p === 'object' &&
+        !Array.isArray(p) &&
+        typeof p.path === 'string' &&
+        p.path.trim() !== ''
+      ) {
+        out.push(p.path.trim())
+      }
+    }
+  }
+  return out
+}
+
+/**
+ * Збирає відносні шляхи (posix) до YAML, підключених до Kustomize з будь-якого **`kustomization.yaml`** під `k8s`.
+ * Обходить **`resources`**, **`bases`**, **`components`**, **`crds`**, **`patches[].path`**, **`patchesStrategicMerge`**;
+ * для каталогу з **`kustomization.yaml`** виконує рекурсивний обхід.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs відсортовані абсолютні шляхи до `*.yaml` / `*.yml` під k8s (для `.yml` check-k8s вимагає перейменувати на `.yaml`)
+ * @returns {Promise<Set<string>>} множина відносних шляхів до керованих файлів
+ */
+export async function collectKustomizeManagedRelPaths(root, yamlFilesAbs) {
+  /** @type {Set<string>} */
+  const managed = new Set()
+  const kustomizationAbsList = yamlFilesAbs.filter(abs => {
+    const b = basename(abs).toLowerCase()
+    return b === 'kustomization.yaml'
+  })
+
+  /** @type {Set<string>} */
+  const visitedKustomization = new Set()
+
+  /**
+   * @param {string} kustAbs абсолютний шлях до kustomization.yaml
+   * @returns {Promise<void>}
+   */
+  async function walkKustomization(kustAbs) {
+    const normKust = resolve(kustAbs)
+    if (visitedKustomization.has(normKust)) return
+    visitedKustomization.add(normKust)
+
+    let raw
+    try {
+      raw = await readFile(normKust, 'utf8')
+    } catch {
+      return
+    }
+    const lines = toLines(raw)
+    const body = yamlBodyAfterModeline(lines)
+
+    /** @type {import('yaml').Document[] | undefined} */
+    let docs
+    try {
+      docs = parseAllDocuments(body)
+    } catch {
+      return
+    }
+    const first = docs[0]?.toJSON()
+    if (first === null || first === undefined || typeof first !== 'object' || Array.isArray(first)) return
+
+    const kustDir = dirname(normKust)
+    const pathRefs = pathsFromKustomizationObject(first)
+
+    for (const ref of pathRefs) {
+      if (!ref.includes('://')) {
+        const resolved = resolve(kustDir, ref)
+        let st
+        try {
+          st = await stat(resolved)
+        } catch {
+          st = undefined
+        }
+        if (st) {
+          if (st.isFile()) {
+            if (/\.ya?ml$/iu.test(resolved)) {
+              const pr = posixRelFromAbs(root, resolved)
+              if (pr !== null) managed.add(pr)
+            }
+          } else if (st.isDirectory()) {
+            const childK = existsSync(join(resolved, 'kustomization.yaml'))
+              ? join(resolved, 'kustomization.yaml')
+              : null
+            if (childK !== null) {
+              await walkKustomization(childK)
+            }
+          }
+        }
+      }
+    }
+  }
+
+  for (const k of kustomizationAbsList) {
+    await walkKustomization(k)
+  }
+
+  return managed
+}
+
+/**
+ * Чи це **`k8s/base/kustomization.yaml`** (перевірка обов’язкового непорожнього **`namespace:`**).
  * @param {string} rel шлях від кореня репозиторію
- * @returns {boolean} true, якщо це `…/k8s/base/kustomization.yaml` або `…/k8s/base/kustomization.yml`
+ * @returns {boolean} true для шляху виду `…/k8s/base/kustomization.yaml`
  */
 export function isBaseKustomizationPath(rel) {
   const n = rel.replaceAll('\\', '/')
-  return /(^|\/)k8s\/base\/kustomization\.yaml$/u.test(n) || /(^|\/)k8s\/base\/kustomization\.yml$/u.test(n)
+  return /(^|\/)k8s\/base\/kustomization\.yaml$/u.test(n)
 }
 
 /**
- * Чи коректне поле **`namespace`** у розібраному Kustomization для **`base`**.
+ * Чи є в Kustomization для **`base`** завжди обов’язкове непорожнє поле **`namespace:`** (k8s.mdc).
  * @param {unknown} obj перший документ YAML
  * @returns {string | null} текст порушення або null, якщо ок
  */
 export function baseKustomizationNamespaceViolation(obj) {
   if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
-    return 'у base/kustomization.yaml має бути непорожній namespace (див. k8s.mdc)'
+    return 'у base/kustomization.yaml завжди має бути непорожній namespace: (див. k8s.mdc)'
   }
   const rec = /** @type {Record<string, unknown>} */ (obj)
   const ns = rec.namespace
   if (typeof ns === 'string' && ns.trim() !== '') {
     return null
   }
-  return 'у base/kustomization.yaml має бути непорожній namespace (наприклад namespace: dev; див. k8s.mdc)'
+  return 'у base/kustomization.yaml завжди додай непорожній namespace: (наприклад namespace: dev; див. k8s.mdc)'
 }
 
 /**
- * Збирає всі yaml/yml під деревом від кореня cwd, якщо шлях містить сегмент `k8s`.
+ * Збирає всі `*.yaml` та `*.yml` під деревом від кореня cwd, якщо шлях містить сегмент `k8s` (для `.yml` далі — помилка перейменування).
  * @param {string} root корінь репозиторію (cwd)
  * @returns {Promise<string[]>} відсортовані абсолютні шляхи до файлів
  */
@@ -276,14 +464,13 @@ export function ruKustomizationHasHealthCheckDeletePatch(raw) {
 }
 
 /**
- * Шукає **Ingress** / **HealthCheckPolicy** у розібраних документах; реєструє порушення для Ingress.
+ * Шукає **Ingress** у розібраних документах; реєструє порушення.
  * @param {string} rel відносний шлях до файлу
  * @param {string} body YAML після modeline
  * @param {(msg: string) => void} fail callback для помилки (Ingress)
- * @param {string[]} healthCheckPolicyFiles накопичувач шляхів, де зустріли HealthCheckPolicy
  * @returns {void}
  */
-function scanIngressAndHealthCheckPolicy(rel, body, fail, healthCheckPolicyFiles) {
+function scanIngressInYamlDocuments(rel, body, fail) {
   /** @type {import('yaml').Document[]} */
   let docs
   try {
@@ -299,56 +486,14 @@ function scanIngressAndHealthCheckPolicy(rel, body, fail, healthCheckPolicyFiles
         const rec = /** @type {Record<string, unknown>} */ (obj)
         if (rec.kind === 'Ingress') {
           fail(
-            `${rel}: знайдено kind: Ingress (документ ${di + 1}) — заміни на Gateway API: HTTPRoute (hr.yaml), HealthCheckPolicy (hc.yaml), patch у ru/kustomization.yaml (див. k8s.mdc)`
+            `${rel}: знайдено kind: Ingress (документ ${di + 1}) — заміни на Gateway API: HTTPRoute (hr.yaml), HealthCheckPolicy (hc.yaml) (див. k8s.mdc)`
           )
-        } else if (rec.kind === 'HealthCheckPolicy' && !healthCheckPolicyFiles.includes(rel)) {
-          healthCheckPolicyFiles.push(rel)
         }
       }
     }
   }
 }
 
-/**
- * Якщо у дереві k8s є HealthCheckPolicy, вимагає **ru/kustomization.yaml** з patch видалення.
- * @param {string} root корінь cwd
- * @param {string[]} yamlFiles абсолютні шляхи до yaml під k8s
- * @param {string[]} healthCheckPolicyFiles відносні шляхи з HealthCheckPolicy
- * @param {(msg: string) => void} fail callback для помилки (немає ru або немає patch)
- * @returns {Promise<void>} завершення після перевірки overlay ru
- */
-async function ensureRuKustomizationHealthCheckDelete(root, yamlFiles, healthCheckPolicyFiles, fail) {
-  if (healthCheckPolicyFiles.length === 0) {
-    return
-  }
-
-  const ruAbsList = yamlFiles.filter(abs => isRuKustomizationPath(relative(root, abs) || abs))
-  if (ruAbsList.length === 0) {
-    fail(
-      `Знайдено HealthCheckPolicy у ${healthCheckPolicyFiles.join(', ')} — додай ru/kustomization.yaml з patch видалення (див. k8s.mdc)`
-    )
-    return
-  }
-
-  for (const abs of ruAbsList) {
-    let raw
-    try {
-      raw = await readFile(abs, 'utf8')
-    } catch (error) {
-      const msg = error instanceof Error ? error.message : String(error)
-      fail(`${relative(root, abs) || abs}: не вдалося прочитати (${msg})`)
-      return
-    }
-    if (ruKustomizationHasHealthCheckDeletePatch(raw)) {
-      return
-    }
-  }
-
-  fail(
-    'Є HealthCheckPolicy, але жоден ru/kustomization.yaml не містить очікуваного patch видалення (kind: HealthCheckPolicy, metadata.name, $patch: delete) — див. k8s.mdc'
-  )
-}
-
 /**
  * Чи порушує маніфест вимогу **`Deployment.spec.template.spec.containers[].resources`** (див. k8s.mdc).
  * @param {unknown} manifest корінь YAML-документа як об'єкт JavaScript
@@ -426,7 +571,7 @@ export function deploymentImagePullPolicyViolation(manifest) {
 }
 
 /**
- * У маніфестах ресурсів не має бути **metadata.namespace** — лише у **kustomization** (k8s.mdc).
+ * Для маніфестів, **підключених** до Kustomize (шлях у `resources` / `patches` / …), **metadata.namespace** не додають.
  * @param {unknown} manifest корінь YAML-документа
  * @returns {string | null} текст порушення або null, якщо поля немає
  */
@@ -436,7 +581,37 @@ export function metadataNamespaceForbiddenViolation(manifest) {
   const rec = /** @type {Record<string, unknown>} */ (manifest)
   const meta = rec.metadata
   if (meta !== null && typeof meta === 'object' && !Array.isArray(meta) && 'namespace' in meta) {
-    return 'metadata.namespace заборонено — задай namespace у kustomization.yaml (поле namespace) (див. k8s.mdc)'
+    return 'metadata.namespace заборонено — namespace задає kustomization.yaml (поле namespace); файл підключено через resources / patches / … (див. k8s.mdc)'
+  }
+  return null
+}
+
+/**
+ * Вимагає непорожній **metadata.namespace** для namespaced-документів (крім кластерних kind).
+ * @param {unknown} manifest корінь YAML-документа
+ * @param {boolean} [inBaseDir] true — файл у **`k8s/base/`** (текст повідомлення для base)
+ * @returns {string | null} текст порушення або null, якщо перевірка не застосовується / ок
+ */
+export function metadataNamespaceRequiredViolation(manifest, inBaseDir = false) {
+  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
+    return null
+  const rec = /** @type {Record<string, unknown>} */ (manifest)
+  if (rec.kind === 'List' || rec.kind === 'Kustomization') return null
+  if (typeof rec.kind !== 'string' || rec.kind === '') return null
+  if (typeof rec.apiVersion !== 'string' || rec.apiVersion === '') return null
+  if (isClusterScopedKubernetesKind(rec.kind)) return null
+  const meta = rec.metadata
+  if (meta === null || meta === undefined || typeof meta !== 'object' || Array.isArray(meta)) {
+    return inBaseDir
+      ? 'додай metadata з непорожнім metadata.namespace — у k8s/base у кожному ресурсному YAML має бути явний namespace (див. k8s.mdc)'
+      : 'додай metadata з непорожнім metadata.namespace — файл не підключено до жодного kustomization.yaml (resources, patches, …) під k8s (див. k8s.mdc)'
+  }
+  const m = /** @type {Record<string, unknown>} */ (meta)
+  const ns = m.namespace
+  if (typeof ns !== 'string' || ns.trim() === '') {
+    return inBaseDir
+      ? 'metadata.namespace обов’язковий у k8s/base — додай явний namespace у маніфесті (див. k8s.mdc)'
+      : 'metadata.namespace обов’язковий — файл не перелічений у kustomization.yaml під k8s; додай path у kustomization або явний namespace (див. k8s.mdc)'
   }
   return null
 }
@@ -444,10 +619,22 @@ export function metadataNamespaceForbiddenViolation(manifest) {
 /**
  * Чи ім’я файлу — kustomization (дозволяє не застосовувати перевірку metadata.namespace до вмісту).
  * @param {string} baseLower basename у нижньому регістрі
- * @returns {boolean} true для `kustomization.yaml` / `kustomization.yml`
+ * @returns {boolean} true для `kustomization.yaml`
  */
 function isKustomizationFileName(baseLower) {
-  return baseLower === 'kustomization.yaml' || baseLower === 'kustomization.yml'
+  return baseLower === 'kustomization.yaml'
+}
+
+/**
+ * Чи це **ресурсний** YAML у каталозі **`k8s/base`** (не `kustomization.yaml`).
+ * @param {string} rel відносний шлях від кореня репозиторію
+ * @param {string} baseLower basename у нижньому регістрі
+ * @returns {boolean} true для `…/k8s/base/*.yaml` окрім kustomization
+ */
+export function isK8sBaseManifestYamlPath(rel, baseLower) {
+  if (isKustomizationFileName(baseLower)) return false
+  const n = rel.replaceAll('\\', '/')
+  return /(^|\/)k8s\/base\//u.test(n)
 }
 
 /**
@@ -456,8 +643,9 @@ function isKustomizationFileName(baseLower) {
  * @param {string} baseLower basename файлу (нижній регістр)
  * @param {string} body вміст після modeline
  * @param {(msg: string) => void} fail реєстрація помилки
+ * @param {boolean} kustomizeManaged чи файл досяжний з kustomization.yaml (resources / patches / …)
  */
-function validateK8sYamlPolicyDocuments(rel, baseLower, body, fail) {
+function validateK8sYamlPolicyDocuments(rel, baseLower, body, fail, kustomizeManaged) {
   /** @type {import('yaml').Document[]} */
   let docs
   try {
@@ -469,6 +657,7 @@ function validateK8sYamlPolicyDocuments(rel, baseLower, body, fail) {
   }
 
   const skipMetaNs = isKustomizationFileName(baseLower)
+  const inBaseManifest = isK8sBaseManifestYamlPath(rel, baseLower)
 
   for (const [di, doc] of docs.entries()) {
     if (doc.errors.length > 0) {
@@ -476,9 +665,21 @@ function validateK8sYamlPolicyDocuments(rel, baseLower, body, fail) {
     } else {
       const obj = doc.toJSON()
       if (!skipMetaNs) {
-        const ns = metadataNamespaceForbiddenViolation(obj)
-        if (ns !== null) {
-          fail(`${rel}: документ ${di + 1}: ${ns}`)
+        if (inBaseManifest) {
+          const req = metadataNamespaceRequiredViolation(obj, true)
+          if (req !== null) {
+            fail(`${rel}: документ ${di + 1}: ${req}`)
+          }
+        } else if (kustomizeManaged) {
+          const ns = metadataNamespaceForbiddenViolation(obj)
+          if (ns !== null) {
+            fail(`${rel}: документ ${di + 1}: ${ns}`)
+          }
+        } else {
+          const req = metadataNamespaceRequiredViolation(obj, false)
+          if (req !== null) {
+            fail(`${rel}: документ ${di + 1}: ${req}`)
+          }
         }
       }
       const resV = deploymentResourcesViolation(obj)
@@ -512,7 +713,7 @@ export function expectedSchemaUrl(filePath, doc) {
   const base = basename(filePath)
   const baseLower = base.toLowerCase()
 
-  if (baseLower === 'kustomization.yaml' || baseLower === 'kustomization.yml') {
+  if (baseLower === 'kustomization.yaml') {
     return { expected: KUSTOMIZATION_SCHEMA, reason: 'kustomization (ім’я файлу)' }
   }
 
@@ -574,15 +775,15 @@ function countSchemaModelines(lines) {
  * @param {string} root корінь репозиторію
  * @param {(msg: string) => void} fail реєстрація помилки
  * @param {(msg: string) => void} pass реєстрація успіху
- * @param {string[]} healthCheckPolicyFiles накопичувач файлів із kind: HealthCheckPolicy
+ * @param {Set<string>} kustomizeManagedRel відносні posix-шляхи з collectKustomizeManagedRelPaths
  * @returns {Promise<void>}
  */
-async function checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles) {
-  const rel = relative(root, abs) || abs
+async function checkK8sYamlFile(abs, root, fail, pass, kustomizeManagedRel) {
+  const rel = (relative(root, abs) || abs).replaceAll('\\', '/')
   const base = basename(abs)
   const baseLower = base.toLowerCase()
 
-  if (baseLower.endsWith('.yml') && baseLower !== 'kustomization.yml') {
+  if (baseLower.endsWith('.yml')) {
     fail(`${rel}: розширення .yml — перейменуй на .yaml (див. k8s.mdc)`)
     return
   }
@@ -615,7 +816,7 @@ async function checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles) {
 
   const body = yamlBodyAfterModeline(lines)
 
-  scanIngressAndHealthCheckPolicy(rel, body, fail, healthCheckPolicyFiles)
+  scanIngressInYamlDocuments(rel, body, fail)
 
   if (schemaUrl.startsWith('file:')) {
     pass(`${rel}: локальна схема (file:) — перевірка URL за apiVersion/kind пропущена`)
@@ -639,7 +840,8 @@ async function checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles) {
     return
   }
 
-  validateK8sYamlPolicyDocuments(rel, baseLower, body, fail)
+  const kustomizeManaged = kustomizeManagedRel.has(rel)
+  validateK8sYamlPolicyDocuments(rel, baseLower, body, fail, kustomizeManaged)
 }
 
 /**
@@ -659,7 +861,7 @@ function assertNoForbiddenK8sDevPaths(yamlFiles, root, fail) {
 }
 
 /**
- * Якщо є **`k8s/base/kustomization.yaml`**, у ньому має бути непорожній **`namespace`**.
+ * Якщо є **`k8s/base/kustomization.yaml`**, у ньому **завжди** має бути непорожній **`namespace:`**.
  * @param {string} root корінь репозиторію
  * @param {string[]} yamlFiles абсолютні шляхи
  * @param {(msg: string) => void} fail callback для реєстрації порушення
@@ -710,7 +912,7 @@ export async function check() {
   const yamlFiles = await findK8sYamlFiles(root)
 
   if (yamlFiles.length === 0) {
-    pass('Немає yaml/yml під k8s — перевірку $schema пропущено')
+    pass('Немає *.yaml під k8s — перевірку $schema пропущено')
     return 0
   }
 
@@ -718,15 +920,12 @@ export async function check() {
 
   assertNoForbiddenK8sDevPaths(yamlFiles, root, fail)
 
-  /** @type {string[]} */
-  const healthCheckPolicyFiles = []
+  const kustomizeManagedRel = await collectKustomizeManagedRelPaths(root, yamlFiles)
 
   for (const abs of yamlFiles) {
-    await checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles)
+    await checkK8sYamlFile(abs, root, fail, pass, kustomizeManagedRel)
   }
 
-  await ensureRuKustomizationHealthCheckDelete(root, yamlFiles, healthCheckPolicyFiles, fail)
-
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
 
   return exitCode

package/scripts/check-style-lint.mjs

@@ -1,8 +1,9 @@
 /**
  * Перевіряє CSS/SCSS лінт за правилом style-lint.mdc.
  *
- * `@nitra/stylelint-config`, скрипт `lint-style`, `.stylelintignore`, workflow `lint-style.yml`,
- * VSCode stylelint і вимкнена вбудована CSS-валідація.
+ * Очікування: `@nitra/stylelint-config`, `lint-style` через `npx stylelint`, `.stylelintignore`,
+ * workflow `lint-style.yml` (у `run` — `npx stylelint` або `bun run lint-style`), VSCode stylelint,
+ * `css.validate` / `scss.validate` / `less.validate`: false.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -24,8 +25,14 @@ export async function check() {
   if (existsSync('package.json')) {
     const pkg = JSON.parse(await readFile('package.json', 'utf8'))
 
-    if (pkg.scripts?.['lint-style']) {
+    const lintStyle = pkg.scripts?.['lint-style']
+    if (lintStyle) {
       pass('package.json містить скрипт lint-style')
+      if (String(lintStyle).includes('npx stylelint')) {
+        pass('lint-style викликає stylelint через npx')
+      } else {
+        fail("lint-style має викликати stylelint через npx — наприклад: npx stylelint '**/*.{css,scss,vue}' --fix")
+      }
     } else {
       fail('package.json не містить скрипт "lint-style"')
     }
@@ -56,11 +63,13 @@ export async function check() {
     const content = await readFile('.github/workflows/lint-style.yml', 'utf8')
     pass('lint-style.yml існує')
     const root = parseWorkflowYaml(content)
-    const ok = root ? anyRunStepIncludesStylelint(root) : content.includes('stylelint')
+    const ok = root
+      ? anyRunStepIncludesStylelint(root)
+      : content.includes('npx stylelint') || content.includes('bun run lint-style')
     if (ok) {
-      pass('lint-style.yml містить stylelint у кроці run')
+      pass('lint-style.yml містить npx stylelint або bun run lint-style у кроці run')
     } else {
-      fail('lint-style.yml не містить виклик stylelint')
+      fail('lint-style.yml має містити npx stylelint або bun run lint-style у кроці run')
     }
   } else {
     fail('.github/workflows/lint-style.yml не існує — створи його')
@@ -89,6 +98,11 @@ export async function check() {
     } else {
       fail('settings.json: scss.validate має бути false')
     }
+    if (s['less.validate'] === false) {
+      pass('less.validate вимкнено')
+    } else {
+      fail('settings.json: less.validate має бути false')
+    }
   }
 
   return exitCode

package/scripts/rename-yaml-extensions.mjs

@@ -0,0 +1,159 @@
+/**
+ * Перейменовує розширення YAML за домовленістю репозиторію (k8s.mdc, ga.mdc). Лише логіка; **CLI** — **`bin/rename-yaml-extensions.mjs`**
+ * та підкоманда **`npx \@nitra/cursor rename-yaml-extensions`**.
+ *
+ * - Файли з сегментом шляху `k8s` та суфіксом `.yml` → `.yaml` (маніфести під k8s).
+ * - Файли з сегментом `.github` та суфіксом `.yaml` → `.yml` (workflows тощо; у workflows лише `.yml`).
+ *
+ * Обхід з пропуском `node_modules`, `.git`, `dist`, `coverage`, `.turbo`, `.next` — як у **`walkDir`**.
+ *
+ * Розбір аргументів для CLI: **`parseRenameYamlArgs`** (`--dry-run`, `--root=…`).
+ */
+import { existsSync } from 'node:fs'
+import { rename } from 'node:fs/promises'
+import { cwd } from 'node:process'
+import { relative, resolve } from 'node:path'
+
+import { walkDir } from './utils/walkDir.mjs'
+
+/**
+ * Відносний шлях від кореня з `/`; `null`, якщо поза root.
+ * @param {string} rootAbs абсолютний корінь
+ * @param {string} fileAbs абсолютний шлях до файлу
+ * @returns {string | null} відносний шлях з `/` або null, якщо fileAbs поза rootAbs
+ */
+export function posixRelFromRoot(rootAbs, fileAbs) {
+  const r = (relative(rootAbs, resolve(fileAbs)) || fileAbs).replaceAll('\\', '/')
+  if (r.startsWith('..')) return null
+  return r
+}
+
+/**
+ * Чи шлях підходить під k8s-маніфести: є сегмент `k8s`, суфікс `.yml` (регістр розширення ігнорується).
+ * @param {string} relPosix відносний шлях
+ * @returns {boolean} true, якщо є сегмент k8s і суфікс .yml
+ */
+export function pathMatchesK8sYml(relPosix) {
+  if (!/\.yml$/iu.test(relPosix)) return false
+  return relPosix.split('/').includes('k8s')
+}
+
+/**
+ * Чи шлях підходить під `.github`: є сегмент `.github`, суфікс `.yaml` (регістр розширення ігнорується).
+ * @param {string} relPosix відносний шлях
+ * @returns {boolean} true, якщо є сегмент .github і суфікс .yaml
+ */
+export function pathMatchesGithubYaml(relPosix) {
+  if (!/\.yaml$/iu.test(relPosix)) return false
+  return relPosix.split('/').includes('.github')
+}
+
+/**
+ * Замінює останнє розширення файлу на **newExt** (з крапкою, наприклад **`.yaml`**).
+ * @param {string} relPosix відносний шлях
+ * @param {string} newExt нове розширення
+ * @returns {string} шлях з останнім розширенням, заміненим на newExt
+ */
+export function replaceExtension(relPosix, newExt) {
+  const m = relPosix.match(/^(.+)(\.[^./\\]+)$/u)
+  if (!m) return relPosix + newExt
+  return m[1] + newExt
+}
+
+/**
+ * Збирає операції перейменування (без виконання).
+ * @param {string} rootAbs абсолютний корінь репозиторію
+ * @returns {Promise<Array<{ kind: 'k8s' | 'github', fromAbs: string, toAbs: string, relFrom: string, relTo: string }>>} відсортовані операції перейменування без запису на диск
+ */
+async function collectRenameOps(rootAbs) {
+  /** @type {Array<{ kind: 'k8s' | 'github', fromAbs: string, toAbs: string, relFrom: string, relTo: string }>} */
+  const ops = []
+
+  await walkDir(rootAbs, fileAbs => {
+    const rel = posixRelFromRoot(rootAbs, fileAbs)
+    if (rel === null) return
+    if (pathMatchesK8sYml(rel)) {
+      const relTo = replaceExtension(rel, '.yaml')
+      if (relTo === rel) return
+      ops.push({
+        kind: 'k8s',
+        fromAbs: resolve(rootAbs, rel),
+        toAbs: resolve(rootAbs, relTo),
+        relFrom: rel,
+        relTo
+      })
+      return
+    }
+    if (pathMatchesGithubYaml(rel)) {
+      const relTo = replaceExtension(rel, '.yml')
+      if (relTo === rel) return
+      ops.push({
+        kind: 'github',
+        fromAbs: resolve(rootAbs, rel),
+        toAbs: resolve(rootAbs, relTo),
+        relFrom: rel,
+        relTo
+      })
+    }
+  })
+
+  ops.sort((a, b) => {
+    const ko = (a.kind === 'k8s' ? 0 : 1) - (b.kind === 'k8s' ? 0 : 1)
+    if (ko !== 0) return ko
+    return a.relFrom.localeCompare(b.relFrom)
+  })
+
+  return ops
+}
+
+/**
+ * Виконує перейменування за правилами k8s / .github.
+ * @param {string} root корінь обходу (відносний або абсолютний)
+ * @param {{ dryRun?: boolean }} [options] опції: лише симуляція без `rename`, якщо dryRun true
+ * @returns {Promise<{ renamed: { relFrom: string, relTo: string }[], errors: string[] }>} списки успішних перейменувань і текстів помилок
+ */
+export async function renameYamlExtensions(root, options = {}) {
+  const dryRun = options.dryRun === true
+  const rootAbs = resolve(root)
+  const ops = await collectRenameOps(rootAbs)
+
+  /** @type { { relFrom: string, relTo: string }[]} */
+  const renamed = []
+  /** @type {string[]} */
+  const errors = []
+
+  for (const op of ops) {
+    if (!existsSync(op.fromAbs)) {
+      errors.push(`${op.relFrom}: файл зник перед перейменуванням`)
+    } else if (existsSync(op.toAbs)) {
+      errors.push(`${op.relFrom} → ${op.relTo}: цільовий файл уже існує, пропущено`)
+    } else if (dryRun) {
+      renamed.push({ relFrom: op.relFrom, relTo: op.relTo })
+    } else {
+      try {
+        await rename(op.fromAbs, op.toAbs)
+        renamed.push({ relFrom: op.relFrom, relTo: op.relTo })
+      } catch (error) {
+        const msg = error instanceof Error ? error.message : String(error)
+        errors.push(`${op.relFrom}: ${msg}`)
+      }
+    }
+  }
+
+  return { renamed, errors }
+}
+
+/**
+ * Розбір CLI: **`--dry-run`**, **`--root=...`**.
+ * @param {string[]} argv зазвичай **`process.argv.slice(2)`**
+ * @returns {{ dryRun: boolean, root: string }} прапор симуляції та абсолютний корінь обходу
+ */
+export function parseRenameYamlArgs(argv) {
+  let dryRun = false
+  let root = cwd()
+  for (const a of argv) {
+    if (a === '--dry-run') dryRun = true
+    else if (a.startsWith('--root=')) root = resolve(a.slice('--root='.length))
+  }
+  return { dryRun, root }
+}

package/scripts/run-k8s.mjs

@@ -1,8 +1,8 @@
 /**
  * Запуск kubeconform та kubescape для каталогів `…/k8s`, де є YAML-маніфести (див. k8s.mdc).
  *
- * Знаходить унікальні корені каталогів із іменем `k8s` за шляхами файлів `*.yaml` / `*.yml`
- * (той самий принцип сегмента `k8s`, що й у check-k8s.mjs). Якщо таких файлів немає — вихід 0
+ * Знаходить унікальні корені каталогів із іменем `k8s` за шляхами файлів **`*.yaml`**
+ * (той самий принцип сегмента `k8s`, що й у check-k8s.mjs; розширення **`.yml`** під `k8s` не використовується). Якщо таких файлів немає — вихід 0
  * без виклику зовнішніх CLI.
  *
  * kubeconform перевіряє маніфести проти OpenAPI-схем Kubernetes; kubescape — сканування на
@@ -52,7 +52,7 @@ export function k8sRootFromFile(absFile) {
 }
 
 /**
- * Унікальні корені `k8s` з yaml/yml під деревом cwd.
+ * Унікальні корені `k8s` за наявності `*.yaml` під деревом cwd.
  * @param {string} root корінь репозиторію
  * @returns {Promise<string[]>} відсортовані абсолютні шляхи до каталогів `k8s`
  */
@@ -61,7 +61,7 @@ export async function findK8sRoots(root) {
   const roots = new Set()
   await walkDir(root, p => {
     if (!pathHasK8sSegment(p)) return
-    if (!/\.ya?ml$/iu.test(p)) return
+    if (!/\.yaml$/iu.test(p)) return
     const k8sRoot = k8sRootFromFile(p)
     if (k8sRoot) roots.add(k8sRoot)
   })
@@ -123,7 +123,7 @@ async function main() {
   const dirs = await findK8sRoots(root)
 
   if (dirs.length === 0) {
-    console.log('run-k8s: немає yaml/yml під k8s — kubeconform і kubescape пропущено')
+    console.log('run-k8s: немає *.yaml під k8s — kubeconform і kubescape пропущено')
     return 0
   }
 

package/scripts/utils/gha-workflow.mjs

@@ -341,10 +341,11 @@ export function anyRunStepIncludes(root, needle) {
 }
 
 /**
- * Чи є в будь-якому `run` підрядок `stylelint`.
+ * Чи викликається stylelint коректно: `npx stylelint` у run або `bun run lint-style`
+ * (скрипт `lint-style` у package.json має містити `npx stylelint`).
  * @param {Record<string, unknown>} root корінь workflow
- * @returns {boolean} `true`, якщо stylelint згадано в команді
+ * @returns {boolean} `true`, якщо умова виконана
  */
 export function anyRunStepIncludesStylelint(root) {
-  return anyRunStepIncludes(root, 'stylelint')
+  return anyRunStepIncludes(root, 'npx stylelint') || anyRunStepIncludes(root, 'bun run lint-style')
 }