npm - @nitra/cursor - Versions diffs - 1.8.74 → 1.8.75 - Mend

@nitra/cursor 1.8.74 → 1.8.75

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (4) hide show

package/mdc/k8s.mdc CHANGED Viewed

@@ -226,11 +226,7 @@ patches:
 **Не входить у check k8s:** наприклад **ReferenceGrant** і доступ між **namespace** (лише рекомендації тут), **kubeconform** / **kubescape** — це **`bun run lint-k8s`**.
-## Що саме в скрипті `check-k8s.mjs`
-Повний перелік умов, константи (**`YANNH_PIN`**, **`CLUSTER_SCOPED_KINDS`**, **`HASURA_GRAPHQL_ENGINE_IMAGE`** тощо) і допоміжні функції — у файлі скрипта; змінив вимогу для **check** — онови **JSDoc** і за потреби тести в **`npm/tests/check-k8s-schema.test.mjs`**.
-При зміні **PIN** версії Kubernetes узгодь **`check-k8s.mjs`**, **`run-k8s.mjs`** (**`KUBERNETES_VERSION`**, **`DATREE_CRD_SCHEMA_LOCATION`**) і цей файл (**lint-k8s**, **Визначення схеми YAML**).
 ## Коли застосовувати (агентам)

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.74",
+  "version": "1.8.75",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs CHANGED Viewed

@@ -17,14 +17,13 @@
  * **nodeSelector (base):** якщо **Deployment** лежить у шляху з сегментом **`base`** (наприклад **`…/k8s/base/deploy.yaml`**),
  * у **`spec.template.spec.nodeSelector`** має бути **`preem`** з булевим значенням **true** або рядком **`'true'`** — overlay **ua** та **ru** далі підміняють селектор.
  *
- * **nodeSelector (overlay):** якщо є **Deployment** під **k8s**, у кожному **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`**
- * має бути inline **JSON6902** patch на **`kind: Deployment`**: для **ua** — **`op: add`**, **`path: /spec/template/spec/nodeSelector`**,
- * **`preem: false`**; для **ru** — **`op: replace`**, той самий **path**, **`yandex.cloud/preemptible: false`** (див. abie.mdc).
+ * **nodeSelector (overlay):** якщо є **Deployment** під **k8s**, у **`ua`/`ru` kustomization** — inline patch на **`kind: Deployment`**
+ * з **`path: /spec/template/spec/nodeSelector`**: **ua** — **`preem: false`**; **ru** — **`yandex.cloud/preemptible: false`**.
+ * Узагальнені вимоги **k8s.mdc** до JSON6902 (зокрема заборона **remove** + **add** на той самий **path**) перевіряє **check-k8s.mjs**; **check-abie** — лише abie-специфічний вміст (без дублювання цього правила).
  *
- * **HTTPRoute (overlay):** за тієї ж умови (**Deployment** під **k8s**) у **кожному** **`ua`/`ru` kustomization** має бути
- * inline **JSON6902** на **`kind: HTTPRoute`** з **непорожнім `target.name`** (будь-яке ім’я): **replace** **`/spec/hostnames`**
- * (домени з abie.mdc), **replace** **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** також
- * **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**.
+ * **HTTPRoute (overlay):** тієї ж умови — patch на **`kind: HTTPRoute`**, **непорожній `target.name`**: **`/spec/hostnames`**
+ * (домени abie.mdc), **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** — **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**.
+ * Вибір **`op`** — **k8s.mdc**.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -344,7 +343,8 @@ function stripBom(s) {
 }
 /**
- * Чи рядок inline JSON6902 patch містить очікуваний **ua** nodeSelector (**op: add**, **preem: false**).
+ * Чи рядок inline JSON6902 patch містить очікуваний **ua** nodeSelector (**preem: false** на **`/spec/template/spec/nodeSelector`**).
+ * Конкретний **`op`** не перевіряється — див. **k8s.mdc**.
  * @param {string} patchText поле **patch** у kustomization
  * @returns {boolean} true, якщо критерії abie.mdc виконано
  */
@@ -352,9 +352,6 @@ function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
   if (typeof patchText !== 'string' || patchText.trim() === '') {
     return false
   }
-  if (!/op:\s*add\b/u.test(patchText)) {
-    return false
-  }
   if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
     return false
   }
@@ -365,7 +362,8 @@ function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
 }
 /**
- * Чи рядок inline JSON6902 patch містить очікуваний **ru** nodeSelector (**op: replace**, **yandex.cloud/preemptible: false**).
+ * Чи рядок inline JSON6902 patch містить очікуваний **ru** nodeSelector (**yandex.cloud/preemptible: false** на **`/spec/template/spec/nodeSelector`**).
+ * Конкретний **`op`** не перевіряється — див. **k8s.mdc**.
  * @param {string} patchText поле **patch** у kustomization
  * @returns {boolean} true, якщо критерії abie.mdc виконано
  */
@@ -373,9 +371,6 @@ function jsonPatchTextHasRuDeploymentNodeSelector(patchText) {
   if (typeof patchText !== 'string' || patchText.trim() === '') {
     return false
   }
-  if (!/op:\s*replace\b/u.test(patchText)) {
-    return false
-  }
   if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
     return false
   }
@@ -558,11 +553,10 @@ export function getCombinedNginxRunPatchTextFromKustomization(raw) {
  */
 export function validateAbieNginxRunHttpRoutePatches(combined, mode) {
   if (typeof combined !== 'string' || combined.trim() === '') {
-    return `очікується patch target kind HTTPRoute з непорожнім target.name (replace hostnames, parentRefs namespace ${mode}; для ru — також gwin… upgradeTypes websocket) — abie.mdc`
+    return `очікується patch target kind HTTPRoute з непорожнім target.name (hostnames, parentRefs namespace ${mode}; для ru — також gwin… websocket) — abie.mdc`
   }
-  const hasHostnamesReplace = /-\s*op:\s*replace\b[\s\S]{0,200}?path:\s*\/spec\/hostnames\b/m.test(combined)
-  if (!hasHostnamesReplace) {
-    return 'HTTPRoute: потрібен блок op replace з path /spec/hostnames (abie.mdc)'
+  if (!/path:\s*\/spec\/hostnames\b/m.test(combined)) {
+    return 'HTTPRoute: потрібен path /spec/hostnames у patch (abie.mdc)'
   }
   const markers = mode === 'ua' ? ABIE_UA_HTTPROUTE_HOST_MARKERS : ABIE_RU_HTTPROUTE_HOST_MARKERS
   if (!markers.some(m => combined.includes(m))) {
@@ -573,7 +567,7 @@ export function validateAbieNginxRunHttpRoutePatches(combined, mode) {
       ? /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua['"]?(?:\s|$)/mu.test(combined)
       : /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru['"]?(?:\s|$)/mu.test(combined)
   if (!namespaceOk) {
-    return `HTTPRoute: потрібен replace path /spec/parentRefs/0/namespace з value ${mode} (abie.mdc)`
+    return `HTTPRoute: потрібен path /spec/parentRefs/0/namespace з value ${mode} (abie.mdc)`
   }
   if (mode === 'ru' && !/gwin\.yandex\.cloud\/rules\.http\.upgradeTypes:\s*['"]?websocket['"]?/m.test(combined)) {
     return 'HTTPRoute (ru): потрібна анотація gwin.yandex.cloud/rules.http.upgradeTypes: websocket (abie.mdc)'
@@ -783,7 +777,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
   const uaAbsList = yamlFilesAbs.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (uaAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ua/kustomization.yaml з inline patch на Deployment: op add, path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
+      'Є Deployment у k8s — додай ua/kustomization.yaml з patch на Deployment: path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
     )
     return
   }
@@ -799,7 +793,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
     }
     if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ua')) {
       fail(
-        `${rel}: потрібен patch target kind Deployment з op: add, path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`
+        `${rel}: потрібен patch target kind Deployment: path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`
       )
       return
     }
@@ -809,7 +803,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
   const ruAbsList = yamlFilesAbs.filter(abs => isRuKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (ruAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ru/kustomization.yaml з inline patch на Deployment: op replace, path /spec/template/spec/nodeSelector, yandex.cloud/preemptible false (abie.mdc)'
+      'Є Deployment у k8s — додай ru/kustomization.yaml з patch на Deployment: path /spec/template/spec/nodeSelector, yandex.cloud/preemptible false (abie.mdc)'
     )
     return
   }
@@ -825,7 +819,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
     }
     if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ru')) {
       fail(
-        `${rel}: потрібен patch target kind Deployment з op: replace, path /spec/template/spec/nodeSelector та yandex.cloud/preemptible: false (abie.mdc)`
+        `${rel}: потрібен patch target kind Deployment: path /spec/template/spec/nodeSelector та yandex.cloud/preemptible: false (abie.mdc)`
       )
       return
     }

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -40,6 +40,9 @@
  * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; у **`k8s/base/kustomization.yaml`**
  * завжди має бути непорожнє поле **`namespace:`** (перевірка, якщо файл існує).
  *
+ * **Inline JSON6902** у **`patches`** (і зовнішні файли з **`patches[].path`** під **`k8s`**, якщо вміст — масив JSON Patch): не допускається пара **`remove`** і **`add`**
+ * на один і той самий **`path`** у межах одного фрагмента — потрібен **`op: replace`** (k8s.mdc). **check-k8s** це перевіряє.
+ *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
  * компонент). Спочатку шукається збіг за фактичним `type`, потім за **`*`**.
@@ -679,6 +682,224 @@ export function ruKustomizationHasHealthCheckDeletePatch(raw) {
   return true
 }
+/**
+ * Чи абсолютний шлях лежить усередині кореня репозиторію (без виходу через `..`).
+ * @param {string} rootAbs абсолютний корінь
+ * @param {string} fileAbs абсолютний шлях до файлу
+ * @returns {boolean} true, якщо `fileAbs` усередині `rootAbs`
+ */
+function resolvedFilePathIsUnderRoot(rootAbs, fileAbs) {
+  const r = resolve(rootAbs)
+  const f = resolve(fileAbs)
+  const rel = relative(r, f).replaceAll('\\', '/')
+  if (rel === '') {
+    return true
+  }
+  return !rel.startsWith('../') && rel !== '..'
+}
+/**
+ * Нормалізує **`path`** з операції JSON Patch (RFC 6902).
+ * @param {string} p значення поля **path**
+ * @returns {string} обрізаний рядок
+ */
+function normalizeJsonPatchPath(p) {
+  return typeof p === 'string' ? p.trim() : ''
+}
+/**
+ * Витягує пари **op** / **path** з масиву операцій JSON6902.
+ * @param {unknown[]} arr корінь-масив з YAML/JSON
+ * @returns {Array<{ op: string, path: string }>} **op** у нижньому регістрі
+ */
+function extractJson6902OpsFromArray(arr) {
+  /** @type {Array<{ op: string, path: string }>} */
+  const out = []
+  for (const item of arr) {
+    if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
+      const rec = /** @type {Record<string, unknown>} */ (item)
+      const op = rec.op
+      const path = rec.path
+      if (typeof op === 'string' && typeof path === 'string') {
+        const p = normalizeJsonPatchPath(path)
+        if (p !== '') {
+          out.push({ op: op.trim().toLowerCase(), path: p })
+        }
+      }
+    }
+  }
+  return out
+}
+/**
+ * Витягує операції JSON6902 з тексту inline **patch** або окремого файлу patch (YAML-масив або JSON-масив).
+ * Інший вміст (strategic merge, `$patch: delete` тощо) дає порожній масив.
+ * @param {string} patchText вміст поля **patch** або файлу
+ * @returns {Array<{ op: string, path: string }>}
+ */
+export function collectJson6902OperationsFromPatchText(patchText) {
+  const t = typeof patchText === 'string' ? patchText.trim() : ''
+  if (t === '') {
+    return []
+  }
+  try {
+    const docs = parseAllDocuments(t)
+    for (const d of docs) {
+      if (d.errors.length > 0) {
+        continue
+      }
+      const j = d.toJSON()
+      if (Array.isArray(j)) {
+        return extractJson6902OpsFromArray(j)
+      }
+    }
+  } catch {
+    /* пробуємо JSON */
+  }
+  if (t.startsWith('[')) {
+    try {
+      const j = JSON.parse(t)
+      if (Array.isArray(j)) {
+        return extractJson6902OpsFromArray(j)
+      }
+    } catch {
+      /* ignore */
+    }
+  }
+  return []
+}
+/**
+ * Шляхи JSON Patch, де в одному наборі операцій є і **remove**, і **add** (k8s.mdc: краще **replace**).
+ * @param {Array<{ op: string, path: string }>} ops нормалізовані **op**
+ * @returns {string[]} унікальні **path** з порушенням (відсортовано)
+ */
+export function json6902PathsWithRemoveAndAddOnSamePath(ops) {
+  /** @type {Map<string, Set<string>>} */
+  const byPath = new Map()
+  for (const { op, path } of ops) {
+    if (!path) {
+      continue
+    }
+    if (!byPath.has(path)) {
+      byPath.set(path, new Set())
+    }
+    byPath.get(path).add(op)
+  }
+  /** @type {string[]} */
+  const out = []
+  for (const [path, set] of byPath) {
+    if (set.has('remove') && set.has('add')) {
+      out.push(path)
+    }
+  }
+  return out.toSorted((a, b) => a.localeCompare(b))
+}
+/**
+ * Перевіряє всі **`kustomization.yaml`** під **`k8s`**: у inline **`patch`** і у зовнішніх patch-файлах не має бути **remove** і **add** на той самий **path**.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs абсолютні шляхи до yaml під k8s
+ * @param {(msg: string) => void} fail реєстрація порушення
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFilesAbs, fail) {
+  const rootNorm = resolve(root)
+  for (const kustAbs of yamlFilesAbs) {
+    if (basename(kustAbs).toLowerCase() !== 'kustomization.yaml') {
+      continue
+    }
+    const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+    let raw
+    try {
+      raw = await readFile(kustAbs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати для перевірки JSON6902 (${msg})`)
+      continue
+    }
+    const lines = toLines(raw)
+    const body = lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+    /** @type {import('yaml').Document[]} */
+    let docs
+    try {
+      docs = parseAllDocuments(body)
+    } catch {
+      continue
+    }
+    for (const doc of docs) {
+      if (doc.errors.length > 0) {
+        continue
+      }
+      const rootObj = doc.toJSON()
+      if (rootObj === null || typeof rootObj !== 'object' || Array.isArray(rootObj)) {
+        continue
+      }
+      const rec = /** @type {Record<string, unknown>} */ (rootObj)
+      if (rec.kind !== 'Kustomization') {
+        continue
+      }
+      const patches = rec.patches
+      if (!Array.isArray(patches)) {
+        continue
+      }
+      let patchIdx = 0
+      for (const p of patches) {
+        patchIdx++
+        if (p === null || typeof p !== 'object' || Array.isArray(p)) {
+          continue
+        }
+        const pr = /** @type {Record<string, unknown>} */ (p)
+        if (typeof pr.patch === 'string' && pr.patch.trim() !== '') {
+          const ops = collectJson6902OperationsFromPatchText(pr.patch)
+          const bad = json6902PathsWithRemoveAndAddOnSamePath(ops)
+          if (bad.length > 0) {
+            fail(
+              `${rel}: patches[${patchIdx}] inline JSON6902: один path має і remove, і add — оформи як op: replace (k8s.mdc): ${bad.join(', ')}`
+            )
+          }
+        }
+        if (typeof pr.path === 'string' && pr.path.trim() !== '') {
+          const patchRef = pr.path.trim()
+          const resolved = resolve(dirname(kustAbs), patchRef)
+          if (!resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+            continue
+          }
+          if (!existsSync(resolved)) {
+            continue
+          }
+          let st
+          try {
+            st = await stat(resolved)
+          } catch {
+            continue
+          }
+          if (!st.isFile()) {
+            continue
+          }
+          let pRaw
+          try {
+            pRaw = await readFile(resolved, 'utf8')
+          } catch {
+            continue
+          }
+          const ops = collectJson6902OperationsFromPatchText(pRaw)
+          if (ops.length === 0) {
+            continue
+          }
+          const bad = json6902PathsWithRemoveAndAddOnSamePath(ops)
+          if (bad.length > 0) {
+            const relPatch = (relative(root, resolved) || patchRef).replaceAll('\\', '/')
+            fail(
+              `${rel}: patch-файл «${relPatch}»: один path має і remove, і add — оформи як op: replace (k8s.mdc): ${bad.join(', ')}`
+            )
+          }
+        }
+      }
+    }
+  }
+}
 /**
  * Шукає **Ingress** у розібраних документах; реєструє порушення.
  * @param {string} rel відносний шлях до файлу
@@ -1510,6 +1731,8 @@ export async function check() {
   await validateKustomizationIncludesSvcHlWithSvc(root, yamlFiles, fail)
+  await validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFiles, fail)
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
   return reporter.getExitCode()