@nitra/cursor 1.8.74 → 1.8.79

package/mdc/docker.mdc

@@ -1,6 +1,6 @@
 ---
 description: Dockerfile — lint-docker / hadolint; перевірка check-docker
-version: '1.6'
+version: '1.7'
 globs: "**/Dockerfile*"
 alwaysApply: false
 ---
@@ -103,14 +103,19 @@ jobs:
 
 1. **`bun run lint-docker`** — **`run-docker.mjs`**: **`Dockerfile`** та **`*.Dockerfile`** (див. **`lint-docker`**); у CI встанови hadolint (приклад у workflow).
 2. **`npx @nitra/cursor check docker`** — **`check-docker.mjs`**, виклик hadolint як у **`docker-hadolint.mjs`** (**`PATH`** або **`docker run`** з **`hadolint/hadolint:v2.12.0`**).
-3. Кореневий **`.hadolint.yaml`**: вимкнення правил, trusted registries — [документація](https://github.com/hadolint/hadolint#configure).
+3. Кореневий **`.hadolint.yaml`**: вимкнення правил, trusted registries — [документація](https://github.com/hadolint/hadolint#configure). Щоб не додавати **`# hadolint ignore=DL3007`** у кожному **`FROM`** з **`:latest`**, у корені репозиторію задати глобально:
+
+```yaml title=".hadolint.yaml"
+ignored:
+  - DL3007
+```
 
 Якщо немає файлів у межах відповідного набору (**`lint-docker`** або **`check docker`**) — перевірка пропускається (exit 0).
 
 ## Агентам
 
 - Після правок у Dockerfile проганяй **`bun run lint-docker`** і/або **`check docker`**.
-- Винятки: **`# hadolint ignore=DL3008`** (або інший код) у Dockerfile або правила в **`.hadolint.yaml`**.
+- Винятки: **`# hadolint ignore=DL3008`** (або інший код) у Dockerfile або **`ignored`** у **`.hadolint.yaml`** (наприклад **DL3007** для **`:latest`** — див. вище).
 - Образи на базі Bun — див. **`n-bun.mdc`**.
 
 ## Редактор

package/mdc/k8s.mdc

@@ -226,11 +226,7 @@ patches:
 
 **Не входить у check k8s:** наприклад **ReferenceGrant** і доступ між **namespace** (лише рекомендації тут), **kubeconform** / **kubescape** — це **`bun run lint-k8s`**.
 
-## Що саме в скрипті `check-k8s.mjs`
 
-Повний перелік умов, константи (**`YANNH_PIN`**, **`CLUSTER_SCOPED_KINDS`**, **`HASURA_GRAPHQL_ENGINE_IMAGE`** тощо) і допоміжні функції — у файлі скрипта; змінив вимогу для **check** — онови **JSDoc** і за потреби тести в **`npm/tests/check-k8s-schema.test.mjs`**.
-
-При зміні **PIN** версії Kubernetes узгодь **`check-k8s.mjs`**, **`run-k8s.mjs`** (**`KUBERNETES_VERSION`**, **`DATREE_CRD_SCHEMA_LOCATION`**) і цей файл (**lint-k8s**, **Визначення схеми YAML**).
 
 ## Коли застосовувати (агентам)
 

package/mdc/style-lint.mdc

@@ -8,7 +8,7 @@ version: '1.2'
 
 - **Джерело правил:** перед тим як писати або суттєво змінювати **`.css`**, **`.scss`** або стилі в **`.vue`**, переглянь у корені проєкту (і в релевантних пакетах монорепо, якщо є) поле **`stylelint`** у **`package.json`** (зокрема `extends`), наявні **`.stylelintrc.*`**, **`stylelint.config.*`** та **`.stylelintignore`**. Не покладайся на «типові» правила stylelint з пам’яті — дотримуйся **проєктного** **`@nitra/stylelint-config`** і будь-яких локальних доповнень у репозиторії.
 - **Форматування** узгоджуй з **`n-js-format.mdc`** (oxfmt / `.oxfmtrc.json` для css, scss тощо), щоб форматер і stylelint не суперечили один одному.
-- **Запуск stylelint:** лише **`npx stylelint`** (у **`lint-style`**, у CI, вручну). Не використовуй **`bunx stylelint`** і не запускай **stylelint** напряму без **`npx`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний набір `lint-*` (навичка **`n-fix`**).
+- **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний набір `lint-*` (навичка **`n-fix`**).
 - **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** без потреби; краще підлаштувати стилі під правила проєкту.
 
 **VSCode:** у **`.vscode/extensions.json`** рекомендуй **`stylelint.vscode-stylelint`**. У **`.vscode/settings.json`** вимкни вбудовану валідацію CSS/SCSS/Less і увімкни явні code actions:
@@ -44,7 +44,7 @@ version: '1.2'
   },
 ```
 
-Додай **`.github/workflows/lint-style.yml`** (лише **`.yml`**, **`ga.mdc`**): після **`checkout`** — локальний composite **`setup-bun-deps`**, далі **`bun run lint-style`** (у скрипті вже **`npx stylelint`**). **Не** дублюй окремі кроки **`setup-node`** / **`oven-sh/setup-bun`** / кеш / **`npm install`**.
+Додай **`.github/workflows/lint-style.yml`** (лише **`.yml`**, **`ga.mdc`**): після **`checkout`** — локальний composite **`setup-bun-deps`**, далі `npx stylelint '**/*.{css,scss,vue}' --fix` у кроці **`run`**. **Не** дублюй окремі кроки **`setup-node`** / **`oven-sh/setup-bun`** / кеш / **`npm install`**.
 
 ```yaml title=".github/workflows/lint-style.yml"
 name: StyleLint
@@ -85,7 +85,7 @@ jobs:
       - uses: ./.github/actions/setup-bun-deps
 
       - name: StyleLint
-        run: bun run lint-style
+        run: npx stylelint '**/*.{css,scss,vue}' --fix
 ```
 
 У корені проєкту має бути **`.stylelintignore`**:

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.74",
+  "version": "1.8.79",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs

@@ -17,14 +17,13 @@
  * **nodeSelector (base):** якщо **Deployment** лежить у шляху з сегментом **`base`** (наприклад **`…/k8s/base/deploy.yaml`**),
  * у **`spec.template.spec.nodeSelector`** має бути **`preem`** з булевим значенням **true** або рядком **`'true'`** — overlay **ua** та **ru** далі підміняють селектор.
  *
- * **nodeSelector (overlay):** якщо є **Deployment** під **k8s**, у кожному **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`**
- * має бути inline **JSON6902** patch на **`kind: Deployment`**: для **ua** — **`op: add`**, **`path: /spec/template/spec/nodeSelector`**,
- * **`preem: false`**; для **ru** — **`op: replace`**, той самий **path**, **`yandex.cloud/preemptible: false`** (див. abie.mdc).
+ * **nodeSelector (overlay):** якщо є **Deployment** під **k8s**, у **`ua`/`ru` kustomization** — inline patch на **`kind: Deployment`**
+ * з **`path: /spec/template/spec/nodeSelector`**: **ua** — **`preem: false`**; **ru** — **`yandex.cloud/preemptible: false`**.
+ * Узагальнені вимоги **k8s.mdc** до JSON6902 (зокрема заборона **remove** + **add** на той самий **path**) перевіряє **check-k8s.mjs**; **check-abie** — лише abie-специфічний вміст (без дублювання цього правила).
  *
- * **HTTPRoute (overlay):** за тієї ж умови (**Deployment** під **k8s**) у **кожному** **`ua`/`ru` kustomization** має бути
- * inline **JSON6902** на **`kind: HTTPRoute`** з **непорожнім `target.name`** (будь-яке ім’я): **replace** **`/spec/hostnames`**
- * (домени з abie.mdc), **replace** **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** також
- * **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**.
+ * **HTTPRoute (overlay):** тієї ж умови — patch на **`kind: HTTPRoute`**, **непорожній `target.name`**: **`/spec/hostnames`**
+ * (домени abie.mdc), **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** — **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**.
+ * Вибір **`op`** — **k8s.mdc**.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -344,7 +343,8 @@ function stripBom(s) {
 }
 
 /**
- * Чи рядок inline JSON6902 patch містить очікуваний **ua** nodeSelector (**op: add**, **preem: false**).
+ * Чи рядок inline JSON6902 patch містить очікуваний **ua** nodeSelector (**preem: false** на **`/spec/template/spec/nodeSelector`**).
+ * Конкретний **`op`** не перевіряється — див. **k8s.mdc**.
  * @param {string} patchText поле **patch** у kustomization
  * @returns {boolean} true, якщо критерії abie.mdc виконано
  */
@@ -352,9 +352,6 @@ function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
   if (typeof patchText !== 'string' || patchText.trim() === '') {
     return false
   }
-  if (!/op:\s*add\b/u.test(patchText)) {
-    return false
-  }
   if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
     return false
   }
@@ -365,7 +362,8 @@ function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
 }
 
 /**
- * Чи рядок inline JSON6902 patch містить очікуваний **ru** nodeSelector (**op: replace**, **yandex.cloud/preemptible: false**).
+ * Чи рядок inline JSON6902 patch містить очікуваний **ru** nodeSelector (**yandex.cloud/preemptible: false** на **`/spec/template/spec/nodeSelector`**).
+ * Конкретний **`op`** не перевіряється — див. **k8s.mdc**.
  * @param {string} patchText поле **patch** у kustomization
  * @returns {boolean} true, якщо критерії abie.mdc виконано
  */
@@ -373,9 +371,6 @@ function jsonPatchTextHasRuDeploymentNodeSelector(patchText) {
   if (typeof patchText !== 'string' || patchText.trim() === '') {
     return false
   }
-  if (!/op:\s*replace\b/u.test(patchText)) {
-    return false
-  }
   if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
     return false
   }
@@ -558,11 +553,10 @@ export function getCombinedNginxRunPatchTextFromKustomization(raw) {
  */
 export function validateAbieNginxRunHttpRoutePatches(combined, mode) {
   if (typeof combined !== 'string' || combined.trim() === '') {
-    return `очікується patch target kind HTTPRoute з непорожнім target.name (replace hostnames, parentRefs namespace ${mode}; для ru — також gwin… upgradeTypes websocket) — abie.mdc`
+    return `очікується patch target kind HTTPRoute з непорожнім target.name (hostnames, parentRefs namespace ${mode}; для ru — також gwin… websocket) — abie.mdc`
   }
-  const hasHostnamesReplace = /-\s*op:\s*replace\b[\s\S]{0,200}?path:\s*\/spec\/hostnames\b/m.test(combined)
-  if (!hasHostnamesReplace) {
-    return 'HTTPRoute: потрібен блок op replace з path /spec/hostnames (abie.mdc)'
+  if (!/path:\s*\/spec\/hostnames\b/m.test(combined)) {
+    return 'HTTPRoute: потрібен path /spec/hostnames у patch (abie.mdc)'
   }
   const markers = mode === 'ua' ? ABIE_UA_HTTPROUTE_HOST_MARKERS : ABIE_RU_HTTPROUTE_HOST_MARKERS
   if (!markers.some(m => combined.includes(m))) {
@@ -573,7 +567,7 @@ export function validateAbieNginxRunHttpRoutePatches(combined, mode) {
       ? /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua['"]?(?:\s|$)/mu.test(combined)
       : /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru['"]?(?:\s|$)/mu.test(combined)
   if (!namespaceOk) {
-    return `HTTPRoute: потрібен replace path /spec/parentRefs/0/namespace з value ${mode} (abie.mdc)`
+    return `HTTPRoute: потрібен path /spec/parentRefs/0/namespace з value ${mode} (abie.mdc)`
   }
   if (mode === 'ru' && !/gwin\.yandex\.cloud\/rules\.http\.upgradeTypes:\s*['"]?websocket['"]?/m.test(combined)) {
     return 'HTTPRoute (ru): потрібна анотація gwin.yandex.cloud/rules.http.upgradeTypes: websocket (abie.mdc)'
@@ -783,7 +777,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
   const uaAbsList = yamlFilesAbs.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (uaAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ua/kustomization.yaml з inline patch на Deployment: op add, path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
+      'Є Deployment у k8s — додай ua/kustomization.yaml з patch на Deployment: path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
     )
     return
   }
@@ -799,7 +793,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
     }
     if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ua')) {
       fail(
-        `${rel}: потрібен patch target kind Deployment з op: add, path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`
+        `${rel}: потрібен patch target kind Deployment: path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`
       )
       return
     }
@@ -809,7 +803,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
   const ruAbsList = yamlFilesAbs.filter(abs => isRuKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (ruAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ru/kustomization.yaml з inline patch на Deployment: op replace, path /spec/template/spec/nodeSelector, yandex.cloud/preemptible false (abie.mdc)'
+      'Є Deployment у k8s — додай ru/kustomization.yaml з patch на Deployment: path /spec/template/spec/nodeSelector, yandex.cloud/preemptible false (abie.mdc)'
     )
     return
   }
@@ -825,7 +819,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
     }
     if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ru')) {
       fail(
-        `${rel}: потрібен patch target kind Deployment з op: replace, path /spec/template/spec/nodeSelector та yandex.cloud/preemptible: false (abie.mdc)`
+        `${rel}: потрібен patch target kind Deployment: path /spec/template/spec/nodeSelector та yandex.cloud/preemptible: false (abie.mdc)`
       )
       return
     }

package/scripts/check-k8s.mjs

@@ -40,6 +40,9 @@
  * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; у **`k8s/base/kustomization.yaml`**
  * завжди має бути непорожнє поле **`namespace:`** (перевірка, якщо файл існує).
  *
+ * **Inline JSON6902** у **`patches`** (і зовнішні файли з **`patches[].path`** під **`k8s`**, якщо вміст — масив JSON Patch): не допускається пара **`remove`** і **`add`**
+ * на один і той самий **`path`** у межах одного фрагмента — потрібен **`op: replace`** (k8s.mdc). **check-k8s** це перевіряє.
+ *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
  * компонент). Спочатку шукається збіг за фактичним `type`, потім за **`*`**.
@@ -679,6 +682,224 @@ export function ruKustomizationHasHealthCheckDeletePatch(raw) {
   return true
 }
 
+/**
+ * Чи абсолютний шлях лежить усередині кореня репозиторію (без виходу через `..`).
+ * @param {string} rootAbs абсолютний корінь
+ * @param {string} fileAbs абсолютний шлях до файлу
+ * @returns {boolean} true, якщо `fileAbs` усередині `rootAbs`
+ */
+function resolvedFilePathIsUnderRoot(rootAbs, fileAbs) {
+  const r = resolve(rootAbs)
+  const f = resolve(fileAbs)
+  const rel = relative(r, f).replaceAll('\\', '/')
+  if (rel === '') {
+    return true
+  }
+  return !rel.startsWith('../') && rel !== '..'
+}
+
+/**
+ * Нормалізує **`path`** з операції JSON Patch (RFC 6902).
+ * @param {string} p значення поля **path**
+ * @returns {string} обрізаний рядок
+ */
+function normalizeJsonPatchPath(p) {
+  return typeof p === 'string' ? p.trim() : ''
+}
+
+/**
+ * Витягує пари **op** / **path** з масиву операцій JSON6902.
+ * @param {unknown[]} arr корінь-масив з YAML/JSON
+ * @returns {Array<{ op: string, path: string }>} **op** у нижньому регістрі
+ */
+function extractJson6902OpsFromArray(arr) {
+  /** @type {Array<{ op: string, path: string }>} */
+  const out = []
+  for (const item of arr) {
+    if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
+      const rec = /** @type {Record<string, unknown>} */ (item)
+      const op = rec.op
+      const path = rec.path
+      if (typeof op === 'string' && typeof path === 'string') {
+        const p = normalizeJsonPatchPath(path)
+        if (p !== '') {
+          out.push({ op: op.trim().toLowerCase(), path: p })
+        }
+      }
+    }
+  }
+  return out
+}
+
+/**
+ * Витягує операції JSON6902 з тексту inline **patch** або окремого файлу patch (YAML-масив або JSON-масив).
+ * Інший вміст (strategic merge, `$patch: delete` тощо) дає порожній масив.
+ * @param {string} patchText вміст поля **patch** або файлу
+ * @returns {Array<{ op: string, path: string }>}
+ */
+export function collectJson6902OperationsFromPatchText(patchText) {
+  const t = typeof patchText === 'string' ? patchText.trim() : ''
+  if (t === '') {
+    return []
+  }
+  try {
+    const docs = parseAllDocuments(t)
+    for (const d of docs) {
+      if (d.errors.length > 0) {
+        continue
+      }
+      const j = d.toJSON()
+      if (Array.isArray(j)) {
+        return extractJson6902OpsFromArray(j)
+      }
+    }
+  } catch {
+    /* пробуємо JSON */
+  }
+  if (t.startsWith('[')) {
+    try {
+      const j = JSON.parse(t)
+      if (Array.isArray(j)) {
+        return extractJson6902OpsFromArray(j)
+      }
+    } catch {
+      /* ignore */
+    }
+  }
+  return []
+}
+
+/**
+ * Шляхи JSON Patch, де в одному наборі операцій є і **remove**, і **add** (k8s.mdc: краще **replace**).
+ * @param {Array<{ op: string, path: string }>} ops нормалізовані **op**
+ * @returns {string[]} унікальні **path** з порушенням (відсортовано)
+ */
+export function json6902PathsWithRemoveAndAddOnSamePath(ops) {
+  /** @type {Map<string, Set<string>>} */
+  const byPath = new Map()
+  for (const { op, path } of ops) {
+    if (!path) {
+      continue
+    }
+    if (!byPath.has(path)) {
+      byPath.set(path, new Set())
+    }
+    byPath.get(path).add(op)
+  }
+  /** @type {string[]} */
+  const out = []
+  for (const [path, set] of byPath) {
+    if (set.has('remove') && set.has('add')) {
+      out.push(path)
+    }
+  }
+  return out.toSorted((a, b) => a.localeCompare(b))
+}
+
+/**
+ * Перевіряє всі **`kustomization.yaml`** під **`k8s`**: у inline **`patch`** і у зовнішніх patch-файлах не має бути **remove** і **add** на той самий **path**.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs абсолютні шляхи до yaml під k8s
+ * @param {(msg: string) => void} fail реєстрація порушення
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFilesAbs, fail) {
+  const rootNorm = resolve(root)
+  for (const kustAbs of yamlFilesAbs) {
+    if (basename(kustAbs).toLowerCase() !== 'kustomization.yaml') {
+      continue
+    }
+    const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+    let raw
+    try {
+      raw = await readFile(kustAbs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати для перевірки JSON6902 (${msg})`)
+      continue
+    }
+    const lines = toLines(raw)
+    const body = lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+    /** @type {import('yaml').Document[]} */
+    let docs
+    try {
+      docs = parseAllDocuments(body)
+    } catch {
+      continue
+    }
+    for (const doc of docs) {
+      if (doc.errors.length > 0) {
+        continue
+      }
+      const rootObj = doc.toJSON()
+      if (rootObj === null || typeof rootObj !== 'object' || Array.isArray(rootObj)) {
+        continue
+      }
+      const rec = /** @type {Record<string, unknown>} */ (rootObj)
+      if (rec.kind !== 'Kustomization') {
+        continue
+      }
+      const patches = rec.patches
+      if (!Array.isArray(patches)) {
+        continue
+      }
+      let patchIdx = 0
+      for (const p of patches) {
+        patchIdx++
+        if (p === null || typeof p !== 'object' || Array.isArray(p)) {
+          continue
+        }
+        const pr = /** @type {Record<string, unknown>} */ (p)
+        if (typeof pr.patch === 'string' && pr.patch.trim() !== '') {
+          const ops = collectJson6902OperationsFromPatchText(pr.patch)
+          const bad = json6902PathsWithRemoveAndAddOnSamePath(ops)
+          if (bad.length > 0) {
+            fail(
+              `${rel}: patches[${patchIdx}] inline JSON6902: один path має і remove, і add — оформи як op: replace (k8s.mdc): ${bad.join(', ')}`
+            )
+          }
+        }
+        if (typeof pr.path === 'string' && pr.path.trim() !== '') {
+          const patchRef = pr.path.trim()
+          const resolved = resolve(dirname(kustAbs), patchRef)
+          if (!resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+            continue
+          }
+          if (!existsSync(resolved)) {
+            continue
+          }
+          let st
+          try {
+            st = await stat(resolved)
+          } catch {
+            continue
+          }
+          if (!st.isFile()) {
+            continue
+          }
+          let pRaw
+          try {
+            pRaw = await readFile(resolved, 'utf8')
+          } catch {
+            continue
+          }
+          const ops = collectJson6902OperationsFromPatchText(pRaw)
+          if (ops.length === 0) {
+            continue
+          }
+          const bad = json6902PathsWithRemoveAndAddOnSamePath(ops)
+          if (bad.length > 0) {
+            const relPatch = (relative(root, resolved) || patchRef).replaceAll('\\', '/')
+            fail(
+              `${rel}: patch-файл «${relPatch}»: один path має і remove, і add — оформи як op: replace (k8s.mdc): ${bad.join(', ')}`
+            )
+          }
+        }
+      }
+    }
+  }
+}
+
 /**
  * Шукає **Ingress** у розібраних документах; реєструє порушення.
  * @param {string} rel відносний шлях до файлу
@@ -1510,6 +1731,8 @@ export async function check() {
 
   await validateKustomizationIncludesSvcHlWithSvc(root, yamlFiles, fail)
 
+  await validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFiles, fail)
+
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
 
   return reporter.getExitCode()

package/scripts/check-style-lint.mjs

@@ -2,7 +2,7 @@
  * Перевіряє CSS/SCSS лінт за правилом style-lint.mdc.
  *
  * Очікування: `@nitra/stylelint-config`, `lint-style` через `npx stylelint`, `.stylelintignore`,
- * workflow `lint-style.yml` (у `run` — `npx stylelint` або `bun run lint-style`), VSCode stylelint,
+ * workflow `lint-style.yml` (у `run` — лише `npx stylelint`, не `bun run lint-style`), VSCode stylelint,
  * `css.validate` / `scss.validate` / `less.validate`: false.
  */
 import { existsSync } from 'node:fs'
@@ -60,13 +60,13 @@ export async function check() {
     const content = await readFile('.github/workflows/lint-style.yml', 'utf8')
     pass('lint-style.yml існує')
     const root = parseWorkflowYaml(content)
-    const ok = root
-      ? anyRunStepIncludesStylelint(root)
-      : content.includes('npx stylelint') || content.includes('bun run lint-style')
+    const ok = root ? anyRunStepIncludesStylelint(root) : content.includes('npx stylelint')
     if (ok) {
-      pass('lint-style.yml містить npx stylelint або bun run lint-style у кроці run')
+      pass('lint-style.yml містить npx stylelint у кроці run')
     } else {
-      fail('lint-style.yml має містити npx stylelint або bun run lint-style у кроці run')
+      fail(
+        "lint-style.yml має викликати stylelint у CI через npx — наприклад: npx stylelint '**/*.{css,scss,vue}' --fix"
+      )
     }
   } else {
     fail('.github/workflows/lint-style.yml не існує — створи його')

package/scripts/utils/gha-workflow.mjs

@@ -341,11 +341,10 @@ export function anyRunStepIncludes(root, needle) {
 }
 
 /**
- * Чи викликається stylelint коректно: `npx stylelint` у run або `bun run lint-style`
- * (скрипт `lint-style` у package.json має містити `npx stylelint`).
+ * Чи викликається stylelint у workflow через `npx stylelint` у кроці `run` (вимога для CI).
  * @param {Record<string, unknown>} root корінь workflow
  * @returns {boolean} `true`, якщо умова виконана
  */
 export function anyRunStepIncludesStylelint(root) {
-  return anyRunStepIncludes(root, 'npx stylelint') || anyRunStepIncludes(root, 'bun run lint-style')
+  return anyRunStepIncludes(root, 'npx stylelint')
 }