@nitra/cursor 1.9.17 → 1.9.19

package/policy/docker/lint_docker_yml/lint_docker_yml.rego

@@ -0,0 +1,91 @@
+# Перевірка `.github/workflows/lint-docker.yml` (docker.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-docker.yml -p npm/policy/docker/lint_docker_yml \
+#     --namespace docker.lint_docker_yml
+#
+# Canonical (docker.mdc):
+#   - `on.push.paths` містить glob-и для Dockerfile (`**/Dockerfile`, `**/*.Dockerfile`,
+#     `**/*.dockerfile`);
+#   - крок `Install hadolint` з URL версії `v2.12.0` (узгоджено з `HADOLINT_IMAGE`
+#     у `npm/scripts/utils/docker-hadolint.mjs`);
+#   - крок `uses: ./.github/actions/setup-bun-deps` (canonical composite per ga.mdc;
+#     прямі `oxen-sh/setup-bun`/`actions/cache`/`bun install` заборонено через
+#     `ga.workflow_common`);
+#   - крок `run: bun run lint-docker`.
+#
+# Універсальні workflow-перевірки (concurrency, заборонені setup-bun/cache/install,
+# shell line-continuation) — у `ga.workflow_common`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package docker.lint_docker_yml
+
+import rego.v1
+
+required_push_paths := {"**/Dockerfile", "**/*.Dockerfile", "**/*.dockerfile"}
+required_hadolint_version := "v2.12.0"
+canonical_setup_bun_action := "./.github/actions/setup-bun-deps"
+
+# Усі тексти `uses:` зі steps усіх jobs (incremental set rule per regal:
+# prefer-set-or-object-rule — це краще за comprehension).
+all_step_uses contains u if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	u := object.get(step, "uses", "")
+	u != ""
+}
+
+all_run_text := concat("\n", [run_text |
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	run_text := step_run_to_text(step)
+])
+
+# Множина значень `on.push.paths` (підтримує `on: { push: { paths: [...] } }`).
+push_paths_set := {p |
+	some p in object.get(object.get(object.get(input, "on", {}), "push", {}), "paths", [])
+}
+
+# ── deny: on.push.paths ──────────────────────────────────────────────────
+
+deny contains msg if {
+	some required in required_push_paths
+	not required in push_paths_set
+	msg := sprintf("lint-docker.yml: on.push.paths має містити %q (docker.mdc)", [required])
+}
+
+# ── deny: hadolint install version ───────────────────────────────────────
+
+deny contains msg if {
+	not contains(all_run_text, required_hadolint_version)
+	msg := sprintf(
+		"lint-docker.yml: крок hadolint install має містити версію %q (узгоджено з HADOLINT_IMAGE) (docker.mdc)",
+		[required_hadolint_version],
+	)
+}
+
+# ── deny: setup-bun-deps composite ───────────────────────────────────────
+
+deny contains msg if {
+	not canonical_setup_bun_action in all_step_uses
+	msg := concat(" ", [
+		"lint-docker.yml: відсутній крок",
+		"`uses: ./.github/actions/setup-bun-deps` (canonical composite per ga.mdc) (docker.mdc)",
+	])
+}
+
+# ── deny: bun run lint-docker ────────────────────────────────────────────
+
+deny contains msg if {
+	not contains(all_run_text, "bun run lint-docker")
+	msg := "lint-docker.yml: жоден крок run не містить `bun run lint-docker` (docker.mdc)"
+}
+
+# ── helpers ──────────────────────────────────────────────────────────────
+
+# Текст `run:` як один рядок: підтримує string і array форми (YAML).
+step_run_to_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""

package/policy/docker/lint_docker_yml/lint_docker_yml_test.rego

@@ -0,0 +1,104 @@
+# Тести для `docker.lint_docker_yml`. Запуск:
+#   conftest verify -p npm/policy/docker/lint_docker_yml
+package docker.lint_docker_yml_test
+
+import rego.v1
+
+import data.docker.lint_docker_yml
+
+hadolint_install_run := concat("", [
+	"curl -sSL -o /tmp/hadolint",
+	" https://github.com/hadolint/hadolint/releases/download/v2.12.0/hadolint-Linux-x86_64",
+])
+
+valid_wf := {
+	"name": "Lint Docker",
+	"on": {"push": {
+		"branches": ["dev", "main"],
+		"paths": ["**/Dockerfile", "**/*.Dockerfile", "**/*.dockerfile"],
+	}},
+	"jobs": {"lint-docker": {"steps": [
+		{"uses": "actions/checkout@v6"},
+		{"name": "Install hadolint", "run": hadolint_install_run},
+		{"uses": "./.github/actions/setup-bun-deps"},
+		{"name": "Lint Docker", "run": "bun run lint-docker"},
+	]}},
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(lint_docker_yml.deny) == 0 with input as valid_wf
+}
+
+# ── deny: on.push.paths ──────────────────────────────────────────────────
+
+test_deny_missing_path_dockerfile if {
+	wf := json.patch(
+		valid_wf,
+		[{"op": "replace", "path": "/on/push/paths", "value": ["**/*.Dockerfile", "**/*.dockerfile"]}],
+	)
+	count(lint_docker_yml.deny) > 0 with input as wf
+}
+
+test_deny_missing_paths_field if {
+	wf := json.patch(valid_wf, [{"op": "remove", "path": "/on/push/paths"}])
+	count(lint_docker_yml.deny) > 0 with input as wf
+}
+
+# ── deny: hadolint version ──────────────────────────────────────────────
+
+test_deny_wrong_hadolint_version if {
+	wrong_version_run := concat("", [
+		"curl -sSL",
+		" https://github.com/hadolint/hadolint/releases/download/v2.11.0/hadolint-Linux-x86_64",
+	])
+	wf := json.patch(valid_wf, [{
+		"op": "replace",
+		"path": "/jobs/lint-docker/steps/1/run",
+		"value": wrong_version_run,
+	}])
+	count(lint_docker_yml.deny) > 0 with input as wf
+}
+
+test_deny_no_hadolint_install if {
+	wf := json.patch(valid_wf, [{
+		"op": "replace",
+		"path": "/jobs/lint-docker/steps/1",
+		"value": {"name": "Noop", "run": "echo ok"},
+	}])
+	count(lint_docker_yml.deny) > 0 with input as wf
+}
+
+# ── deny: composite setup-bun-deps ──────────────────────────────────────
+
+test_deny_inline_setup_bun_instead_of_composite if {
+	# Старий канон (НЕПРАВИЛЬНО per ga.mdc): пряме `oven-sh/setup-bun` замість composite.
+	wf := json.patch(valid_wf, [{
+		"op": "replace",
+		"path": "/jobs/lint-docker/steps/2",
+		"value": {"uses": "oven-sh/setup-bun@v2"},
+	}])
+	count(lint_docker_yml.deny) > 0 with input as wf
+}
+
+test_deny_no_setup_step if {
+	wf := json.patch(valid_wf, [{"op": "remove", "path": "/jobs/lint-docker/steps/2"}])
+	count(lint_docker_yml.deny) > 0 with input as wf
+}
+
+# ── deny: bun run lint-docker ──────────────────────────────────────────
+
+test_deny_missing_lint_docker_run if {
+	wf := json.patch(valid_wf, [{
+		"op": "replace",
+		"path": "/jobs/lint-docker/steps/3/run",
+		"value": "echo noop",
+	}])
+	count(lint_docker_yml.deny) > 0 with input as wf
+}
+
+test_deny_no_run_steps_at_all if {
+	wf := json.patch(valid_wf, [{"op": "replace", "path": "/jobs/lint-docker/steps", "value": []}])
+	count(lint_docker_yml.deny) > 0 with input as wf
+}

package/policy/docker/package_json/package_json.rego

@@ -0,0 +1,35 @@
+# Перевірка `package.json` для docker (docker.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/docker/package_json \
+#     --namespace docker.package_json
+#
+# Canonical (docker.mdc): якщо у проєкті є правило `docker` (у `.n-cursor.json`),
+# у кореневому `package.json` має бути канонічний `scripts.lint-docker`.
+#
+# Цей пакет перевіряє ЛИШЕ зміст значення `scripts.lint-docker`, якщо ключ
+# присутній. Умовну обовʼязковість (правило `docker` у `.n-cursor.json` →
+# `scripts.lint-docker` ЗОБОВ'ЯЗАНИЙ існувати) перевіряє `check-bun.mjs` через
+# cross-file логіку (читає `.n-cursor.json` і `package.json`). Тут rego видно
+# лише один документ, тому без `.n-cursor.json`-контексту вимагати наявність
+# `scripts.lint-docker` означало б false-positive порушення для проєктів без docker.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package docker.package_json
+
+import rego.v1
+
+canonical_lint_docker := "bun ./npm/scripts/run-docker.mjs"
+
+lint_docker_template := concat(" ", [
+	"package.json: scripts.lint-docker має бути %q",
+	"(зараз: %q) (docker.mdc)",
+])
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	lint_docker := object.get(scripts, "lint-docker", "")
+	lint_docker != ""
+	trim_space(lint_docker) != canonical_lint_docker
+	msg := sprintf(lint_docker_template, [canonical_lint_docker, lint_docker])
+}

package/policy/docker/package_json/package_json_test.rego

@@ -0,0 +1,42 @@
+# Тести для `docker.package_json`. Запуск:
+#   conftest verify -p npm/policy/docker/package_json
+package docker.package_json_test
+
+import rego.v1
+
+import data.docker.package_json
+
+canonical_lint_docker := "bun ./npm/scripts/run-docker.mjs"
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	pkg := {"scripts": {"lint-docker": canonical_lint_docker}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_lint_docker_absent if {
+	# rego не вимагає наявність — cross-file умовно вимагає `check-bun.mjs`.
+	count(package_json.deny) == 0 with input as {"scripts": {}}
+}
+
+test_allow_no_scripts_at_all if {
+	count(package_json.deny) == 0 with input as {"name": "x"}
+}
+
+test_allow_with_extra_whitespace if {
+	pkg := {"scripts": {"lint-docker": concat("", [" ", canonical_lint_docker, "  "])}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+# ── deny ──────────────────────────────────────────────────────────────────
+
+test_deny_lint_docker_wrong_value if {
+	pkg := {"scripts": {"lint-docker": "hadolint Dockerfile"}}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_lint_docker_old_npx_form if {
+	pkg := {"scripts": {"lint-docker": "npx hadolint ."}}
+	count(package_json.deny) > 0 with input as pkg
+}