@nitra/cursor 1.9.18 → 1.9.20

package/scripts/check-hasura.mjs

@@ -7,11 +7,9 @@
  * вказує на `https://github.com/nitra/...` або `https://github.com/abinbevefes/...`
  * (інші репозиторії пропускаються без помилок — як у check-abie).
  *
- * Очікуваний формат URL — два варіанти кластерного DNS-суфікса:
+ * Очікуваний формат URL — кластерний DNS-суфікс `<cluster>.internal`:
  *  - GKE / GCP: `http://<service>.<namespace>.svc.<cluster>.internal:<port>`
  *    приклад: `http://contract-h.ua-contract.svc.abie-ua.internal:8080`
- *  - стандартний k8s / Yandex Cloud: `http://<service>.<namespace>.svc.cluster.local:<port>`
- *    приклад: `http://apruv-h-hl.ru-apruv.svc.cluster.local:8080`
  *
  * Сегменти беруться з `hasura/k8s/base/svc-hl.yaml` (`metadata.name` —
  * має закінчуватись на `-h`, headless-сервіс) і `hasura/k8s/base/namespace.yaml`
@@ -43,18 +41,15 @@ const HASURA_NAMESPACE_FILE = `${HASURA_BASE_DIR}/namespace.yaml`
 
 const ENV_FILE_RE = /\.env$/u
 const HASURA_ENDPOINT_LINE_RE = /^[ \t]*(?:export[ \t]+)?HASURA_GRAPHQL_ENDPOINT[ \t]*=[ \t]*['"]?([^'"\r\n#]+)/mu
-// Дозволяємо два DNS-суфікси кластера: `<name>.internal` (GKE/GCP) і `cluster.local`
-// (стандартний k8s / Yandex Cloud). У YC namespace.yaml + cluster mode дають коротший суфікс.
-const INTERNAL_HASURA_URL_RE = /^http:\/\/([^./]+)\.([^./]+)\.svc\.((?:[^./:]+\.internal)|cluster\.local):(\d+)\/?$/u
+// Дозволяємо лише DNS-суфікс кластера `<name>.internal` (GKE/GCP).
+const INTERNAL_HASURA_URL_RE = /^http:\/\/([^./]+)\.([^./]+)\.svc\.([^./:]+\.internal):(\d+)\/?$/u
 const INTERNAL_DNS_SUFFIX = '.internal'
 
 /**
  * Розбір значення `HASURA_GRAPHQL_ENDPOINT` як внутрішнього кластерного URL.
- * Дозволяє лише `http://` (TLS усередині кластера зайвий) та обидва кластерні
- * DNS-суфікси: `<cluster>.internal` (GKE/GCP) і `cluster.local`
- * (стандартний k8s / Yandex Cloud). Поле `cluster` для GKE містить ім'я
- * кластера без `.internal` (наприклад `abie-ua`); для YC — повний суфікс
- * `cluster.local` (бо своєї «назви кластера» в DNS немає).
+ * Дозволяє лише `http://` (TLS усередині кластера зайвий) та DNS-суфікс
+ * `<cluster>.internal` (GKE/GCP). Поле `cluster` містить ім'я кластера без
+ * `.internal` (наприклад `abie-ua`).
  * @param {string} url значення з `.env` (без огорнутих лапок)
  * @returns {{ ok: true, service: string, namespace: string, cluster: string, port: string } | { ok: false }}
  *   розібрані сегменти або `{ ok: false }`, якщо формат не відповідає внутрішньому кластерному URL
@@ -65,7 +60,7 @@ export function parseInternalHasuraEndpoint(url) {
     return { ok: false }
   }
   const suffix = m[3]
-  const cluster = suffix.endsWith(INTERNAL_DNS_SUFFIX) ? suffix.slice(0, -INTERNAL_DNS_SUFFIX.length) : suffix
+  const cluster = suffix.slice(0, -INTERNAL_DNS_SUFFIX.length)
   return { ok: true, service: m[1], namespace: m[2], cluster, port: m[4] }
 }
 
@@ -148,8 +143,7 @@ async function checkEnvFile(relPath, expected, reporter) {
   const value = m[1].trim()
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
-    const example =
-      'https://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
+    const example = "https://<service>.<namespace>.svc.<cluster>.internal:<port>"
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )

package/scripts/check-k8s.mjs

@@ -97,7 +97,7 @@
  * `hpa.yaml` і `pdb.yaml` (як єдині або принаймні обов'язкові), `hpa.yaml` (валідний `autoscaling/v2`
  * HorizontalPodAutoscaler з `scaleTargetRef.name` = ім'я Deployment, dev-like `min=max=1`), `pdb.yaml` (валідний
  * `policy/v1` PodDisruptionBudget з `selector.matchLabels.app` = мітка `app` Deployment, dev-like `minAvailable=0`).
- * Overlays (`ua/`, `ru/`, прод-overlays) підключають `components: [- ../components]` і додають JSON6902-патчі для
+ * Overlays (`ua/`, прод-overlays) підключають `components: [- ../components]` і додають JSON6902-патчі для
  * прод-значень: `/spec/minReplicas`, `/spec/maxReplicas` (HPA), `/spec/minAvailable` (PDB). HPA поруч із Deployment
  * у не-base оверлеях — як раніше (див. k8s.mdc).
  * Env-залежні межі за сегментом після `/k8s/`: **dev-like** (`base`, `dev`, `*-qa`) — для HPA, що лишився після
@@ -324,10 +324,6 @@ const API_VERSION_FIELD_RE = /^\s*apiVersion:\s*(\S+)\s*$/
 const KIND_FIELD_RE = /^\s*kind:\s*(\S+)\s*$/
 const TYPE_FIELD_RE = /^\s*type:\s*(\S+)\s*$/
 const YAML_DOC_SEPARATOR_LINE_RE = /^---\s*$/
-const HEALTHCHECK_DELETE_RE = /\$patch:\s*delete/u
-const HEALTHCHECK_KIND_RE = /kind:\s*HealthCheckPolicy/u
-const METADATA_LINE_RE = /metadata:/u
-const NAME_NON_EMPTY_RE = /name:\s*\S+/u
 const K8S_BASE_KUSTOMIZATION_PATH_RE = /(^|\/)k8s\/base\/kustomization\.yaml$/u
 const K8S_BASE_SEGMENT_RE = /(^|\/)k8s\/base\//u
 const OXLINT_SCHEMA_MODELINE_RE = /^\s*#\s*yaml-language-server:\s*\$schema=\S+/u
@@ -2025,19 +2021,6 @@ export function k8sYamlFirstDocIsAlbYcHttpBackendGroup(yamlBody) {
   return apiVersion === 'alb.yc.io/v1alpha1' && kind === 'HttpBackendGroup'
 }
 
-/**
- * Чи вміст overlay **`ru/kustomization.yaml`** містить Kustomize patch видалення **HealthCheckPolicy**.
- * @param {string} raw повний текст файлу
- * @returns {boolean} true, якщо є `$patch: delete` і блоки kind/metadata для HealthCheckPolicy
- */
-export function ruKustomizationHasHealthCheckDeletePatch(raw) {
-  if (!HEALTHCHECK_DELETE_RE.test(raw)) return false
-  if (!HEALTHCHECK_KIND_RE.test(raw)) return false
-  if (!METADATA_LINE_RE.test(raw)) return false
-  if (!NAME_NON_EMPTY_RE.test(raw)) return false
-  return true
-}
-
 /**
  * Чи абсолютний шлях лежить усередині кореня репозиторію (без виходу через `..`).
  * @param {string} rootAbs абсолютний корінь

package/scripts/check-rego.mjs

@@ -0,0 +1,106 @@
+/**
+ * Перевіряє інструментарій rego (rego.mdc): VSCode та `package.json` для проєктів,
+ * які мають хоча б один `.rego` файл у дереві.
+ *
+ * Cross-file gating (JS):
+ *   1. Walk дерева від `cwd` (з типовими skip-ами і `.n-cursor.json:ignore`).
+ *   2. Якщо немає жодного `.rego` — пропустити перевірку (rego-tooling не вимагається).
+ *   3. Інакше — для кожного канонічного файла:
+ *      - FS-existence (з повідомленням, якщо відсутній);
+ *      - делегувати content-валідацію rego-пакетам через `runConftestBatch`:
+ *        `rego.vscode_extensions` — `.vscode/extensions.json`: `tsandall.opa`
+ *          у `recommendations`;
+ *        `rego.vscode_settings` — `.vscode/settings.json`: `[rego]` з
+ *          `editor.defaultFormatter: "tsandall.opa"` і `editor.formatOnSave: true`;
+ *        `rego.package_json` — `package.json#scripts.lint-rego` має бути
+ *          канонічним `"bun ./npm/scripts/lint-rego.mjs"`.
+ *
+ * Rego-полісі глобально у `lint-conftest` НЕ реєструються — це conditional
+ * правило (без `.rego` файлів вимоги не діють). Plan B: Rego-authoritative +
+ * JS-orchestrator з `runConftestBatch`.
+ *
+ * `bun run lint-rego` (`npm/scripts/lint-rego.mjs`) — окрема перевірка САМИХ
+ * rego-полісі (opa check / regal lint / conftest verify), не плутати з цим
+ * скриптом, який перевіряє ПРОЄКТНЕ оточення для роботи з rego.
+ */
+import { existsSync } from 'node:fs'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+/** Список (path, namespace, policyDirRel) для трьох канонічних конфігів rego.mdc. */
+const REGO_TARGETS = [
+  ['.vscode/extensions.json', 'rego.vscode_extensions', 'rego/vscode_extensions'],
+  ['.vscode/settings.json', 'rego.vscode_settings', 'rego/vscode_settings'],
+  ['package.json', 'rego.package_json', 'rego/package_json']
+]
+
+/**
+ * Чи є хоча б один `.rego` файл у дереві від `cwd`.
+ * @param {string} root абсолютний шлях кореня
+ * @param {string[]} ignorePaths шляхи каталогів, повністю виключених з обходу
+ * @returns {Promise<boolean>} `true`, якщо знайдено хоча б один `.rego`
+ */
+async function projectHasRegoFiles(root, ignorePaths) {
+  let found = false
+  await walkDir(
+    root,
+    p => {
+      if (p.endsWith('.rego')) {
+        found = true
+      }
+    },
+    ignorePaths
+  )
+  return found
+}
+
+/**
+ * Делегує content-валідацію одного канонічного конфіга rego-пакету через
+ * `runConftestBatch`. FS-існування — попередньо перевірено.
+ * @param {string} path відносний шлях до файлу
+ * @param {string} namespace rego-пакет (наприклад `rego.vscode_extensions`)
+ * @param {string} policyDirRel піддиректорія у `npm/policy/`
+ * @param {(msg: string) => void} pass success-репортер
+ * @param {(msg: string) => void} fail fail-репортер
+ * @returns {void}
+ */
+function runRegoPolicyOnPath(path, namespace, policyDirRel, pass, fail) {
+  const violations = runConftestBatch({ policyDirRel, namespace, files: [path] })
+  if (violations.length === 0) {
+    pass(`${path} відповідає ${namespace} (rego)`)
+    return
+  }
+  for (const v of violations) fail(v.message)
+}
+
+/**
+ * Перевіряє відповідність проєкту правилам rego.mdc.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const root = process.cwd()
+  const ignorePaths = await loadCursorIgnorePaths(root)
+  const hasRego = await projectHasRegoFiles(root, ignorePaths)
+  if (!hasRego) {
+    pass('Немає *.rego у дереві — rego-tooling не вимагається (rego.mdc)')
+    return reporter.getExitCode()
+  }
+
+  pass('Знайдено *.rego у дереві — перевіряємо канонічні конфіги rego.mdc')
+
+  for (const [path, namespace, policyDirRel] of REGO_TARGETS) {
+    if (!existsSync(path)) {
+      fail(`${path} не існує — створи згідно rego.mdc (${namespace})`)
+      continue
+    }
+    runRegoPolicyOnPath(path, namespace, policyDirRel, pass, fail)
+  }
+
+  return reporter.getExitCode()
+}

package/scripts/check-tauri.mjs

@@ -0,0 +1,88 @@
+/**
+ * Перевіряє інструментарій Tauri (tauri.mdc): VSCode `extensions.json` для
+ * проєктів, у яких є маркер Tauri.
+ *
+ * Cross-file gating (JS):
+ *   1. Tauri-маркер визначаємо за **будь-яким** з:
+ *      - існує каталог `src-tauri/` у `cwd`;
+ *      - існує файл `tauri.conf.json` у `cwd` або в workspace-пакетах;
+ *      - кореневий `package.json#devDependencies` або `dependencies` містить
+ *        ключ з префіксом `@tauri-apps/`.
+ *   2. Якщо маркера немає — пропустити перевірку (tauri-tooling не вимагається).
+ *   3. Інакше — для `.vscode/extensions.json` зробити FS-existence + делегувати
+ *      content `rego.tauri.vscode_extensions` через `runConftestBatch`.
+ *
+ * Rego-полісі глобально у `lint-conftest` НЕ реєструється — це conditional
+ * правило. Plan B: Rego-authoritative + JS-orchestrator з `runConftestBatch`.
+ */
+import { existsSync, statSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
+
+/**
+ * Чи є префікс `@tauri-apps/` у ключах `dependencies` або `devDependencies`.
+ * @param {Record<string, unknown> | null | undefined} pkg розпарсений `package.json`
+ * @returns {boolean} true, якщо знайдено хоча б один `@tauri-apps/*`
+ */
+function packageHasTauriDep(pkg) {
+  if (!pkg || typeof pkg !== 'object') return false
+  for (const field of ['dependencies', 'devDependencies']) {
+    const deps = /** @type {Record<string, unknown> | undefined} */ (pkg[field])
+    if (!deps || typeof deps !== 'object') continue
+    for (const name of Object.keys(deps)) {
+      if (name.startsWith('@tauri-apps/')) return true
+    }
+  }
+  return false
+}
+
+/**
+ * Чи є у проєкті маркер Tauri: `src-tauri/`, `tauri.conf.json` (root або
+ * workspace), або `@tauri-apps/*` у залежностях кореневого `package.json`.
+ * @returns {Promise<boolean>} true, якщо проєкт використовує Tauri
+ */
+async function projectHasTauriMarker() {
+  if (existsSync('src-tauri') && statSync('src-tauri').isDirectory()) return true
+  if (existsSync('tauri.conf.json')) return true
+  if (!existsSync('package.json')) return false
+  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
+  if (packageHasTauriDep(pkg)) return true
+  return false
+}
+
+/**
+ * Перевіряє відповідність проєкту правилам tauri.mdc.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const hasTauri = await projectHasTauriMarker()
+  if (!hasTauri) {
+    pass('Немає маркера Tauri (src-tauri/, tauri.conf.json, @tauri-apps/*) — tauri-tooling не вимагається')
+    return reporter.getExitCode()
+  }
+
+  pass('Знайдено маркер Tauri — перевіряємо канонічні конфіги tauri.mdc')
+
+  const extPath = '.vscode/extensions.json'
+  if (!existsSync(extPath)) {
+    fail(`${extPath} не існує — створи з recommendations "tauri-apps.tauri-vscode" і "rust-lang.rust-analyzer" (tauri.mdc)`)
+    return reporter.getExitCode()
+  }
+  const violations = runConftestBatch({
+    policyDirRel: 'tauri/vscode_extensions',
+    namespace: 'tauri.vscode_extensions',
+    files: [extPath]
+  })
+  if (violations.length === 0) {
+    pass(`${extPath} відповідає tauri.vscode_extensions (rego)`)
+  } else {
+    for (const v of violations) fail(v.message)
+  }
+
+  return reporter.getExitCode()
+}

package/scripts/lint-conftest.mjs

@@ -363,7 +363,7 @@ const TARGETS = [
     }
   },
 
-  // abie clean-merged-branch.yml: with.ignore_branches має містити dev/ua/ru.
+  // abie clean-merged-branch.yml: with.ignore_branches має містити dev/ua.
   {
     namespace: 'abie.clean_merged_ignore_branches',
     policyDir: 'abie/clean_merged_ignore_branches',

package/skills/abie-clean/SKILL.md

@@ -0,0 +1,138 @@
+---
+name: n-abie-clean
+description: >-
+  Очистка проєкту від ru-середовища: гілка `ru`, директорії `ru/`, файли з суфіксом
+  `-ru`/`values-ru.*`, гілки `endsWith(...'ru')` у GitHub Actions, ru-умови у
+  Dockerfile/nginx, посилання на `cr.yandex` та раннер `ya`
+version: '1.1'
+---
+
+Скіл прибирає з проєкту все, що належить **ru-середовищу**. Залишаються тільки `dev` (як база) та `ua` як активне продакшн-середовище. Працюй послідовно по секціях нижче — після кожної секції перевіряй, що проєкт лишається консистентним (`kustomization.yaml` посилається лише на наявні файли, GitHub Actions-вирази синтаксично коректні).
+
+## 1. Директорії з назвою `ru`
+
+Видали всі директорії з назвою `ru` у проєкті:
+
+```bash
+find . -type d -name "ru" -exec rm -rf {} +
+```
+
+Це чистить як `country/ru/`, так і `k8s/<...>/ru/` (overlay у kustomize). Після видалення overlay `ru/` обов’язково прибери відповідний запис у `resources:` у батьківському `kustomization.yaml`, якщо він там лишився.
+
+## 2. Файли з ru-суфіксом
+
+Видали файли, у назві яких є явний ru-маркер:
+
+- `values-ru.ini`, `values-ru.yaml`, `values-ru.*` (Helm/абстракції values на середовище)
+- будь-які файли, що закінчуються на `-ru` або `-ru.<ext>`, наприклад `site/.env.prod-ru`, `*.env.prod-ru`, `*.prod-ru.conf`
+
+```bash
+find . -type f \( -name "values-ru.*" -o -name "*-ru" -o -name "*.prod-ru" -o -name "*.prod-ru.*" \) -delete
+```
+
+## 3. `.github/workflows/*.yml`
+
+### 3.1. Тригери `on.push.branches`
+
+Прибирай `ru` зі списку гілок.
+
+Було:
+
+```yaml
+on:
+  push:
+    branches: [dev, ru, ua]
+```
+
+Стало:
+
+```yaml
+on:
+  push:
+    branches: [dev, ua]
+```
+
+### 3.2. Тернарні вирази `endsWith(github.ref_name, …)`
+
+У ланцюжках `endsWith(...)` залишай тільки гілки `dev` та `ua`. Гілку `ru` (а також пов’язаний з нею fallback на раннер `ya`, реєстр `cr.yandex/...`, NATS `cluster.local` тощо) — прибирай. Останнє значення в ланцюжку стає fallback’ом для всього, що не `dev`.
+
+`runs-on` — було:
+
+```yaml
+runs-on: ${{ endsWith(github.ref_name, 'dev') && 'dev' || ( endsWith(github.ref_name, 'ua') && 'ua' || 'ya' ) }}
+```
+
+Стало:
+
+```yaml
+runs-on: ${{ endsWith(github.ref_name, 'dev') && 'dev' || 'ua' }}
+```
+
+`NATS_URL` — було:
+
+```yaml
+NATS_URL: ${{ endsWith(github.ref_name, 'dev') && 'nats.nats.svc.abie-dev.internal:4222' || ( endsWith(github.ref_name, 'ua') && 'nats.nats.svc.abie-ua.internal:4222' || 'nats.nats.svc.cluster.local:4222' ) }}
+```
+
+Стало:
+
+```yaml
+NATS_URL: ${{ endsWith(github.ref_name, 'dev') && 'nats.nats.svc.abie-dev.internal:4222' || 'nats.nats.svc.abie-ua.internal:4222' }}
+```
+
+`NATS_STREAM` — було:
+
+```yaml
+NATS_STREAM: ${{ endsWith(github.ref_name, 'dev') && 'dev' || ( endsWith(github.ref_name, 'ua') && 'ua' || 'ru' ) }}
+```
+
+Стало:
+
+```yaml
+NATS_STREAM: ${{ endsWith(github.ref_name, 'dev') && 'dev' || 'ua' }}
+```
+
+`REGISTRY` — було:
+
+```yaml
+REGISTRY: ${{ endsWith(github.ref_name, 'ru') && 'cr.yandex/crpaerfcq9t16fse5onm' || ( endsWith(github.ref_name, 'ua') && 'europe-west4-docker.pkg.dev/abie-ua/c' || 'europe-north1-docker.pkg.dev/abie-dev/c' ) }}
+```
+
+Стало:
+
+```yaml
+REGISTRY: ${{ endsWith(github.ref_name, 'ua') && 'europe-west4-docker.pkg.dev/abie-ua/c' || 'europe-north1-docker.pkg.dev/abie-dev/c' }}
+```
+
+Загальне правило: у фінальному виразі мають лишитися лише `endsWith(github.ref_name, 'dev')` та `endsWith(github.ref_name, 'ua')` (або лише один із них, якщо середовище одне). Будь-яка згадка `'ru'`, `'ya'`, `cr.yandex`, `cluster.local`-fallback для ru — прибирається.
+
+### 3.3. `ignore_branches` / `branches-ignore`
+
+У всіх workflow-файлах та конфігах (включно з тими, що використовуються правилом **abie** `clean_merged_ignore_branches`) прибирай `ru` зі списків ignore-гілок.
+
+## 4. Dockerfile / nginx / build-скрипти
+
+Прибирай умовні гілки `if [ "$BRANCH" = "ru" ]; then …` та копіювання `country/ru/*`. Лишається лише той код, що працює для `dev`/`ua`.
+
+Було:
+
+```dockerfile
+RUN if [ "$BRANCH" = "ru" ]; then cp -r country/ru/* public/ || true; fi && \
+    bun install && \
+    if [ "$BRANCH" = "ru" ]; then BASE="/itool/"; else BASE="/contract/"; fi && \
+    bun vite build --mode "prod-$BRANCH" --base="$BASE"
+```
+
+Стало:
+
+```dockerfile
+RUN bun install && bun vite build --mode "prod-$BRANCH" --base="$BASE"
+```
+
+Те саме стосується `nginx`-конфігів (`server_name`, `proxy_pass` з ru-доменами), `*.sh`-скриптів та `package.json` scripts (`build:ru`, `deploy:ru`, `prod-ru` тощо).
+
+## 5. Після очистки
+
+- Переконайся, що `kustomization.yaml` у кожній директорії `k8s/` не посилається на видалені overlay або файли.
+- Пройдись `git grep` по репозиторію на залишки: `git grep -n -i -e '\bru\b' -e cr\.yandex -e country/ru -e prod-ru -e values-ru -e "'ya'"` — переглянь усі знахідки вручну, бо `ru` як слово може траплятися в легітимних контекстах (наприклад, `truncate`, `Aurum`, `cruft`). Видаляй лише ті входження, що належать ru-середовищу.
+- Перевір CI локально: `npx @nitra/cursor check abie` (якщо правило **abie** ввімкнене у проєкті).

package/skills/abie-kustomize/SKILL.md

@@ -27,7 +27,7 @@ README має бути в директорії **k8s**.
 
 Застарілі файли прибирай.
 
-Для overlays **ru** та **ua** `namespace` задавай у `kustomization.yaml` (без окремих patch лише на зміну namespace). Деталі — **n-k8s** / **abie** у `.cursor/rules/`, якщо ці правила увімкнені в проєкті.
+Для overlay **ua** `namespace` задавай у `kustomization.yaml` (без окремих patch лише на зміну namespace). Деталі — **n-k8s** / **abie** у `.cursor/rules/`, якщо ці правила увімкнені в проєкті.
 
 ## Виключення: CNPG `Cluster`