@nitra/cursor 12.8.6 → 12.8.8

package/rules/k8s/policy/base_kustomization/base_kustomization.mdc

@@ -0,0 +1,12 @@
+## Перевірки `base/kustomization.yaml`
+
+Rego-пакет: `k8s.base_kustomization`
+
+**Цільові файли:** `k8s/.../base/kustomization.yaml` (вибір через `isBaseKustomizationPath` у JS; `kind: Kustomization`, `apiVersion: kustomize.config.k8s.io/…`).
+
+**Що перевіряється:**
+
+- `namespace:` — обов'язковий і непорожній (наприклад `namespace: dev`)
+- `resources:` — не повинен містити `hpa.yaml` або `pdb.yaml` (у будь-якому підкаталозі); HPA/PDB мають бути у sibling-каталозі `components/` і підключатися з overlay через `components: [- ../components]`
+
+**Примітка:** рекурсивний обхід `resources:`/`components:`/`bases:` із зануренням у вкладені `kustomization.yaml` — у JS (`verifyK8sBaseKustomizeHasNoHpaPdb`). NetworkPolicy у `base/resources:` — дозволена і не блокується цим правилом.

package/rules/k8s/policy/base_manifest/base_manifest.mdc

@@ -0,0 +1,14 @@
+## Перевірки маніфестів у шарі `base/`
+
+Rego-пакет: `k8s.base_manifest`
+
+**Цільові файли:** будь-який `*.yaml` у шляху `k8s/.../base/` (окрім `kustomization.yaml`). JS відбирає файли через `isK8sBaseManifestYamlPath` і передає conftest з цим namespace.
+
+**Що перевіряється:**
+
+- Namespaced kind — обов'язковий непорожній `metadata.namespace` (cluster-scoped kinds, `List`, `Kustomization` — виняток; список cluster-scoped kinds узгоджено з `CLUSTER_SCOPED_KINDS` у `fix.mjs`)
+- `kind: Deployment` — фіксовані resource-requests у кожному контейнері (включно з `initContainers`):
+  - `resources.requests.cpu` рівно `"0.02"` (або число `0.02`)
+  - `resources.requests.memory` рівно `"128Mi"` (суфікс `Mi` без урахування регістру)
+
+**Примітка:** cross-file перевірки (`metadataNamespaceRequiredViolation` у ширшому контексті дерева) лишаються у JS.

package/rules/k8s/policy/gateway/gateway.mdc

@@ -0,0 +1,17 @@
+## Перевірки Gateway API маршрутів і HealthCheckPolicy
+
+Rego-пакет: `k8s.gateway`
+
+**Цільові файли:** YAML з `kind` одного з: `HTTPRoute`, `GRPCRoute`, `TCPRoute`, `TLSRoute`, `UDPRoute` (`apiVersion: gateway.networking.k8s.io/…`); `HealthCheckPolicy` (`apiVersion: networking.gke.io/…`).
+
+**Що перевіряється:**
+
+- `HealthCheckPolicy`: `spec.targetRef` обов'язковий; якщо `targetRef.kind` не вказано або `Service` — `targetRef.name` має закінчуватися на `-hl` (headless Service)
+- Gateway API маршрут: кожен `backendRef` до Service (визначається за полями `name` + `port`; `kind`/`group` необов'язкові) — ім'я має закінчуватися на `-hl`
+- Gateway API маршрут: `backendRef` з полем `namespace`, що збігається з `metadata.namespace` маршруту, — заборонено (надлишкове поле, ламається при overlay-перенесеннях)
+
+**Приклади:**
+
+✓ `backendRef.name: my-svc-hl` (headless)
+✗ `backendRef.name: my-svc` (без суфікса `-hl`)
+✗ `backendRef.namespace: dev` при `metadata.namespace: dev` (redundant)

package/rules/k8s/policy/hasura_configmap/hasura_configmap.mdc

@@ -0,0 +1,20 @@
+## Перевірки ConfigMap для Hasura-Deployment
+
+Rego-пакет: `k8s.hasura_configmap`
+
+**Цільові файли:** `configmap.yaml` у каталогах, де є Deployment з образом `hasura/graphql-engine`. JS (`manifests.mjs`) знаходить відповідні ConfigMap через cross-file збіг і передає їх conftest з цим namespace.
+
+**Що перевіряється (обов'язкові ключі у `data`):**
+
+| Ключ | Очікуване значення |
+|------|--------------------|
+| `HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS` | `"true"` |
+| `HASURA_GRAPHQL_ENABLE_RELAY` | `"false"` |
+| `HASURA_GRAPHQL_ENABLE_TELEMETRY` | `"false"` |
+| `HASURA_GRAPHQL_ENABLED_LOG_TYPES` | `"startup,http-log"` (точно) |
+| `HASURA_GRAPHQL_ENABLED_APIS` | `"metadata,graphql,pgdump"` (base/dev; overlay має патчем замінити на `"metadata,graphql"`) |
+| `HASURA_GRAPHQL_DISABLE_EVENTING` | ключ обов'язковий, значення довільне (рекомендовано `"true"`) |
+
+Семантика: `"true"`/`"false"` приймаються як boolean або рядок (case-insensitive); точний рядок — exact match.
+
+**Примітка:** відбір ConfigMap за сусідством із Hasura-Deployment — cross-file, у JS. Rego — пер-документна валідація полів `data`.

package/rules/k8s/policy/hasura_httproute/hasura_httproute.mdc

@@ -0,0 +1,16 @@
+## Перевірки HTTPRoute, парного з Hasura-Deployment
+
+Rego-пакет: `k8s.hasura_httproute`
+
+**Цільові файли:** `hr.yaml` (або будь-який HTTPRoute з `kind: HTTPRoute`) у каталогах, де є Deployment з образом `hasura/graphql-engine`. JS знаходить пару Deployment–HTTPRoute через `collectHasuraDeploymentsAndHttpRoutes` і передає conftest з цим namespace.
+
+**Що перевіряється — канон 4 правил у `spec.rules` (у порядку):**
+
+1. `matches: [{path: {type: Exact, value: "<prefix>/ql"}}]` (без headers) + `filters: [RequestRedirect ReplaceFullPath "<prefix>/ql/console" statusCode 302]`
+2. `matches: [{path: {type: Exact, value: "<prefix>/ql/"}}]` + такий самий redirect на `<prefix>/ql/console`
+3. `matches: [{path: {type: PathPrefix, value: "<prefix>/ql"}}]` + `filters: [URLRewrite ReplacePrefixMatch "/"]` + один `backendRef` на headless Service
+4. WebSocket: `matches: [{path: PathPrefix "<prefix>/ql", headers: [{Exact "Upgrade: websocket"}]}]` + `filters: [URLRewrite ReplacePrefixMatch "/", RequestHeaderModifier remove [Authorization]]` + той самий `backendRef`
+
+`<prefix>` визначається автоматично як рядок до `/ql` у першому matching-правилі. Додаткові правила поверх канону дозволені.
+
+**Примітка:** cross-file прив'язка HTTPRoute до Deployment — JS (`validateHasuraHttpRouteCanon`).

package/rules/k8s/policy/hpa_pdb/hpa_pdb.mdc

@@ -0,0 +1,23 @@
+## Структурні перевірки HPA і PDB
+
+Rego-пакет: `k8s.hpa_pdb`
+
+**Цільові файли:** `hpa.yaml` (`kind: HorizontalPodAutoscaler`) та `pdb.yaml` (`kind: PodDisruptionBudget`) у overlay-каталогах (не в `base/`).
+
+**Що перевіряється:**
+
+HPA (`kind: HorizontalPodAutoscaler` або `apiVersion: autoscaling/…`):
+- `apiVersion: autoscaling/v2` (не v1)
+- `kind: HorizontalPodAutoscaler`
+- `spec` — присутній об'єкт
+- `spec.behavior` — присутній; містить `scaleUp` і `scaleDown`, кожен з непорожнім масивом `policies`
+- `spec.metrics` — непорожній масив
+
+PDB (`kind: PodDisruptionBudget` або `apiVersion: policy/v1`):
+- `apiVersion: policy/v1`
+- `kind: PodDisruptionBudget`
+- `spec` — присутній об'єкт
+- `spec.selector` — присутній об'єкт
+- `spec.selector.matchLabels` — присутній об'єкт
+
+**Примітка:** cross-file перевірки (відповідність `expectedDeployName`, `expectedAppLabel`, `isDevLike`-сегмент) лишаються у JS (`hpaManifestViolations`, `pdbManifestViolations`).

package/rules/k8s/policy/kustomization/kustomization.mdc

@@ -0,0 +1,20 @@
+## Структурні перевірки `kustomization.yaml`
+
+Rego-пакет: `k8s.kustomization`
+
+**Цільові файли:** будь-який `kustomization.yaml` (`kind: Kustomization`, `apiVersion: kustomize.config.k8s.io/…`).
+
+**Що перевіряється:**
+
+- `resources[]` — має бути масивом рядків; непорожні рядки мають бути відсортовані за алфавітом (en, case-insensitive)
+- `patches[]` — має бути масивом; елементи мають бути відсортовані за tuple `(target.kind, target.name, target.namespace, path)` (case-insensitive)
+- Inline patch (поле `patch` як YAML-рядок JSON6902): у наборі операцій не може бути одночасно `op: remove` і `op: add` на той самий `path` — потрібен `op: replace`
+
+**Приклади:**
+
+✓ `resources: [deployment.yaml, hpa.yaml, svc.yaml]` (алфавіт)
+✗ `resources: [svc.yaml, deployment.yaml]` (не за алфавітом)
+✓ `op: replace` для зміни значення поля
+✗ `op: remove` + `op: add` на один `path` в одному patch
+
+**Примітка:** резолюція kustomize-дерева, перевірка існування refs на диску, парність `svc.yaml`/`svc-hl.yaml` — JS (`rules/k8s/fix.mjs`).

package/rules/k8s/policy/manifest/manifest.mdc

@@ -0,0 +1,17 @@
+## Пер-документні перевірки маніфестів Kubernetes
+
+Rego-пакет: `k8s.manifest`
+
+**Цільові файли:** будь-який `*.yaml` у шляху з `k8s/` (окрім `kustomization.yaml`, `base/`, `svc.yaml`, `svc-hl.yaml`). Conftest розрізає multi-doc YAML по `---` і запускає policy на кожен документ окремо.
+
+**Що перевіряється:**
+
+- `kind: Ingress` — заборонено; потрібен Gateway API (HTTPRoute / HealthCheckPolicy)
+- `apiVersion: autoscaling/v1` — заборонено; потрібен `autoscaling/v2`
+- `kind: Service` — анотації `cloud.google.com/neg` та `cloud.google.com/backend-config` заборонені
+- `kind: Deployment` — у кожного контейнера (включно з `initContainers`) обов'язкові `resources.requests.cpu` і `resources.requests.memory` (непорожній рядок або число > 0)
+- `kind: Deployment` з образом `hasura/graphql-engine` — образ має бути у білому списку `allowed_hasura_images` (зараз: `hasura/graphql-engine:v2.49.2.ubuntu.amd64`; `docker.io/` префікс допустимий; digest `@sha256:…` відрізається перед порівнянням)
+- `kind: Deployment` — `spec.strategy.type: RollingUpdate` з `maxUnavailable: 0` і `maxSurge: 1`
+- `kind: Deployment` — канонічний запис у `spec.template.spec.topologySpreadConstraints`: `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app: <app-label>` (перевіряється лише для Deployment з міткою `app` у `spec.selector.matchLabels`)
+
+**Примітка:** cross-file логіка (Kustomize-резолюція, парність svc/svc-hl, HPA/PDB за каталогом, schema modeline) лишається у JS `rules/k8s/fix.mjs`.

package/rules/k8s/policy/network_policy/network_policy.mdc

@@ -0,0 +1,22 @@
+## Перевірки NetworkPolicy
+
+Rego-пакет: `k8s.network_policy`
+
+**Цільові файли:** `networkpolicy.yaml` / будь-який YAML з `kind: NetworkPolicy` або `apiVersion: networking.k8s.io/…`.
+
+**Що перевіряється:**
+
+- `apiVersion: networking.k8s.io/v1`
+- `kind: NetworkPolicy`
+- `spec` — присутній об'єкт
+- `spec.podSelector.matchLabels` — присутній об'єкт; поле `app` обов'язкове і непорожнє
+- `spec.policyTypes` — містить `Ingress` і `Egress`
+- `spec.ingress` — хоча б одне правило з `from.podSelector`
+- **Superset-перевірка egress/ingress:** кожне правило з канон-сніпета має бути присутнє в `spec.egress` / `spec.ingress` (extra-правила дозволені). Канон обирається за анотацією `nitra.dev/workload-kind`:
+  - `StatefulSet` → [stateful-set.snippet.yaml](./template/stateful-set.snippet.yaml) (додає intra-replica ingress/egress)
+  - решта (default) → [deployment.snippet.yaml](./template/deployment.snippet.yaml)
+- Заборонено `egress: [{}]` (allow-all) — навіть як extra-правило
+
+**Передача snippets:** через `--data` при виклику conftest (JS передає `templateData` для `runConftestBatch`).
+
+**Примітка:** cross-file визначення `metadata.name` воркнавантаження і мітки `app` — JS (`validateNetworkPolicyForWorkload`).

package/rules/k8s/policy/svc_hl_yaml/svc_hl_yaml.mdc

@@ -0,0 +1,13 @@
+## Перевірки `svc-hl.yaml` (Headless Service)
+
+Rego-пакет: `k8s.svc_hl_yaml`
+
+**Цільові файли:** лише `svc-hl.yaml` (basename). JS відбирає файли через walk по `basename == "svc-hl.yaml"`.
+
+**Що перевіряється:**
+
+- `kind: Service` — `metadata.name` має закінчуватися на `-hl`
+- `kind: Service` — `spec.clusterIP` має бути `None` (headless)
+
+✓ `metadata.name: my-app-hl`, `spec.clusterIP: None`
+✗ `metadata.name: my-app` (без суфікса), `spec.clusterIP: 10.0.0.1`

package/rules/k8s/policy/svc_yaml/svc_yaml.mdc

@@ -0,0 +1,12 @@
+## Перевірки `svc.yaml` (ClusterIP Service)
+
+Rego-пакет: `k8s.svc_yaml`
+
+**Цільові файли:** лише `svc.yaml` (basename). JS відбирає файли через walk по `basename == "svc.yaml"` і передає conftest з цим namespace.
+
+**Що перевіряється:**
+
+- `kind: Service` — `spec.type` має бути `ClusterIP` (відсутній `spec` або `type != "ClusterIP"` — порушення)
+
+✓ `spec.type: ClusterIP`
+✗ `spec.type: LoadBalancer` або відсутній `spec`

package/rules/nginx-default-tpl/js/dockerfile.mdc

@@ -0,0 +1,36 @@
+## Dockerfile — стиснення статики та envsubst шаблону
+
+Dockerfile потребує двох кроків, пов'язаних з nginx-шаблоном.
+
+### Стиснення статики (gzip_static)
+
+Щоб nginx міг використовувати `gzip_static on`, файли необхідно стиснути під час збирання образу:
+
+```dockerfile
+RUN find /usr/share/nginx/html -type f \( \
+  -name '*.js' -o -name '*.css' -o -name '*.map' -o -name '*.xml' -o \
+  -name '*.webmanifest' -o -name '*.html' -o -name '*.wasm' -o -name '*.ttf' \
+  \) -exec gzip -k {} +
+```
+
+Прапорець `-k` зберігає оригінальний файл поруч зі стиснутим `.gz`.
+
+### envsubst для default.conf.template
+
+Для підстановки змінних середовища у шаблон:
+
+```dockerfile
+# 1) Витягнути імена змінних з ini (ігноруємо коментарі/порожні)
+# 2) Зробити список для envsubst: $NAMESPACE $NAMESPACE2 ...
+# 3) Підвантажити значення з ini і підставити лише їх
+RUN NAMES=$(sed -nE '/^\s*[#;]/d; /^\s*$/d; s/^\s*([A-Za-z_][A-Za-z0-9_]*)\s*=.*/\1/p' /tpl/values-$BRANCH.ini) && \
+ VARS=$(printf '%s\n' $NAMES | awk '{printf "$%s ", $0}') && \
+  export $(grep -v '^#' /tpl/values-$BRANCH.ini | xargs) && \
+  envsubst "$VARS" < /tpl/default.conf.template > /app/default.conf
+```
+
+Перевірки (автоматичні):
+
+- Dockerfile містить `find … /usr/share/nginx/html … gzip -k` — крок стиснення статики
+- Dockerfile містить `envsubst` і посилання на `default.conf.template`
+- Якщо немає жодного Dockerfile / Containerfile поруч з `default.conf.template` — це помилка

package/rules/nginx-default-tpl/js/http-route.mdc

@@ -0,0 +1,41 @@
+## HTTPRoute в k8s — редирект і backendRefs
+
+Якщо в `default.conf.template` були `proxy_pass`-секції — їхню логіку потрібно перенести
+до HTTPRoute в k8s. `default.conf.template` **не повинен** містити жодного proxy.
+
+HTTPRoute має містити два правила:
+
+1. **Exact → RequestRedirect 301 (https)** — редирект з `/$PUBLIC_PATH` на `/$PUBLIC_PATH/`
+2. **PathPrefix → backendRefs:8080** — проксі трафіку на сервіс
+
+```yaml
+spec:
+  rules:
+    - matches:
+        - path:
+            type: Exact
+            value: /$PUBLIC_PATH
+      filters:
+        - type: RequestRedirect
+          requestRedirect:
+            scheme: https
+            path:
+              type: ReplaceFullPath
+              replaceFullPath: /$PUBLIC_PATH/
+            statusCode: 301
+    - matches:
+        - path:
+            type: PathPrefix
+            value: /$PUBLIC_PATH/
+      backendRefs:
+        - name: $SERVICE_NAME
+          port: 8080
+```
+
+де `$PUBLIC_PATH` підставляється з ini-файлу dev-середовища, а для інших середовищ — через `kustomization.yaml`.
+`$SERVICE_NAME` — ім'я k8s-сервісу, що приймає трафік на порту 8080.
+
+Перевірки (автоматичні):
+
+- перше правило має `path.type: Exact` і фільтр `RequestRedirect` з `scheme: https`, `path.type: ReplaceFullPath`, `statusCode: 301`
+- друге правило має `path.type: PathPrefix` і `backendRefs` з `port: 8080`

package/rules/nginx-default-tpl/js/ini-keys.mdc

@@ -0,0 +1,21 @@
+## Конфігураційні *.ini файли і envsubst
+
+Поруч з `default.conf.template` мають бути конфігураційні файли `*.ini` для кожного
+середовища (наприклад, `values-dev.ini`, `values-prod.ini`).
+
+Формат ini-файлу:
+
+```ini
+PUBLIC_PATH=/app
+SERVICE_NAME=my-frontend
+```
+
+Кожна змінна з `*.ini` **повинна використовуватись** у `default.conf.template` як `$KEY`
+(через envsubst). Якщо у `*.ini` є ключ, що відсутній у шаблоні — його треба вилучити з ini
+або додати в шаблон.
+
+Перевірки (автоматичні):
+
+- Поруч з кожним `default.conf.template` є щонайменше один `*.ini` файл
+- Кожен ключ з `*.ini` (рядки виду `KEY=value`, без коментарів `#`/`;` і порожніх рядків)
+  присутній у шаблоні як `$KEY`

package/rules/nginx-default-tpl/js/template-structure.mdc

@@ -0,0 +1,86 @@
+## Канонічна структура default.conf.template
+
+`default.conf.template` — єдиний nginx-конфіг для фронтенду зі статичними файлами.
+Він **не повинен** містити жодних `proxy_pass`, `proxy_redirect`, `proxy_set_header`,
+`fastcgi_pass`, `grpc_pass`, `uwsgi_pass`. Усю проксі-логіку потрібно винести в HTTPRoute (k8s).
+
+Канонічний вигляд файлу:
+
+```nginx
+server_tokens off;
+port_in_redirect off;
+client_max_body_size 0;
+client_body_buffer_size 512M;
+
+server {
+    listen 8080;
+    server_name _;
+
+    # disable all log
+    access_log off;
+    # `error_log off;` — НЕ валідний nginx: "off" трактується як ім'я файлу (/etc/nginx/off)
+    # і падає під readOnlyRootFilesystem. /dev/null — writable device.
+    error_log /dev/null crit;
+
+    # This would be the directory where your Vite app's static files are stored at
+    root /usr/share/nginx/html;
+
+    location /healthz {
+        add_header Content-Type text/plain;
+        access_log off;
+        return 200 "healthy";
+    }
+
+    # Без gz стиснених файлів, 1 year is 31536000 seconds
+    location ~ ^$PUBLIC_PATH/(.+\.(?:gif|jpe?g|png|ico|woff2|xlsx))$ {
+        alias /usr/share/nginx/html/$1;
+        add_header 'Cache-Control' "public,max-age=31536000,immutable";
+    }
+
+    # С gz стисненими файлами, 1 year is 31536000 seconds
+    location ~ ^$PUBLIC_PATH/(.+\.(?:svg|js|css|ttf|map|xml|webmanifest|wasm))$ {
+        alias /usr/share/nginx/html/$1;
+        add_header 'Cache-Control' "public,max-age=31536000,immutable";
+
+        # дозволяє віддавати замість звичайного файлу попередньо стиснутий файл з таким же ім'ям та з розширенням ".gz"
+        gzip_static on;
+    }
+
+    location $PUBLIC_PATH/ {
+        index index.html;
+        alias /usr/share/nginx/html/;
+
+        #  eliminates the step of copying the data into the buffer and enables direct copying data from one file descriptor to another.
+        sendfile on;
+        # to prevent one fast connection from entirely occupying the worker process
+        sendfile_max_chunk 512k;
+        # to send HTTP response headers in one packet right after the chunk of data has been obtained by sendfile().
+        tcp_nopush on;
+
+        # дозволяє віддавати замість звичайного файлу попередньо стиснутий файл з таким же ім'ям та з розширенням ".gz"
+        gzip_static on;
+
+        try_files $uri $uri/ /index.html =404;
+    }
+}
+```
+
+Обов'язкові вимоги до структури (перевіряються автоматично):
+
+- `server_tokens off` — приховує версію nginx у відповідях
+- `port_in_redirect off` — виключає порт з redirect-заголовків
+- `client_max_body_size 0` — без ліміту тіла запиту
+- `client_body_buffer_size 512M`
+- `listen 8080`
+- `server_name _` — catch-all
+- `access_log off`
+- `error_log /dev/null crit` (НЕ `error_log off;` — це некоректно в nginx)
+- `root /usr/share/nginx/html`
+- `location /healthz` з `return 200` і рядком `healthy`
+- location для статики без gzip (`gif|jpeg|png|ico|woff2|xlsx`) з `Cache-Control: max-age=31536000,immutable`
+- location для статики з gzip (`svg|js|css|ttf|map|xml|webmanifest|wasm`) з `gzip_static on`
+- `gzip_static on` щонайменше двічі (два location зі стисненням)
+- `$PUBLIC_PATH` у location — плейсхолдер підставляється через envsubst
+- `sendfile on`, `sendfile_max_chunk 512k`, `tcp_nopush on`
+- `try_files $uri $uri/ /index.html =404`
+- **Відсутність** будь-якого `proxy_pass` / `fastcgi_pass` / `grpc_pass` / `uwsgi_pass`

package/rules/nginx-default-tpl/js/vscode.mdc

@@ -0,0 +1,37 @@
+## VS Code — розширення та налаштування nginx
+
+Коли у проєкті є `default.conf.template`, очікуються відповідні VS Code конфігурації
+для підтримки nginx-синтаксису.
+
+### .vscode/extensions.json
+
+`recommendations` має містити розширення `ahmadalli.vscode-nginx-conf`:
+
+```json
+{
+  "recommendations": [
+    "ahmadalli.vscode-nginx-conf"
+  ]
+}
+```
+
+### .vscode/settings.json
+
+Має бути увімкнений `formatOnSave` і встановлений форматер nginx:
+
+```json
+{
+  "editor.formatOnSave": true,
+  "[nginx]": {
+    "editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"
+  }
+}
+```
+
+Перевірки виконуються через Rego-пакети (conftest):
+
+- `nginx_default_tpl.vscode_extensions` — перевіряє наявність `ahmadalli.vscode-nginx-conf` у `recommendations`
+- `nginx_default_tpl.vscode_settings` — перевіряє `editor.formatOnSave: true` і `[nginx].editor.defaultFormatter: "ahmadalli.vscode-nginx-conf"`
+
+Ці перевірки активуються **лише** якщо в проєкті знайдено `default.conf.template`
+(умовне правило, не auto-discoverable без JS-gate).

package/rules/nginx-default-tpl/main.mdc

@@ -5,120 +5,18 @@ globs: "**/default.{conf.template,tpl.conf}"
 alwaysApply: false
 ---
 
-default.conf.template повинен виглядати так:
+Правило забезпечує відповідність `default.conf.template` канонічній структурі nginx для фронтенду зі статичними файлами, а також перевіряє пов'язані артефакти: HTTPRoute (k8s), Dockerfile, ini-файли середовищ і VS Code конфігурацію.
 
-```nginx
-server_tokens off;
-port_in_redirect off;
-client_max_body_size 0;
-client_body_buffer_size 512M;
+[nginx-default-tpl-template-structure](./js/template-structure.mdc)
 
-server {
-    listen 8080;
-    server_name _;
+[nginx-default-tpl-http-route](./js/http-route.mdc)
 
-    # disable all log
-    access_log off;
-    # `error_log off;` — НЕ валідний nginx: "off" трактується як ім'я файлу (/etc/nginx/off)
-    # і падає під readOnlyRootFilesystem. /dev/null — writable device.
-    error_log /dev/null crit;
+[nginx-default-tpl-dockerfile](./js/dockerfile.mdc)
 
-    # This would be the directory where your Vite app's static files are stored at
-    root /usr/share/nginx/html;
+[nginx-default-tpl-ini-keys](./js/ini-keys.mdc)
 
-    location /healthz {
-        add_header Content-Type text/plain;
-        access_log off;
-        return 200 "healthy";
-    }
+[nginx-default-tpl-vscode](./js/vscode.mdc)
 
-    # Без gz стиснених файлів, 1 year is 31536000 seconds
-    location ~ ^$PUBLIC_PATH/(.+\.(?:gif|jpe?g|png|ico|woff2|xlsx))$ {
-        alias /usr/share/nginx/html/$1;
-        add_header 'Cache-Control' "public,max-age=31536000,immutable";
-    }
+[nginx-default-tpl-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
 
-    # С gz стисненими файлами, 1 year is 31536000 seconds
-    location ~ ^$PUBLIC_PATH/(.+\.(?:svg|js|css|ttf|map|xml|webmanifest|wasm))$ {
-        alias /usr/share/nginx/html/$1;
-        add_header 'Cache-Control' "public,max-age=31536000,immutable";
-
-        # дозволяє віддавати замість звичайного файлу попередньо стиснутий файл з таким же ім'ям та з розширенням ".gz"
-        gzip_static on;
-    }
-
-    location $PUBLIC_PATH/ {
-        index index.html;
-        alias /usr/share/nginx/html/;
-
-        #  eliminates the step of copying the data into the buffer and enables direct copying data from one file descriptor to another.
-        sendfile on;
-        # to prevent one fast connection from entirely occupying the worker process
-        sendfile_max_chunk 512k;
-        # to send HTTP response headers in one packet right after the chunk of data has been obtained by sendfile().
-        tcp_nopush on;
-
-        # дозволяє віддавати замість звичайного файлу попередньо стиснутий файл з таким же ім'ям та з розширенням ".gz"
-        gzip_static on;
-
-        try_files $uri $uri/ /index.html =404;
-    }
-}
-```
-
-Тобто в ньому не потрібно щоб було жодного proxy_pass секціі і інших опцій для proxy.
-
-Якщо в файлі вже були proxy_pass секції, то їх логіку потрібно перенести до HTTPRoute в k8s.
-
-В HTTPRoute повинна бути секція Exact редиректу на версію з /
-
-```yaml
-spec:
-  rules:
-    - matches:
-        - path:
-            type: Exact
-            value: /$PUBLIC_PATH
-      filters:
-        - type: RequestRedirect
-          requestRedirect:
-            scheme: https
-            path:
-              type: ReplaceFullPath
-              replaceFullPath: /$PUBLIC_PATH/
-            statusCode: 301
-    - matches:
-        - path:
-            type: PathPrefix
-            value: /$PUBLIC_PATH/
-      backendRefs:
-        - name: $SERVICE_NAME
-          port: 8080
-```
-
-де $PUBLIC_PATH підставляється з ini файлу з dev середовища, а якщо для інших середовищ відрізняється то підставляється в kustomization.yaml відповідні значення з ini середовища.
-
-В $SERVICE_NAME повинно бути вказано ім'я сервісу, яке буде використовуватися в k8s.
-
-В Dockerfile потрібно додати команду для стиснення файлів, які потім використовуватимуться з `gzip_static on`:
-
-```dockerfile
-RUN find /usr/share/nginx/html -type f \( \
-  -name '*.js' -o -name '*.css' -o -name '*.map' -o -name '*.xml' -o \
-  -name '*.webmanifest' -o -name '*.html' -o -name '*.wasm' -o -name '*.ttf' \
-  \) -exec gzip -k {} +
-```
-
-Поруч з файлом default.conf.template повинні бути конфігураційні файли *.ini для різних середовищ. В Dockerfile повинна бути команда, для заміни плейсхолдерів в цих файлах на значення з середовища:
-
-```dockerfile
-# 1) Витягнути імена змінних з ini (ігноруємо коментарі/порожні)
-# 2) Зробити список для envsubst: $NAMESPACE $NAMESPACE2 ...
-# 3) Підвантажити значення з ini і підставити лише їх
-RUN NAMES=$(sed -nE '/^\s*[#;]/d; /^\s*$/d; s/^\s*([A-Za-z_][A-Za-z0-9_]*)\s*=.*/\1/p' /tpl/values-$BRANCH.ini) && \
- VARS=$(printf '%s\n' $NAMES | awk '{printf "$%s ", $0}') && \
-  export $(grep -v '^#' /tpl/values-$BRANCH.ini | xargs) && \
-  envsubst "$VARS" < /tpl/default.conf.template > /app/default.conf
-```
-
-Якщо у конфігураційних файлах *.ini є змінні які відсутні в default.conf.template, то їх потрібно вилучити.
+[nginx-default-tpl-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/nginx-default-tpl/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,11 @@
+## Rego-gate: наявність розширення nginx у `.vscode/extensions.json`
+
+Rego-пакет: `nginx_default_tpl.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+Перевіряє, що масив `recommendations` містить рядок `"ahmadalli.vscode-nginx-conf"`. Відсутнє поле `recommendations` або порожній масив — теж deny.
+
+✓ `{"recommendations": ["ahmadalli.vscode-nginx-conf"]}`
+✗ `{"recommendations": []}` — розширення відсутнє
+✗ `{}` — поле `recommendations` відсутнє

package/rules/nginx-default-tpl/policy/vscode_settings/vscode_settings.mdc

@@ -0,0 +1,15 @@
+## Rego-gate: налаштування форматера nginx у `.vscode/settings.json`
+
+Rego-пакет: `nginx_default_tpl.vscode_settings`
+
+Цільовий файл: `.vscode/settings.json`
+
+Три незалежні deny-правила:
+
+1. `"editor.formatOnSave"` має бути `true` (відсутність або `false` → deny).
+2. `"[nginx]"` має бути обʼєктом (рядок або відсутність → deny).
+3. `"[nginx].editor.defaultFormatter"` має дорівнювати `"ahmadalli.vscode-nginx-conf"`.
+
+✓ `{"editor.formatOnSave": true, "[nginx]": {"editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"}}`
+✗ `{"editor.formatOnSave": false, "[nginx]": {"editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"}}` — formatOnSave не true
+✗ `{"editor.formatOnSave": true, "[nginx]": "ahmadalli.vscode-nginx-conf"}` — `[nginx]` не обʼєкт

package/rules/npm-module/js/docs/index.md

@@ -6,9 +6,9 @@ resource: npm/rules/npm-module/js/
 
 # npm/rules/npm-module/js
 
-| Файл | Тип |
-|---|---|
+| Файл                                            | Тип       |
+| ----------------------------------------------- | --------- |
 | [header_doc_pointer.mjs](header_doc_pointer.md) | JS Module |
-| [package_structure.mjs](package_structure.md) | JS Module |
-| [rule_meta.mjs](rule_meta.md) | JS Module |
-| [skill_meta.mjs](skill_meta.md) | JS Module |
+| [package_structure.mjs](package_structure.md)   | JS Module |
+| [rule_meta.mjs](rule_meta.md)                   | JS Module |
+| [skill_meta.mjs](skill_meta.md)                 | JS Module |

package/rules/npm-module/js/docs/rule_meta.md

@@ -17,12 +17,12 @@ docgen:
 1. Перевіряє наявність каталогу `npm/rules` у корені репозиторію. Якщо каталог відсутній, завершує роботу, повідомляючи про відсутність правил для валідації.
 2. Ітерує по всім підкаталогах у `npm/rules`, ігноруючи приховані каталоги.
 3. Для кожного каталогу виконує перевірку правила:
-    а. Перевіряє відсутність файлу `auto.md`. Якщо знайдено, повідомляє про залишковий файл.
-    б. Перевіряє наявність файлу `main.mdc`. Якщо відсутній, повідомляє про відсутність обов'язкового файлу (scripts.mdc).
-    в. Зчитує вміст `main.json` каталогу правила. Якщо файл відсутній або невалідний, повідомляє про це та пропускає подальшу валідацію цього правила.
-    г. Перевіряє поле `auto` у `main.json`. Якщо поле присутнє, валідує його структуру та перевіряє, чи всі використані предикати визначені.
-    ґ. Перевіряє поле `lint` у `main.json`. Якщо поле присутнє, валідує його структуру та перевіряє, чи експортує файл `main.mjs` відповідну функцію `lint`.
-    і. Якщо всі перевірки для правила пройдені успішно, повідомляє про валідність `main.json`.
+   а. Перевіряє відсутність файлу `auto.md`. Якщо знайдено, повідомляє про залишковий файл.
+   б. Перевіряє наявність файлу `main.mdc`. Якщо відсутній, повідомляє про відсутність обов'язкового файлу (scripts.mdc).
+   в. Зчитує вміст `main.json` каталогу правила. Якщо файл відсутній або невалідний, повідомляє про це та пропускає подальшу валідацію цього правила.
+   г. Перевіряє поле `auto` у `main.json`. Якщо поле присутнє, валідує його структуру та перевіряє, чи всі використані предикати визначені.
+   ґ. Перевіряє поле `lint` у `main.json`. Якщо поле присутнє, валідує його структуру та перевіряє, чи експортує файл `main.mjs` відповідну функцію `lint`.
+   і. Якщо всі перевірки для правила пройдені успішно, повідомляє про валідність `main.json`.
 4. Після обробки всіх правил повертає код виходу, що відображає загальний статус валідації.
 
 ## Публічний API