npm - @nitra/cursor - Versions diffs - 12.8.7 → 12.8.9 - Mend

@nitra/cursor 12.8.7 → 12.8.9

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (111) hide show

package/rules/js/policy/lint_js_yml/lint_js_yml.mdc ADDED Viewed

@@ -0,0 +1,14 @@
+## Rego-gate `.github/workflows/lint-js.yml`
+Rego-пакет: `js_lint.lint_js_yml`
+Цільовий файл: `.github/workflows/lint-js.yml`.
+Що перевіряється:
+- Наявність усіх `uses:`-кроків з канону (subset-of по `jobs.eslint.steps`)
+- Наявність усіх рядків `run:` з канону (substring-match по всіх кроках)
+- `actions/checkout@v6` має мати `with.persist-credentials: false` (inverse-check)
+- Заборона `--fix` у CI: `bunx oxlint ... --fix` або `eslint --fix` у будь-якому `run:` → deny
+Канон-snippet: [lint-js.yml.snippet.yml](./template/lint-js.yml.snippet.yml)

package/rules/js/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,15 @@
+## Rego-gate `package.json`
+Rego-пакет: `js_lint.package_json`
+Цільовий файл: `package.json` (корінь і workspace-пакети).
+Що перевіряється:
+- `"type"` — точна відповідність `"module"` (з канон-snippet)
+- `scripts.lint-js` — нормалізована точна відповідність (collapse whitespace)
+- `engines.node` — semver-парсинг: major >= 24 (inverse, без template)
+- `engines.bun` — semver-парсинг: >= 1.3 (inverse, без template)
+- `devDependencies["@nitra/eslint-config"]` — наявність ключа + semver >= порогу зі snippet (`^3.10.0`); `workspace:*` завжди проходить
+Канон-snippet: [package.json.snippet.json](./template/package.json.snippet.json)

package/rules/js/policy/vscode_extensions/vscode_extensions.mdc ADDED Viewed

@@ -0,0 +1,11 @@
+## Rego-gate `.vscode/extensions.json`
+Rego-пакет: `js_lint.vscode_extensions`
+Цільовий файл: `.vscode/extensions.json`.
+Що перевіряється:
+- `recommendations` — subset-of: масив має містити всі три канонічні розширення (`dbaeumer.vscode-eslint`, `github.vscode-github-actions`, `oxc.oxc-vscode`)
+Канон-snippet: [extensions.json.snippet.json](./template/extensions.json.snippet.json)

package/rules/js-bun-db/main.mdc CHANGED Viewed

@@ -27,9 +27,4 @@ version: '1.15'
 ## Швидкий gate через conftest
-Rego-пакет `js_bun_db.package_json` (файл `policy/package_json/package_json.rego`) перевіряє `dependencies` у `package.json` проти deny-списку [`package.json.deny.json`](./policy/package_json/template/package.json.deny.json):
-- `pg-format` → заміни на Bun native SQL — без ручного форматування
-- `mysql2` → заміни на Bun native SQL
-AST-скан коду (`new SQL(...)` у функціях, `unsafe()` без маркера, pg-leftover, динамічні `IN (…)` через `.join(',')`) лишається у JS-перевірці (`js/safety.mjs`). Виключення `pg` для LISTEN/NOTIFY зважується у JS (Rego не бачить JS-коду).
+[js-bun-db-package-json](./policy/package_json/package_json.mdc)

package/rules/js-bun-db/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,17 @@
+## Заборонені залежності у package.json
+Rego-пакет: `js_bun_db.package_json`
+Цільові файли: `**/package.json`
+Перевіряє поле `dependencies` на наявність пакетів із deny-списку [`package.json.deny.json`](./template/package.json.deny.json). Список керується даними (`--data`), тому розширюється без зміни rego-коду.
+Поточний deny-список:
+- `pg-format` — заміни на Bun native SQL (без ручного форматування)
+- `mysql2` — заміни на Bun native SQL
+`pg` у dependencies **не** є порушенням на рівні Rego — виняток для LISTEN/NOTIFY зважується у JS-сканері (`js/safety.mjs`).
+✓ `{ "dependencies": { "pg": "^8.0.0" } }` — дозволено
+✗ `{ "dependencies": { "pg-format": "^1.0.0" } }` — `deny: dependencies.pg-format — заміни на Bun native SQL`

package/rules/js-bun-redis/main.mdc CHANGED Viewed

@@ -10,3 +10,5 @@ version: '1.2'
 [js-bun-redis-imports](./js/imports.mdc)
 [js-bun-redis-package_json](./js/package_json.mdc)
+[js-bun-redis-policy-package_json](./policy/package_json/package_json.mdc)

package/rules/js-bun-redis/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,11 @@
+## Rego gate: заборонені redis-залежності у `package.json`
+Rego-пакет: `js-bun-redis.package_json`
+**Цільовий файл:** `package.json` (поле `dependencies`)
+Перевіряє наявність заборонених redis-пакетів у `dependencies`. Список заборон надходить через `--data` з канонічного шаблону:
+[package.json.deny.json](./template/package.json.deny.json)
+Повідомлення про порушення формується як `dependencies.<pkg> — <reason>`.

package/rules/js-mssql/main.mdc CHANGED Viewed

@@ -21,6 +21,6 @@ version: '1.4'
 Rego-перевірки (`policy/`) — швидкий синхронний gate для одиничного `package.json` без JS-рантайму:
-- `js_mssql.package_json` — перевіряє `dependencies.mssql >= 12.5.0` у вхідному `package.json`.
+[js-mssql-package_json](./policy/package_json/package_json.mdc)
 JS-перевірка (`deps.mjs`) — authoritative: охоплює всі `package.json` репо, AST-скан JS/TS-джерел і повний semver-triple-compare. Rego-gate — доповнення, не заміна.

package/rules/js-mssql/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## Rego-gate: версія `mssql` у `package.json`
+Rego-пакет: `js_mssql.package_json`
+Цільові файли: `**/package.json`
+Перевіряє поле `dependencies.mssql` — якщо присутнє, версія має бути `>= 12.5.0`. Підтримувані формати: `^12.5.0`, `>=12.5.0`, `12.5.0`, `workspace:*` (OK). Версії нижче 12.5.x генерують `deny`.
+Це швидкий синхронний gate для одиничного `package.json`. Authoritative-перевірка (повний semver-triple-compare, усі `package.json` репо) — у JS (`fix.mjs`).

package/rules/js-run/main.mdc CHANGED Viewed

@@ -31,6 +31,8 @@ version: '1.12'
 Rego-пакети, які запускає `npx @nitra/cursor fix js-run` / `npx @nitra/cursor check`:
-- `js_run.package_json` — заборонені `dependencies`/`devDependencies` (`bunyan`, `@nitra/bunyan`) і заборонені патерни у `scripts` (`node`, `env $(cat …) bun`)
-- `js_run.jsconfig` — відповідність `jsconfig.json` канону (`NodeNext`, `include: src/**/*`)
-- `js_run.configmap` — наявність `service.name=` і `service.namespace=` у `OTEL_RESOURCE_ATTRIBUTES` в `k8s/base/configmap.yaml`
+[js-run-package_json](./policy/package_json/package_json.mdc)
+[js-run-jsconfig](./policy/jsconfig/jsconfig.mdc)
+[js-run-configmap](./policy/configmap/configmap.mdc)

package/rules/js-run/policy/configmap/configmap.mdc ADDED Viewed

@@ -0,0 +1,31 @@
+## Rego-gate: OTEL ConfigMap (k8s)
+Rego-пакет: `js-run.configmap`
+**Цільові файли:** `k8s/base/configmap.yaml` (і будь-які ConfigMap у kustomize-оверлеях)
+**Умова спрацювання:** `input.kind == "ConfigMap"`
+Перевіряє, що поле `data.OTEL_RESOURCE_ATTRIBUTES` містить усі обовʼязкові substring-маркери, визначені у template:
+- `service.name=`
+- `service.namespace=`
+Канон маркерів: [configmap.yaml.contains.yml](./template/configmap.yaml.contains.yml)
+**✓ Правильно**
+```yaml
+data:
+  OTEL_RESOURCE_ATTRIBUTES: 'service.name=my-svc,service.namespace=prod'
+```
+**✗ Неправильно**
+```yaml
+data:
+  OTEL_RESOURCE_ATTRIBUTES: 'service.name=my-svc'
+# Відсутній service.namespace= → deny
+```
+Ресурси типу `kind: Deployment` та інші non-ConfigMap — ігноруються.

package/rules/js-run/policy/jsconfig/jsconfig.mdc ADDED Viewed

@@ -0,0 +1,25 @@
+## Rego-gate: jsconfig.json
+Rego-пакет: `js-run.jsconfig`
+**Цільові файли:** `jsconfig.json` у корені backend workspace-пакету
+Порівнює `jsconfig.json` з каноном через walker по всіх листах template:
+- `compilerOptions.*` — значення мають збігатись точно
+- `include` — масив порівнюється як множина (точний склад)
+Канон: [jsconfig.json.snippet.json](./template/jsconfig.json.snippet.json)
+Перевірені поля:
+| Поле | Очікуване значення |
+|------|--------------------|
+| `compilerOptions.module` | `"NodeNext"` |
+| `compilerOptions.moduleResolution` | `"NodeNext"` |
+| `compilerOptions.target` | `"esnext"` |
+| `compilerOptions.lib` | `["esnext"]` |
+| `compilerOptions.checkJs` | `false` |
+| `include` | `["src/**/*"]` |
+Якщо розділ `compilerOptions` відсутній або не є обʼєктом — deny.

package/rules/js-run/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,38 @@
+## Rego-gate: package.json (залежності та scripts)
+Rego-пакет: `js-run.package_json`
+**Цільові файли:** `package.json` у backend workspace-пакетах (без `vite` у `devDependencies`)
+Перевіряє три класи порушень за deny-списком із template:
+Канон deny-списку: [package.json.deny.json](./template/package.json.deny.json)
+**1. Заборонені залежності** (`dependencies` / `devDependencies`)
+| Пакет | Причина |
+|-------|---------|
+| `bunyan` | використовуй стандартні логери |
+| `@nitra/bunyan` | використовуй стандартні логери |
+**2. Заборонений рантайм у `scripts`** (лише backend-пакети без `vite`)
+- Патерн `\bnode(\s|$)` — заміни `node` на `bun`
+- Патерн `\benv\s+\$\(cat\s+[^)]+\)\s+bun\b` — заміни `env $(cat A B) bun` на `bun --env-file=A --env-file=B`
+**✓ Правильно**
+```json
+{ "scripts": { "start": "bun src/index.js" } }
+{ "scripts": { "start": "bun --env-file=.env src/index.js" } }
+```
+**✗ Неправильно**
+```json
+{ "scripts": { "start": "node src/index.js" } }
+{ "scripts": { "start": "env $(cat .env .env.local) bun src/index.js" } }
+{ "dependencies": { "bunyan": "^1.0.0" } }
+```
+Пакети з `vite` у `devDependencies` — frontend, поза областю js-run, перевірка scripts не застосовується.

package/rules/k8s/main.mdc CHANGED Viewed

@@ -45,16 +45,24 @@ alwaysApply: false
 Підмножину пер-документних правил продубльовано як rego-полісі у **`npm/rules/k8s/policy/`** (запускається через **`bun run lint-rego`** для `*_test.rego` юніт-тестів і через **`npx @nitra/cursor fix k8s`** для прогону по реальних YAML). JS authoritative; rego — швидкий gate для одиничного маніфеста.
-Пакети (директорія в **`npm/rules/k8s/policy/`** → namespace → що перевіряє):
-- **`manifest/`** → `k8s.manifest` — per-doc: заборона `kind: Ingress` і `autoscaling/v1`; заборонені GKE-анотації Service; resources.requests.cpu/memory в Deployment; дозволений образ hasura; RollingUpdate strategy; topologySpreadConstraints.
-- **`base_manifest/`** → `k8s.base_manifest` — Deployment у `base/`: фіксовані cpu=`0.02` / memory=`128Mi`; непорожній `metadata.namespace` для namespaced kinds.
-- **`base_kustomization/`** → `k8s.base_kustomization` — `base/kustomization.yaml`: непорожній `namespace:`; заборона `hpa.yaml`/`pdb.yaml` у `resources:`.
-- **`gateway/`** → `k8s.gateway` — HTTPRoute/GRPCRoute/TCPRoute/TLSRoute/UDPRoute: backendRef на headless Service (суфікс `-hl`); заборона redundant `namespace` у backendRef; HealthCheckPolicy: `targetRef.name` з суфіксом `-hl`.
-- **`hasura_configmap/`** → `k8s.hasura_configmap` — ConfigMap поруч з Hasura Deployment: обов'язкові env-ключі та значення.
-- **`hasura_httproute/`** → `k8s.hasura_httproute` — HTTPRoute парний з Hasura Deployment: канон 4 правил (Exact redirect × 2 + PathPrefix rewrite + WebSocket).
-- **`hpa_pdb/`** → `k8s.hpa_pdb` — структурна перевірка HPA (`autoscaling/v2`, spec.behavior, spec.metrics) і PDB (`policy/v1`, spec.selector.matchLabels).
-- **`kustomization/`** → `k8s.kustomization` — `kustomization.yaml`: сортування `resources[]` і `patches[]`; заборона `remove`+`add` на той самий path (вимагає `replace`).
-- **`network_policy/`** → `k8s.network_policy` — NetworkPolicy: apiVersion, spec.podSelector, policyTypes Ingress+Egress, superset-перевірка egress/ingress за snippet-файлами.
-- **`svc_yaml/`** → `k8s.svc_yaml` — `svc.yaml`: `spec.type: ClusterIP`.
-- **`svc_hl_yaml/`** → `k8s.svc_hl_yaml` — `svc-hl.yaml`: `metadata.name` з суфіксом `-hl`; `spec.clusterIP: None`.
+[k8s-policy-manifest](./policy/manifest/manifest.mdc)
+[k8s-policy-base-manifest](./policy/base_manifest/base_manifest.mdc)
+[k8s-policy-base-kustomization](./policy/base_kustomization/base_kustomization.mdc)
+[k8s-policy-gateway](./policy/gateway/gateway.mdc)
+[k8s-policy-hasura-configmap](./policy/hasura_configmap/hasura_configmap.mdc)
+[k8s-policy-hasura-httproute](./policy/hasura_httproute/hasura_httproute.mdc)
+[k8s-policy-hpa-pdb](./policy/hpa_pdb/hpa_pdb.mdc)
+[k8s-policy-kustomization](./policy/kustomization/kustomization.mdc)
+[k8s-policy-network-policy](./policy/network_policy/network_policy.mdc)
+[k8s-policy-svc-yaml](./policy/svc_yaml/svc_yaml.mdc)
+[k8s-policy-svc-hl-yaml](./policy/svc_hl_yaml/svc_hl_yaml.mdc)

package/rules/k8s/policy/base_kustomization/base_kustomization.mdc ADDED Viewed

@@ -0,0 +1,12 @@
+## Перевірки `base/kustomization.yaml`
+Rego-пакет: `k8s.base_kustomization`
+**Цільові файли:** `k8s/.../base/kustomization.yaml` (вибір через `isBaseKustomizationPath` у JS; `kind: Kustomization`, `apiVersion: kustomize.config.k8s.io/…`).
+**Що перевіряється:**
+- `namespace:` — обов'язковий і непорожній (наприклад `namespace: dev`)
+- `resources:` — не повинен містити `hpa.yaml` або `pdb.yaml` (у будь-якому підкаталозі); HPA/PDB мають бути у sibling-каталозі `components/` і підключатися з overlay через `components: [- ../components]`
+**Примітка:** рекурсивний обхід `resources:`/`components:`/`bases:` із зануренням у вкладені `kustomization.yaml` — у JS (`verifyK8sBaseKustomizeHasNoHpaPdb`). NetworkPolicy у `base/resources:` — дозволена і не блокується цим правилом.

package/rules/k8s/policy/base_manifest/base_manifest.mdc ADDED Viewed

@@ -0,0 +1,14 @@
+## Перевірки маніфестів у шарі `base/`
+Rego-пакет: `k8s.base_manifest`
+**Цільові файли:** будь-який `*.yaml` у шляху `k8s/.../base/` (окрім `kustomization.yaml`). JS відбирає файли через `isK8sBaseManifestYamlPath` і передає conftest з цим namespace.
+**Що перевіряється:**
+- Namespaced kind — обов'язковий непорожній `metadata.namespace` (cluster-scoped kinds, `List`, `Kustomization` — виняток; список cluster-scoped kinds узгоджено з `CLUSTER_SCOPED_KINDS` у `fix.mjs`)
+- `kind: Deployment` — фіксовані resource-requests у кожному контейнері (включно з `initContainers`):
+  - `resources.requests.cpu` рівно `"0.02"` (або число `0.02`)
+  - `resources.requests.memory` рівно `"128Mi"` (суфікс `Mi` без урахування регістру)
+**Примітка:** cross-file перевірки (`metadataNamespaceRequiredViolation` у ширшому контексті дерева) лишаються у JS.

package/rules/k8s/policy/gateway/gateway.mdc ADDED Viewed

@@ -0,0 +1,17 @@
+## Перевірки Gateway API маршрутів і HealthCheckPolicy
+Rego-пакет: `k8s.gateway`
+**Цільові файли:** YAML з `kind` одного з: `HTTPRoute`, `GRPCRoute`, `TCPRoute`, `TLSRoute`, `UDPRoute` (`apiVersion: gateway.networking.k8s.io/…`); `HealthCheckPolicy` (`apiVersion: networking.gke.io/…`).
+**Що перевіряється:**
+- `HealthCheckPolicy`: `spec.targetRef` обов'язковий; якщо `targetRef.kind` не вказано або `Service` — `targetRef.name` має закінчуватися на `-hl` (headless Service)
+- Gateway API маршрут: кожен `backendRef` до Service (визначається за полями `name` + `port`; `kind`/`group` необов'язкові) — ім'я має закінчуватися на `-hl`
+- Gateway API маршрут: `backendRef` з полем `namespace`, що збігається з `metadata.namespace` маршруту, — заборонено (надлишкове поле, ламається при overlay-перенесеннях)
+**Приклади:**
+✓ `backendRef.name: my-svc-hl` (headless)
+✗ `backendRef.name: my-svc` (без суфікса `-hl`)
+✗ `backendRef.namespace: dev` при `metadata.namespace: dev` (redundant)

package/rules/k8s/policy/hasura_configmap/hasura_configmap.mdc ADDED Viewed

@@ -0,0 +1,20 @@
+## Перевірки ConfigMap для Hasura-Deployment
+Rego-пакет: `k8s.hasura_configmap`
+**Цільові файли:** `configmap.yaml` у каталогах, де є Deployment з образом `hasura/graphql-engine`. JS (`manifests.mjs`) знаходить відповідні ConfigMap через cross-file збіг і передає їх conftest з цим namespace.
+**Що перевіряється (обов'язкові ключі у `data`):**
+| Ключ | Очікуване значення |
+|------|--------------------|
+| `HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS` | `"true"` |
+| `HASURA_GRAPHQL_ENABLE_RELAY` | `"false"` |
+| `HASURA_GRAPHQL_ENABLE_TELEMETRY` | `"false"` |
+| `HASURA_GRAPHQL_ENABLED_LOG_TYPES` | `"startup,http-log"` (точно) |
+| `HASURA_GRAPHQL_ENABLED_APIS` | `"metadata,graphql,pgdump"` (base/dev; overlay має патчем замінити на `"metadata,graphql"`) |
+| `HASURA_GRAPHQL_DISABLE_EVENTING` | ключ обов'язковий, значення довільне (рекомендовано `"true"`) |
+Семантика: `"true"`/`"false"` приймаються як boolean або рядок (case-insensitive); точний рядок — exact match.
+**Примітка:** відбір ConfigMap за сусідством із Hasura-Deployment — cross-file, у JS. Rego — пер-документна валідація полів `data`.

package/rules/k8s/policy/hasura_httproute/hasura_httproute.mdc ADDED Viewed

@@ -0,0 +1,16 @@
+## Перевірки HTTPRoute, парного з Hasura-Deployment
+Rego-пакет: `k8s.hasura_httproute`
+**Цільові файли:** `hr.yaml` (або будь-який HTTPRoute з `kind: HTTPRoute`) у каталогах, де є Deployment з образом `hasura/graphql-engine`. JS знаходить пару Deployment–HTTPRoute через `collectHasuraDeploymentsAndHttpRoutes` і передає conftest з цим namespace.
+**Що перевіряється — канон 4 правил у `spec.rules` (у порядку):**
+1. `matches: [{path: {type: Exact, value: "<prefix>/ql"}}]` (без headers) + `filters: [RequestRedirect ReplaceFullPath "<prefix>/ql/console" statusCode 302]`
+2. `matches: [{path: {type: Exact, value: "<prefix>/ql/"}}]` + такий самий redirect на `<prefix>/ql/console`
+3. `matches: [{path: {type: PathPrefix, value: "<prefix>/ql"}}]` + `filters: [URLRewrite ReplacePrefixMatch "/"]` + один `backendRef` на headless Service
+4. WebSocket: `matches: [{path: PathPrefix "<prefix>/ql", headers: [{Exact "Upgrade: websocket"}]}]` + `filters: [URLRewrite ReplacePrefixMatch "/", RequestHeaderModifier remove [Authorization]]` + той самий `backendRef`
+`<prefix>` визначається автоматично як рядок до `/ql` у першому matching-правилі. Додаткові правила поверх канону дозволені.
+**Примітка:** cross-file прив'язка HTTPRoute до Deployment — JS (`validateHasuraHttpRouteCanon`).

package/rules/k8s/policy/hpa_pdb/hpa_pdb.mdc ADDED Viewed

@@ -0,0 +1,23 @@
+## Структурні перевірки HPA і PDB
+Rego-пакет: `k8s.hpa_pdb`
+**Цільові файли:** `hpa.yaml` (`kind: HorizontalPodAutoscaler`) та `pdb.yaml` (`kind: PodDisruptionBudget`) у overlay-каталогах (не в `base/`).
+**Що перевіряється:**
+HPA (`kind: HorizontalPodAutoscaler` або `apiVersion: autoscaling/…`):
+- `apiVersion: autoscaling/v2` (не v1)
+- `kind: HorizontalPodAutoscaler`
+- `spec` — присутній об'єкт
+- `spec.behavior` — присутній; містить `scaleUp` і `scaleDown`, кожен з непорожнім масивом `policies`
+- `spec.metrics` — непорожній масив
+PDB (`kind: PodDisruptionBudget` або `apiVersion: policy/v1`):
+- `apiVersion: policy/v1`
+- `kind: PodDisruptionBudget`
+- `spec` — присутній об'єкт
+- `spec.selector` — присутній об'єкт
+- `spec.selector.matchLabels` — присутній об'єкт
+**Примітка:** cross-file перевірки (відповідність `expectedDeployName`, `expectedAppLabel`, `isDevLike`-сегмент) лишаються у JS (`hpaManifestViolations`, `pdbManifestViolations`).

package/rules/k8s/policy/kustomization/kustomization.mdc ADDED Viewed

@@ -0,0 +1,20 @@
+## Структурні перевірки `kustomization.yaml`
+Rego-пакет: `k8s.kustomization`
+**Цільові файли:** будь-який `kustomization.yaml` (`kind: Kustomization`, `apiVersion: kustomize.config.k8s.io/…`).
+**Що перевіряється:**
+- `resources[]` — має бути масивом рядків; непорожні рядки мають бути відсортовані за алфавітом (en, case-insensitive)
+- `patches[]` — має бути масивом; елементи мають бути відсортовані за tuple `(target.kind, target.name, target.namespace, path)` (case-insensitive)
+- Inline patch (поле `patch` як YAML-рядок JSON6902): у наборі операцій не може бути одночасно `op: remove` і `op: add` на той самий `path` — потрібен `op: replace`
+**Приклади:**
+✓ `resources: [deployment.yaml, hpa.yaml, svc.yaml]` (алфавіт)
+✗ `resources: [svc.yaml, deployment.yaml]` (не за алфавітом)
+✓ `op: replace` для зміни значення поля
+✗ `op: remove` + `op: add` на один `path` в одному patch
+**Примітка:** резолюція kustomize-дерева, перевірка існування refs на диску, парність `svc.yaml`/`svc-hl.yaml` — JS (`rules/k8s/fix.mjs`).

package/rules/k8s/policy/manifest/manifest.mdc ADDED Viewed

@@ -0,0 +1,17 @@
+## Пер-документні перевірки маніфестів Kubernetes
+Rego-пакет: `k8s.manifest`
+**Цільові файли:** будь-який `*.yaml` у шляху з `k8s/` (окрім `kustomization.yaml`, `base/`, `svc.yaml`, `svc-hl.yaml`). Conftest розрізає multi-doc YAML по `---` і запускає policy на кожен документ окремо.
+**Що перевіряється:**
+- `kind: Ingress` — заборонено; потрібен Gateway API (HTTPRoute / HealthCheckPolicy)
+- `apiVersion: autoscaling/v1` — заборонено; потрібен `autoscaling/v2`
+- `kind: Service` — анотації `cloud.google.com/neg` та `cloud.google.com/backend-config` заборонені
+- `kind: Deployment` — у кожного контейнера (включно з `initContainers`) обов'язкові `resources.requests.cpu` і `resources.requests.memory` (непорожній рядок або число > 0)
+- `kind: Deployment` з образом `hasura/graphql-engine` — образ має бути у білому списку `allowed_hasura_images` (зараз: `hasura/graphql-engine:v2.49.2.ubuntu.amd64`; `docker.io/` префікс допустимий; digest `@sha256:…` відрізається перед порівнянням)
+- `kind: Deployment` — `spec.strategy.type: RollingUpdate` з `maxUnavailable: 0` і `maxSurge: 1`
+- `kind: Deployment` — канонічний запис у `spec.template.spec.topologySpreadConstraints`: `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app: <app-label>` (перевіряється лише для Deployment з міткою `app` у `spec.selector.matchLabels`)
+**Примітка:** cross-file логіка (Kustomize-резолюція, парність svc/svc-hl, HPA/PDB за каталогом, schema modeline) лишається у JS `rules/k8s/fix.mjs`.

package/rules/k8s/policy/network_policy/network_policy.mdc ADDED Viewed

@@ -0,0 +1,22 @@
+## Перевірки NetworkPolicy
+Rego-пакет: `k8s.network_policy`
+**Цільові файли:** `networkpolicy.yaml` / будь-який YAML з `kind: NetworkPolicy` або `apiVersion: networking.k8s.io/…`.
+**Що перевіряється:**
+- `apiVersion: networking.k8s.io/v1`
+- `kind: NetworkPolicy`
+- `spec` — присутній об'єкт
+- `spec.podSelector.matchLabels` — присутній об'єкт; поле `app` обов'язкове і непорожнє
+- `spec.policyTypes` — містить `Ingress` і `Egress`
+- `spec.ingress` — хоча б одне правило з `from.podSelector`
+- **Superset-перевірка egress/ingress:** кожне правило з канон-сніпета має бути присутнє в `spec.egress` / `spec.ingress` (extra-правила дозволені). Канон обирається за анотацією `nitra.dev/workload-kind`:
+  - `StatefulSet` → [stateful-set.snippet.yaml](./template/stateful-set.snippet.yaml) (додає intra-replica ingress/egress)
+  - решта (default) → [deployment.snippet.yaml](./template/deployment.snippet.yaml)
+- Заборонено `egress: [{}]` (allow-all) — навіть як extra-правило
+**Передача snippets:** через `--data` при виклику conftest (JS передає `templateData` для `runConftestBatch`).
+**Примітка:** cross-file визначення `metadata.name` воркнавантаження і мітки `app` — JS (`validateNetworkPolicyForWorkload`).

package/rules/k8s/policy/svc_hl_yaml/svc_hl_yaml.mdc ADDED Viewed

@@ -0,0 +1,13 @@
+## Перевірки `svc-hl.yaml` (Headless Service)
+Rego-пакет: `k8s.svc_hl_yaml`
+**Цільові файли:** лише `svc-hl.yaml` (basename). JS відбирає файли через walk по `basename == "svc-hl.yaml"`.
+**Що перевіряється:**
+- `kind: Service` — `metadata.name` має закінчуватися на `-hl`
+- `kind: Service` — `spec.clusterIP` має бути `None` (headless)
+✓ `metadata.name: my-app-hl`, `spec.clusterIP: None`
+✗ `metadata.name: my-app` (без суфікса), `spec.clusterIP: 10.0.0.1`

package/rules/k8s/policy/svc_yaml/svc_yaml.mdc ADDED Viewed

@@ -0,0 +1,12 @@
+## Перевірки `svc.yaml` (ClusterIP Service)
+Rego-пакет: `k8s.svc_yaml`
+**Цільові файли:** лише `svc.yaml` (basename). JS відбирає файли через walk по `basename == "svc.yaml"` і передає conftest з цим namespace.
+**Що перевіряється:**
+- `kind: Service` — `spec.type` має бути `ClusterIP` (відсутній `spec` або `type != "ClusterIP"` — порушення)
+✓ `spec.type: ClusterIP`
+✗ `spec.type: LoadBalancer` або відсутній `spec`

package/rules/nginx-default-tpl/main.mdc CHANGED Viewed

@@ -16,3 +16,7 @@ alwaysApply: false
 [nginx-default-tpl-ini-keys](./js/ini-keys.mdc)
 [nginx-default-tpl-vscode](./js/vscode.mdc)
+[nginx-default-tpl-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
+[nginx-default-tpl-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/nginx-default-tpl/policy/vscode_extensions/vscode_extensions.mdc ADDED Viewed

@@ -0,0 +1,11 @@
+## Rego-gate: наявність розширення nginx у `.vscode/extensions.json`
+Rego-пакет: `nginx_default_tpl.vscode_extensions`
+Цільовий файл: `.vscode/extensions.json`
+Перевіряє, що масив `recommendations` містить рядок `"ahmadalli.vscode-nginx-conf"`. Відсутнє поле `recommendations` або порожній масив — теж deny.
+✓ `{"recommendations": ["ahmadalli.vscode-nginx-conf"]}`
+✗ `{"recommendations": []}` — розширення відсутнє
+✗ `{}` — поле `recommendations` відсутнє

package/rules/nginx-default-tpl/policy/vscode_settings/vscode_settings.mdc ADDED Viewed

@@ -0,0 +1,15 @@
+## Rego-gate: налаштування форматера nginx у `.vscode/settings.json`
+Rego-пакет: `nginx_default_tpl.vscode_settings`
+Цільовий файл: `.vscode/settings.json`
+Три незалежні deny-правила:
+1. `"editor.formatOnSave"` має бути `true` (відсутність або `false` → deny).
+2. `"[nginx]"` має бути обʼєктом (рядок або відсутність → deny).
+3. `"[nginx].editor.defaultFormatter"` має дорівнювати `"ahmadalli.vscode-nginx-conf"`.
+✓ `{"editor.formatOnSave": true, "[nginx]": {"editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"}}`
+✗ `{"editor.formatOnSave": false, "[nginx]": {"editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"}}` — formatOnSave не true
+✗ `{"editor.formatOnSave": true, "[nginx]": "ahmadalli.vscode-nginx-conf"}` — `[nginx]` не обʼєкт

package/rules/npm-module/main.mdc CHANGED Viewed

@@ -25,7 +25,10 @@ Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.g
 Rego-пакети (запускаються через `npx @nitra/cursor fix`):
-- `npm_module.npm_package_json` — валідує `npm/package.json`: поле `types`, наявність і непорожність `files`, subset-of з template (зокрема `"types"` у `files`), заборона `devDependencies`.
-- `npm_module.root_package_json` — валідує кореневий `package.json`: поле `workspaces` має містити `"npm"`.
-- `npm_module.emit_types_config` — валідує `npm/tsconfig.emit-types.json`: `compilerOptions` відповідає канонічному сніпету (allowJs, declaration, emitDeclarationOnly, outDir, skipLibCheck).
+[npm-module-npm_package_json](./policy/npm_package_json/npm_package_json.mdc)
+[npm-module-root_package_json](./policy/root_package_json/root_package_json.mdc)
+[npm-module-emit_types_config](./policy/emit_types_config/emit_types_config.mdc)
 - `npm_module.npm_publish_yml` — template-driven перевірка `.github/workflows/npm-publish.yml` (deep-subset: усі обовʼязкові поля й кроки з канонічного сніпету).

package/rules/npm-module/policy/emit_types_config/emit_types_config.mdc ADDED Viewed

@@ -0,0 +1,40 @@
+## Rego-gate: конфігурація генерації типів `npm/tsconfig.emit-types.json`
+Rego-пакет: `npm-module.emit_types_config`
+Цільовий файл: `npm/tsconfig.emit-types.json`
+### Що перевіряється
+Leaf-by-leaf порівняння з канонічним сніпетом (через `--data`): кожне поле всередині `compilerOptions` має точно відповідати очікуваному значенню. Якщо секція `compilerOptions` відсутня або не є обʼєктом — окрема deny-помилка.
+Канонічний сніпет: [tsconfig.emit-types.json.snippet.json](./template/tsconfig.emit-types.json.snippet.json)
+### Допустимі відхилення
+Додаткові поля у `compilerOptions` (наприклад `rootDir`, `baseUrl`) не спричиняють помилку — перевіряється лише наявність і коректність обовʼязкових ключів зі сніпету.
+### Приклади
+✓ Правильно:
+```json
+{
+  "compilerOptions": {
+    "allowJs": true,
+    "declaration": true,
+    "emitDeclarationOnly": true,
+    "outDir": "types",
+    "skipLibCheck": true
+  }
+}
+```
+✗ Неправильно — неправильний `outDir`:
+```json
+{ "compilerOptions": { "outDir": "dist" } }
+```
+✗ Неправильно — відсутній `compilerOptions`:
+```json
+{}
+```

package/rules/npm-module/policy/npm_package_json/npm_package_json.mdc ADDED Viewed

@@ -0,0 +1,50 @@
+## Rego-gate: валідація `npm/package.json`
+Rego-пакет: `npm-module.npm_package_json`
+Цільовий файл: `npm/package.json`
+### Що перевіряється
+**Поле `types`** (логіка в rego, не template-driven):
+- Має відповідати патерну `./types/index.d.ts` або `./types/<назва>.d.ts|.d.mts`.
+- Шляхи поза директорією `types/` або з іншими розширеннями (`.ts` без `.d`) — deny.
+**Поле `files`** (частково template-driven):
+- Обовʼязкове, має бути непорожнім масивом.
+- Subset-of перевірка: кожне значення з канонічного сніпету має бути присутнє у `files`. За замовчуванням — `"types"` обовʼязковий.
+**Поле `devDependencies`** (inverse-pattern, логіка в rego):
+- Не публікуються користувачам пакета — має бути відсутнє або порожнє `{}`.
+- Наявність будь-яких devDeps → deny з переліком залежностей. Перенести у кореневий `package.json`.
+Канонічний сніпет `files`: [package.json.snippet.json](./template/package.json.snippet.json)
+FS-перевірки (наявність файлу зі шляху `types`, скан tarball на тест-патерни) — у JS-перевірці, не тут.
+### Приклади
+✓ Правильно:
+```json
+{
+  "name": "@nitra/cursor",
+  "types": "./types/bin/n-cursor.d.ts",
+  "files": ["types", "mdc", "bin", "CHANGELOG.md"],
+  "dependencies": { "oxc-parser": "^0.128.0" }
+}
+```
+✗ Неправильно — `types` поза директорією `types/`:
+```json
+{ "types": "./dist/index.d.ts" }
+```
+✗ Неправильно — `files` без `"types"`:
+```json
+{ "files": ["bin", "mdc"] }
+```
+✗ Неправильно — наявні `devDependencies`:
+```json
+{ "devDependencies": { "@nitra/cursor": "^1.0.0" } }
+```