@nitra/cursor 3.13.0 → 3.14.1

package/CHANGELOG.md

@@ -1,5 +1,21 @@
 # Changelog
 
+## [3.14.1] - 2026-06-02
+
+### Changed
+
+- flow review: рецензент верифікує cross-file твердження читанням (Read) — промпт дозволяє/зобов'язує дочитувати referenced-файли/spec точково, репортувати лише те, що вносить diff (не преіснуючі баги сусідів), і не видавати нефальсифіковних findings «з diff не видно». Зменшує хибні findings.
+
+### Fixed
+
+- coverage-gate: запускати Stryker із локально встановленого @stryker-mutator/core (резолв через package.json у node_modules пакета, bin запускається напряму через node-shebang), а не через npx/bunx — ті тягнуть core у власний кеш без vitest-runner, тож plugin-discovery падав 'Cannot find TestRunner plugin vitest' і flow verify coverage-gate червонів. Працює й з worktree без власного node_modules.
+
+## [3.14.0] - 2026-06-02
+
+### Changed
+
+- k8s hasura_configmap: base/dev ConfigMap Hasura-Deployment має містити HASURA_GRAPHQL_ENABLED_APIS="metadata,graphql,pgdump" (точний рядок). Кожен не-base overlay (k8s/<env>/, env≠base/dev), що успадковує Hasura-base, має у kustomization.yaml перевизначати цей ключ до "metadata,graphql" (без pgdump) патчем JSON6902/Strategic Merge на ConfigMap — нова cross-file перевірка validateHasuraOverlayEnabledApisOverride
+
 ## [3.13.0] - 2026-06-02
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "3.13.0",
+  "version": "3.14.1",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/js-lint/coverage/coverage.mjs

@@ -9,8 +9,9 @@
 import { spawnSync } from 'node:child_process'
 import { existsSync, readFileSync } from 'node:fs'
 import { mkdtemp, readFile, rm } from 'node:fs/promises'
+import { createRequire } from 'node:module'
 import { tmpdir } from 'node:os'
-import { isAbsolute, join, relative } from 'node:path'
+import { dirname, isAbsolute, join, relative } from 'node:path'
 
 import { resolveAllJsRoots } from '../../../scripts/utils/resolve-js-root.mjs'
 import { addCoverage, addMutation } from '../../test/coverage/coverage.mjs'
@@ -239,6 +240,32 @@ export function parseStrykerReport(report, jsRoot) {
  * (типовий патерн monorepo, де тести зосереджені в одному пакеті); пустий lcov
  * у такому випадку сигналізує "no tests" → collectOneRoot пропускає workspace.
  */
+/**
+ * Шлях до локально встановленого Stryker core-bin (поряд із плагінами на кшталт
+ * `@stryker-mutator/vitest-runner`). Запуск саме його через `node` — не `npx`/`bunx` —
+ * дає Stryker побачити локальні плагіни при plugin-discovery.
+ * @returns {string | null} абсолютний шлях `bin/stryker.js` або `null`, якщо не встановлено
+ */
+/** Мемо: `undefined` — ще не обчислено; `string`/`null` — результат. */
+let strykerBinCache
+
+function resolveLocalStrykerBin() {
+  if (strykerBinCache !== undefined) return strykerBinCache
+  try {
+    // `exports` у core НЕ відкриває `./bin/stryker.js`, тож резолвимо package.json
+    // (доступний) і беремо шлях bin звідти. Ключ bin зазвичай `stryker`; як запас —
+    // перше значення map'и.
+    const require = createRequire(import.meta.url)
+    const pkgJsonPath = require.resolve('@stryker-mutator/core/package.json')
+    const pkg = JSON.parse(readFileSync(pkgJsonPath, 'utf8'))
+    const binRel = typeof pkg.bin === 'string' ? pkg.bin : (pkg.bin?.stryker ?? Object.values(pkg.bin ?? {})[0])
+    strykerBinCache = binRel ? join(dirname(pkgJsonPath), binRel) : null
+  } catch {
+    strykerBinCache = null
+  }
+  return strykerBinCache
+}
+
 const defaultRunner = {
   runJsCoverage({ cwd, lcovDir, base }) {
     // base !== undefined ⇔ --changed-режим: vitest сам рахує зачеплені змінами тести
@@ -261,20 +288,21 @@ const defaultRunner = {
     return r.status ?? 1
   },
   runStryker({ cwd, mutate }) {
-    // `npx`, не `bunx`: bunx завжди ставить пакет у `T/bunx-<uid>-<pkg>@latest` і запускає
-    // Stryker звідти. Плагін-discovery у Stryker (`@stryker-mutator/*`) globится відносно
-    // CORE-install-каталогу (`core/dist/src/di/plugin-loader.js` → `../../../../../@stryker-mutator/*`),
-    // тож у bunx-temp бачить лише `core/api/instrumenter/util` (усі в IGNORED_PACKAGES) — а локально
-    // встановлений `@stryker-mutator/vitest-runner` залишається невидимим, і workers падають з
-    // `Cannot find TestRunner plugin "vitest"`. `npx` ходить угору по `node_modules/.bin/` і
-    // запускає Stryker з локального hoisted-install, де поряд лежить vitest-runner.
+    // Plugin-discovery Stryker (`@stryker-mutator/*`) globиться відносно CORE-install-каталогу
+    // (`core/dist/src/di/plugin-loader.js` → `../../../../../@stryker-mutator/*`). Тож core
+    // МАЄ вантажитись із проєктного `node_modules`, де поряд лежить `@stryker-mutator/vitest-runner`.
+    // `npx`/`bunx` тягнуть core у власний кеш (`_npx/<hash>`, `bunx-temp`) БЕЗ плагінів → воркери
+    // падають `Cannot find TestRunner plugin "vitest"`. Тому резолвимо локальний core-bin через
+    // `import.meta.url` (модуль у `npm/` → кореневий `node_modules` пакета; працює й з worktree без
+    // власного node_modules) і запускаємо його через `node`. Fallback на `npx`, якщо не встановлено.
     // mutate (непорожній) ⇔ --changed-режим: мутуємо лише змінені production-файли цього root.
     const mutateArgs = mutate && mutate.length > 0 ? ['--mutate', mutate.join(',')] : []
-    const r = spawnSync('npx', ['@stryker-mutator/core', 'run', ...mutateArgs], {
-      cwd,
-      stdio: 'inherit',
-      env: process.env
-    })
+    const strykerBin = resolveLocalStrykerBin()
+    // Запускаємо bin НАПРЯМУ (його shebang `#!/usr/bin/env node` → завжди node, навіть якщо
+    // coverage.mjs стартував під bun, де `process.execPath` вказував би на bun). Fallback на npx.
+    const r = strykerBin
+      ? spawnSync(strykerBin, ['run', ...mutateArgs], { cwd, stdio: 'inherit', env: process.env })
+      : spawnSync('npx', ['@stryker-mutator/core', 'run', ...mutateArgs], { cwd, stdio: 'inherit', env: process.env })
     return r.status ?? 1
   }
 }

package/rules/k8s/js/manifests.mjs

@@ -2358,6 +2358,7 @@ export const HASURA_REQUIRED_ENV_KEYS = [
   'HASURA_GRAPHQL_ENABLE_RELAY',
   'HASURA_GRAPHQL_ENABLE_TELEMETRY',
   'HASURA_GRAPHQL_ENABLED_LOG_TYPES',
+  'HASURA_GRAPHQL_ENABLED_APIS',
   'HASURA_GRAPHQL_DISABLE_EVENTING'
 ]
 
@@ -4929,6 +4930,130 @@ async function validateProdKustomizationOverrides(root, yamlFilesAbs, fail, pass
   }
 }
 
+/** Очікуване `HASURA_GRAPHQL_ENABLED_APIS` у non-base/dev overlay (без `pgdump` — він лише для base/dev). */
+const HASURA_OVERLAY_ENABLED_APIS = 'metadata,graphql'
+
+/** JSON-Pointer ключа `HASURA_GRAPHQL_ENABLED_APIS` у `data` ConfigMap (для JSON6902-патчів). */
+const HASURA_ENABLED_APIS_DATA_POINTER = '/data/HASURA_GRAPHQL_ENABLED_APIS'
+
+/**
+ * Чи дерево kustomization (`resources` / `bases` / `components` / `crds`, рекурсивно) містить
+ * **Hasura-Deployment** у шарі base (образ `hasura/graphql-engine`). Маркер того, що overlay успадковує
+ * Hasura-ConfigMap з pgdump-значенням `ENABLED_APIS` і має його перевизначити.
+ * @param {string} kustAbs kustomization.yaml
+ * @param {string} rootNorm нормалізований корінь репо
+ * @returns {Promise<boolean>} true, якщо в успадкованому base є Hasura-Deployment
+ */
+export async function kustomizationTreeHasHasuraDeployment(kustAbs, rootNorm) {
+  const visited = new Set()
+  const paths = await collectYamlAbsPathsFromKustomizationTree(kustAbs, rootNorm, visited)
+  const rootResolved = resolve(rootNorm)
+  for (const abs of paths) {
+    const rel = (relative(rootResolved, abs) || '').replaceAll('\\', '/')
+    if (!isK8sYamlUnderBaseDirectory(rel)) continue
+    const roots = await readK8sYamlDocumentRootsForInventory(abs)
+    if (roots.some(o => isHasuraDeploymentManifest(o))) return true
+  }
+  return false
+}
+
+/**
+ * Значення, яке inline-`patch` присвоює `data.HASURA_GRAPHQL_ENABLED_APIS`. Підтримка двох форматів:
+ * **JSON6902** (`op` add/replace на `/data/HASURA_GRAPHQL_ENABLED_APIS`) і **Strategic Merge**
+ * (`data.HASURA_GRAPHQL_ENABLED_APIS`). Зовнішні patch-файли (`patches[].path`) не охоплені — Plan B trade-off.
+ * @param {string} patchText вміст поля `patch`
+ * @returns {string | null} присвоєне значення (рядок) або null, якщо patch не чіпає цей ключ
+ */
+export function enabledApisValueFromPatchText(patchText) {
+  const t = typeof patchText === 'string' ? patchText.trim() : ''
+  if (t === '') return null
+  let parsed
+  try {
+    for (const d of parseAllDocuments(t)) {
+      if (d.errors.length === 0) {
+        parsed = d.toJSON()
+        break
+      }
+    }
+  } catch {
+    return null
+  }
+  if (Array.isArray(parsed)) {
+    for (const item of parsed) {
+      if (item === null || typeof item !== 'object' || Array.isArray(item)) continue
+      const rec = /** @type {Record<string, unknown>} */ (item)
+      const op = typeof rec.op === 'string' ? rec.op.trim().toLowerCase() : ''
+      const path = typeof rec.path === 'string' ? normalizeJsonPatchPath(rec.path) : ''
+      if ((op === 'add' || op === 'replace') && path === HASURA_ENABLED_APIS_DATA_POINTER) {
+        return typeof rec.value === 'string' ? rec.value : JSON.stringify(rec.value)
+      }
+    }
+    return null
+  }
+  if (parsed === null || typeof parsed !== 'object') return null
+  const data = /** @type {Record<string, unknown>} */ (parsed).data
+  if (data === null || typeof data !== 'object' || Array.isArray(data)) return null
+  const d = /** @type {Record<string, unknown>} */ (data)
+  if (!Object.hasOwn(d, 'HASURA_GRAPHQL_ENABLED_APIS')) return null
+  const v = d.HASURA_GRAPHQL_ENABLED_APIS
+  return typeof v === 'string' ? v : JSON.stringify(v)
+}
+
+/**
+ * Значення, яке `patches[]` kustomization присвоюють `data.HASURA_GRAPHQL_ENABLED_APIS` на цілі **ConfigMap**.
+ * Повертає значення першого patch-а, що чіпає цей ключ, або null, якщо такого немає.
+ * @param {Record<string, unknown>} kust об'єкт kustomization.yaml
+ * @returns {string | null} присвоєне значення або null
+ */
+export function hasuraEnabledApisOverrideValue(kust) {
+  const patches = kust.patches
+  if (!Array.isArray(patches)) return null
+  for (const p of patches) {
+    if (p === null || typeof p !== 'object' || Array.isArray(p)) continue
+    const pr = /** @type {Record<string, unknown>} */ (p)
+    if (typeof pr.patch !== 'string') continue
+    if (resolvePatchTargetKind(pr) !== 'ConfigMap') continue
+    const v = enabledApisValueFromPatchText(pr.patch)
+    if (v !== null) return v
+  }
+  return null
+}
+
+/**
+ * Для кожного **non-base/dev** overlay `kustomization.yaml`, що успадковує Hasura-base (Deployment з
+ * `hasura/graphql-engine`), вимагає у `patches[]` перевизначення **`data.HASURA_GRAPHQL_ENABLED_APIS`**
+ * до **`"metadata,graphql"`** (pgdump лишається строго для base/dev) (k8s.mdc). `kind: Component`
+ * пропускається (env-неутральне джерело, не overlay).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail callback при помилці
+ * @param {(msg: string) => void} passFn callback при успіху
+ */
+async function validateHasuraOverlayEnabledApisOverride(root, yamlFilesAbs, fail, passFn) {
+  const rootNorm = resolve(root)
+  const kustFiles = yamlFilesAbs.filter(abs => basename(abs) === 'kustomization.yaml')
+  for (const kustAbs of kustFiles) {
+    const rel = (relative(rootNorm, kustAbs) || kustAbs).replaceAll('\\', '/')
+    const segment = k8sEnvSegmentFromRelPath(rel)
+    if (segment === null || segment === 'base' || segment === 'dev') continue
+    const kust = await readFirstYamlObject(kustAbs)
+    if (kust === null || kust.kind === 'Component') continue
+    if (!(await kustomizationTreeHasHasuraDeployment(kustAbs, rootNorm))) continue
+    const value = hasuraEnabledApisOverrideValue(kust)
+    if (value === HASURA_OVERLAY_ENABLED_APIS) {
+      passFn(`${rel}: overlay '${segment}' перевизначає HASURA_GRAPHQL_ENABLED_APIS="${HASURA_OVERLAY_ENABLED_APIS}" (k8s.mdc)`)
+    } else if (value === null) {
+      fail(
+        `${rel}: overlay '${segment}' має у patches[] перевизначати data.HASURA_GRAPHQL_ENABLED_APIS до "${HASURA_OVERLAY_ENABLED_APIS}" (pgdump лише для base/dev) (k8s.mdc)`
+      )
+    } else {
+      fail(
+        `${rel}: overlay '${segment}' patch data.HASURA_GRAPHQL_ENABLED_APIS має бути "${HASURA_OVERLAY_ENABLED_APIS}" (зараз: ${JSON.stringify(value)}) (k8s.mdc)`
+      )
+    }
+  }
+}
+
 /**
  * Шукає HPA за `scaleTargetRef.name` серед документів.
  * @param {Record<string, unknown>[]} hpaDocs масив HPA-документів
@@ -6626,5 +6751,7 @@ export async function check(cwd = process.cwd()) {
 
   await validateProdKustomizationOverrides(root, yamlFiles, fail, pass)
 
+  await validateHasuraOverlayEnabledApisOverride(root, yamlFiles, fail, pass)
+
   return reporter.getExitCode()
 }

package/rules/k8s/k8s.mdc

@@ -303,6 +303,7 @@ spec:
 - **`HASURA_GRAPHQL_ENABLE_RELAY`** зі значенням **`"false"`**;
 - **`HASURA_GRAPHQL_ENABLE_TELEMETRY`** зі значенням **`"false"`**;
 - **`HASURA_GRAPHQL_ENABLED_LOG_TYPES`** зі значенням **`"startup,http-log"`** (точний рядок);
+- **`HASURA_GRAPHQL_ENABLED_APIS`** зі значенням **`"metadata,graphql,pgdump"`** (точний рядок) — **значення для base/dev**;
 - **`HASURA_GRAPHQL_DISABLE_EVENTING`** — ключ обов'язковий, значення довільне (за замовчуванням **`"true"`**).
 
 Точні умови перевірки — rego-пакет **`k8s.hasura_configmap`** (cross-file прив'язка ConfigMap↔Deployment — у `rules/k8s/js/manifests.mjs`).
@@ -313,9 +314,25 @@ data:
   HASURA_GRAPHQL_ENABLE_RELAY: 'false'
   HASURA_GRAPHQL_ENABLE_TELEMETRY: 'false'
   HASURA_GRAPHQL_ENABLED_LOG_TYPES: 'startup,http-log'
+  HASURA_GRAPHQL_ENABLED_APIS: 'metadata,graphql,pgdump'
   HASURA_GRAPHQL_DISABLE_EVENTING: 'true'
 ```
 
+### `HASURA_GRAPHQL_ENABLED_APIS` поза base/dev
+
+`pgdump` дозволено **лише** для **base**/**dev**. Кожен **не-base** overlay (`k8s/<env>/`, де `<env>` ≠ `base`/`dev`), що успадковує Hasura-base, **зобов'язаний** у своєму **`kustomization.yaml`** перевизначити `HASURA_GRAPHQL_ENABLED_APIS` до **`"metadata,graphql"`** (без `pgdump`) — патчем JSON6902 або Strategic Merge на ціль **ConfigMap**. Перевірка — cross-file у `rules/k8s/js/manifests.mjs` (`validateHasuraOverlayEnabledApisOverride`); `kind: Component` пропускається.
+
+```yaml title="k8s/prod/kustomization.yaml"
+patches:
+  - target:
+      kind: ConfigMap
+      name: db-h
+    patch: |
+      - op: replace
+        path: /data/HASURA_GRAPHQL_ENABLED_APIS
+        value: metadata,graphql
+```
+
 ## Kustomize: структура каталогів (`base` / overlays)
 
 Трансформуй дерева **`**/k8s`**, щоб **винести спільне** через [Kustomize](https://kustomize.io/): один канонічний **`base`** і тонкі **overlays** для інших середовищ.

package/rules/k8s/policy/hasura_configmap/hasura_configmap.rego

@@ -6,6 +6,9 @@
 #   "HASURA_GRAPHQL_ENABLE_RELAY"                      → "false"
 #   "HASURA_GRAPHQL_ENABLE_TELEMETRY"                  → "false"
 #   "HASURA_GRAPHQL_ENABLED_LOG_TYPES"                 → "startup,http-log" (точний рядок)
+#   "HASURA_GRAPHQL_ENABLED_APIS"                       → "metadata,graphql,pgdump" (точний рядок;
+#       це значення для base/dev. Не-base overlay-и мають зводити його до "metadata,graphql"
+#       патчем у kustomization.yaml — перевіряє JS `validateHasuraOverlayEnabledApisOverride`)
 #   "HASURA_GRAPHQL_DISABLE_EVENTING"                  → null (ключ обов'язковий,
 #       значення довільне; за замовчуванням рекомендовано "true")
 #
@@ -39,6 +42,7 @@ required_env := {
 	"HASURA_GRAPHQL_ENABLE_RELAY": "false",
 	"HASURA_GRAPHQL_ENABLE_TELEMETRY": "false",
 	"HASURA_GRAPHQL_ENABLED_LOG_TYPES": "startup,http-log",
+	"HASURA_GRAPHQL_ENABLED_APIS": "metadata,graphql,pgdump",
 	"HASURA_GRAPHQL_DISABLE_EVENTING": null,
 }
 

package/scripts/dispatcher/lib/review.mjs

@@ -33,8 +33,9 @@ export function diffFromBase(base, run, cwd) {
 }
 
 /**
- * Промпт adversarial-рецензента (читає ЛИШЕ diff). Для high-risk додає
- * безпекову лінзу.
+ * Промпт adversarial-рецензента. Фокус — diff, але рецензент працює у робочій теці
+ * репо й має інструмент `Read`, тож cross-file твердження мусить верифікувати читанням.
+ * Для high-risk додає безпекову лінзу.
  * @param {string} diff текст diff
  * @param {string} [risk] low|med|high — фокус перевірки
  * @returns {string} промпт
@@ -45,11 +46,19 @@ export function reviewerPrompt(diff, risk) {
       ? 'ОСОБЛИВА УВАГА БЕЗПЕЦІ: auth/доступи, секрети/токени, ін\'єкції, валідація входу, незворотні операції.'
       : ''
   return [
-    'Ти — прискіпливий adversarial-рецензент. Знайди баги, ризики й smells ЛИШЕ в цьому diff.',
+    'Ти — прискіпливий adversarial-рецензент. Знайди баги, ризики й smells, які ВНОСИТЬ або зачіпає цей diff.',
+    'Якщо тобі доступний інструмент Read — ти в робочій теці репо: читай ТОЧКОВО потрібні referenced-файли' +
+      ' (викликану функцію, інший модуль, spec/plan, конфіг), щоб ПЕРЕВІРИТИ cross-file твердження перед репортом.' +
+      ' Якщо Read недоступний — рецензуй лише diff.',
+    'Сусідні файли читай ДЛЯ КОНТЕКСТУ й верифікації, а не щоб шукати в них окремі преіснуючі баги:' +
+      ' репортуй лише те, що вносить/ламає цей diff.',
+    'НЕ видавай нефальсифіковних findings виду «з diff не видно / не показано / можливо» —' +
+      ' або підтверди читанням файлу, або відкинь. Кожен finding має бути перевірним фактом.',
     lens,
     'Поверни ЛИШЕ JSON-масив: [{ "severity": "high|med|low", "file": "...", "issue": "...", "suggestion": "..." }].',
     'Якщо проблем нема — поверни [].',
     '',
+    'DIFF (фокус рецензування):',
     diff.slice(0, DIFF_LIMIT)
   ]
     .filter(Boolean)