@nitra/cursor 3.2.0 → 3.2.2

package/CHANGELOG.md

@@ -1,5 +1,21 @@
 # Changelog
 
+## [3.2.2] - 2026-06-01
+
+### Changed
+
+- js-lint: додано e18e/\* deny-правила та канонічні ignorePatterns у .oxlintrc.json
+
+### Fixed
+
+- k8s NetworkPolicy: мітку `app` для Job беремо з `spec.template.metadata.labels.app`, для CronJob — з `spec.jobTemplate.spec.template.metadata.labels.app` (ручний `spec.selector` у Job/CronJob невалідний без `manualSelector: true`)
+
+## [3.2.1] - 2026-06-01
+
+### Fixed
+
+- worktree-only skills: прибрано shell expansion з preflight, щоб агент створював worktree literal-командами без confirmation prompt
+
 ## [3.2.0] - 2026-06-01
 
 ### Added

package/bin/n-cursor.js

@@ -651,7 +651,7 @@ function buildClaudeWorktreeEnforcementSectionLines() {
     '',
     '## Worktree-only skills (`meta.json` → `worktree: true`)',
     '',
-    'Скіл із **`worktree: true`** у `meta.json` запускається **виключно** в окремому git-worktree (`.worktrees/<current-branch>-<suffix>/`) — **не** в основному дереві й **не** паралельно. Перший крок такого скіла (блок `n-cursor:worktree:start` у його `SKILL.md`) — **preflight**: якщо `git rev-parse --show-toplevel` не вказує під `.worktrees/`, **STOP** і не питай користувача про назву гілки; створи worktree від поточної гілки готовим snippet з `SKILL.md` за конвенцією `<current-branch>-<suffix>`. Чисте робоче дерево — **не** привід пропустити preflight.',
+    'Скіл із **`worktree: true`** у `meta.json` запускається **виключно** в окремому git-worktree (`.worktrees/<current-branch>-<suffix>/`) — **не** в основному дереві й **не** паралельно. Перший крок такого скіла (блок `n-cursor:worktree:start` у його `SKILL.md`) — **preflight**: якщо `git rev-parse --show-toplevel` не вказує під `.worktrees/`, **STOP** і не питай користувача про назву гілки; створи worktree від поточної гілки готовим snippet з `SKILL.md` за конвенцією `<current-branch>-<suffix>` і без shell expansion (без command substitution, variable expansion чи backticks). Чисте робоче дерево — **не** привід пропустити preflight.',
     ''
   ]
 }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "3.2.0",
+  "version": "3.2.2",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/k8s/js/manifests.mjs

@@ -4009,10 +4009,35 @@ function appLabelFromSpecSelector(spec) {
   return typeof app === 'string' && app.trim() !== '' ? app : null
 }
 
+/**
+ * Витягує мітку `app` з `spec.template.metadata.labels.app` (pod-template labels).
+ *
+ * Джерело для Job і CronJob: у Job/CronJob **не можна** задавати ручний `spec.selector`
+ * без `manualSelector: true` — apiserver сам генерує селектор з `controller-uid`, тож
+ * `spec.selector.matchLabels.app` там невалідне джерело. Pod-template labels — валідне
+ * й завжди присутнє поле.
+ * @param {Record<string, unknown>} spec об'єкт `spec` (Job — `spec`, CronJob — `jobTemplate.spec`)
+ * @returns {string | null} непорожнє значення `app` або null
+ */
+function appLabelFromPodTemplate(spec) {
+  const template = getNestedObject(spec, 'template')
+  if (template === null) return null
+  const metadata = getNestedObject(template, 'metadata')
+  if (metadata === null) return null
+  const labels = getNestedObject(metadata, 'labels')
+  if (labels === null) return null
+  const app = labels.app
+  return typeof app === 'string' && app.trim() !== '' ? app : null
+}
+
 /**
  * Витягує мітку `app` для workload, для якого потрібен NetworkPolicy.
- * Deployment / StatefulSet / DaemonSet / Job — `spec.selector.matchLabels.app`;
- * CronJob — `spec.jobTemplate.spec.selector.matchLabels.app`.
+ * Deployment / StatefulSet / DaemonSet — `spec.selector.matchLabels.app`;
+ * Job — `spec.template.metadata.labels.app`;
+ * CronJob — `spec.jobTemplate.spec.template.metadata.labels.app`.
+ *
+ * Job і CronJob читаються з pod-template labels, бо ручний `spec.selector` у них невалідний
+ * без `manualSelector: true` (селектор генерує контролер). Див. `appLabelFromPodTemplate`.
  * @param {Record<string, unknown>} manifest AST workload
  * @returns {string | null} непорожнє значення `app` або null
  */
@@ -4022,10 +4047,11 @@ export function workloadAppLabel(manifest) {
   if (kind === 'CronJob') {
     const jobTemplate = getNestedObject(getNestedObject(manifest, 'spec'), 'jobTemplate')
     const jobSpec = jobTemplate === null ? null : getNestedObject(jobTemplate, 'spec')
-    return jobSpec === null ? null : appLabelFromSpecSelector(jobSpec)
+    return jobSpec === null ? null : appLabelFromPodTemplate(jobSpec)
   }
   const spec = getNestedObject(manifest, 'spec')
   if (spec === null) return null
+  if (kind === 'Job') return appLabelFromPodTemplate(spec)
   return appLabelFromSpecSelector(spec)
 }
 
@@ -5631,7 +5657,7 @@ async function validateNetworkPoliciesForK8sWorkloads(root, yamlFilesAbs, fail,
       }
       if (appLabel === null) {
         fail(
-          `${deployRel}: ${workloadKind} '${workloadName}' без мітки app у selector (spec.selector.matchLabels.app або jobTemplate для CronJob) (k8s.mdc)`
+          `${deployRel}: ${workloadKind} '${workloadName}' без мітки app (spec.selector.matchLabels.app; Job — spec.template.metadata.labels.app; CronJob — spec.jobTemplate.spec.template.metadata.labels.app) (k8s.mdc)`
         )
         continue
       }

package/rules/k8s/k8s.mdc

@@ -385,7 +385,7 @@ images:
 
 Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB також **не дозволені** через `resources` / `components` / `bases`.
 
-**NetworkPolicy** — інша історія: оскільки обмеження мережі мають діяти **і на dev**, NP лежить **у `base/`** (а не в `components/`). Для **кожного** з **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s` обов'язковий **NetworkPolicy**: у **`…/k8s/…/base/`** — у **`base/networkpolicy.yaml`** поруч з workload-маніфестом (multi-doc, якщо workload-ів кілька); у **не-base** — **`networkpolicy.yaml`** поруч із маніфестом workload у тому ж каталозі (overlay-specific override). `metadata.name` NetworkPolicy **= `metadata.name`** workload; `spec.podSelector.matchLabels.app` **= мітка `app`** з `spec.selector.matchLabels` (для **CronJob** — з `spec.jobTemplate.spec.selector.matchLabels`). У `base/kustomization.yaml` `resources:` має бути `networkpolicy.yaml`. Відсутні документи **`check k8s`** створює автоматично і додає `networkpolicy.yaml` у `base/kustomization.yaml` `resources:`.
+**NetworkPolicy** — інша історія: оскільки обмеження мережі мають діяти **і на dev**, NP лежить **у `base/`** (а не в `components/`). Для **кожного** з **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s` обов'язковий **NetworkPolicy**: у **`…/k8s/…/base/`** — у **`base/networkpolicy.yaml`** поруч з workload-маніфестом (multi-doc, якщо workload-ів кілька); у **не-base** — **`networkpolicy.yaml`** поруч із маніфестом workload у тому ж каталозі (overlay-specific override). `metadata.name` NetworkPolicy **= `metadata.name`** workload; `spec.podSelector.matchLabels.app` **= мітка `app`** з `spec.selector.matchLabels` (для **Job** — з `spec.template.metadata.labels.app`, для **CronJob** — з `spec.jobTemplate.spec.template.metadata.labels.app`; у Job/CronJob ручний `spec.selector` невалідний без `manualSelector: true`, тож джерело — pod-template labels). У `base/kustomization.yaml` `resources:` має бути `networkpolicy.yaml`. Відсутні документи **`check k8s`** створює автоматично і додає `networkpolicy.yaml` у `base/kustomization.yaml` `resources:`.
 
 **Канонічна структура `<pkg>/k8s/components/`** (sibling до `base/`) — лише HPA і PDB:
 

package/scripts/lib/worktree-notice.mjs

@@ -114,14 +114,18 @@ function buildNoticeBody(suffix) {
 **Крок 0 — preflight (обовʼязковий, перед будь-якими іншими діями).** Якщо перевірка падає — **STOP**: не питай користувача про назву гілки, а сам створи worktree від поточної гілки за конвенцією \`<current-branch>-${suffix}\`. Суфікс \`${suffix}\` — коротка (до 10 символів) транслітерація задачі. Не виконуй **жоден** наступний крок скіла, поки preflight не завершився успіхом.
 
 \`\`\`bash
-if ! git rev-parse --show-toplevel | grep -q '/\\.worktrees/'; then
-  B=$(git branch --show-current)
-  W="\${B}-${suffix}"
-  P="\${W//\\//-}"
-  npx @nitra/cursor worktree add "$W" "n-${suffix}: worktree-only skill"
-  cd ".worktrees/\${P}"
-fi
-\`\`\``;
+git rev-parse --show-toplevel
+git branch --show-current
+\`\`\`
+
+Якщо перша команда показала, що ти **не** в \`.worktrees/\`, візьми вивід другої команди як \`<current-branch>\` і виконай **literal-команди без shell expansion** (без command substitution, variable expansion чи backticks). Наприклад, якщо поточна гілка \`feature/x\`:
+
+\`\`\`bash
+npx @nitra/cursor worktree add "feature/x-${suffix}" "n-${suffix}: worktree-only skill"
+cd ".worktrees/feature-x-${suffix}"
+\`\`\`
+
+Тобто branch-argument лишає slash як у git-гілці, а шлях для \`cd\` бере sanitized форму: slash → \`-\`.`;
 }
 
 /**