@nitra/cursor 3.7.0 → 3.9.0

package/CHANGELOG.md

@@ -1,5 +1,21 @@
 # Changelog
 
+## [3.9.0] - 2026-06-01
+
+### Changed
+
+- k8s: канонічний образ hasura/graphql-engine → v2.49.0.ubuntu.amd64 (ubuntu-база містить pg_dump 18, на відміну від ubi-варіанту)
+
+### Removed
+
+- k8s: видалено мертву JS-перевірку образа hasura (deploymentHasuraGraphqlEngineImageViolation + набір HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES) — пер-документна перевірка делегована rego-пакету k8s.manifest, тег тепер має єдине джерело істини (allowed_hasura_images)
+
+## [3.8.0] - 2026-06-01
+
+### Added
+
+- flow: контракт — advanced elicitation (меню технік поглиблення вимог у фазі spec: Expand/Contract, Critique&Refine, Identify Risks, Tree-of-Thoughts, Stakeholder Roundtable, Self-Consistency; Elicitation History у спеці)
+
 ## [3.7.0] - 2026-06-01
 
 ### Added

package/bin/n-cursor.js

@@ -100,6 +100,7 @@ import { runLintK8s } from '../rules/k8s/lint/lint.mjs'
 import { runLintRego } from '../rules/rego/lint/lint.mjs'
 import { runLintTextCli } from '../rules/text/lint/lint.mjs'
 import { syncClaudeConfig } from '../scripts/sync-claude-config.mjs'
+import { syncGitignoreWorktree } from '../scripts/lib/sync-gitignore-worktree.mjs'
 import { upgradeNitraCursorToLatestAndBunInstall } from '../scripts/upgrade-nitra-cursor-and-install.mjs'
 import { runRenameYamlExtensionsCli } from './rename-yaml-extensions.mjs'
 import { runSkillsCli } from '../scripts/skills-cli.mjs'
@@ -715,8 +716,7 @@ async function syncClaudeMd(ignore) {
     lines.push(`@${RULES_DIR}/${mdcFile}`)
   }
 
-  lines.push(...buildClaudeLintParallelismSectionLines())
-  lines.push(...buildClaudeWorktreeEnforcementSectionLines())
+  lines.push(...buildClaudeLintParallelismSectionLines(), ...buildClaudeWorktreeEnforcementSectionLines())
 
   const skillsSectionLines = await buildClaudeSkillsSectionLines()
   lines.push(...skillsSectionLines)
@@ -1437,6 +1437,11 @@ async function runSync() {
     }
   })
 
+  await runSyncStep('❌ Не вдалося оновити .gitignore (worktree): ', async () => {
+    const { written } = await syncGitignoreWorktree(cwd())
+    if (written) console.log('🌳 .gitignore (worktree): додано .worktrees/')
+  })
+
   console.log(`\n✨ Готово: ${successCount} завантажено, ${failCount} з помилками\n`)
   if (failCount > 0) {
     throw new Error(`Не вдалося завантажити ${failCount} з ${rules.length} правил`)

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "3.7.0",
+  "version": "3.9.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/flow/flow.mdc

@@ -35,6 +35,20 @@ Composer, Claude Code) працює **Пасивний Турнікет**: ти,
    - **agent↔agent:** `npx @nitra/cursor flow spec --panel` — панель персон
      (architect/skeptic/tester) → суддя-синтез; презентуй синтез людині.
 
+   **Поглиблення (advanced elicitation, за потреби).** Якщо чернетка дизайну
+   «сира» чи є непевність — запропонуй людині одну з технік (по одній за раз),
+   застосуй обрану, повтори до «досить»:
+
+   - **Expand / Contract** — розгорнути деталь, що бракує, або згорнути зайве до суті;
+   - **Critique & Refine** — самокритика чернетки (слабкі місця, припущення), тоді доопрацювання;
+   - **Identify Risks** — явно перелічити ризики/граничні випадки (наповнює поле `risk:` у frontmatter);
+   - **Tree-of-Thoughts** — кілька гілок рішення паралельно, обрати найкращу з обґрунтуванням;
+   - **Stakeholder Roundtable** — пройтись поглядами ролей (user / ops / security / maintainer);
+   - **Self-Consistency** — 2-3 незалежні версії відповіді, звірити на суперечності.
+
+   Що застосовано — фіксуй коротко в секції `## Elicitation History` спеки
+   (traceability рішень).
+
    Збережи дизайн → `docs/specs/<date>-<slug>.md` (`kind: nitra-spec`,
    `plan: null`), тоді зафіксуй:
 

package/rules/k8s/js/manifests.mjs

@@ -19,7 +19,8 @@
  * = **`"512Mi"`**. Поле **`imagePullPolicy`**
  * не перевіряється — діють типові правила Kubernetes (`:latest` або коли тег не вказано → **Always**,
  * інші теги → **IfNotPresent**). Якщо серед **`containers`** / **`initContainers`** є образ
- * **`hasura/graphql-engine`**, дозволено лише пін **`HASURA_GRAPHQL_ENGINE_IMAGE`** (див. k8s.mdc).
+ * **`hasura/graphql-engine`**, дозволено лише канонічний тег зі списку `allowed_hasura_images`
+ * у rego-пакеті `k8s.manifest` (`policy/manifest/manifest.rego`) — пер-документна перевірка делегована rego.
  *
  * **Namespace і Kustomize:** YAML у **`…/k8s/base/`** (окрім імені **`kustomization.yaml`**)
  * завжди має **непорожній** **`metadata.namespace`** у відповідних документах (узгоджено з dev у репозиторії),
@@ -151,20 +152,6 @@ const YAML_LS_MODELINE_RE = /^# yaml-language-server: \$schema=.*\n/
 
 const YANNH_PIN = 'v1.33.9-standalone-strict'
 
-/**
- * Дозволений образ **hasura/graphql-engine** у Deployment (узгоджено з k8s.mdc).
- * Еквівалент **`docker.io/…`** також приймається.
- */
-export const HASURA_GRAPHQL_ENGINE_IMAGE = 'hasura/graphql-engine:v2.48.15.ubi.amd64'
-
-/**
-  Набір прийнятних рядків `image` без digest (`@sha256:…`).
- */
-const HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES = new Set([
-  HASURA_GRAPHQL_ENGINE_IMAGE,
-  `docker.io/${HASURA_GRAPHQL_ENGINE_IMAGE}`
-])
-
 /**
  * Чи відносний POSIX-шлях від кореня репо вказує на YAML під **`…/k8s/…/base/…`** (після сегмента **`k8s`** у шляху
  * є каталог **`base`**). Тут очікуються маніфести шару **base**, включно з будь-яким файлом із **`kind: Deployment`**
@@ -2406,75 +2393,6 @@ function isHasuraGraphqlEngineImageRef(image) {
   return HASURA_GRAPHQL_ENGINE_RE.test(s)
 }
 
-/**
- * Перевірка образу Hasura для одного контейнера у списку **containers** / **initContainers**.
- * @param {string} list ім’я поля для повідомлення (`containers` / `initContainers`)
- * @param {unknown} c елемент масиву
- * @param {number} i індекс
- * @returns {string | null} текст порушення або null
- */
-function hasuraGraphqlEngineViolationForOneContainer(list, c, i) {
-  const label =
-    typeof c === 'object' && c !== null && !Array.isArray(c) && typeof c.name === 'string' && c.name !== ''
-      ? c.name
-      : `#${i + 1}`
-  if (c === null || c === undefined || typeof c !== 'object' || Array.isArray(c)) {
-    return null
-  }
-  const cont = /** @type {Record<string, unknown>} */ (c)
-  const image = cont.image
-  if (typeof image !== 'string' || image.trim() === '' || !isHasuraGraphqlEngineImageRef(image)) {
-    return null
-  }
-  const normalized = stripImageDigest(image)
-  if (!HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES.has(normalized)) {
-    return `${list} "${label}": образ hasura/graphql-engine має бути ${HASURA_GRAPHQL_ENGINE_IMAGE} (зараз: ${image}) (див. k8s.mdc)`
-  }
-  return null
-}
-
-/**
- * Перевіряє масив **containers** / **initContainers** на зафіксований образ Hasura.
- * @param {string} list **containers** або **initContainers** (для тексту помилки)
- * @param {unknown} containers значення поля з маніфесту
- * @returns {string | null} текст порушення або null
- */
-function hasuraGraphqlEngineViolationInContainerList(list, containers) {
-  if (!Array.isArray(containers)) return null
-  for (const [i, c] of containers.entries()) {
-    const v = hasuraGraphqlEngineViolationForOneContainer(list, c, i)
-    if (v !== null) {
-      return v
-    }
-  }
-  return null
-}
-
-/**
- * Чи порушує **Deployment** вимогу щодо зафіксованого образу **hasura/graphql-engine** (k8s.mdc).
- * @param {unknown} manifest корінь YAML-документа
- * @returns {string | null} текст порушення або null, якщо не Deployment / образу немає / ок
- */
-export function deploymentHasuraGraphqlEngineImageViolation(manifest) {
-  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
-    return null
-  const rec = /** @type {Record<string, unknown>} */ (manifest)
-  if (rec.kind !== 'Deployment') return null
-  const spec = rec.spec
-  if (spec === null || spec === undefined || typeof spec !== 'object' || Array.isArray(spec)) return null
-  const template = /** @type {Record<string, unknown>} */ (spec).template
-  if (template === null || template === undefined || typeof template !== 'object' || Array.isArray(template))
-    return null
-  const podSpecRaw = /** @type {Record<string, unknown>} */ (template).spec
-  if (podSpecRaw === null || podSpecRaw === undefined || typeof podSpecRaw !== 'object' || Array.isArray(podSpecRaw))
-    return null
-  const podSpec = /** @type {Record<string, unknown>} */ (podSpecRaw)
-
-  const main = hasuraGraphqlEngineViolationInContainerList('containers', podSpec.containers)
-  if (main !== null) return main
-  return hasuraGraphqlEngineViolationInContainerList('initContainers', podSpec.initContainers)
-}
-
 /**
  * Чи у списку контейнерів є хоча б один з образом **hasura/graphql-engine** (будь-який тег).
  * @param {unknown} containers значення **containers** / **initContainers** із podSpec

package/rules/k8s/k8s.mdc

@@ -152,7 +152,7 @@ patches:
 
 Поле **`imagePullPolicy`** скрипт **не** перевіряє (залишається політиці Kubernetes за тегом образу).
 
-Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег із константи **`HASURA_GRAPHQL_ENGINE_IMAGE`** у **`rules/k8s/fix.mjs`** (допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
+Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег зі списку **`allowed_hasura_images`** у rego-пакеті **`k8s.manifest`** (`policy/manifest/manifest.rego` — єдине джерело істини; допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
 
 ### HTTPRoute для Deployment з `hasura/graphql-engine`
 

package/rules/k8s/policy/manifest/manifest.rego

@@ -44,13 +44,14 @@ forbidden_service_annotations := {
 	"cloud.google.com/backend-config",
 }
 
-# Дозволені посилання на образ `hasura/graphql-engine` (узгоджено з
-# `HASURA_GRAPHQL_ENGINE_IMAGE` у `rules/k8s/fix.mjs`). Зараз — один канонічний тег
-# у двох варіантах префіксу (із `docker.io/` і без). Digest (`@sha256:…`)
+# Дозволені посилання на образ `hasura/graphql-engine`. Це **єдине** джерело
+# істини для канонічного тега (JS-копія `HASURA_GRAPHQL_ENGINE_IMAGE` видалена —
+# пер-документна перевірка делегована цьому rego-пакету). Зараз — один канонічний
+# тег у двох варіантах префіксу (із `docker.io/` і без). Digest (`@sha256:…`)
 # відрізається перед звіркою.
 allowed_hasura_images := {
-	"hasura/graphql-engine:v2.48.15.ubi.amd64",
-	"docker.io/hasura/graphql-engine:v2.48.15.ubi.amd64",
+	"hasura/graphql-engine:v2.49.0.ubuntu.amd64",
+	"docker.io/hasura/graphql-engine:v2.49.0.ubuntu.amd64",
 }
 
 # Канонічне значення `topologyKey` для `topologySpreadConstraints` (k8s.mdc).
@@ -161,7 +162,7 @@ deny contains msg if {
 
 # ── deny: Deployment — образ hasura/graphql-engine з білого списку ────────
 #
-# Spec вимагає рівно тег із константи `HASURA_GRAPHQL_ENGINE_IMAGE`
+# Spec вимагає рівно тег зі списку `allowed_hasura_images` (вище)
 # (з опційним префіксом `docker.io/`). Digest `@sha256:…` у поточних правилах
 # відрізається перед порівнянням (k8s.mdc допускає, але не вимагає його).
 

package/scripts/lib/sync-gitignore-worktree.mjs

@@ -0,0 +1,28 @@
+/**
+ * Гарантує, що кореневий `.gitignore` проєкту ігнорує локальні git-worktree
+ * (`.worktrees/`). Викликається з дефолтного sync (`npx \@nitra/cursor`) окремим
+ * top-level кроком — поза `syncClaudeConfig`, бо `.worktrees/` — артефакт
+ * завжди-активного flow/worktree-tooling, а не Claude/Cursor-конфігу.
+ *
+ * Один запис `.worktrees/` покриває каталог worktree та всі sibling-файли в ньому
+ * (`<branch>.flow.json`, `.events.jsonl`, `<name>.md`, `.flow-lock-*`). Запис
+ * безумовний (без гейта за `.n-cursor.json`-правилами): продюсер артефактів —
+ * завжди-активний flow, тож гейт міг би розсинхронитися з ним.
+ *
+ * Делегує наявній idempotent+append-only утиліті `ensureGitignoreEntries` (header-
+ * секція, не перезаписує/не видаляє наявні рядки; створює `.gitignore`, якщо нема).
+ */
+import { ensureGitignoreEntries } from '../utils/ensure-gitignore-entries.mjs'
+
+/** Header-секція для керованого запису у `.gitignore`. */
+const WORKTREE_SECTION_LABEL = '@nitra/cursor — локальні git-worktree, не коміти'
+
+/**
+ * Дописує `.worktrees/` у кореневий `.gitignore`, якщо рядка ще немає.
+ * @param {string} projectRoot корінь проєкту-споживача (де `.gitignore`)
+ * @returns {Promise<{ written: boolean }>} чи був дописаний рядок
+ */
+export async function syncGitignoreWorktree(projectRoot) {
+  const { added } = await ensureGitignoreEntries(projectRoot, ['.worktrees/'], WORKTREE_SECTION_LABEL)
+  return { written: added.length > 0 }
+}

package/scripts/lib/worktree-notice.mjs

@@ -75,8 +75,7 @@ const CYRILLIC_TRANSLIT = new Map(
  * @returns {string} транслітерований текст
  */
 function transliterate(value) {
-  return [...value.toLowerCase()]
-    .map((char) => CYRILLIC_TRANSLIT.get(char) ?? char)
+  return Array.from(value.toLowerCase(), (char) => CYRILLIC_TRANSLIT.get(char) ?? char)
     .join("");
 }
 
@@ -92,9 +91,9 @@ function deriveSuffix(content) {
     .trim()
     .replace(/^n-/u, "")
     .normalize("NFKD")
-    .replace(/[\u0300-\u036f]/gu, "")
-    .replace(/[^a-z0-9]+/gu, "-")
-    .replace(/^-+|-+$/gu, "");
+    .replaceAll(/[\u0300-\u036F]/gu, "")
+    .replaceAll(/[^a-z0-9]+/gu, "-")
+    .replaceAll(/^-+|-+$/gu, "");
 
   return (
     (slug || FALLBACK_SUFFIX).slice(0, 10).replace(/-+$/u, "") ||

package/scripts/lib/worktree.mjs

@@ -27,7 +27,7 @@ export function sanitizeBranch(branch) {
   const sanitized = branch
     .trim()
     .replace(UNSAFE_PATH_CHARS_RE, '-')
-    .replace(/^-+|-+$/gu, '')
+    .replaceAll(/^-+|-+$/gu, '')
   if (sanitized === '') {
     throw new Error(`worktree: імʼя гілки "${branch}" не містить допустимих символів`)
   }