@nitra/cursor 1.10.0 → 1.11.0

package/CHANGELOG.md

@@ -4,24 +4,57 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
-## [1.10.0] - 2026-05-15
+## [1.11.0] - 2026-05-15
 
 ### Added
 
+- **Concern-based JS + per-policy `target.json`** — нова інфраструктура для CLI `check`:
+  - `npm/rules/<id>/js/<concern>/check*.mjs` — JS-концерни замість одного плаского `js/check.mjs`. Дзеркалить `policy/<name>/`: один `<name>` = одна одиниця відповідальності (rego, JS, або hybrid).
+  - `npm/rules/<id>/policy/<name>/target.json` — декларативний маніфест поруч із `<name>.rego` описує, які файли фідити в conftest (`{ "files": { "single": "..." | "walkGlob": [...] } }`). CLI читає сам і викликає `runConftestBatch` — JS не зобовʼязаний дублювати.
+  - **Pure-rego правила** працюють без жодного `.mjs`: CLI знаходить полісі за `target.json` і прогонить їх через `runConftestBatch`.
+  - **Applies-гейт**: `rules/<id>/js/applies/check.mjs` може експортувати `applies()`. Якщо повертає `false` — CLI пропускає правило цілком (включно з policy-концернами).
+  - **JSON Schema** у `npm/schemas/target.json` для IDE-валідації `target.json`.
+  - **picomatch@^4.0.4** — runtime dependency для `walkGlob`-резолверу.
+- **Нові утиліти** в `npm/scripts/utils/`:
+  - `discover-checkable-rules.mjs` — обхід `rules/`, повертає `{ id, jsConcerns, policyConcerns }[]`. Legacy-fallback: плаский `js/check.mjs` маппиться у концерн `legacy`, щоб не ламати ще не мігровані правила під час переходу.
+  - `resolve-target-files.mjs` — резолвер `files.single` / `files.walkGlob` з спільним walk-кешем на check-прогон (повторні таргети з тим самим `ignorePaths` не роблять додаткового `walkDir`). Path-traversal у `single` блокується.
+  - `run-rule.mjs` — оркестратор одного правила: applies-гейт → JS-концерни → policy-концерни. Exit-код агрегується OR-ом.
+
+### Changed
+
+- **`npm/bin/n-cursor.js`** — `discoverCheckScripts` тепер делегує у `discoverCheckableRules` і повертає `CheckableRule[]` замість `string[]`. `runChecks` запускає `runRule` для кожного id зі shared `walkCache` (один обхід дерева на унікальний `ignorePaths`-сигнатуру).
+- **`npm/rules/rego/`** — пілот міграції на нову структуру:
+  - `js/check.mjs` → `js/applies/check.mjs` з експортами `applies()` (gate за наявністю `*.rego` у дереві) і `check()` (короткий context-pass). Виклики `runConftestBatch` прибрано — їх тепер виконує CLI через `target.json`.
+  - `policy/{package_json,vscode_extensions,vscode_settings}/target.json` додано (`single` + `required: true` + кастомні `missingMessage`).
+- **`npm/package.json`** — додано `picomatch` у `dependencies`.
+
 - **Правило `adr` — фаза 2 (Normalize).** Новий Stop-hook `.claude/hooks/normalize-decisions.sh` батчево нормалізує ADR-чернетки через LLM: коли кількість файлів з `session:` у frontmatter досягає `ADR_NORMALIZE_THRESHOLD` (default 30), бере до `ADR_NORMALIZE_BATCH` найстарших, отримує JSON-операції (`rewrite` / `delete` / `merge-into`) і застосовує їх до робочого дерева. **Жодних git-операцій** — розробник дивиться `git status`/`git diff` і вирішує сам. Recursion guard `ADR_NORMALIZE_RUNNING=1`, мінімальний інтервал між спробами `ADR_NORMALIZE_MIN_INTERVAL_HOURS=6`, lock-файл, skip при mid-rebase/mid-merge, `ADR_NORMALIZE_DRY=1` для dry-run. Slug-стиль — kebab-case українською; дата у фінальному ADR береться з `captured` чернетки.
 - **Skill `adr-normalize`** (slash-команда `/n-adr-normalize`) — ручний запуск normalize поза порогом і поза Stop-hook (виставляє `ADR_NORMALIZE_THRESHOLD=0` і `ADR_NORMALIZE_MIN_INTERVAL_HOURS=0`, корисно для dry-run або разової чистки). Авто-додається при `adr` у `rules`.
 - **`sync-claude-config`**: експортовано `ADR_NORMALIZE_HOOK_COMMAND_MARKER` і функцію `syncAdrNormalizeHookScript`; managed-група normalize додається до `hooks.Stop` поряд з capture-групою (`async: true`, `timeout: 600`) при `"adr"` у `rules`. Маркер `.claude/hooks/normalize-decisions.sh` додано в `MANAGED_HOOK_COMMAND_MARKERS`.
 - **Rego-перевірка `adr.settings_json`** тепер вимагає Stop-hook групу і для capture, і для normalize; **`adr.settings_local_json`** забороняє дублі обох хуків.
+- **Інкрементальна міграція правил на `target.json`** (декларативні маніфести поруч із кожним `<concern>.rego`):
+  - **Single-file правила** (11): `bun`, `text`, `style-lint`, `php`, `docker`, `npm-module`, `js-lint`, `image-compress`, `capacitor`, `hasura`, `adr` — `target.json` з `single` для кожного канонічного конфіг-файлу. Сумарно 27 нових маніфестів. `bun.bunfig`, `text.cspell`, `npm_module.npm_publish_yml` тощо тепер прогоняються через CLI `check <id>` без додаткового `bun run lint-conftest`.
+  - **Walk-glob правила** (6): `js-mssql`, `js-bun-db`, `js-bun-redis`, `js-run` (package_json + configmap), `vue`, `image-avif` — `walkGlob: "**/package.json"` або відповідний патерн.
+  - **k8s.* концерни** (8): `manifest`, `gateway`, `hpa_pdb`, `kustomization`, `svc_yaml`, `svc_hl_yaml`, `base_kustomization`, `base_manifest` — `walkGlob` по YAML під сегментом `k8s/`; `base_manifest` використовує негативний glob для виключення `kustomization.yaml`.
+  - **abie концерни** (4): `clean_merged_ignore_branches` (single), `health_check_policy` (walkGlob `**/k8s/**/hc.yaml`), `http_route_base` (walkGlob `**/k8s/**/base/**/hr.yaml`), `base_deployment_preem` (walkGlob `**/k8s/**/base/**/*.{yaml,yml}` з виключенням `kustomization.yaml`).
 
 ### Changed
 
 - **`capture-decisions.sh` тепер пише чернетки напряму в `docs/adr/<timestamp>-<sid>.md`** (раніше — у `docs/adr/_inbox/`). Сам каталог `_inbox/` більше не створюється, але `normalize-decisions.sh` бачить його рекурсивно — старі чернетки з `_inbox/` поступово розчищаються нормалізацією. Можна також одноразово `git mv docs/adr/_inbox/*.md docs/adr/` і прибрати порожній каталог.
 - **Правило `adr` (`npm/rules/adr/adr.mdc`)**: повне переписування під дві фази (capture + normalize). Видалено згадки `_inbox/`. Версія `version: '2.0'`.
 - **`npm/rules/adr/js/check.mjs`**: перевірка обох hook-скриптів (canonicity), обох log-файлів у `.gitignore`.
+- **`npm/scripts/lint-conftest.mjs`**: повне переписування. Замість hardcoded `TARGETS`-таблиці (~280 рядків з регексами та walker-преди­катами) скрипт викликає `discoverCheckableRules` і читає `target.json` для кожного policy-концерну. Файл-резолвер — спільний з CLI `check` (`resolveTargetFiles` + walk-кеш). Поведінка для користувача однакова (`stdio: 'inherit'` зберігається для рідного форматування conftest), але джерело правди тепер — `target.json` поруч із `.rego`. Скрипт став `async` (для `await readFile`/`discoverCheckableRules`).
+- **`npm/rules/abie/`** — завершено concern-split:
+  - `js/check.mjs` (1153 рядки) видалено, його логіка розпорошена по `js/{applies,firebase_hosting,hc_pairing,ua_node_selector,ua_http_route,env_dns}/check.mjs`.
+  - Спільні стан і утиліти у `utils/{enabled,k8s-tree,overlay-paths,kustomization-patches,http-route,hc-yaml,env-dns,yaml}.mjs`. `k8s-tree.mjs` тримає module-level кеш `findK8sYamlFiles` + `collectDeploymentDirs` — повторні виклики з різних концернів не роблять нового обходу дерева.
+  - Виклики `runConftestBatch` прибрано з JS — їх тепер виконує CLI через `target.json`.
 
 ### Fixed
 
 - `npm/rules/adr/js/check.{mjs,test.mjs}`: виправлено `BUNDLED_HOOKS_DIR` (після phase 3 co-location шлях `'..'` указував у `npm/rules/adr/.claude-template/`, потрібно `'../../..'` — до `npm/.claude-template/`).
+- **`scripts/utils/run-rule.mjs`**: kebab-id правила (`style-lint`, `image-compress`, `js-lint`, `npm-module`, `js-mssql`, `js-bun-db`, `js-bun-redis`, `js-run`, `image-avif`, `nginx-default-tpl`) тепер коректно мапиться у snake-namespace rego (`style_lint.<concern>` тощо). Раніше `namespace: <id>.<concern>` давав `style-lint.package_json`, що не збігалося з `package style_lint.package_json` у `.rego` → conftest повертав 0 violations попри реальні порушення.
+- **`scripts/utils/resolve-target-files.mjs`**: виправлено інтерпретацію негативних glob-патернів. `picomatch(['pos', '!neg'])` за дефолтом трактує `!neg` як окремий позитивний матчер «не-neg» (OR-логіка), що матчило майже всі шляхи. Тепер позитивні/негативні розділяються вручну, негативи застосовуються через `!isExcluded`. Виправляє `k8s.base_manifest`-таргет, який мав виключати `kustomization.yaml`, але до фіксу матчив усе дерево.
+- **`scripts/utils/discover-checkable-rules.mjs`**: коли правило має й плаский `js/check.mjs`, і concern-підкаталоги, CLI прогонить **тільки** концерни. Раніше додавалися обидва → дублюючий вивід для правил у стані часткової міграції.
 
 ## [1.9.23] - 2026-05-14
 

package/bin/n-cursor.js

@@ -66,8 +66,10 @@ import {
 } from '../scripts/auto-rules.mjs'
 import { detectAutoSkills } from '../scripts/auto-skills.mjs'
 import { runStopHookCli } from '../scripts/claude-stop-hook.mjs'
+import { discoverCheckableRules } from '../scripts/utils/discover-checkable-rules.mjs'
 import { ensureNitraCursorInRootDevDependencies } from '../scripts/ensure-nitra-cursor-dev-dependencies.mjs'
 import { runLintGaCli } from '../rules/ga/js/lint.mjs'
+import { runRule } from '../scripts/utils/run-rule.mjs'
 import { syncClaudeConfig } from '../scripts/sync-claude-config.mjs'
 import { upgradeNitraCursorToLatestAndBunInstall } from '../scripts/upgrade-nitra-cursor-and-install.mjs'
 import { runRenameYamlExtensionsCli } from './rename-yaml-extensions.mjs'
@@ -986,18 +988,14 @@ function logRemovedManagedItems(title, basePath, names) {
 }
 
 /**
- * Знаходить доступні check-скрипти. Кожне правило з check-скриптом тримає його у
- * `rules/<id>/js/check.mjs` (rule-centric layout).
- * @returns {Promise<string[]>} відсортовані id правил, для яких є check.mjs
+ * Знаходить правила, для яких є хоча б щось прогонне: JS-концерн у `rules/<id>/js/<concern>/check*.mjs`
+ * (плюс legacy `rules/<id>/js/check.mjs` як концерн `legacy`) або policy-концерн у
+ * `rules/<id>/policy/<concern>/target.json`. Делегує у `discoverCheckableRules` —
+ * див. `scripts/utils/discover-checkable-rules.mjs`.
+ * @returns {Promise<import('../scripts/utils/discover-checkable-rules.mjs').CheckableRule[]>} опис правил у алфавітному порядку
  */
 async function discoverCheckScripts() {
-  if (!existsSync(BUNDLED_RULES_DIR)) return []
-  const entries = await readdir(BUNDLED_RULES_DIR, { withFileTypes: true })
-  return entries
-    .filter(e => e.isDirectory() && !e.name.startsWith('.'))
-    .filter(e => existsSync(join(BUNDLED_RULES_DIR, e.name, 'js', 'check.mjs')))
-    .map(e => e.name)
-    .toSorted((a, b) => a.localeCompare(b))
+  return discoverCheckableRules(BUNDLED_RULES_DIR)
 }
 
 /**
@@ -1048,13 +1046,15 @@ async function discoverCheckRulesFromAgentsMd(available) {
 }
 
 /**
- * Запускає перевірки: без аргументів — за списком у AGENTS.md; з аргументами — лише вказані правила
+ * Запускає перевірки: без аргументів — за списком у AGENTS.md; з аргументами — лише вказані правила.
+ * Делегує оркестрацію concern-ів (JS-checks + policy через `runConftestBatch`) у `runRule`;
+ * сам `runChecks` відповідає лише за фільтр id, агрегацію exit-кодів і shared walk-cache на прогон.
  * @param {string[]} requestedRules імена правил; порожній масив — брати з AGENTS.md
  * @returns {Promise<void>}
  */
 async function runChecks(requestedRules) {
-  const available = await discoverCheckScripts()
-  if (available.length === 0) {
+  const allRules = await discoverCheckScripts()
+  if (allRules.length === 0) {
     console.error('❌ Не знайдено жодного check-скрипта у пакеті')
     throw new Error('No check scripts found')
   }
@@ -1070,38 +1070,38 @@ async function runChecks(requestedRules) {
     }
   }
 
-  let rulesToCheck
+  const available = allRules.map(r => r.id)
+  let idsToCheck
   if (requestedRules.length > 0) {
-    rulesToCheck = requestedRules
+    idsToCheck = requestedRules
   } else {
-    rulesToCheck = await discoverCheckRulesFromAgentsMd(available)
-    if (rulesToCheck.length === 0) {
+    idsToCheck = await discoverCheckRulesFromAgentsMd(available)
+    if (idsToCheck.length === 0) {
       console.log(
         `\n🔍 ${PACKAGE_NAME} check — у ${AGENTS_FILE} немає правил з programmatic перевіркою ` +
-          `(відповідного check-*.mjs у пакеті). Нічого не запущено.\n`
+          `(відповідного check-*.mjs або policy/<name>/target.json у пакеті). Нічого не запущено.\n`
       )
       return
     }
   }
 
-  const unknown = rulesToCheck.filter(r => !available.includes(r))
+  const unknown = idsToCheck.filter(id => !available.includes(id))
   if (unknown.length > 0) {
     console.error(`❌ Невідомі правила: ${unknown.join(', ')}`)
     console.log(`   Доступні: ${available.join(', ')}`)
     throw new Error(`Unknown rules: ${unknown.join(', ')}`)
   }
 
-  console.log(`\n🔍 ${PACKAGE_NAME} check — перевірка правил (${rulesToCheck.length})\n`)
+  console.log(`\n🔍 ${PACKAGE_NAME} check — перевірка правил (${idsToCheck.length})\n`)
 
+  const ruleMap = new Map(allRules.map(r => [r.id, r]))
+  /** @type {Map<string, Promise<string[]>>} shared walk-cache (cross-concern, cross-rule у межах одного прогону) */
+  const walkCache = new Map()
   let totalFailed = 0
 
-  for (const rule of rulesToCheck) {
-    const scriptPath = join(BUNDLED_RULES_DIR, rule, 'js', 'check.mjs')
-    console.log(`📋 ${rule}:`)
+  for (const id of idsToCheck) {
     try {
-      // eslint-disable-next-line no-unsanitized/method -- rule валідовано проти available, scriptPath будується з фіксованої BUNDLED_RULES_DIR
-      const { check } = await import(scriptPath)
-      const code = await check()
+      const code = await runRule(ruleMap.get(id), BUNDLED_RULES_DIR, walkCache)
       if (code !== 0) totalFailed++
     } catch (error) {
       console.log(`  ❌ Помилка виконання: ${error.message}`)
@@ -1110,11 +1110,11 @@ async function runChecks(requestedRules) {
     console.log()
   }
 
-  const passedCount = rulesToCheck.length - totalFailed
-  console.log(`✨ Результат: ${passedCount}/${rulesToCheck.length} правил без зауважень\n`)
+  const passedCount = idsToCheck.length - totalFailed
+  console.log(`✨ Результат: ${passedCount}/${idsToCheck.length} правил без зауважень\n`)
 
   if (totalFailed > 0) {
-    throw new Error(`${totalFailed} з ${rulesToCheck.length} правил мають проблеми`)
+    throw new Error(`${totalFailed} з ${idsToCheck.length} правил мають проблеми`)
   }
 }
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.10.0",
+  "version": "1.11.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -45,6 +45,7 @@
   },
   "dependencies": {
     "oxc-parser": "^0.128.0",
+    "picomatch": "^4.0.4",
     "yaml": "^2.8.3"
   },
   "engines": {

package/rules/abie/js/applies/check.mjs

@@ -0,0 +1,24 @@
+/**
+ * Applies-гейт правила abie: rule-level через `isAbieRuleEnabled` (поле `rules` у `.n-cursor.json`).
+ * Якщо повертає `false` — CLI пропускає всі концерни (JS і policy) цього правила.
+ * `check()` друкує тільки context-pass; решта концернів роблять справжню роботу.
+ */
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+
+import { isAbieRuleEnabled } from '../../utils/enabled.mjs'
+
+/**
+ * @returns {Promise<boolean>}
+ */
+export async function applies() {
+  return isAbieRuleEnabled(process.cwd())
+}
+
+/**
+ * @returns {Promise<number>}
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  reporter.pass('Правило abie увімкнено — виконуємо перевірки')
+  return reporter.getExitCode()
+}

package/rules/abie/js/env_dns/check.mjs

@@ -0,0 +1,53 @@
+/**
+ * Скан env-файлів abie (`*.dev.env`, `*.ua.env`): кожен внутрішньокластерний URL
+ * `http://<svc>.<ns>.svc.<dns>` має відповідати кластеру за іменем файла:
+ *   - `dev.env` → `abie-dev.internal` + `dev-*` namespace
+ *   - `ua.env`  → `abie-ua.internal` + `ua-*` namespace
+ *
+ * Файл `.env` без імені (локальний для розробника) — виключено.
+ */
+import { readFile } from 'node:fs/promises'
+import { basename, relative } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+
+import { abieEnvNameFromBasename, collectAbieEnvFiles, validateAbieEnvInternalUrls } from '../../utils/env-dns.mjs'
+
+/**
+ * @returns {Promise<number>}
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const root = process.cwd()
+
+  const ignorePaths = await loadCursorIgnorePaths(root)
+  const envFiles = await collectAbieEnvFiles(root, ignorePaths)
+  if (envFiles.length === 0) {
+    pass('Не знайдено dev.env / ua.env у репозиторії — перевірку env→cluster DNS пропущено (abie.mdc)')
+    return reporter.getExitCode()
+  }
+
+  for (const abs of envFiles) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    const envName = abieEnvNameFromBasename(basename(abs))
+    if (envName === null) continue
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      continue
+    }
+    const errors = validateAbieEnvInternalUrls(raw, envName)
+    if (errors.length === 0) {
+      pass(`${rel}: усі внутрішні URL відповідають env "${envName}" (abie.mdc)`)
+    } else {
+      for (const err of errors) fail(`${rel}: ${err} (abie.mdc)`)
+    }
+  }
+
+  return reporter.getExitCode()
+}

package/rules/abie/js/firebase_hosting/check.mjs

@@ -0,0 +1,49 @@
+/**
+ * Перевірка abie: у **підкаталогах першого рівня** (без `.git`/`node_modules`) не має бути
+ * `.firebaserc`, `firebase.json`, `.firebase/` (abie.mdc — Firebase Hosting заборонено).
+ * У самому корені репозиторію ці імена не перевіряються (можуть бути від суміжних проєктів).
+ */
+import { existsSync } from 'node:fs'
+import { readdir } from 'node:fs/promises'
+import { join } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+
+const SKIP_TOP_DIR_NAMES = new Set(['.git', 'node_modules'])
+
+/**
+ * @returns {Promise<number>}
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const root = process.cwd()
+
+  let entries
+  try {
+    entries = await readdir(root, { withFileTypes: true })
+  } catch (error) {
+    const msg = error instanceof Error ? error.message : String(error)
+    fail(`Не вдалося прочитати ${root} для перевірки Firebase Hosting: ${msg} (abie.mdc)`)
+    return reporter.getExitCode()
+  }
+  const topDirs = entries.filter(e => e.isDirectory() && !SKIP_TOP_DIR_NAMES.has(e.name))
+  let hasViolation = false
+  for (const e of topDirs) {
+    for (const name of ['.firebaserc', 'firebase.json']) {
+      const rel = join(e.name, name).replaceAll('\\', '/')
+      if (existsSync(join(root, e.name, name))) {
+        fail(`Знайдено заборонений файл Firebase Hosting: ${rel} — видали його (abie.mdc)`)
+        hasViolation = true
+      }
+    }
+    if (existsSync(join(root, e.name, '.firebase'))) {
+      fail(`Знайдено заборонену директорію: ${e.name}/.firebase/ — видали її (abie.mdc)`)
+      hasViolation = true
+    }
+  }
+  if (!hasViolation) {
+    pass('Підкаталоги кореня (1-й рівень, без .git/node_modules): артефактів Firebase Hosting не знайдено (abie.mdc)')
+  }
+  return reporter.getExitCode()
+}

package/rules/abie/js/hc_pairing/check.mjs

@@ -0,0 +1,58 @@
+/**
+ * Перевірка abie: для кожного каталогу з `kind: Deployment` під `k8s/` поруч має бути `hc.yaml`
+ * з коректним modeline (yaml-language-server $schema).
+ *
+ * Це JS-частина (FS-парність + modeline). Структурну валідацію `HealthCheckPolicy`
+ * (apiVersion, requestPath, port, targetRef з суфіксом `-hl`) робить CLI через
+ * `policy/health_check_policy/target.json` (walkGlob по hc.yaml у k8s-дереві).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { relative } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+
+import { validateAbieHcModeline } from '../../utils/hc-yaml.mjs'
+import { collectDeploymentDirs, findK8sYamlFiles } from '../../utils/k8s-tree.mjs'
+
+/**
+ * @returns {Promise<number>}
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const root = process.cwd()
+
+  const ignorePaths = await loadCursorIgnorePaths(root)
+  const yamls = await findK8sYamlFiles(root, ignorePaths)
+  const deploymentDirs = await collectDeploymentDirs(root, yamls, fail)
+
+  if (deploymentDirs.size === 0) {
+    pass('Немає Deployment у дереві k8s — перевірку hc.yaml пропущено')
+    return reporter.getExitCode()
+  }
+  pass(`Знайдено Deployment у ${deploymentDirs.size} директорія(ї/й) k8s — перевіряємо hc.yaml поруч`)
+
+  for (const dir of [...deploymentDirs].toSorted((a, b) => a.localeCompare(b))) {
+    const hcAbs = `${dir}/hc.yaml`
+    const relHc = relative(root, hcAbs).replaceAll('\\', '/') || 'hc.yaml'
+    if (!existsSync(hcAbs)) {
+      fail(`${relative(root, dir) || dir}: є Deployment, але немає hc.yaml поруч — додай HealthCheckPolicy (abie.mdc)`)
+      continue
+    }
+    let hcRaw
+    try {
+      hcRaw = await readFile(hcAbs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${relHc}: не вдалося прочитати (${msg})`)
+      continue
+    }
+    const modelineErr = validateAbieHcModeline(hcRaw, relHc)
+    if (modelineErr !== null) fail(modelineErr)
+    else pass(`${relHc}: modeline OK`)
+  }
+
+  return reporter.getExitCode()
+}

package/rules/abie/js/ua_http_route/check.mjs

@@ -0,0 +1,86 @@
+/**
+ * Якщо в каталозі пакета (батько `k8s/`) є `vite.config.{js,mjs,ts}`, у `ua/kustomization.yaml`
+ * має бути inline-patch HTTPRoute (непорожній `target.name`): `/spec/hostnames` (домени abie),
+ * `/spec/parentRefs/0/namespace` (`ua` або `ua-*`).
+ *
+ * Для спільних сервісів (`auth-run-hl`, `file-link-hl`) у base-HTTPRoute пакета — кожен `backendRef`
+ * має `namespace: dev`; в overlay patch — JSON6902 на `/spec/rules/…/backendRefs/…/namespace` зі
+ * `value: ua`. Кількість patch-ів = кількість таких посилань у base.
+ */
+import { readFile } from 'node:fs/promises'
+import { relative } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+
+import { analyzeAbieSharedBackendRefsInPackageK8s } from '../../utils/http-route.mjs'
+import { findK8sYamlFiles } from '../../utils/k8s-tree.mjs'
+import {
+  getCombinedNginxRunPatchTextFromKustomization,
+  validateAbieNginxRunHttpRoutePatches
+} from '../../utils/kustomization-patches.mjs'
+import {
+  abiePackageDirFromK8sOverlay,
+  abieOverlayRequiresHttpRouteByVite,
+  isUaKustomizationPath
+} from '../../utils/overlay-paths.mjs'
+
+/**
+ * @returns {Promise<number>}
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const root = process.cwd()
+
+  const ignorePaths = await loadCursorIgnorePaths(root)
+  const yamls = await findK8sYamlFiles(root, ignorePaths)
+
+  const uaAbsList = yamls.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
+  if (uaAbsList.length === 0) {
+    pass('Немає ua/kustomization.yaml у дереві k8s — patch HTTPRoute (ua) не вимагається (abie.mdc, лише Vite-пакети)')
+    return reporter.getExitCode()
+  }
+
+  /** @type {Map<string, Promise<{ refCount: number, baseErrors: string[] }>>} */
+  const cache = new Map()
+
+  for (const abs of uaAbsList) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    if (!abieOverlayRequiresHttpRouteByVite(root, abs)) {
+      pass(`${rel}: HTTPRoute patch (ua) не застосовується — немає vite.config.{js,mjs,ts} у пакеті (abie)`)
+      continue
+    }
+    const pkgAbs = abiePackageDirFromK8sOverlay(root, abs)
+    if (!pkgAbs) {
+      fail(`${rel}: внутрішня помилка abie overlay (немає каталогу пакета)`)
+      continue
+    }
+    let p = cache.get(pkgAbs)
+    if (!p) {
+      p = analyzeAbieSharedBackendRefsInPackageK8s(root, pkgAbs, yamls)
+      cache.set(pkgAbs, p)
+    }
+    const sharedAnalysis = await p
+    let hasBaseError = false
+    for (const err of sharedAnalysis.baseErrors) {
+      fail(err)
+      hasBaseError = true
+    }
+    if (hasBaseError) continue
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      continue
+    }
+    const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
+    const v = validateAbieNginxRunHttpRoutePatches(combined, 'ua', raw, sharedAnalysis.refCount)
+    if (v !== null) fail(`${rel}: ${v}`)
+    else pass(`${rel}: HTTPRoute patch (ua) відповідає abie.mdc`)
+  }
+
+  return reporter.getExitCode()
+}

package/rules/abie/js/ua_node_selector/check.mjs

@@ -0,0 +1,65 @@
+/**
+ * Якщо в дереві `k8s/` пакета є `Deployment`, у `ua/kustomization.yaml` має бути inline-patch
+ * на `Deployment` з `path /spec/template/spec/nodeSelector` і `preem: false` (abie.mdc).
+ *
+ * Структурні обмеження JSON6902 (заборона `remove + add` на той самий path) перевіряє k8s.mdc /
+ * `k8s.kustomization` rego — тут лише abie-специфічне.
+ */
+import { readFile } from 'node:fs/promises'
+import { relative } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+
+import { collectDeploymentDirs, findK8sYamlFiles } from '../../utils/k8s-tree.mjs'
+import { kustomizationHasAbieDeploymentNodeSelectorPatch } from '../../utils/kustomization-patches.mjs'
+import { abieOverlayK8sTreeHasDeployment, isUaKustomizationPath } from '../../utils/overlay-paths.mjs'
+
+/**
+ * @returns {Promise<number>}
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const root = process.cwd()
+
+  const ignorePaths = await loadCursorIgnorePaths(root)
+  const yamls = await findK8sYamlFiles(root, ignorePaths)
+  const deploymentDirs = await collectDeploymentDirs(root, yamls, fail)
+
+  if (deploymentDirs.size === 0) {
+    pass('Немає Deployment у дереві k8s — patch nodeSelector (ua) не вимагається')
+    return reporter.getExitCode()
+  }
+
+  const uaAbsList = yamls.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
+  if (uaAbsList.length === 0) {
+    fail(
+      'Є Deployment у k8s — додай ua/kustomization.yaml з patch на Deployment: path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
+    )
+    return reporter.getExitCode()
+  }
+
+  for (const abs of uaAbsList) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    if (!abieOverlayK8sTreeHasDeployment(deploymentDirs, root, abs)) {
+      pass(`${rel}: nodeSelector patch (ua) не застосовується — немає Deployment у дереві k8s цього пакета (abie)`)
+      continue
+    }
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      continue
+    }
+    if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ua')) {
+      fail(`${rel}: потрібен patch target kind Deployment: path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`)
+      continue
+    }
+    pass(`${rel}: nodeSelector patch (ua) відповідає abie.mdc`)
+  }
+
+  return reporter.getExitCode()
+}

package/rules/abie/policy/base_deployment_preem/target.json

@@ -0,0 +1,10 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "walkGlob": [
+      "**/k8s/**/base/**/*.yaml",
+      "**/k8s/**/base/**/*.yml",
+      "!**/k8s/**/base/**/kustomization.yaml"
+    ]
+  }
+}

package/rules/abie/policy/clean_merged_ignore_branches/target.json

@@ -0,0 +1,4 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": ".github/workflows/clean-merged-branch.yml" }
+}

package/rules/abie/policy/health_check_policy/target.json

@@ -0,0 +1,4 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "walkGlob": "**/k8s/**/hc.yaml" }
+}

package/rules/abie/policy/http_route_base/target.json

@@ -0,0 +1,4 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "walkGlob": "**/k8s/**/base/**/hr.yaml" }
+}

package/rules/abie/utils/enabled.mjs

@@ -0,0 +1,35 @@
+/**
+ * Rule-level applies-гейт abie: чи `.n-cursor.json:rules` містить `abie`.
+ * Використовується `js/applies/check.mjs` як `applies()`-експорт — якщо false,
+ * CLI пропускає всі концерни правила (включно з policy).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { join } from 'node:path'
+
+const CONFIG_FILE = '.n-cursor.json'
+
+/**
+ * Чи увімкнено правило **abie** у `.n-cursor.json:rules`.
+ * @param {string} root корінь репозиторію (cwd)
+ * @returns {Promise<boolean>}
+ */
+export async function isAbieRuleEnabled(root) {
+  const p = join(root, CONFIG_FILE)
+  if (!existsSync(p)) return false
+  let raw
+  try {
+    raw = await readFile(p, 'utf8')
+  } catch {
+    return false
+  }
+  let cfg
+  try {
+    cfg = JSON.parse(raw)
+  } catch {
+    return false
+  }
+  const rules = cfg?.rules
+  if (!Array.isArray(rules)) return false
+  return rules.some(r => String(r).trim().toLowerCase() === 'abie')
+}