@nitra/cursor 1.11.16 → 1.13.0

package/CHANGELOG.md

@@ -4,6 +4,56 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.0] - 2026-05-17
+
+### Changed
+
+- **9 правил переведено з `alwaysApply: true` на `alwaysApply: false` + `globs:`** — AI-контекст у Cursor/Claude Code підвантажується лише при роботі з релевантними файлами; програмна валідація через `npx check <rule>` залишається повністю функціональною незалежно від AI-контексту. Економить контекстне вікно у сесіях, де редагують код, далекий від відповідних конфігів.
+  - **`bun`** (`1.7 → 1.8`) — `globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"`
+  - **`capacitor`** (`1.0 → 1.1`) — `globs: "**/capacitor.config.json,**/android/**,**/ios/**"`
+  - **`js-bun-db`** (`1.6 → 1.7`) — `globs: "**/package.json,**/src/conn/**"`
+  - **`js-bun-redis`** (`1.0 → 1.1`) — `globs: "**/package.json,**/src/conn/**"`
+  - **`js-mssql`** (`1.3 → 1.4`) — `globs: "**/package.json,**/src/conn/mssql-*"`
+  - **`npm-module`** (`1.12 → 1.13`) — `globs: "npm/**,**/package.json,**/hk.pkl,.github/workflows/npm-publish.yml,**/tsconfig*.json"`
+  - **`tauri`** (`1.0 → 1.1`) — `globs: "**/src-tauri/**,**/tauri.conf.json"`
+  - **`js-lint`** (`1.21 → 1.22`) — `globs: "**/{.oxlintrc.json,eslint.config.js,.jscpd.json,knip.json,package.json},**/*.{js,mjs,cjs,jsx,ts,tsx}"`
+  - **`js-run`** (`1.7 → 1.8`) — `globs: "**/package.json,**/jsconfig.json,**/src/**/*.{js,mjs,cjs,ts,tsx}"`
+- **Мотивація:** усі 9 правил мають повне покриття `npx @nitra/cursor check <rule>` (JS-перевірка + Rego policy). Тримати їх `alwaysApply: true` без потреби палить контекст AI у сесіях, де редагується непов'язаний код. Помилка → check ловить → AI виправляє — той самий цикл, що для `security@1.12.1` і `changelog`/`image-compress`/`php`/`vue`.
+- **Залишено `alwaysApply: true`** — `text` (cross-cutting cspell-словник, апостроф), `adr` (про процес capture/normalize hooks), `ci4` (0 програмних чекерів — без AI-контексту правило мертве), `abie` (має JS `applies`-гейт, у не-abie репо мовчить; файли розкидані).
+
+## [1.12.1] - 2026-05-17
+
+### Changed
+
+- **`npm/rules/security/security.mdc`** — `alwaysApply: true` → `alwaysApply: false` + `globs: "**/.gitleaks.toml,**/package.json,**/.github/workflows/**/*.yml"`. AI-контекст правила тепер підвантажується лише при роботі з релевантними файлами (за зразком `changelog`/`image-compress`/`php`), а не на кожен турн. Програмна валідація через `npx @nitra/cursor check security` залишається завжди увімкненою (через `auto.md = завжди`) і ловить помилки незалежно від AI-контексту. Версія frontmatter `1.0` → `1.1`.
+- **Мотивація:** правило має повне покриття перевіркою (Rego + JS-check); тримати його `alwaysApply: true` не дає AI додаткової цінності понад те, що `check security` ловить програмно — лише марно займає контекстне вікно при роботі з кодом, не повʼязаним з конфігурацією security.
+
+## [1.12.0] - 2026-05-16
+
+### Added
+
+- **Нове правило `security`** (увімкнене за замовчуванням, як `text`/`adr`) — секрет-сканер на базі [gitleaks](https://github.com/gitleaks/gitleaks). Вимагає:
+  - `scripts.lint-security` у `package.json` з викликом `gitleaks detect` (або `gitleaks git`);
+  - `bun run lint-security` всередині агрегованого `scripts.lint` (якщо `lint` є);
+  - `.gitleaks.toml` у корені з `useDefault = true` у блоці `[extend]` (без перетирання вбудованих правил);
+  - `gitleaks` **не** у `dependencies`/`devDependencies` (інструмент глобальний, як `shellcheck`/`conftest`).
+- **`npm/rules/security/{security.mdc,auto.md,fix/gitleaks/check.mjs,policy/package_json/{package_json.rego,target.json,package_json_test.rego}}`** — повна структура правила за зразком `image-compress` (Rego per-document валідація + JS-частина для FS). 9 rego-тестів + 5 JS-тестів.
+- **`npm/scripts/auto-rules.mjs`** — `'security'` додано в `AUTO_RULE_ORDER` (alphabetical, між `rego` і `style-lint`) і викликається `addRule('security')` без умови. `auto-rules.test.mjs` оновлено.
+
+### Motivation
+
+Команда вже виявляла секрети у public-репо вручну (gitleaks локально + GitHub Push Protection); правило виносить інструмент у канонічний `bun run lint`, щоб витоки ловилися ще до push. Default-on, бо «опт-ін на secret-scanning» — це anti-pattern: репо, що не вмикав security вручну, найімовірніше і є той, що зливає секрети.
+
+## [1.11.17] - 2026-05-16
+
+### Fixed
+
+- **`npm/rules/js-run/fix/runtime/check-fixture.test.mjs`** — фікстури двох тестів («0, якщо `import { SQL } from 'bun'` у `src/conn/`» і «враховує `package.json#imports['#conn/*']`») приведено у відповідність до канону `js-run`: іменування файлу `pg.js` → `pg-write.js` (шаблон `pg-{read|write}[-<id>]`) та іменований експорт `db` → `pgWrite` (camelCase від basename). Раніше фікстури використовували старий формат і check.mjs справедливо повертав `1`, через що очікування `toBe(0)` падало. Решта тестів conn-канону (`mssql-write.js`/`mssqlWrite` happy-path, `mssqlWriter` negative-path) у тому ж файлі вже були канонічними — їх не торкаюся.
+
+### Removed
+
+- **`npm/package.json#devDependencies`** — повторно видалено `@nitra/cursor: ^1.11.16` self-reference, який повернувся в коміті `8ae6e9e auto adr` (автоматичний stop-hook fix). Той самий блок уже прибирали в `1.11.14` (див. запис нижче) — потрапив назад через автофікс. `npx @nitra/cursor check npm-module` знову зелений.
+
 ## [1.11.16] - 2026-05-16
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.11.16",
+  "version": "1.13.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -52,8 +52,5 @@
   "engines": {
     "bun": ">=1.3",
     "node": ">=25"
-  },
-  "devDependencies": {
-    "@nitra/cursor": "^1.11.16"
   }
 }

package/rules/bun/bun.mdc

@@ -1,7 +1,8 @@
 ---
 description: Bun як єдиний package manager у монорепо
-alwaysApply: true
-version: '1.7'
+globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"
+alwaysApply: false
+version: '1.8'
 ---
 
 Проект використовує тільки Bun для керування залежностями та запуску скриптів.

package/rules/capacitor/capacitor.mdc

@@ -1,7 +1,8 @@
 ---
 description: Правила для проєктів Capacitor
-alwaysApply: true
-version: '1.0'
+globs: "**/capacitor.config.json,**/android/**,**/ios/**"
+alwaysApply: false
+version: '1.1'
 ---
 
 ## Версія Capacitor

package/rules/js-bun-db/js-bun-db.mdc

@@ -1,7 +1,8 @@
 ---
 description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
-alwaysApply: true
-version: '1.6'
+globs: "**/package.json,**/src/conn/**"
+alwaysApply: false
+version: '1.7'
 ---
 
 ## Підтримувані версії баз даних

package/rules/js-bun-redis/js-bun-redis.mdc

@@ -1,7 +1,8 @@
 ---
 description: Використання Redis/Valkey з Bun
-alwaysApply: true
-version: '1.0'
+globs: "**/package.json,**/src/conn/**"
+alwaysApply: false
+version: '1.1'
 ---
 
 ## Підтримувані версії redis

package/rules/js-lint/js-lint.mdc

@@ -1,7 +1,8 @@
 ---
 description: Перевірка JavaScript коду
-alwaysApply: true
-version: '1.21'
+globs: "**/{.oxlintrc.json,eslint.config.js,.jscpd.json,knip.json,package.json},**/*.{js,mjs,cjs,jsx,ts,tsx}"
+alwaysApply: false
+version: '1.22'
 ---
 
 **oxlint**, **ESLint**, **jscpd**, **knip**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`**, **`bunx knip`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd/knip не додавай без потреби монорепо.

package/rules/js-mssql/js-mssql.mdc

@@ -1,7 +1,8 @@
 ---
 description: Використання mssql в nodejs
-alwaysApply: true
-version: '1.3'
+globs: "**/package.json,**/src/conn/mssql-*"
+alwaysApply: false
+version: '1.4'
 ---
 
 ## Підтримувана версія SQL Server

package/rules/js-run/js-run.mdc

@@ -1,7 +1,8 @@
 ---
 description: Це правила для backend проектів на JavaScript/Node.js, сюди входять і job і WEB сервери.
-alwaysApply: true
-version: '1.7'
+globs: "**/package.json,**/jsconfig.json,**/src/**/*.{js,mjs,cjs,ts,tsx}"
+alwaysApply: false
+version: '1.8'
 ---
 
 ## Область застосування

package/rules/npm-module/npm-module.mdc

@@ -1,7 +1,8 @@
 ---
 description: Оформлення репозиторію для npm модуля
-alwaysApply: true
-version: '1.12'
+globs: "npm/**,**/package.json,**/hk.pkl,.github/workflows/npm-publish.yml,**/tsconfig*.json"
+alwaysApply: false
+version: '1.13'
 ---
 
 Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.github/workflows/`**; опційно **`demo/`**.

package/rules/security/auto.md

@@ -0,0 +1 @@
+завжди

package/rules/security/fix/gitleaks/check.mjs

@@ -0,0 +1,62 @@
+/**
+ * FS-частина правила `security` (security.mdc).
+ *
+ * **Що тут лишилося** (FS / cross-file):
+ *  - наявність `package.json` у корені (структуру валідує Rego);
+ *  - наявність `.gitleaks.toml` у корені — нагадування створити з канону `security.mdc`;
+ *  - `.gitleaks.toml` має `useDefault = true` у блоці `[extend]` (інакше дефолтні правила
+ *    gitleaks перетираються і скан стає сліпим до 95% типових витоків).
+ *
+ * **Що покрила Rego** (`npx \@nitra/cursor check`, `npm/policy/security/package_json/`):
+ *  - `scripts.lint-security` існує і викликає `gitleaks` з `detect`/`git` subcommand;
+ *  - агрегований `scripts.lint` (якщо є) містить `bun run lint-security`;
+ *  - `gitleaks` НЕ у `dependencies` / `devDependencies` (бо це глобальний CLI).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+
+const GITLEAKS_CONFIG = '.gitleaks.toml'
+
+/**
+ * Перевіряє наявність `.gitleaks.toml` у корені та канонічну вимогу `useDefault = true`
+ * у блоці `[extend]`. Користувач сам наповнює `[allowlist]` локальними патернами.
+ * @param {(msg: string) => void} pass callback при успішній перевірці
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<void>}
+ */
+async function checkGitleaksConfig(pass, fail) {
+  if (!existsSync(GITLEAKS_CONFIG)) {
+    fail(`${GITLEAKS_CONFIG} не знайдено в корені — створи за каноном security.mdc (useDefault = true + [allowlist])`)
+    return
+  }
+  const raw = await readFile(GITLEAKS_CONFIG, 'utf8')
+  if (!/useDefault\s*=\s*true/u.test(raw)) {
+    fail(
+      `${GITLEAKS_CONFIG}: відсутнє \`useDefault = true\` у блоці [extend] — без нього вбудовані ` +
+        'gitleaks-правила перетираються і скан стає сліпим (security.mdc)'
+    )
+    return
+  }
+  pass(`${GITLEAKS_CONFIG} існує і успадковує дефолтні gitleaks-правила (useDefault = true)`)
+}
+
+/**
+ * Запускає всі FS-перевірки правила security.
+ * @returns {Promise<number>} 0 — все OK, 1 — є зауваження
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (security.mdc)')
+    return reporter.getExitCode()
+  }
+  pass('package.json є (структуру перевіряє npx @nitra/cursor check → security.package_json)')
+
+  await checkGitleaksConfig(pass, fail)
+
+  return reporter.getExitCode()
+}

package/rules/security/policy/package_json/package_json.rego

@@ -0,0 +1,75 @@
+# Перевірка `package.json` для правила security (security.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/security \
+#     --namespace security.package_json
+#
+# Перевіряє: наявність `scripts.lint-security`, виклик `gitleaks detect`,
+# входження `bun run lint-security` у агрегований `scripts.lint` (якщо `lint` є),
+# та заборону `gitleaks` у dependencies/devDependencies (інструмент глобальний).
+#
+# FS-перевірки (наявність `.gitleaks.toml`, `useDefault = true`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package security.package_json
+
+import rego.v1
+
+gitleaks_pkg := "gitleaks"
+
+dep_template := concat(" ", [
+	"package.json: %q не повинен бути в %s —",
+	"gitleaks встановлюється глобально (security.mdc)",
+])
+
+# ── deny: scripts.lint-security ──────────────────────────────────────────
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "lint-security" in object.keys(scripts)
+	msg := "package.json: відсутній scripts.lint-security — додай `gitleaks detect --no-banner` (security.mdc)"
+}
+
+deny contains msg if {
+	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
+	lint_security != ""
+	not contains(lint_security, "gitleaks")
+	msg := "package.json: lint-security має викликати `gitleaks` (security.mdc)"
+}
+
+deny contains msg if {
+	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
+	contains(lint_security, "gitleaks")
+	not has_detect_or_git_subcommand(lint_security)
+	msg := "package.json: lint-security має містити `detect` або `git` як gitleaks-subcommand (security.mdc)"
+}
+
+# ── deny: агрегований `lint` має кликати `bun run lint-security` ─────────
+
+deny contains msg if {
+	"lint-security" in object.keys(object.get(input, "scripts", {}))
+	lint := object.get(object.get(input, "scripts", {}), "lint", "")
+	lint != ""
+	not contains(lint, "bun run lint-security")
+	msg := "package.json: агрегований `lint` має містити `bun run lint-security` (security.mdc)"
+}
+
+# ── deny: `gitleaks` НЕ в dependencies/devDependencies ───────────────────
+
+deny contains msg if {
+	gitleaks_pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf(dep_template, [gitleaks_pkg, "dependencies"])
+}
+
+deny contains msg if {
+	gitleaks_pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf(dep_template, [gitleaks_pkg, "devDependencies"])
+}
+
+# ── helpers ──────────────────────────────────────────────────────────────
+
+# Чи містить рядок subcommand `detect` або `git` (як слово, не як підрядок випадкового шляху).
+# `gitleaks detect ...`, `gitleaks git --no-banner`, `gitleaks detect --source=.` — усі OK.
+has_detect_or_git_subcommand(s) if regex.match(`\bgitleaks\s+(detect|git)\b`, s)

package/rules/security/policy/package_json/target.json

@@ -0,0 +1,4 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": "package.json" }
+}

package/rules/security/security.mdc

@@ -0,0 +1,77 @@
+---
+description: Локальний та CI-секюріті-лінт через gitleaks — скрипт `lint-security`, `.gitleaks.toml`, інтеграція в агрегований `lint`
+globs: "**/.gitleaks.toml,**/package.json,**/.github/workflows/**/*.yml"
+alwaysApply: false
+version: '1.1'
+---
+
+[gitleaks](https://github.com/gitleaks/gitleaks) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+
+## Канон `package.json#scripts`
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-security": "gitleaks detect --no-banner",
+    "lint": "bun run lint-rego && bun run lint-js && bun run lint-text && bun run lint-security && oxfmt ."
+  }
+}
+```
+
+- `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
+- `--no-banner` — прибирає ASCII-арт (CI-friendly).
+- Позиція в `lint`: за конвенцією після інших `lint-*` і перед `oxfmt`.
+
+## `.gitleaks.toml` (рекомендована основа)
+
+```toml title=".gitleaks.toml"
+title = "Project gitleaks config"
+
+[extend]
+useDefault = true
+
+[allowlist]
+description = "Файли й шляхи, які навмисно містять test-фікстури з паттернами секретів."
+paths = [
+  '''(^|/)node_modules(/|$)''',
+  '''(^|/)\.git(/|$)''',
+  '''(^|/)dist(/|$)''',
+  '''(^|/)build(/|$)''',
+  '''.*\.lock$''',
+  '''.*fixtures?/.*'''
+]
+```
+
+`useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+
+## GitHub Actions (опційно)
+
+Окремий workflow не обовʼязковий — `lint-security` уже виконується через агрегований `lint`. Для fast-feedback окремо:
+
+```yaml title=".github/workflows/lint-security.yml"
+name: Lint Security
+
+on:
+  push:
+    branches: [dev, main]
+  pull_request:
+    branches: [dev, main]
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  security:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+          fetch-depth: 0
+      - uses: gitleaks/gitleaks-action@v2
+```
+
+Для повного скану git-історії потрібен `fetch-depth: 0`.

package/rules/tauri/tauri.mdc

@@ -1,7 +1,8 @@
 ---
 description: Tauri
-alwaysApply: true
-version: '1.0'
+globs: "**/src-tauri/**,**/tauri.conf.json"
+alwaysApply: false
+version: '1.1'
 ---
 
 

package/scripts/auto-rules.mjs

@@ -47,6 +47,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'npm-module',
   'php',
   'rego',
+  'security',
   'style-lint',
   'text',
   'vue'
@@ -659,6 +660,7 @@ export async function detectAutoRules({
     }
   }
   addRule('adr')
+  addRule('security')
   addRule('text')
   if (facts.hasVueSource) {
     addRule('vue')