npm - @nitra/cursor - Versions diffs - 1.11.17 → 1.13.1 - Mend

@nitra/cursor 1.11.17 → 1.13.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (36) hide show

package/.claude-template/hooks/capture-decisions.sh +7 -2
package/.claude-template/hooks/normalize-decisions.sh +7 -1
package/CHANGELOG.md +46 -0
package/bin/n-cursor.js +3 -1
package/package.json +1 -1
package/rules/abie/abie.mdc +1 -9
package/rules/adr/adr.mdc +25 -16
package/rules/adr/fix/hooks/check.mjs +70 -0
package/rules/bun/bun.mdc +3 -20
package/rules/capacitor/capacitor.mdc +4 -8
package/rules/changelog/changelog.mdc +1 -5
package/rules/ci4/ci4.mdc +0 -4
package/rules/docker/docker.mdc +1 -19
package/rules/ga/ga.mdc +1 -26
package/rules/graphql/graphql.mdc +0 -8
package/rules/hasura/hasura.mdc +0 -6
package/rules/image-avif/image-avif.mdc +1 -13
package/rules/image-compress/image-compress.mdc +7 -33
package/rules/js-bun-db/js-bun-db.mdc +3 -6
package/rules/js-bun-redis/js-bun-redis.mdc +3 -6
package/rules/js-lint/js-lint.mdc +3 -16
package/rules/js-mssql/js-mssql.mdc +3 -4
package/rules/js-run/js-run.mdc +3 -10
package/rules/k8s/k8s.mdc +2 -21
package/rules/nginx-default-tpl/nginx-default-tpl.mdc +0 -25
package/rules/npm-module/npm-module.mdc +4 -9
package/rules/rego/rego.mdc +2 -38
package/rules/security/auto.md +1 -0
package/rules/security/fix/gitleaks/check.mjs +62 -0
package/rules/security/policy/package_json/package_json.rego +75 -0
package/rules/security/policy/package_json/target.json +4 -0
package/rules/security/security.mdc +77 -0
package/rules/style-lint/style-lint.mdc +0 -23
package/rules/tauri/tauri.mdc +3 -6
package/scripts/auto-rules.mjs +2 -0
package/scripts/sync-claude-config.mjs +133 -4

package/.claude-template/hooks/capture-decisions.sh CHANGED Viewed

@@ -9,6 +9,10 @@
 #                       (default: claude-4.6-sonnet-medium)
 #   neither          — exit 0 silently
 #
+# Hook payloads:
+#   - Claude Code Stop: `transcript_path`, `session_id`, `CLAUDE_PROJECT_DIR`
+#   - Cursor stop: `transcript_path`, `conversation_id` / `generation_id`, `workspace_roots[]`
+#
 # Bundled with @nitra/cursor; project copy is auto-synced by the `adr` rule.
 set -euo pipefail
@@ -19,9 +23,10 @@ export CAPTURE_DECISIONS_RUNNING=1
 INPUT=$(cat)
 TRANSCRIPT_PATH=$(printf '%s' "$INPUT" | jq -r '.transcript_path // empty')
-SESSION_ID=$(printf '%s' "$INPUT" | jq -r '.session_id // "unknown"')
+SESSION_ID=$(printf '%s' "$INPUT" | jq -r '.session_id // .conversation_id // .generation_id // "unknown"')
+CURSOR_WORKSPACE_ROOT=$(printf '%s' "$INPUT" | jq -r '.workspace_roots[0] // empty')
-PROJECT_ROOT="${CLAUDE_PROJECT_DIR:-$PWD}"
+PROJECT_ROOT="${CLAUDE_PROJECT_DIR:-${CURSOR_WORKSPACE_ROOT:-$PWD}}"
 ADR_DIR="$PROJECT_ROOT/docs/adr"
 LOG_DIR="$PROJECT_ROOT/.claude/hooks"
 LOG="$LOG_DIR/capture-decisions.log"

package/.claude-template/hooks/normalize-decisions.sh CHANGED Viewed

@@ -12,6 +12,10 @@
 #                      (default: claude-4.6-sonnet-medium)
 #   neither          — exit 0 silently
 #
+# Hook payloads:
+#   - Claude Code Stop: `CLAUDE_PROJECT_DIR`
+#   - Cursor stop: `workspace_roots[]`
+#
 # Portable bash 3.2 (macOS /bin/bash): no `mapfile`, no associative arrays.
 #
 # Bundled with @nitra/cursor; project copy is auto-synced by the `adr` rule.
@@ -23,7 +27,9 @@ if [ -n "${ADR_NORMALIZE_RUNNING:-}" ]; then
 fi
 export ADR_NORMALIZE_RUNNING=1
-PROJECT_ROOT="${CLAUDE_PROJECT_DIR:-$PWD}"
+INPUT=$(cat || true)
+CURSOR_WORKSPACE_ROOT=$(printf '%s' "$INPUT" | jq -r '.workspace_roots[0] // empty' 2>/dev/null || true)
+PROJECT_ROOT="${CLAUDE_PROJECT_DIR:-${CURSOR_WORKSPACE_ROOT:-$PWD}}"
 ADR_DIR="$PROJECT_ROOT/docs/adr"
 LOG_DIR="$PROJECT_ROOT/.claude/hooks"
 LOG="$LOG_DIR/normalize-decisions.log"

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,52 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.13.1] - 2026-05-17
+### Added
+- **`adr` rule: Cursor Agent Stop-hook support** — `npx @nitra/cursor` тепер merge-ить project-level `.cursor/hooks.json` і додає managed `hooks.stop` entries для `.claude/hooks/capture-decisions.sh` та `.claude/hooks/normalize-decisions.sh`. Hook-скрипти приймають Cursor payload (`transcript_path`, `conversation_id` / `generation_id`, `workspace_roots[]`) і використовують той самий ADR capture/normalize pipeline, що й Claude Code.
+## [1.13.0] - 2026-05-17
+### Changed
+- **9 правил переведено з `alwaysApply: true` на `alwaysApply: false` + `globs:`** — AI-контекст у Cursor/Claude Code підвантажується лише при роботі з релевантними файлами; програмна валідація через `npx check <rule>` залишається повністю функціональною незалежно від AI-контексту. Економить контекстне вікно у сесіях, де редагують код, далекий від відповідних конфігів.
+  - **`bun`** (`1.7 → 1.8`) — `globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"`
+  - **`capacitor`** (`1.0 → 1.1`) — `globs: "**/capacitor.config.json,**/android/**,**/ios/**"`
+  - **`js-bun-db`** (`1.6 → 1.7`) — `globs: "**/package.json,**/src/conn/**"`
+  - **`js-bun-redis`** (`1.0 → 1.1`) — `globs: "**/package.json,**/src/conn/**"`
+  - **`js-mssql`** (`1.3 → 1.4`) — `globs: "**/package.json,**/src/conn/mssql-*"`
+  - **`npm-module`** (`1.12 → 1.13`) — `globs: "npm/**,**/package.json,**/hk.pkl,.github/workflows/npm-publish.yml,**/tsconfig*.json"`
+  - **`tauri`** (`1.0 → 1.1`) — `globs: "**/src-tauri/**,**/tauri.conf.json"`
+  - **`js-lint`** (`1.21 → 1.22`) — `globs: "**/{.oxlintrc.json,eslint.config.js,.jscpd.json,knip.json,package.json},**/*.{js,mjs,cjs,jsx,ts,tsx}"`
+  - **`js-run`** (`1.7 → 1.8`) — `globs: "**/package.json,**/jsconfig.json,**/src/**/*.{js,mjs,cjs,ts,tsx}"`
+- **Мотивація:** усі 9 правил мають повне покриття `npx @nitra/cursor check <rule>` (JS-перевірка + Rego policy). Тримати їх `alwaysApply: true` без потреби палить контекст AI у сесіях, де редагується непов'язаний код. Помилка → check ловить → AI виправляє — той самий цикл, що для `security@1.12.1` і `changelog`/`image-compress`/`php`/`vue`.
+- **Залишено `alwaysApply: true`** — `text` (cross-cutting cspell-словник, апостроф), `adr` (про процес capture/normalize hooks), `ci4` (0 програмних чекерів — без AI-контексту правило мертве), `abie` (має JS `applies`-гейт, у не-abie репо мовчить; файли розкидані).
+## [1.12.1] - 2026-05-17
+### Changed
+- **`npm/rules/security/security.mdc`** — `alwaysApply: true` → `alwaysApply: false` + `globs: "**/.gitleaks.toml,**/package.json,**/.github/workflows/**/*.yml"`. AI-контекст правила тепер підвантажується лише при роботі з релевантними файлами (за зразком `changelog`/`image-compress`/`php`), а не на кожен турн. Програмна валідація через `npx @nitra/cursor check security` залишається завжди увімкненою (через `auto.md = завжди`) і ловить помилки незалежно від AI-контексту. Версія frontmatter `1.0` → `1.1`.
+- **Мотивація:** правило має повне покриття перевіркою (Rego + JS-check); тримати його `alwaysApply: true` не дає AI додаткової цінності понад те, що `check security` ловить програмно — лише марно займає контекстне вікно при роботі з кодом, не повʼязаним з конфігурацією security.
+## [1.12.0] - 2026-05-16
+### Added
+- **Нове правило `security`** (увімкнене за замовчуванням, як `text`/`adr`) — секрет-сканер на базі [gitleaks](https://github.com/gitleaks/gitleaks). Вимагає:
+  - `scripts.lint-security` у `package.json` з викликом `gitleaks detect` (або `gitleaks git`);
+  - `bun run lint-security` всередині агрегованого `scripts.lint` (якщо `lint` є);
+  - `.gitleaks.toml` у корені з `useDefault = true` у блоці `[extend]` (без перетирання вбудованих правил);
+  - `gitleaks` **не** у `dependencies`/`devDependencies` (інструмент глобальний, як `shellcheck`/`conftest`).
+- **`npm/rules/security/{security.mdc,auto.md,fix/gitleaks/check.mjs,policy/package_json/{package_json.rego,target.json,package_json_test.rego}}`** — повна структура правила за зразком `image-compress` (Rego per-document валідація + JS-частина для FS). 9 rego-тестів + 5 JS-тестів.
+- **`npm/scripts/auto-rules.mjs`** — `'security'` додано в `AUTO_RULE_ORDER` (alphabetical, між `rego` і `style-lint`) і викликається `addRule('security')` без умови. `auto-rules.test.mjs` оновлено.
+### Motivation
+Команда вже виявляла секрети у public-репо вручну (gitleaks локально + GitHub Push Protection); правило виносить інструмент у канонічний `bun run lint`, щоб витоки ловилися ще до push. Default-on, бо «опт-ін на secret-scanning» — це anti-pattern: репо, що не вмикав security вручну, найімовірніше і є той, що зливає секрети.
 ## [1.11.17] - 2026-05-16
 ### Fixed

package/bin/n-cursor.js CHANGED Viewed

@@ -20,8 +20,9 @@
  *   `npx \@nitra/cursor lint-text`   — канонічний lint-text (text.mdc): `cspell` → `shellcheck` (з auto-fix) →
  *                                     `markdownlint-cli2 --fix` → `v8r` (json/json5/yaml/yml/toml)
  *
- * Claude Code інтеграція: під час синку, окрім `.cursor/rules` і `.claude/commands` (з skills), CLI ще раз
+ * Agent інтеграція: під час синку, окрім `.cursor/rules` і `.claude/commands` (з skills), CLI ще раз
  * синхронізує `.claude/settings.json` (hooks + permissions; merge — користувацькі поля зберігаються),
+ * `.cursor/hooks.json` (Cursor Agent hooks; merge — користувацькі hooks зберігаються),
  * `npm/CLAUDE.md` (path-scoped нагадування для роботи в `npm/`) і slash-команди checks (`/n-check`).
  * Опт-аут — поле `claude-config: false` у `.n-cursor.json`.
  *
@@ -1311,6 +1312,7 @@ async function runSync() {
     }
     const parts = []
     if (result.settings) parts.push('.claude/settings.json')
+    if (result.cursorHooks) parts.push('.cursor/hooks.json')
     if (result.npmClaudeMd) parts.push('npm/CLAUDE.md')
     if (result.commands.length > 0) parts.push(`${result.commands.length} slash-commands`)
     if (result.adrHook) parts.push('.claude/hooks/capture-decisions.sh')

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.11.17",
+  "version": "1.13.1",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/abie.mdc CHANGED Viewed

@@ -6,10 +6,6 @@ version: '1.20'
 Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`file-link-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua**)), гілки **dev**, **ua** у **clean-merged-branch**, а також заборона тримати артефакти **Firebase Hosting** у **підкаталогах першого рівня** (безпосередні діти кореня репозиторію; у самому корені ці імена не вимагаються до видалення).
-**`npx @nitra/cursor check abie`** виконується лише якщо в **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень.
-**Канон перевірки** — **`npm/scripts/check-abie.mjs`** у пакеті **`@nitra/cursor`**: верхній JSDoc і реалізація задають точні умови, допустимі домени для hostnames, тексти помилок. Нижче — зміст правила й орієнтовні фрагменти YAML; не дублюй тут покроковий алгоритм зі скрипта.
 ## k8s: `hc.yaml` поруч із Deployment
 Якщо під **`k8s`** є **Deployment**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`httpHealthCheck.requestPath`** — непорожній шлях від кореня (рядок, що починається з **`/`**: канонічно **`/healthz`**, але також допустимі **`/IsAlive`**, **`/api/live`** тощо — узгоджується з реальним endpoint сервісу), порт **8080**, **`targetRef.name`** — **headless** **Service** з суфіксом **`-hl`** (узгоджено з парою **`svc.yaml`** / **`svc-hl.yaml`** у **k8s.mdc**): або **`${metadata.name}-hl`**, або те саме ім’я, якщо **`metadata.name`** уже з **`-hl`**.
@@ -157,11 +153,7 @@ with:
   ignore_branches: main,dev,ua
 ```
-## Перевірка
-**`npx @nitra/cursor check abie`**
-### Швидкий gate через conftest (Rego)
+## Швидкий gate через conftest (Rego)
 Підмножину пер-документних правил продубльовано як rego-полісі у **`npm/rules/abie/policy/`** (запускається через **`bun run lint-rego`** для `*_test.rego` юніт-тестів і через **`npx @nitra/cursor check abie`** для прогону по реальних YAML — деталі в **conftest.mdc** / **n-rego.mdc**). JS у **`fix/<concern>/check.mjs`** authoritative — rego тільки швидкий gate для одиничного маніфеста (зокрема через IDE-розширення `tsandall.opa`).

package/rules/adr/adr.mdc CHANGED Viewed

@@ -1,18 +1,9 @@
 ---
-description: Автоматичний збір ADR/Runbook/Knowledge-чернеток і батч-нормалізація у `docs/adr/` через Stop-хук Claude Code
+description: Автоматичний збір ADR/Runbook/Knowledge-чернеток і батч-нормалізація у `docs/adr/` через Stop-хуки Claude Code та Cursor Agent
 alwaysApply: true
 version: '2.0'
 ---
-Правило увімкнене **за замовчуванням** (як [[text]]) — `npx @nitra/cursor` сам додає `"adr"` у `rules` файлу `.n-cursor.json`. Щоб вимкнути для конкретного репо (не кожен проєкт хоче літати ADR-чернеткам у `docs/`), додай `"adr"` у `disable-rules`.
-Коли правило увімкнене (за замовчуванням), **`npx @nitra/cursor`** автоматично:
-- копіює канонічний bash-скрипт у **`.claude/hooks/capture-decisions.sh`** (executable, повністю керується пакетом — на кожен sync перезаписується);
-- копіює канонічний bash-скрипт у **`.claude/hooks/normalize-decisions.sh`** (батч-нормалізація чернеток через LLM);
-- додає у **`hooks.Stop`** в **`.claude/settings.json`** дві managed-групи: capture (`async: true`, `timeout: 180`) і normalize (`async: true`, `timeout: 600`);
-- ці зміни — додаткові до lint Stop-hook (`@nitra/cursor stop-hook`); усі три групи живуть поряд у `Stop`.
 ## Дві фази, один каталог
 ADR живуть у єдиному каталозі **`docs/adr/`**. Є два стани файлу, які відрізняються YAML frontmatter:
@@ -26,6 +17,8 @@ ADR живуть у єдиному каталозі **`docs/adr/`**. Є два
 Stop-hook `capture-decisions.sh` зчитує JSONL-транскрипт сесії (через `jq`), витягає текст, `thinking`-блоки та назви `tool_use`-викликів, передає компактний дайджест у LLM CLI з промптом українською і записує результат у **`docs/adr/<timestamp>-<session>.md`**, якщо модель повернула блок з шапкою `## ADR|Runbook|Knowledge …`. Якщо модель повернула `NONE` (тривіальна сесія) — нічого не пишеться. Рекурсію з внутрішнього виклику моделі блокує env-var `CAPTURE_DECISIONS_RUNNING=1`.
+Для Cursor payload скрипт бере `transcript_path`, `conversation_id` / `generation_id` і `workspace_roots[0]`; для Claude Code — `transcript_path`, `session_id` і `CLAUDE_PROJECT_DIR`.
 ### Фаза 2 — Normalize
 Stop-hook `normalize-decisions.sh` спрацьовує на тому самому `Stop`-евенті, але:
@@ -88,12 +81,12 @@ docs/adr/
 ├── normalize-decisions.log    # лог запусків normalize (НЕ коміти)
 ├── .normalize-state           # timestamp останнього normalize-запуску (НЕ коміти)
 └── .normalize.lock            # lock-файл (НЕ коміти)
+.cursor/
+└── hooks.json                 # Cursor Agent stop-hooks для тих самих скриптів
 ```
 `.gitignore` повинен містити рядки, що покривають **`.claude/hooks/*.log`** і службові файли normalize (`.claude/hooks/.normalize-*`).
-> Якщо в репозиторії лишився старий каталог **`docs/adr/_inbox/`** з попередньої версії правила — `normalize-decisions.sh` бачить його рекурсивно й поступово розчистить. Можна також одразу `git mv docs/adr/_inbox/*.md docs/adr/` і прибрати порожній каталог.
 ## Stop-hook у `.claude/settings.json`
 Канонічний запис, який вставляє sync (поряд із lint stop-hook):
@@ -141,10 +134,26 @@ docs/adr/
 Усі три групи ідентифікуються пакетом за маркером у `command` (`@nitra/cursor stop-hook`, `.claude/hooks/capture-decisions.sh`, `.claude/hooks/normalize-decisions.sh`) — користувацькі hook-групи поряд не чіпаються. Якщо `adr` прибрати з `rules`, обидві ADR-групи автоматично видаляються на наступному `npx @nitra/cursor`.
-## Локальні vs project-shared налаштування
+## Stop-hook у `.cursor/hooks.json`
-Обидва Stop-hook'и ADR живуть у **project-shared** `.claude/settings.json` (закомічений), щоб механізм працював у всіх членів команди. Якщо хук колись був у `.claude/settings.local.json` — прибери дубль вручну: project-shared і local-копія створили б два запуски на одну подію.
+Cursor Agent читає project-level **`.cursor/hooks.json`**. `npx @nitra/cursor` merge-ить файл: користувацькі hooks лишаються, managed entries для `capture-decisions.sh` і `normalize-decisions.sh` перезаписуються або видаляються разом із правилом `adr`.
-## Перевірка
+```json title=".cursor/hooks.json"
+{
+  "version": 1,
+  "hooks": {
+    "stop": [
+      {
+        "command": "bash -lc 'root=\"$PWD\"; if [ ! -f \"$root/.claude/hooks/capture-decisions.sh\" ] && [ -f \"$root/../.claude/hooks/capture-decisions.sh\" ]; then root=\"$root/..\"; fi; bash \"$root/.claude/hooks/capture-decisions.sh\"'",
+        "timeout": 180
+      },
+      {
+        "command": "bash -lc 'root=\"$PWD\"; if [ ! -f \"$root/.claude/hooks/normalize-decisions.sh\" ] && [ -f \"$root/../.claude/hooks/normalize-decisions.sh\" ]; then root=\"$root/..\"; fi; bash \"$root/.claude/hooks/normalize-decisions.sh\"'",
+        "timeout": 600
+      }
+    ]
+  }
+}
+```
-`npx @nitra/cursor check adr`
+Обидва Stop-hook'и ADR живуть у **project-shared** `.claude/settings.json` (закомічений), щоб механізм працював у всіх членів команди. Якщо хук колись був у `.claude/settings.local.json` — прибери дубль вручну: project-shared і local-копія створили б два запуски на одну подію.

package/rules/adr/fix/hooks/check.mjs CHANGED Viewed

@@ -8,6 +8,8 @@
  *   пакета (sync керує файлами повністю).
  * - `.claude/settings.json` (project-shared) має managed-групи у `hooks.Stop` для
  *   обох скриптів (маркери у `command` — самі шляхи до скриптів).
+ * - `.cursor/hooks.json` має managed entries у `hooks.stop` для обох скриптів, щоб
+ *   Cursor Agent теж запускав ADR capture/normalize після завершення відповіді.
  * - `.claude/settings.local.json` (якщо існує) НЕ має дублів цих managed-груп —
  *   після переходу на project-shared такі записи створили б два запуски на одну подію.
  * - `.gitignore` у корені містить шаблон, який покриває
@@ -31,6 +33,7 @@ const HOOK_ARTIFACTS = /** @type {const} */ ([
 ])
 const PROJECT_SETTINGS_PATH = '.claude/settings.json'
+const CURSOR_HOOKS_PATH = '.cursor/hooks.json'
 const EOL_RE = /\r?\n/u
 const here = dirname(fileURLToPath(import.meta.url))
@@ -119,6 +122,72 @@ function checkProjectSettings(reporter) {
   }
 }
+/**
+ * Читає JSON-файл із диска без винятку.
+ * @param {string} path відносний шлях до JSON-файлу
+ * @returns {Promise<unknown | null>} розпарсений JSON або null
+ */
+async function readJsonSafe(path) {
+  try {
+    return JSON.parse(await readFile(path, 'utf8'))
+  } catch {
+    return null
+  }
+}
+/**
+ * Чи має Cursor hooks config stop-entry з потрібним command marker.
+ * @param {unknown} config розпарсений `.cursor/hooks.json`
+ * @param {string} marker підрядок, який має бути в `command`
+ * @returns {boolean} true, якщо marker знайдено у `hooks.stop[]`
+ */
+function cursorConfigHasStopHook(config, marker) {
+  if (config === null || typeof config !== 'object' || Array.isArray(config)) {
+    return false
+  }
+  const hooks = /** @type {{ hooks?: unknown }} */ (config).hooks
+  if (hooks === null || typeof hooks !== 'object' || Array.isArray(hooks)) {
+    return false
+  }
+  const stop = /** @type {{ stop?: unknown }} */ (hooks).stop
+  if (!Array.isArray(stop)) {
+    return false
+  }
+  return stop.some(entry => {
+    if (entry === null || typeof entry !== 'object' || Array.isArray(entry)) {
+      return false
+    }
+    const command = /** @type {{ command?: unknown }} */ (entry).command
+    return typeof command === 'string' && command.includes(marker)
+  })
+}
+/**
+ * Перевіряє project-level Cursor hooks config для ADR stop-hooks.
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер
+ * @returns {Promise<void>}
+ */
+async function checkCursorHooks(reporter) {
+  const { pass, fail } = reporter
+  if (!existsSync(CURSOR_HOOKS_PATH)) {
+    fail(`${CURSOR_HOOKS_PATH} не існує — запусти \`npx @nitra/cursor\``)
+    return
+  }
+  const config = await readJsonSafe(CURSOR_HOOKS_PATH)
+  if (config === null) {
+    fail(`${CURSOR_HOOKS_PATH} не парситься як JSON — запусти \`npx @nitra/cursor\` або виправ файл`)
+    return
+  }
+  for (const { scriptName } of HOOK_ARTIFACTS) {
+    const marker = projectHookPath(scriptName)
+    if (cursorConfigHasStopHook(config, marker)) {
+      pass(`${CURSOR_HOOKS_PATH} має stop-hook для ${marker}`)
+    } else {
+      fail(`${CURSOR_HOOKS_PATH}: відсутній stop-hook для \`${marker}\` (adr.mdc)`)
+    }
+  }
+}
 /**
  * Перевіряє `.gitignore` на ігнорування лог-файлу одного хука.
  * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
@@ -212,6 +281,7 @@ export async function check() {
     await checkHookScript(reporter, scriptName)
   }
   checkProjectSettings(reporter)
+  await checkCursorHooks(reporter)
   await checkGitignore(reporter)
   checkLlmCliAvailable(reporter)
   return reporter.getExitCode()

package/rules/bun/bun.mdc CHANGED Viewed

@@ -1,7 +1,8 @@
 ---
 description: Bun як єдиний package manager у монорепо
-alwaysApply: true
-version: '1.7'
+globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"
+alwaysApply: false
+version: '1.8'
 ---
 Проект використовує тільки Bun для керування залежностями та запуску скриптів.
@@ -25,21 +26,8 @@ version: '1.7'
 - `bunx <tool>`
 - `npx <tool>`
-- Для встановлення залежностей використовуй `bun i`.
-- Для запуску скриптів використовуй `bun run <script>`.
-- Для додавання залежностей:
-  - `bun add <pkg>`
-  - `bun add -d <pkg>` для devDependencies
-- Для одноразових CLI-команд використовуй `bunx <tool>`.
 **Не додавай** у `dependencies` / `devDependencies` пакети, які **використовуються лише як CLI** і їх достатньо викликати через **`bunx <pkg>`** (або **`npx`**, якщо в проєкті так прийнято): наприклад **oxlint**, **jscpd**, **eslint** у корені тощо. Виняток — пакет потрібен як **бібліотека** (імпорт у коді), peer для іншого пакета, або інструмент **не** покривається `bunx` у вашому CI.
-Заборонено використовувати:
-- `npm`
-- `yarn`
-- `pnpm`
 Lockfile у репозиторії: `bun.lock`.
 Не створювати `package-lock.json`, `yarn.lock`, `pnpm-lock.yaml`.
 Видалити якщо вони є. Видалити .yarn та .yarnrc.yml якщо вони є.
@@ -61,7 +49,6 @@ linker = "hoisted"
 Якщо в package.json є поля `packageManager`, то прибрати їх, також прибрати всі директорії та файли для yarn
-Якщо в проекті використовується npx, то не замінювати його на bunx, а використовувати npx.
 Коли зміна відбувається в Dockerfile, то використовувати
 ```dockerfile
@@ -80,10 +67,6 @@ FROM oven/bun:alpine AS build-env
 Якщо в репозиторії action збережено під **`./npm/github-actions/setup-bun-deps`**, у `uses:` вкажи цей шлях замість `.github/actions/…` (**ga.mdc**).
-## Перевірка
-`npx @nitra/cursor check bun`
 ## lint
 Якщо в кореневому @package.json  існують скрипти з префіксом `lint-`, обов'язково створюй `lint` скрипт, який буде запускати всі ці скрипти з лінт-префіксом.

package/rules/capacitor/capacitor.mdc CHANGED Viewed

@@ -1,15 +1,15 @@
 ---
 description: Правила для проєктів Capacitor
-alwaysApply: true
-version: '1.0'
+globs: "**/capacitor.config.json,**/android/**,**/ios/**"
+alwaysApply: false
+version: '1.1'
 ---
 ## Версія Capacitor
 У `package.json` (у **корені** репозиторію чи **workspace**-пакеті) оголошення **`@capacitor/core`**
 має вказувати діапазон, **сумісний лише з мажорною версією 8 і вище** (наприклад `^8.0.0`).
-**`*`**, `latest` і діапазони, де можлива 7-мажор, — неприйнятні. Програма перевірки — **`check-capacitor.mjs`**
-(репозиторій **@nitra/cursor**).
+**`*`**, `latest` і діапазони, де можлива 7-мажор, — неприйнятні.
 ## iOS: зазвичай лише SPM, виняток Podfile
@@ -32,7 +32,3 @@ version: '1.0'
 - Перевірка читає **лише** кореневі файли: **`package.json`**, потім **capacitor-конфіги** у **корені** (див. вище).
   У **`.ts` / `.mjs`**: шукається блок **nitra** `{ ... }` і **на його тілі** перевіряються ці **boolean**-поля.
-## Перевірка
-`npx @nitra/cursor check capacitor` (коли **check-скрипт** підключено до цієї **ruleset**).

package/rules/changelog/changelog.mdc CHANGED Viewed

@@ -5,7 +5,7 @@ globs: "**/{CHANGELOG.md,package.json}"
 alwaysApply: false
 ---
-Bun monorepo: у кожному workspace із кореневого `package.json.workspaces` (плюс кореневий пакет, плюс `npm/`) має бути власний **`CHANGELOG.md`**. Спільного на репозиторій змісту змін **не існує** — кожен пакет веде свій. Правило `npm-module` відповідає лише за публікацію типів і workflow, а CHANGELOG — за цим правилом.
+Bun monorepo: у кожному workspace із кореневого `package.json.workspaces` (плюс кореневий пакет, плюс `npm/`) має бути власний **`CHANGELOG.md`**. Спільного на репозиторій змісту змін **не існує** — кожен пакет веде свій.
 ## Дві моделі бази порівняння
@@ -59,7 +59,3 @@ Git у цьому режимі не використовується — пор
 ```
 Секції — підмножина `### Added`, `### Changed`, `### Fixed`, `### Removed` (одна або кілька).
-## Перевірка
-`npx @nitra/cursor check changelog`

package/rules/ci4/ci4.mdc CHANGED Viewed

@@ -101,7 +101,3 @@ C4-схеми потрібно оновити, і робимо це у тому
 C4-схеми — частина **користувацької документації**, а не закритий артефакт для команди.
 Контекстна діаграма (рівень 1) і контейнерна (рівень 2) живуть там, де читач шукає вступ у
 проєкт, а не у відокремленій теці «for-architects».
-## Перевірка
-`npx @nitra/cursor check ci4`

package/rules/docker/docker.mdc CHANGED Viewed

@@ -7,8 +7,6 @@ alwaysApply: false
 # Docker — hadolint
-[hadolint](https://github.com/hadolint/hadolint) перевіряє Dockerfile на типові помилки та рекомендації (`FROM`, `RUN`, `COPY`, shell form тощо).
 Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginxinc/nginx-unprivileged`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/nginxinc/nginx-unprivileged`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
@@ -181,20 +179,4 @@ ignored:
 Якщо немає файлів у межах відповідного набору (**`lint-docker`** або **`check docker`**) — перевірка пропускається (exit 0).
-## Агентам
-- Після правок у Dockerfile проганяй **`bun run lint-docker`** і/або **`check docker`**.
-- Винятки: **`# hadolint ignore=DL3008`** (або інший код) у Dockerfile або **`ignored`** у **`.hadolint.yaml`** (наприклад **DL3007** для **`:latest`** — див. вище).
-- Образи на базі Bun — див. **`n-bun.mdc`**.
-## Редактор
-Розширення VS Code / Cursor: **`exiasr.hadolint`** (потрібна утиліта hadolint) — за потреби в **`.vscode/extensions.json`**.
-## Перевірка
-`npx @nitra/cursor check docker`
-Після змін у Dockerfile: **`bun run lint-docker`** (обов'язково для проєктів з правилом **`docker`** у **`.n-cursor.json`**).
-Kubernetes YAML і `$schema` у `k8s/` — окреме правило **`k8s.mdc`**, **`check k8s`**.
+Винятки: **`# hadolint ignore=DL3008`** (або інший код) у Dockerfile або **`ignored`** у **`.hadolint.yaml`** (наприклад **DL3007** для **`:latest`** — див. вище).

package/rules/ga/ga.mdc CHANGED Viewed

@@ -166,20 +166,6 @@ jobs:
 **Локальний composite** (`uses: ./.github/actions/setup-bun-deps` або `./npm/github-actions/setup-bun-deps`): **спочатку** обов’язковий крок **`actions/checkout@v6`** (`persist-credentials: false`), інакше runner не знайде `action.yml`. Сам composite: **`actions/setup-node@v6`** (**Node 24**), **Bun**, **`actions/cache@v5`**, **`bun install --frozen-lockfile`**.
-```json title=".vscode/extensions.json"
-{
-  "recommendations": ["github.vscode-github-actions"]
-}
-```
-У **`.vscode/settings.json`** для мови **`github-actions-workflow`** (workflow з розширення GitHub Actions) задай **oxc** як formatter:
-```json
-  "[github-actions-workflow]": {
-    "editor.defaultFormatter": "oxc.oxc-vscode"
-  }
-```
 **ЗАБОРОНЕНО** дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах. Завжди використовуй локальний composite action.
 **Кроки `run`:** не розбивай команду shell-продовженням через зворотний сліш у кінці рядка (`… \` у `run: |`). Замість багаторядкового буквального блока з `\\` оформ довгу одну shell-команду як **folded block** `>-` (рядки з’єднаються в один рядок із пробілами).
@@ -264,13 +250,7 @@ jobs:
 > Не використовуй `npx --no @nitra/cursor lint-ga` — `bun run` автоматично транслює `npx` у `bun x`, а `bun x` для скоупованого пакету з одним bin-ім’ям повертає 0 без виконання. Виклик через bin-ім’я `n-cursor` працює і у `bun run`, і у `npm run`.
-CLI виконує:
-1. Preflight на [`shellcheck`](https://www.shellcheck.net/) у `PATH` — без нього `actionlint` мовчки пропускає shell-перевірки в `run:` блоках, тож локальний прогін зеленіє, а CI на `ubuntu-latest` (де shellcheck передвстановлений) падає на тих самих workflow. Встановлення: `brew install shellcheck` (macOS), `sudo apt-get install -y shellcheck` (Debian/Ubuntu), `sudo pacman -S shellcheck` (Arch).
-2. Preflight на [`uv`](https://docs.astral.sh/uv/) у `PATH` — постачає `uvx`, без якого не запуститься `uvx zizmor`. Встановлення: `brew install uv` (macOS), `curl -LsSf https://astral.sh/uv/install.sh | sh` (universal), `pip install uv`.
-3. Якщо хоча б один preflight не пройшов — exit 1 (підказки для всіх відсутніх залежностей друкуються разом, а не лише для першої).
-4. `bunx github-actionlint`.
-5. `uvx zizmor --offline --collect=workflows .`.
+CLI робить preflight на `shellcheck` і `uv` (`uvx`) у `PATH`, потім запускає `bunx github-actionlint` і `uvx zizmor --offline --collect=workflows .`.
 **`.github/zizmor.yml`:** для [unpinned-uses](https://docs.zizmor.sh/audits/#unpinned-uses) — політика **`ref-pin`**, якщо в `uses:` семантичні теги. За потреби вимкни [template-injection](https://docs.zizmor.sh/audits/#template-injection):
@@ -288,8 +268,3 @@ rules:
 **MegaLinter:** не використовувати; прибрати workflow, конфіги (`.mega-linter.yml`, `.megalinter.yaml`, `.mega-linter.yaml`), залежності та згадки в CI / pre-commit / документації.
 **`depcheck`:** не використовувати у `.github/workflows/*.yml` — мігровано на `knip` (див. `js-lint.mdc`). Перевірка невикористаних залежностей виконується разом з рештою лінтерів у `lint-js`, окремий крок `npx depcheck` у workflow не потрібен і блокується полісі `ga.workflow_common`.
-## Перевірка
-- `bun run lint-ga`
-- `npx @nitra/cursor check ga`

package/rules/graphql/graphql.mdc CHANGED Viewed

@@ -10,10 +10,6 @@ alwaysApply: false
 - файл **`.graphqlrc.yml`** ([GraphQL Config](https://the-guild.dev/graphql/config/docs));
 - у **`.vscode/extensions.json`** в масиві **`recommendations`** — запис **`graphql.vscode-graphql`**.
-Це забезпечує підсвітку та діагностику GraphQL в редакторі.
-Деталі виявлення `gql` у скриптах (у т.ч. лише `<script>` у SFC) — **`npm/scripts/check-graphql.mjs`** / **`npm/scripts/utils/graphql-gql-scan.mjs`**.
 ## `.graphqlrc.yml`
 Підстав свої шляхи до схеми та до файлів з операціями; приклад орієнтиру:
@@ -33,7 +29,3 @@ documents:
   "recommendations": ["graphql.vscode-graphql"]
 }
 ```
-## Перевірка
-`npx @nitra/cursor check graphql`

package/rules/hasura/hasura.mdc CHANGED Viewed

@@ -26,9 +26,3 @@ HASURA_GRAPHQL_ENDPOINT=http://contract-h.ua-contract.svc.abie-ua.internal:8080
 Правило застосовується для проєктів **nitra** (у кореневому `package.json` `"repository": "https://github.com/nitra/*"`) і **abie** (`"repository": "https://github.com/abinbevefes/*"`); для інших репозиторіїв перевірка пропускається.
 Файл .env це (без імені) це виключення з цього правила, його змінювати не потрібно
-## Перевірка
-`npx @nitra/cursor check hasura`
-Деталі алгоритму — у `check-hasura.mjs`.

package/rules/image-avif/image-avif.mdc CHANGED Viewed

@@ -7,7 +7,7 @@ alwaysApply: false
 AVIF-двійники (`<name>.<ext>.avif`) генерує **виключно** `npx @nitra/cursor check image-avif` — у `lint-image` прапорець `--avif` заборонений (це валідує правило `image-compress`). Перевірка робить три кроки в порядку:
-1. Запускає `npx @nitra/minify-image --src=. --write --avif` (≥ **3.3.1**) — генерує `<name>.<ext>.avif` поряд з кожним PNG/JPEG/GIF. **Перегенерація при оновленні оригіналу:** з 3.3.1 CLI порівнює sha1 кожного raster-сорсу зі збереженим у `.n-minify-image.tsv` і автоматично перезаписує `<source>.avif`, якщо оригінал відредагували після останнього прогону. `@nitra/cursor` цю логіку не дублює — sha1-кеш живе всередині `@nitra/minify-image`.
+1. Запускає `npx @nitra/minify-image --src=. --write --avif` (≥ **3.3.1**) — генерує `<name>.<ext>.avif` поряд з кожним PNG/JPEG/GIF. CLI порівнює sha1 кожного raster-сорсу зі збереженим у `.n-minify-image.tsv` і перезаписує `<source>.avif` при зміні оригіналу.
 2. Сканує `.vue` (а також `.html`) файли в кожному workspace-пакеті (root + workspaces) і автоматично переписує raster-посилання на AVIF-двійник у двох формах:
    - **Імпорт-пов'язані** — `import x from '...png|jpg|jpeg|gif'` (далі `:src="x"` у шаблоні);
    - **Прямі статичні** — `<img src="...png" />` у `<template>` (Vite перетворює такий шлях на asset-імпорт на етапі збірки, тож вимога та сама).
@@ -29,12 +29,6 @@ import welcomeImage from './assets/welcome.png.avif'
 AVIF-двійники **зберігаємо в git** — це готові артефакти для віддачі браузеру (без них ефект від AVIF втрачається на чистому checkout-і).
-## Коли НЕ вмикати правило
-AVIF ще не підтримується **усіма** браузерами: для публічного сайту, де серед користувачів можуть бути старі/нестандартні браузери, конвертація raster → AVIF як основного джерела ризикована. Для адмінок (де користувачі — співробітники з сучасними браузерами) AVIF безпечний.
-У монорепо з адмінкою + публічним сайтом стандартна стратегія така: правило `image-avif` присутнє у `.n-cursor.json`, але для пакета-сайту вмикається опт-аут (нижче).
 ## Опт-аут для конкретного пакета
 У workspace-пакеті, де AVIF-імпорти небажані (наприклад, мобільний бандл або публічний сайт без гарантованої AVIF-підтримки), додай у `package.json` цього пакета:
@@ -48,9 +42,3 @@ AVIF ще не підтримується **усіма** браузерами:
 ```
 Тоді перевірка пропускає `.vue` файли цього пакета і не видаляє наявні `.avif` всередині як «сироти». У root-`package.json` опт-аут діє лише для файлів кореня (вкладені workspaces перевіряються незалежно — вмикай прапор у кожному пакеті, де треба).
-`image-compress` (раніший крок: lint-image, кеш, заборонені залежності) при цьому продовжує працювати — стиснення raster-зображень виконується незалежно від AVIF.
-## Перевірка
-`npx @nitra/cursor check image-avif` (запуск AVIF-генерації + авто-заміна raster-посилань на `.avif` у `.vue`/`.html` кожного workspace-пакета + прибирання AVIF-сиріт; пакети з `"@nitra/minify-image": { "disable-avif": true }` пропускаються).