@nitra/cursor 1.11.17 → 1.13.1

package/rules/image-compress/image-compress.mdc

@@ -5,11 +5,9 @@ globs: "**/*.{png,jpg,jpeg,gif,svg}"
 alwaysApply: false
 ---
 
-CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (≥ **3.3.1**) запускається через `npx` (як `markdownlint-cli2` у text.mdc) і **не** додається в `dependencies` / `devDependencies`. Канонічний `lint-image` — авто-оптимізація з прапорцем `--write`: стискає raster/SVG на місці. **AVIF-генерація (`--avif`) у `lint-image` заборонена** — її виконує окреме правило `image-avif` (`npx @nitra/cursor check image-avif`), яке заодно прибирає AVIF-сироти. Split-cache робить повторні прогони дешевими — і локально, і після `git clone`.
+CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (≥ **3.3.1**) запускається через `npx` і **не** додається в `dependencies` / `devDependencies`. Канонічний `lint-image` — авто-оптимізація з прапорцем `--write`: стискає raster/SVG на місці. **AVIF-генерація (`--avif`) у `lint-image` заборонена** — її виконує окреме правило `image-avif`.
 
-Мінімум `3.3.1` важливий для правила `image-avif`: починаючи з цієї версії, CLI порівнює sha1 raster-сорсу зі збереженим у `.n-minify-image.tsv` і **перегенеровує `<source>.avif`** при будь-якій зміні контенту оригіналу (раніше stale `.avif` лишався, поки розробник не видаляв його вручну).
-
-Перевірка лише локальна — у CI `lint-image` не запускаємо (sharp/svgo тягнуть бінарні залежності, цінність на ubuntu-runner-ах нижча за час прогону). Окремий workflow `lint-image.yml` створювати не треба.
+Перевірка лише локальна — у CI `lint-image` не запускаємо. Окремий workflow `lint-image.yml` створювати не треба.
 
 ## `package.json`
 
@@ -24,36 +22,12 @@ CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (
 
 Якщо в `package.json` уже є агрегований `lint`, додай у його ланцюжок `bun run lint-image` (як `bun run lint-text`, `bun run lint-js`, `bun run lint-ga`). Так розробник, що локально гонить `bun run lint`, перед фіксацією одразу бачить, чи зросли зображення.
 
-## Split-cache
-
-Починаючи з `@nitra/minify-image` **3.2.0** кеш розбитий на два файли з різною семантикою:
-
-### `.n-minify-image.tsv` — source of truth у git
-
-У корені сканованого каталогу. Формат: `<rel-path>\t<sha1-hex>\t<originalSize>\t<size>`.
-
-Slow-path і джерело даних для `Project lifetime savings`. **Має бути в git** — після `git clone` чи `git checkout` (mtime скидається на час checkout-у) CLI читає файл, рахує SHA-1 і порівнює зі збереженим у TSV хешем; на match локальний mtime-кеш зігрівається без reprocess. Рядки відсортовані алфавітно, hash і size змінюються лише при реальній зміні контенту — diff чистий.
-
-### `node_modules/.cache/@nitra/minify-image/mtime.tsv` — локальний fast-path
-
-Формат: `<rel-path>\t<mtime>\t<size>`. При збігу `(size, mtime)` CLI пропускає файл без читання — константа per-file.
+## Кеш
 
-Лежить під `node_modules/`, тож **авто-gitignored** за конвенцією JS-tooling-у (так кешуються ESLint, Babel, webpack, Turbo). Окремий рядок у `.gitignore` не потрібен. `rm -rf node_modules` зносить — наступний запуск відновлює його через slow-path проти `.n-minify-image.tsv`, без reprocess.
-
-### Міграція з versions < 3.2
-
-Старий єдиний `.minify-image-cache.tsv` (4 колонки `path\tmtime\toriginalSize\tsize`, зазвичай у `.gitignore`) автоматично читається при першому запуску для seed-у `originalSize` у `.n-minify-image.tsv` (lifetime savings не скидається). Після цього старий файл видаляють вручну:
-
-```bash
-git rm --cached .minify-image-cache.tsv 2>/dev/null || true
-rm -f .minify-image-cache.tsv
-# прибери відповідний рядок з .gitignore, якщо був
-```
+- **`.n-minify-image.tsv`** у корені сканованого каталогу — **має бути в git** (source of truth для sha1-перевірок і lifetime savings). У `.gitignore` його не додавай.
+- **`node_modules/.cache/@nitra/minify-image/mtime.tsv`** — локальний fast-path; авто-gitignored через `node_modules/`.
+- Застарілий `.minify-image-cache.tsv` у корені — видали (`git rm --cached`, прибери рядок з `.gitignore`).
 
 ## Заборонені залежності
 
-`@nitra/minify-image` не повинен зʼявлятися ні в `dependencies`, ні в `devDependencies` кореневого `package.json` — CLI запускається лише через `npx` (так само, як `markdownlint-cli2` у text.mdc). Якщо потрібен явний пін — закладай діапазон версій npm у самому виклику (`npx @nitra/minify-image@^3 --src=. --write`).
-
-## Перевірка
-
-`npx @nitra/cursor check image-compress` (охоплює `lint-image` з обовʼязковими `--src=.`, `--write` і **забороненим** `--avif`; агрегований `lint`; заборону `@nitra/minify-image` у залежностях; `.n-minify-image.tsv` НЕ в `.gitignore` — має бути в git; відсутність застарілого `.minify-image-cache.tsv` у корені).
+`@nitra/minify-image` не повинен зʼявлятися ні в `dependencies`, ні в `devDependencies` — CLI запускається лише через `npx`. Якщо потрібен явний пін — у самому виклику (`npx @nitra/minify-image@^3 --src=. --write`).

package/rules/js-bun-db/js-bun-db.mdc

@@ -1,7 +1,8 @@
 ---
 description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
-alwaysApply: true
-version: '1.6'
+globs: "**/package.json,**/src/conn/**"
+alwaysApply: false
+version: '1.7'
 ---
 
 ## Підтримувані версії баз даних
@@ -250,7 +251,3 @@ function getUser(id) {
 Якщо в коді з'явився `import { sql } from 'bun'`, то `pg`, `pg-format` та `mysql2` мають бути прибрані і з `dependencies`, і з імпортів — щоб не лишалось двох паралельних шляхів до БД та ручного форматування поряд із параметризованими template literal.
 
 Те саме стосується **локальних шимів**: будь-який модуль, що експортує `format`, `pgRead`, `pgWrite`, `query(text, params)`, `quoteLiteral`, `quoteIdent` як обгортку над `sql.unsafe(...)`, потрібно переписати — всі call-site на tagged template, сам шим видалити (див. `## pg-format: повне видалення, без шимів`).
-
-## Перевірка
-
-`npx @nitra/cursor check js-bun-db`.

package/rules/js-bun-redis/js-bun-redis.mdc

@@ -1,7 +1,8 @@
 ---
 description: Використання Redis/Valkey з Bun
-alwaysApply: true
-version: '1.0'
+globs: "**/package.json,**/src/conn/**"
+alwaysApply: false
+version: '1.1'
 ---
 
 ## Підтримувані версії redis
@@ -15,7 +16,3 @@ Redis 7.2+
 - Видалити з `dependencies`: `ioredis`, `node-redis`.
 - Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
 - Замінити на `import { redis } from 'bun'`
-
-## Перевірка
-
-`npx @nitra/cursor check js-bun-redis`.

package/rules/js-lint/js-lint.mdc

@@ -1,21 +1,12 @@
 ---
 description: Перевірка JavaScript коду
-alwaysApply: true
-version: '1.21'
+globs: "**/{.oxlintrc.json,eslint.config.js,.jscpd.json,knip.json,package.json},**/*.{js,mjs,cjs,jsx,ts,tsx}"
+alwaysApply: false
+version: '1.22'
 ---
 
 **oxlint**, **ESLint**, **jscpd**, **knip**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`**, **`bunx knip`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd/knip не додавай без потреби монорепо.
 
-```json title=".vscode/extensions.json"
-{
-  "recommendations": [
-    "dbaeumer.vscode-eslint",
-    "github.vscode-github-actions",
-    "oxc.oxc-vscode"
-  ]
-}
-```
-
 У кожному **`package.json`** проєкту (корінь і всі workspace-пакети) має бути **`"type": "module"`** — весь код у ESM.
 
 ```json title="package.json"
@@ -189,7 +180,3 @@ for (const item of arr) {
 ## Тести
 
 Проєкт має бути покритий unit-тестами (**Bun test**). Код: синтаксис Node **24+**, **top level await** (узгоджено з `engines.node` у `package.json`).
-
-## Перевірка
-
-`npx @nitra/cursor check js-lint`

package/rules/js-mssql/js-mssql.mdc

@@ -1,7 +1,8 @@
 ---
 description: Використання mssql в nodejs
-alwaysApply: true
-version: '1.3'
+globs: "**/package.json,**/src/conn/mssql-*"
+alwaysApply: false
+version: '1.4'
 ---
 
 ## Підтримувана версія SQL Server
@@ -211,5 +212,3 @@ await pool.request().query`
 Допустимі парсери: `parseInt(...)`, `parseFloat(...)`, `Number(...)`, `BigInt(...)` або унарний `+x`. Літеральні масиви чисел (`[1, 2, 3]`) теж безпечні — без парсера, але без жодних рядків.
 
 Це правило діє і для безпечного `pool.request().query\`...\`` (де mssql сам параметризує масив), і поготів для `pool.query(String.raw\`...\`)` чи `pool.query(\`...\`)`, де такий парсинг — єдиний бар'єр.
-
-Перевірка: `npx @nitra/cursor check js-mssql`.

package/rules/js-run/js-run.mdc

@@ -1,7 +1,8 @@
 ---
 description: Це правила для backend проектів на JavaScript/Node.js, сюди входять і job і WEB сервери.
-alwaysApply: true
-version: '1.7'
+globs: "**/package.json,**/jsconfig.json,**/src/**/*.{js,mjs,cjs,ts,tsx}"
+alwaysApply: false
+version: '1.8'
 ---
 
 ## Область застосування
@@ -209,12 +210,4 @@ await setTimeout(500)
 
 Імпорт `setTimeout` з `node:timers/promises` затіняє глобальний таймер у файлі — якщо в тому ж файлі потрібен callback-варіант, імпортуй його під іншим іменем (наприклад, `import { setTimeout as setTimeoutCb } from 'node:timers'`).
 
-## Перевірка
-
-`npx @nitra/cursor check js-run` — зокрема для кожного backend workspace-пакета з каталогом **`src/`** перевіряє наявність **`jsconfig.json`** і збіг вмісту з каноном вище. Додатково для файлів у каталозі `#conn/` (за замовчуванням `src/conn/`) перевіряється:
-
-- **basename файла** відповідає канону: `ql-<id>` (GraphQL) / `(pg|mysql|mssql)-(read|write)[-<id>]` (БД), kebab-case `[a-z0-9-]`;
-- **відсутній `export default`** — лише іменований експорт;
-- **імʼя експорту** дорівнює camelCase від basename (`pg-write-contract.js` → `export const pgWriteContract`).
-
 Файли `index.*` у conn-каталозі пропускаються як можливий reexport-барель.

package/rules/k8s/k8s.mdc

@@ -27,12 +27,9 @@ alwaysApply: false
 
 ## lint-k8s: kubeconform і kubescape
 
-Окремо від modeline `$schema` у редакторі варто ганяти CLI-лінтери по тих самих дерев’ях **`…/k8s`**.
+Окремо від modeline `$schema` у редакторі варто ганяти CLI-лінтери (**kubeconform** і **kubescape**) по тих самих дерев’ях **`…/k8s`**.
 
-- **[kubeconform](https://github.com/yannh/kubeconform#readme)** — швидка валідація маніфестів проти OpenAPI-схем Kubernetes (аналог kubeval, з підтримкою власних реєстрів схем і CRD). Не покриває серверні перевірки кластера; для gap див. README проєкту ([`kubectl --dry-run=server`](https://github.com/yannh/kubeconform#readme) тощо).
-- **[kubescape](https://github.com/kubescape/kubescape#readme)** — сканування misconfiguration / compliance (NSA-CISA, MITRE ATT&CK, CIS тощо) по файлах, Helm, Kustomize або кластеру.
-
-**Залежності:** виконувані файли kubeconform і kubescape у **PATH**; не додавай їх у **devDependencies** npm (аналогія до `v8r` у `n-text.mdc`). Локально: наприклад `brew install kubeconform kubescape` або релізи з GitHub.
+**Залежності:** виконувані файли kubeconform і kubescape у **PATH**; не додавай їх у **devDependencies**.
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
@@ -645,18 +642,6 @@ patch: |-
     value: 2
 ```
 
-## Перевірка
-
-**`npx @nitra/cursor check k8s`** — програмні критерії в **JSDoc на початку** **`npm/scripts/check-k8s.mjs`**. Якщо під **`k8s`** немає **`*.yaml`** — крок пропущено. Канон **`$schema`** для редактора — розділ **«Визначення схеми YAML`** нижче.
-
-**Не входить у check k8s:** **kubeconform** / **kubescape** — це **`bun run lint-k8s`**.
-
-## Коли застосовувати (агентам)
-
-- Після змін у k8s YAML: **`npx @nitra/cursor check k8s`** і за наявності правила — **`bun run lint-k8s`**.
-- Оновив **`apiVersion` / `kind`** — підправ **перший** рядок **`$schema`** (див. **Визначення схеми YAML**).
-- Дотримуйся **Kustomize** з цього правила; деталі **namespace** / графа ресурсів — **check k8s** + підказки в JSDoc скрипта.
-
 ## Визначення схеми YAML (канон)
 
 Орієнтир — **перший документ** (до наступного `---`).
@@ -702,7 +687,3 @@ patch: |-
 ## Багатодокументні YAML
 
 Одна схема на файл; скрипт звіряє **перший** документ. Інші `kind` у тому ж файлі — розділи файли або узгодь у рев’ю.
-
-## Редактор
-
-Для `$schema` у VS Code / Cursor: **Red Hat YAML** (`redhat.vscode-yaml`) — за потреби в **`.vscode/extensions.json`**.

package/rules/nginx-default-tpl/nginx-default-tpl.mdc

@@ -5,8 +5,6 @@ globs: "**/default.{conf.template,tpl.conf}"
 alwaysApply: false
 ---
 
-> **Автоматична міграція:** `npx @nitra/cursor check nginx-default-tpl` автоматично перейменовує `default.tpl.conf` → `default.conf.template` (або перезаписує вміст, якщо обидва файли існують). Якщо шаблон відсутній — перевірка пропускається.
-
 default.conf.template повинен виглядати так:
 
 ```nginx
@@ -122,26 +120,3 @@ RUN NAMES=$(sed -nE '/^\s*[#;]/d; /^\s*$/d; s/^\s*([A-Za-z_][A-Za-z0-9_]*)\s*=.*
 ```
 
 Якщо у конфігураційних файлах *.ini є змінні які відсутні в default.conf.template, то їх потрібно вилучити.
-
-в файлі .vscode/extensions.json є налаштування для NGINX Configuration Language Support:
-
-```json title=".vscode/extensions.json"
-{
-  "recommendations": ["ahmadalli.vscode-nginx-conf"]
-}
-```
-
-в файлі .vscode/settings.json є налаштування для NGINX Configuration Language Support:
-
-```json title=".vscode/settings.json"
-{
-  "editor.formatOnSave": true,
-  "[nginx]": {
-    "editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"
-  }
-}
-```
-
-## Перевірка
-
-`npx @nitra/cursor check nginx-default-tpl`

package/rules/npm-module/npm-module.mdc

@@ -1,7 +1,8 @@
 ---
 description: Оформлення репозиторію для npm модуля
-alwaysApply: true
-version: '1.12'
+globs: "npm/**,**/package.json,**/hk.pkl,.github/workflows/npm-publish.yml,**/tsconfig*.json"
+alwaysApply: false
+version: '1.13'
 ---
 
 Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.github/workflows/`**; опційно **`demo/`**.
@@ -68,9 +69,7 @@ bunx -p typescript tsc src/**/*.js --declaration --allowJs --emitDeclarationOnly
 
 ## CHANGELOG
 
-Окреме правило **`changelog`** ([changelog.mdc](changelog.mdc)) вимагає `npm/CHANGELOG.md` із записом для поточної версії (Keep a Changelog) і присутність `"CHANGELOG.md"` у масиві `files` у `npm/package.json`. Логіка — PR-scoped (сума по гілці vs `dev`).
-
-Найновіша версія — **перша** секція **`## [version]`** у файлі (зверху після заголовка). Вона **має збігатися** з полем **`version`** у **`npm/package.json`** — це перевіряє **`npx @nitra/cursor check npm-module`**.
+Найновіша версія — **перша** секція **`## [version]`** у файлі (зверху після заголовка). Вона **має збігатися** з полем **`version`** у **`npm/package.json`**.
 
 ## npm publish
 
@@ -112,7 +111,3 @@ jobs:
         with:
           package: npm/package.json
 ```
-
-## Перевірка
-
-`npx @nitra/cursor check npm-module` — зокрема узгодженість першої секції **`npm/CHANGELOG.md`** з **`version`** у **`npm/package.json`** і нагадування про bump при незакомічених змінах під **`npm/`** (через `git`).

package/rules/rego/rego.mdc

@@ -9,49 +9,15 @@ alwaysApply: false
 
 Синтаксичні правила (`rego.v1`, `import rego.v1`, заборона legacy v0) — у `conftest.mdc` (alwaysApply). Цей файл — про **інструментарій**: VS Code, лінтери, форматування.
 
-## VS Code
-
-Розширення `tsandall.opa` (від автора OPA): підсвічування, hover, go-to-definition, оцінка виразів і `format-on-save` через `opa fmt`. Працює лише за наявності `opa` у `PATH` — встановити нижче.
-
-```json title=".vscode/extensions.json"
-{
-  "recommendations": ["tsandall.opa"]
-}
-```
-
-```json title=".vscode/settings.json"
-{
-  "[rego]": {
-    "editor.defaultFormatter": "tsandall.opa",
-    "editor.formatOnSave": true
-  }
-}
-```
-
-`opa.checkOnSave` за замовчуванням увімкнено в розширенні — діагностика від `opa check` показується в редакторі, тож синтаксичні/типові помилки видно одразу, без запуску `lint-rego`.
-
 ## Перевірка
 
 ```bash
 bun run lint-rego
 ```
 
-Скрипт делегує до CLI `n-cursor lint-rego` (бінарка з `node_modules/.bin/` пакету `@nitra/cursor`). Послідовність:
-
-1. **preflight** — наявність `opa` і `regal` у `PATH`; якщо хоча б одного нема — exit 1 з підказкою встановлення;
-2. `opa check --strict <targets>` — компіляція з типами та `--strict` (мертвий код, неоднозначні правила, незадекларовані змінні);
-3. `regal lint <targets>` — статичний лінтер Rego ([Styra Regal](https://docs.styra.com/regal)): ловить v0-синтаксис, неявні set-rules і відхилення від `rego.v1`, плюс bugs/idiomatic/style-правила.
+Цілі — `npm/policy/`. Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/js/lint.mjs`.
 
-Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/js/lint.mjs`.
-
-### Встановлення інструментів
-
-- macOS: `brew install opa regal`
-- Linux/Windows:
-  - opa — <https://www.openpolicyagent.org/docs/latest/#1-download-opa>
-  - regal — <https://docs.styra.com/regal#installation>
-
-Обидва — лише в `PATH`, **не** додавай у `dependencies` / `devDependencies` (як `shellcheck` у `text.mdc`).
+`opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
 
 ### `package.json`
 
@@ -63,8 +29,6 @@ bun run lint-rego
 }
 ```
 
-У кореневому `lint` (з `text.mdc` і дотичних) включай `bun run lint-rego` — щоб локальний прогін співпадав з CI.
-
 ## Конфіг regal
 
 У корені — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо (наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):

package/rules/security/auto.md

@@ -0,0 +1 @@
+завжди

package/rules/security/fix/gitleaks/check.mjs

@@ -0,0 +1,62 @@
+/**
+ * FS-частина правила `security` (security.mdc).
+ *
+ * **Що тут лишилося** (FS / cross-file):
+ *  - наявність `package.json` у корені (структуру валідує Rego);
+ *  - наявність `.gitleaks.toml` у корені — нагадування створити з канону `security.mdc`;
+ *  - `.gitleaks.toml` має `useDefault = true` у блоці `[extend]` (інакше дефолтні правила
+ *    gitleaks перетираються і скан стає сліпим до 95% типових витоків).
+ *
+ * **Що покрила Rego** (`npx \@nitra/cursor check`, `npm/policy/security/package_json/`):
+ *  - `scripts.lint-security` існує і викликає `gitleaks` з `detect`/`git` subcommand;
+ *  - агрегований `scripts.lint` (якщо є) містить `bun run lint-security`;
+ *  - `gitleaks` НЕ у `dependencies` / `devDependencies` (бо це глобальний CLI).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+
+const GITLEAKS_CONFIG = '.gitleaks.toml'
+
+/**
+ * Перевіряє наявність `.gitleaks.toml` у корені та канонічну вимогу `useDefault = true`
+ * у блоці `[extend]`. Користувач сам наповнює `[allowlist]` локальними патернами.
+ * @param {(msg: string) => void} pass callback при успішній перевірці
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<void>}
+ */
+async function checkGitleaksConfig(pass, fail) {
+  if (!existsSync(GITLEAKS_CONFIG)) {
+    fail(`${GITLEAKS_CONFIG} не знайдено в корені — створи за каноном security.mdc (useDefault = true + [allowlist])`)
+    return
+  }
+  const raw = await readFile(GITLEAKS_CONFIG, 'utf8')
+  if (!/useDefault\s*=\s*true/u.test(raw)) {
+    fail(
+      `${GITLEAKS_CONFIG}: відсутнє \`useDefault = true\` у блоці [extend] — без нього вбудовані ` +
+        'gitleaks-правила перетираються і скан стає сліпим (security.mdc)'
+    )
+    return
+  }
+  pass(`${GITLEAKS_CONFIG} існує і успадковує дефолтні gitleaks-правила (useDefault = true)`)
+}
+
+/**
+ * Запускає всі FS-перевірки правила security.
+ * @returns {Promise<number>} 0 — все OK, 1 — є зауваження
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (security.mdc)')
+    return reporter.getExitCode()
+  }
+  pass('package.json є (структуру перевіряє npx @nitra/cursor check → security.package_json)')
+
+  await checkGitleaksConfig(pass, fail)
+
+  return reporter.getExitCode()
+}

package/rules/security/policy/package_json/package_json.rego

@@ -0,0 +1,75 @@
+# Перевірка `package.json` для правила security (security.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/security \
+#     --namespace security.package_json
+#
+# Перевіряє: наявність `scripts.lint-security`, виклик `gitleaks detect`,
+# входження `bun run lint-security` у агрегований `scripts.lint` (якщо `lint` є),
+# та заборону `gitleaks` у dependencies/devDependencies (інструмент глобальний).
+#
+# FS-перевірки (наявність `.gitleaks.toml`, `useDefault = true`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package security.package_json
+
+import rego.v1
+
+gitleaks_pkg := "gitleaks"
+
+dep_template := concat(" ", [
+	"package.json: %q не повинен бути в %s —",
+	"gitleaks встановлюється глобально (security.mdc)",
+])
+
+# ── deny: scripts.lint-security ──────────────────────────────────────────
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "lint-security" in object.keys(scripts)
+	msg := "package.json: відсутній scripts.lint-security — додай `gitleaks detect --no-banner` (security.mdc)"
+}
+
+deny contains msg if {
+	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
+	lint_security != ""
+	not contains(lint_security, "gitleaks")
+	msg := "package.json: lint-security має викликати `gitleaks` (security.mdc)"
+}
+
+deny contains msg if {
+	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
+	contains(lint_security, "gitleaks")
+	not has_detect_or_git_subcommand(lint_security)
+	msg := "package.json: lint-security має містити `detect` або `git` як gitleaks-subcommand (security.mdc)"
+}
+
+# ── deny: агрегований `lint` має кликати `bun run lint-security` ─────────
+
+deny contains msg if {
+	"lint-security" in object.keys(object.get(input, "scripts", {}))
+	lint := object.get(object.get(input, "scripts", {}), "lint", "")
+	lint != ""
+	not contains(lint, "bun run lint-security")
+	msg := "package.json: агрегований `lint` має містити `bun run lint-security` (security.mdc)"
+}
+
+# ── deny: `gitleaks` НЕ в dependencies/devDependencies ───────────────────
+
+deny contains msg if {
+	gitleaks_pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf(dep_template, [gitleaks_pkg, "dependencies"])
+}
+
+deny contains msg if {
+	gitleaks_pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf(dep_template, [gitleaks_pkg, "devDependencies"])
+}
+
+# ── helpers ──────────────────────────────────────────────────────────────
+
+# Чи містить рядок subcommand `detect` або `git` (як слово, не як підрядок випадкового шляху).
+# `gitleaks detect ...`, `gitleaks git --no-banner`, `gitleaks detect --source=.` — усі OK.
+has_detect_or_git_subcommand(s) if regex.match(`\bgitleaks\s+(detect|git)\b`, s)

package/rules/security/policy/package_json/target.json

@@ -0,0 +1,4 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": "package.json" }
+}

package/rules/security/security.mdc

@@ -0,0 +1,77 @@
+---
+description: Локальний та CI-секюріті-лінт через gitleaks — скрипт `lint-security`, `.gitleaks.toml`, інтеграція в агрегований `lint`
+globs: "**/.gitleaks.toml,**/package.json,**/.github/workflows/**/*.yml"
+alwaysApply: false
+version: '1.1'
+---
+
+[gitleaks](https://github.com/gitleaks/gitleaks) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+
+## Канон `package.json#scripts`
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-security": "gitleaks detect --no-banner",
+    "lint": "bun run lint-rego && bun run lint-js && bun run lint-text && bun run lint-security && oxfmt ."
+  }
+}
+```
+
+- `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
+- `--no-banner` — прибирає ASCII-арт (CI-friendly).
+- Позиція в `lint`: за конвенцією після інших `lint-*` і перед `oxfmt`.
+
+## `.gitleaks.toml` (рекомендована основа)
+
+```toml title=".gitleaks.toml"
+title = "Project gitleaks config"
+
+[extend]
+useDefault = true
+
+[allowlist]
+description = "Файли й шляхи, які навмисно містять test-фікстури з паттернами секретів."
+paths = [
+  '''(^|/)node_modules(/|$)''',
+  '''(^|/)\.git(/|$)''',
+  '''(^|/)dist(/|$)''',
+  '''(^|/)build(/|$)''',
+  '''.*\.lock$''',
+  '''.*fixtures?/.*'''
+]
+```
+
+`useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+
+## GitHub Actions (опційно)
+
+Окремий workflow не обовʼязковий — `lint-security` уже виконується через агрегований `lint`. Для fast-feedback окремо:
+
+```yaml title=".github/workflows/lint-security.yml"
+name: Lint Security
+
+on:
+  push:
+    branches: [dev, main]
+  pull_request:
+    branches: [dev, main]
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  security:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+          fetch-depth: 0
+      - uses: gitleaks/gitleaks-action@v2
+```
+
+Для повного скану git-історії потрібен `fetch-depth: 0`.

package/rules/style-lint/style-lint.mdc

@@ -12,25 +12,6 @@ alwaysApply: false
 - **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний `bun run lint` (навичка **`/n-lint`**).
 - **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** без потреби; краще підлаштувати стилі під правила проєкту.
 
-**VSCode:** у **`.vscode/extensions.json`** рекомендуй **`stylelint.vscode-stylelint`**. У **`.vscode/settings.json`** вимкни вбудовану валідацію CSS/SCSS/Less і увімкни явні code actions:
-
-```json title=".vscode/extensions.json"
-{
-  "recommendations": ["stylelint.vscode-stylelint"]
-}
-```
-
-```json title=".vscode/settings.json"
-{
-  "css.validate": false,
-  "less.validate": false,
-  "scss.validate": false,
-  "editor.codeActionsOnSave": {
-    "source.fixAll": "explicit"
-  }
-}
-```
-
 **`package.json`:**
 
 ```json title="package.json"
@@ -94,7 +75,3 @@ jobs:
 ```text title=".stylelintignore"
 dist/
 ```
-
-## Перевірка
-
-`npx @nitra/cursor check style-lint`

package/rules/tauri/tauri.mdc

@@ -1,7 +1,8 @@
 ---
 description: Tauri
-alwaysApply: true
-version: '1.0'
+globs: "**/src-tauri/**,**/tauri.conf.json"
+alwaysApply: false
+version: '1.1'
 ---
 
 
@@ -13,7 +14,3 @@ version: '1.0'
     "rust-lang.rust-analyzer"]
 }
 ```
-
-## Перевірка
-
-`npx @nitra/cursor check tauri`

package/scripts/auto-rules.mjs

@@ -47,6 +47,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'npm-module',
   'php',
   'rego',
+  'security',
   'style-lint',
   'text',
   'vue'
@@ -659,6 +660,7 @@ export async function detectAutoRules({
     }
   }
   addRule('adr')
+  addRule('security')
   addRule('text')
   if (facts.hasVueSource) {
     addRule('vue')