@nitra/cursor 1.11.3 → 1.11.6

package/rules/adr/adr.mdc

@@ -39,7 +39,7 @@ Stop-hook `normalize-decisions.sh` спрацьовує на тому самом
 LLM повертає масив операцій:
 
 | `op` | Семантика | Поля |
-|---|---|---|
+| --- | --- | --- |
 | `delete` | Чернетка тривіальна / повністю покрита іншим clean-ADR-ом. | `file`, `reason` |
 | `rewrite` | Чернетка стає окремим clean-файлом: frontmatter знімається, ім'я → `<slug>.md`, додаються `**Status: Accepted**` і `**Date:**` з `captured`. | `file`, `slug`, `content` |
 | `merge-into` | Чернетка повторює тему вже існуючого clean-файлу; дописуємо `## Update YYYY-MM-DD` у кінець `target`. | `file`, `target`, `additions` |
@@ -55,7 +55,7 @@ LLM повертає масив операцій:
 Інший LLM CLI, який запустить normalize, успадковує `ADR_NORMALIZE_RUNNING=1` — внутрішній Stop-hook вийде відразу. Доступні ENV:
 
 | Змінна | Default | Призначення |
-|---|---|---|
+| --- | --- | --- |
 | `ADR_NORMALIZE_THRESHOLD` | `30` | Поріг чернеток для запуску фази. |
 | `ADR_NORMALIZE_BATCH` | `30` | Максимум чернеток у одному виклику LLM. |
 | `ADR_NORMALIZE_MIN_INTERVAL_HOURS` | `6` | Мінімум між спробами (навіть якщо поріг). |

package/rules/adr/js/hooks/check.mjs

@@ -79,7 +79,7 @@ function gitignoreLineCoversHookLog(line, logPath) {
 
 /**
  * Перевіряє наявність і канонічність одного hook-скрипта.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @param {string} scriptName базове ім'я скрипта (наприклад `capture-decisions.sh`)
  * @returns {Promise<void>}
  */
@@ -108,7 +108,7 @@ async function checkHookScript(reporter, scriptName) {
  * `.claude/settings.local.json`. Структуру (`hooks.Stop[]` містить групу з
  * `capture-decisions.sh`; `settings.local.json` не дублює) валідують
  * `npm/policy/adr/settings_json/` і `npm/policy/adr/settings_local_json/`.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер
  */
 function checkProjectSettings(reporter) {
   const { pass, fail } = reporter
@@ -121,7 +121,7 @@ function checkProjectSettings(reporter) {
 
 /**
  * Перевіряє `.gitignore` на ігнорування лог-файлу одного хука.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @param {string} logName базове ім'я лог-файлу (наприклад `capture-decisions.log`)
  * @param {string} gitignoreContent попередньо прочитаний вміст `.gitignore`
  * @returns {void}
@@ -142,7 +142,7 @@ function checkGitignoreForLog(reporter, logName, gitignoreContent) {
 
 /**
  * Перевіряє `.gitignore` для всіх hook-логів одним проходом.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @returns {Promise<void>}
  */
 async function checkGitignore(reporter) {
@@ -182,7 +182,7 @@ function isBinaryInPath(name) {
 /**
  * Інформативна перевірка: чи доступний бодай один LLM CLI (`claude` або `cursor-agent`).
  * Якщо жодного немає — це warning (`pass` з підказкою), бо хук просто мовчки no-op'ає.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @returns {void}
  */
 function checkLlmCliAvailable(reporter) {

package/rules/docker/docker.mdc

@@ -97,7 +97,7 @@ CMD ["./app"]
 
 ## lint-docker
 
-CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE...]` у **`hadolint --help`**); обхід репозиторію робить скрипт **`npm/scripts/run-docker.mjs`**.
+CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE...]` у **`hadolint --help`**); обхід репозиторію робить CLI **`n-cursor lint-docker`** (реалізація — **`npm/rules/docker/js/run.mjs`**).
 
 **Область lint-docker (вужча, ніж `check docker`):** лише файли з іменем **`Dockerfile`** та **`*.Dockerfile`** (суфікс **`.dockerfile`** без урахування регістру, наприклад **`api.Dockerfile`**). Файли **`Dockerfile.prod`**, **`Containerfile`** тощо **не** входять у **`lint-docker`**; їх ловить **`check docker`** (`check-docker.mjs`).
 
@@ -106,7 +106,7 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 ```json title="package.json"
 {
   "scripts": {
-    "lint-docker": "bun ./npm/scripts/run-docker.mjs"
+    "lint-docker": "n-cursor lint-docker"
   }
 }
 ```

package/rules/docker/js/run.mjs

@@ -47,9 +47,10 @@ export async function findLintDockerfilePaths(root, ignorePaths = []) {
 
 /**
  * Запуск hadolint по Dockerfile та *.Dockerfile.
+ * Експортовано як `runLintDocker` — використовується з `bin/n-cursor.js` як підкоманда `lint-docker`.
  * @returns {Promise<number>} 0 — OK, 1 — зауваження або помилка
  */
-async function main() {
+export async function runLintDocker() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter
 
@@ -80,5 +81,5 @@ async function main() {
 }
 
 if (isRunAsCli()) {
-  process.exitCode = await main()
+  process.exitCode = await runLintDocker()
 }

package/rules/docker/policy/package_json/package_json.rego

@@ -19,7 +19,7 @@ package docker.package_json
 
 import rego.v1
 
-canonical_lint_docker := "bun ./npm/scripts/run-docker.mjs"
+canonical_lint_docker := "n-cursor lint-docker"
 
 lint_docker_template := concat(" ", [
 	"package.json: scripts.lint-docker має бути %q",

package/rules/ga/js/lint.mjs

@@ -19,11 +19,11 @@
  *
  * Експортовано окремо `runLintGaCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-ga`.
  */
-import { spawnSync } from 'node:child_process'
 import { platform } from 'node:process'
 
 import { check as checkGa } from './workflows/check.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
+import { runLintStep } from '../../../scripts/utils/run-lint-step.mjs'
 
 /**
  * Опис залежності preflight-ом: бінарник, для чого потрібен, і команди встановлення.
@@ -112,29 +112,6 @@ function preflight(dep) {
   return false
 }
 
-/**
- * Запускає крок lint-ga з відображенням команди користувачу. Stdout/stderr дочірнього процесу
- * передається користувачу як є (`stdio: 'inherit'`), щоб виглядало як прямий виклик у shell.
- * @param {string} title заголовок для логу (наприклад `actionlint`)
- * @param {string} cmd ім'я команди (`bunx`, `uvx`)
- * @param {string[]} args аргументи команди
- * @returns {number} код виходу дочірнього процесу (0 — OK, інше — помилка)
- */
-function runStep(title, cmd, args) {
-  console.log(`\n▶ ${title}: ${cmd} ${args.join(' ')}`)
-  const resolved = resolveCmd(cmd)
-  if (!resolved) {
-    console.error(`❌ ${cmd} не знайдено в PATH (${title}).`)
-    return 127
-  }
-  const r = spawnSync(resolved, args, { stdio: 'inherit', env: process.env })
-  if (r.error) {
-    console.error(`❌ Не вдалося запустити ${cmd}: ${r.error.message}`)
-    return 1
-  }
-  return r.status ?? 1
-}
-
 /**
  * Виконує канонічний `lint-ga` з preflight-перевірками і делегує до `check-ga.check()`.
  *
@@ -160,10 +137,10 @@ export async function runLintGaCli() {
   }
   if (!preflightOk) return 1
 
-  const actionlintCode = runStep('actionlint', 'bunx', ['github-actionlint'])
+  const actionlintCode = runLintStep('actionlint', 'bunx', ['github-actionlint'])
   if (actionlintCode !== 0) return actionlintCode
 
-  const zizmorCode = runStep('zizmor', 'uvx', ['zizmor', '--offline', '--collect=workflows', '.'])
+  const zizmorCode = runLintStep('zizmor', 'uvx', ['zizmor', '--offline', '--collect=workflows', '.'])
   if (zizmorCode !== 0) return zizmorCode
 
   console.log('\n▶ check-ga (rego-полісі npm/policy/ga/ + JS cross-file перевірки)')

package/rules/hasura/js/internal_urls/check.mjs

@@ -143,7 +143,7 @@ async function checkEnvFile(relPath, expected, reporter) {
   const value = m[1].trim()
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
-    const example = "https://<service>.<namespace>.svc.<cluster>.internal:<port>"
+    const example = 'https://<service>.<namespace>.svc.<cluster>.internal:<port>'
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )

package/rules/js-bun-redis/js/imports/check.mjs

@@ -16,7 +16,11 @@ import { join, relative } from 'node:path'
 
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { findRedisImportsInText, isRedisScanSourceFile, shouldSkipFileForRedisScan } from '../../../../scripts/utils/redis-imports.mjs'
+import {
+  findRedisImportsInText,
+  isRedisScanSourceFile,
+  shouldSkipFileForRedisScan
+} from '../../../../scripts/utils/redis-imports.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 
 /**

package/rules/js-run/js/runtime/check.mjs

@@ -49,7 +49,10 @@ import {
   resolveConnDirFromPackageJson
 } from '../../../../scripts/utils/conn-imports-scan.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { findPromiseSetTimeoutInText, isPromiseSetTimeoutScanSourceFile } from '../../../../scripts/utils/promise-settimeout-scan.mjs'
+import {
+  findPromiseSetTimeoutInText,
+  isPromiseSetTimeoutScanSourceFile
+} from '../../../../scripts/utils/promise-settimeout-scan.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'
 

package/rules/k8s/js/run.mjs

@@ -146,9 +146,10 @@ function runKubescape(dirs) {
 
 /**
  * Головна точка входу: kubeconform + kubescape для усіх знайдених дерев `k8s`.
+ * Експортовано як `runLintK8s` — використовується з `bin/n-cursor.js` як підкоманда `lint-k8s`.
  * @returns {Promise<number>} код виходу для `process.exitCode` (0 — успіх або пропуск)
  */
-async function main() {
+export async function runLintK8s() {
   const root = process.cwd()
   const ignorePaths = await loadCursorIgnorePaths(root)
   const dirs = await findK8sRoots(root, ignorePaths)
@@ -169,5 +170,5 @@ async function main() {
 }
 
 if (isRunAsCli()) {
-  process.exitCode = await main()
+  process.exitCode = await runLintK8s()
 }

package/rules/k8s/k8s.mdc

@@ -38,20 +38,18 @@ alwaysApply: false
 
 **kubescape:** типово **`kubescape scan <каталог-k8s>`**; поріг серйозності підлаштуй під проєкт (наприклад **`--severity-threshold high`**). Перший запуск може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
-У репозиторії пакета **`@nitra/cursor`** скрипт **`lint-k8s`** делегує обхід дерев і виклики **`npm/scripts/run-k8s.mjs`**. У інших проєктах можна скопіювати цей скрипт або зібрати еквівалентні команди в **`package.json`**.
+У репозиторії пакета **`@nitra/cursor`** скрипт **`lint-k8s`** делегує до CLI **`n-cursor lint-k8s`** (реалізація — **`npm/rules/k8s/js/run.mjs`**). У інших проєктах достатньо встановити **`@nitra/cursor`** у `devDependencies` — бінарка **`n-cursor`** буде у **`node_modules/.bin/`**.
 
 ```json title="package.json"
 {
   "scripts": {
-    "lint-k8s": "bun ./npm/scripts/run-k8s.mjs"
+    "lint-k8s": "n-cursor lint-k8s"
   }
 }
 ```
 
 Якщо правило **`k8s`** підключено в **`.n-cursor.json`** (масив **`rules`**), у **кореневому** `package.json` **мають** бути скрипт **`lint-k8s`** і виклик **`bun run lint-k8s`** у агрегованому **`lint`** (див. **`bun.mdc`**). Це перевіряє **`npx @nitra/cursor check bun`**.
 
-Шлях до скрипта підстав свій (`./scripts/…` після копіювання, `node_modules/@nitra/cursor/scripts/…` якщо пакет у залежностях).
-
 Додай workflow **`.github/workflows/lint-k8s.yml`** (гілки **`dev`** і **`main`**, лише **`.yml`**, узгоджено з **`ga.mdc`**). **Не** дублюй **`setup-node`**, **`oven-sh/setup-bun`**, **`actions/cache`** і **`bun install`** у job — після **`checkout`** використовуй локальний composite **`setup-bun-deps`** (шлях **`./.github/actions/setup-bun-deps`** або **`./npm/github-actions/setup-bun-deps`**, як у репозиторії). Встановлення **kubeconform** / **kubescape** лишаються окремими кроками.
 
 ```yaml title=".github/workflows/lint-k8s.yml"

package/rules/k8s/policy/base_manifest/target.json

@@ -1,10 +1,6 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
   "files": {
-    "walkGlob": [
-      "**/k8s/**/base/**/*.yaml",
-      "**/k8s/**/base/**/*.yml",
-      "!**/k8s/**/base/**/kustomization.yaml"
-    ]
+    "walkGlob": ["**/k8s/**/base/**/*.yaml", "**/k8s/**/base/**/*.yml", "!**/k8s/**/base/**/kustomization.yaml"]
   }
 }

package/rules/nginx-default-tpl/js/template/check.mjs

@@ -34,7 +34,9 @@ const GZIP_CMD_RE = /\bgzip\b/u
 const GZIP_EXTENSION_RE = /\*\.(?:js|css)/u
 
 /**
- * Збирає абсолютні шляхи до **default.conf.template** у репозиторії; шлях `tests/fixtures` не обходиться як проєктний шаблон.
+ * Збирає абсолютні шляхи до **default.conf.template** у репозиторії; будь-який сегмент
+ * `fixtures/` у шляху виключається — це тестові артефакти (як `tests/fixtures/` так і
+ * co-located `rules/<rule>/js/<concern>/fixtures/`).
  * @param {string} root корінь cwd
  * @param {string[]} ignorePaths абсолютні шляхи каталогів, повністю виключених з обходу
  * @returns {Promise<string[]>} відсортовані абсолютні шляхи до шаблонів
@@ -47,7 +49,7 @@ export async function findDefaultConfTemplatePaths(root, ignorePaths = []) {
     p => {
       if (basename(p) !== 'default.conf.template') return
       const rel = relative(root, p).replaceAll('\\', '/')
-      if (rel.includes('tests/fixtures/')) return
+      if (rel.split('/').includes('fixtures')) return
       out.push(p)
     },
     ignorePaths

package/rules/npm-module/js/package_structure/check.mjs

@@ -32,7 +32,12 @@ import { promisify } from 'node:util'
 
 import { parseSync } from 'oxc-parser'
 
-import { dynamicImportModule, langFromPath, requireCallModule, walkAstWithAncestors } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import {
+  dynamicImportModule,
+  langFromPath,
+  requireCallModule,
+  walkAstWithAncestors
+} from '../../../../scripts/utils/ast-scan-utils.mjs'
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
@@ -491,8 +496,8 @@ async function checkNoTestsInPublishedFiles(pass, fail) {
   }
   for (const v of violations) {
     fail(
-      `npm/${v.file}: ${v.reason} — винеси за межі шляхів з "files" або додай негативний glob ` +
-        '(наприклад "!**/*_test.rego") у npm/package.json (npm-module.mdc)'
+      `npm/${v.file}: ${v.reason} — додай у "files" у npm/package.json негативний glob, ` +
+        'що виключає цей файл з tarball (наприклад "!**/*.test.mjs", "!**/fixtures/**", "!**/*_test.rego") (npm-module.mdc)'
     )
   }
 }

package/rules/npm-module/npm-module.mdc

@@ -1,7 +1,7 @@
 ---
 description: Оформлення репозиторію для npm модуля
 alwaysApply: true
-version: '1.11'
+version: '1.12'
 ---
 
 Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.github/workflows/`**; опційно **`demo/`**.
@@ -11,13 +11,13 @@ Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.g
 Мета — **максимально компактний** опублікований пакет: у npm потрапляє тільки те, що потрібно під час `require`/`import` користувачем.
 
 - **`"files"` обовʼязковий** у `npm/package.json` як **whitelist** того, що публікується (без `"files"` npm пакує майже все — це антипатерн для цього правила).
-- **Тести й фікстури — поза будь-яким шляхом з `"files"`.** Канонічне місце для всього тестового — `npm/tests/` (його **не** додаємо до `"files"`). Це стосується **і** фреймворк-тестів (`bun:test`, `node:test`, `vitest`, `@jest/globals`, `mocha`, …), **і** test-style каталогів (`tests/`, `__tests__/`, `fixtures/`, `__fixtures__/`, `spec/`), **і** файлів за патернами `*.test.*` / `*.spec.*`. **Виняток — Rego (`*_test.rego`):** за конвенцією conftest юніт-тест лежить поруч з полісі у тому самому `package`, тож rego-тести дозволені всередині опублікованого `policy/`-каталогу.
+- **Тести й фікстури не публікуються — через негативні glob-патерни у `"files"`.** Тести можна (і зазвичай зручніше) тримати **поруч з кодом** усередині шляхів, перелічених у `"files"` (наприклад `*.test.mjs` поруч з модулем чи `fixtures/` під `rules/<id>/js/`). Щоб вони не потрапляли у tarball, `"files"` **обовʼязково має містити негативні glob-патерни**, що їх виключають. Покрий усі форми тестового: фреймворк-тести (`bun:test`, `node:test`, `vitest`, `@jest/globals`, `mocha`, …), test-style каталоги (`tests/`, `__tests__/`, `fixtures/`, `__fixtures__/`, `spec/`, `test/`), файли за патернами `*.test.*` / `*.spec.*`. Орієнтовний набір: `"!**/*.test.*"`, `"!**/*.spec.*"`, `"!**/test-helpers.*"`, `"!**/fixtures/**"`, `"!**/__tests__/**"`. **Rego (`*_test.rego`):** за конвенцією conftest юніт-тест лежить поруч з полісі у тому самому `package` — `*_test.rego` усередині опублікованого `policy/` дозволені; якщо потрібна максимальна компактність, додай `"!**/*_test.rego"` явно (як у самому `@nitra/cursor`).
 - **Лише runtime-залежності у `npm/package.json`.** `devDependencies` тримай у **кореневому** `package.json` монорепо — тоді `npm install @nitra/<pkg>` не тягне інструментарій, потрібний лише для розробки самого пакета.
 
 Деталі алгоритму перевірки:
 
 - Пер-документні правила для `npm/package.json` (whitelist `files`, заборона `devDependencies`, форма `types`) — у rego-пакеті `npm_module.npm_package_json` (`npm/policy/npm_module/npm_package_json/`).
-- Скан опублікованого простору файлів на тест-патерни (walking + AST JS/TS) — у `check-npm-module.mjs::checkNoTestsInPublishedFiles` (FS / AST не лягають у rego).
+- Walk шляхів з `"files"` з застосуванням негативних patterns і скан залишку на тест-патерни (walking + AST JS/TS) — у `check.mjs::checkNoTestsInPublishedFiles` (FS / AST не лягають у rego). Якщо після застосування негативних patterns у tarball лишається test-style файл — `check` падає з вказівкою, який саме негативний glob треба додати у `"files"`.
 
 ## TypeScript declaration (`npm/types`)
 

package/rules/rego/js/applies/check.mjs

@@ -45,9 +45,9 @@ export async function applies() {
 
 /**
  * Друкує короткий context-pass — самі полісі прогонить CLI через `policy/<name>/target.json`.
- * @returns {Promise<number>} 0 — все ок (фактичні порушення повертають policy-концерни)
+ * @returns {number} 0 — все ок (фактичні порушення повертають policy-концерни)
  */
-export async function check() {
+export function check() {
   const reporter = createCheckReporter()
   reporter.pass('Знайдено *.rego у дереві — перевіряємо канонічні конфіги rego.mdc')
   return reporter.getExitCode()

package/rules/rego/js/lint.mjs

@@ -26,6 +26,7 @@ import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
 import { resolve } from 'node:path'
 
+import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 
 /** Шляхи з Rego-полісі (відносно cwd). Існують не всі на ранніх стадіях — фільтруємо нижче. */
@@ -128,4 +129,6 @@ export function runLintRego(cwd = process.cwd()) {
   return runStep(conftest, ['verify', ...targets.flatMap(t => ['-p', t])], root)
 }
 
-process.exitCode = runLintRego()
+if (isRunAsCli()) {
+  process.exitCode = runLintRego()
+}

package/rules/rego/policy/package_json/package_json.rego

@@ -3,14 +3,16 @@
 # Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
 # `.rego` файлів у дереві. Глобально у `lint-conftest` НЕ реєструється.
 #
-# Canonical (rego.mdc): scripts.lint-rego має бути "bun ./npm/scripts/lint-rego.mjs".
+# Canonical (rego.mdc): scripts.lint-rego має бути "n-cursor lint-rego" — CLI пакета `@nitra/cursor`
+# (бінарка з `node_modules/.bin/`) робить preflight `opa`/`regal` і прогонить
+# `opa check --strict` → `regal lint` → опц. `conftest verify` (`@nitra/cursor lint-rego`).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 package rego.package_json
 
 import rego.v1
 
-canonical_lint_rego := "bun ./npm/scripts/lint-rego.mjs"
+canonical_lint_rego := "n-cursor lint-rego"
 
 lint_rego_template := concat(" ", [
 	"package.json: scripts.lint-rego має бути %q",
@@ -22,7 +24,7 @@ deny contains msg if {
 	not "lint-rego" in object.keys(scripts)
 	msg := concat(" ", [
 		"package.json: відсутній scripts.lint-rego — додай",
-		"\"lint-rego\": \"bun ./npm/scripts/lint-rego.mjs\" (rego.mdc)",
+		"\"lint-rego\": \"n-cursor lint-rego\" (rego.mdc)",
 	])
 }
 

package/rules/rego/rego.mdc

@@ -36,13 +36,13 @@ alwaysApply: false
 bun run lint-rego
 ```
 
-Скрипт делегує до `bun ./npm/scripts/lint-rego.mjs`. Послідовність:
+Скрипт делегує до CLI `n-cursor lint-rego` (бінарка з `node_modules/.bin/` пакету `@nitra/cursor`). Послідовність:
 
 1. **preflight** — наявність `opa` і `regal` у `PATH`; якщо хоча б одного нема — exit 1 з підказкою встановлення;
 2. `opa check --strict <targets>` — компіляція з типами та `--strict` (мертвий код, неоднозначні правила, незадекларовані змінні);
 3. `regal lint <targets>` — статичний лінтер Rego ([Styra Regal](https://docs.styra.com/regal)): ловить v0-синтаксис, неявні set-rules і відхилення від `rego.v1`, плюс bugs/idiomatic/style-правила.
 
-Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `lint-rego.mjs`.
+Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/js/lint.mjs`.
 
 ### Встановлення інструментів
 
@@ -58,7 +58,7 @@ bun run lint-rego
 ```json title="package.json"
 {
   "scripts": {
-    "lint-rego": "bun ./npm/scripts/lint-rego.mjs"
+    "lint-rego": "n-cursor lint-rego"
   }
 }
 ```

package/rules/style-lint/js/tooling/check.mjs

@@ -25,7 +25,7 @@ import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mj
  * Альтернатива полю `stylelint` у `package.json` — зовнішній файл конфігу. Якщо
  * поля немає і файлу немає, фейлимося; якщо є хоч щось — пропускаємо. Поле
  * `stylelint.extends == "@nitra/stylelint-config"` сам формат — у Rego.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер
  */
 async function checkStylelintConfigPresence(reporter) {
   const { pass, fail } = reporter

package/rules/style-lint/style-lint.mdc

@@ -9,7 +9,7 @@ alwaysApply: false
 
 - **Джерело правил:** перед тим як писати або суттєво змінювати **`.css`**, **`.scss`** або стилі в **`.vue`**, переглянь у корені проєкту (і в релевантних пакетах монорепо, якщо є) поле **`stylelint`** у **`package.json`** (зокрема `extends`), наявні **`.stylelintrc.*`**, **`stylelint.config.*`** та **`.stylelintignore`**. Не покладайся на «типові» правила stylelint з пам’яті — дотримуйся **проєктного** **`@nitra/stylelint-config`** і будь-яких локальних доповнень у репозиторії.
 - **Форматування** узгоджуй з **`n-text.mdc`** (oxfmt / `.oxfmtrc.json` для css, scss тощо), щоб форматер і stylelint не суперечили один одному.
-- **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний набір `lint-*` (навичка **`n-fix`**).
+- **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний `bun run lint` (навичка **`/n-lint`**).
 - **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** без потреби; краще підлаштувати стилі під правила проєкту.
 
 **VSCode:** у **`.vscode/extensions.json`** рекомендуй **`stylelint.vscode-stylelint`**. У **`.vscode/settings.json`** вимкни вбудовану валідацію CSS/SCSS/Less і увімкни явні code actions:

package/rules/tauri/js/tooling/check.mjs

@@ -70,7 +70,9 @@ export async function check() {
 
   const extPath = '.vscode/extensions.json'
   if (!existsSync(extPath)) {
-    fail(`${extPath} не існує — створи з recommendations "tauri-apps.tauri-vscode" і "rust-lang.rust-analyzer" (tauri.mdc)`)
+    fail(
+      `${extPath} не існує — створи з recommendations "tauri-apps.tauri-vscode" і "rust-lang.rust-analyzer" (tauri.mdc)`
+    )
     return reporter.getExitCode()
   }
   const violations = runConftestBatch({

package/rules/text/js/formatting/check.mjs

@@ -147,36 +147,20 @@ async function checkPackageJsonText(passFn, failFn) {
 }
 
 /**
- * Перевіряє скрипт lint-text на коректність v8r-виклику.
- * @param {unknown} lintText параметр lintText
+ * Перевіряє скрипт lint-text: канонічний — `n-cursor lint-text` (CLI пакета `@nitra/cursor` робить
+ * `cspell` → `runShellcheckText()` → `bunx markdownlint-cli2 --fix` → `runV8rWithGlobs()`).
+ * Дозволено whitespace навколо команди.
+ * @param {unknown} lintText значення `scripts.lint-text` з package.json
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
  */
 function checkLintTextScript(lintText, passFn, failFn) {
-  const lt = typeof lintText === 'string' ? lintText : ''
-  const v8rCalls = (lt.match(/bunx v8r/g) || []).length
-  const quietCalls = (lt.match(/run-v8r?\.mjs/g) || []).length
-  const eq98Hints = (lt.match(/eq 98/g) || []).length
-  const legacyV8r = v8rCalls >= 4 && eq98Hints >= 4
-  const quietBundled = quietCalls === 1
-  const quietLegacy4x = quietCalls >= 4
-  const v8rTextOk = legacyV8r || quietBundled || quietLegacy4x
-  const globsRequired = legacyV8r || quietLegacy4x
-  const globsOk =
-    lt.includes('**/*.json') && lt.includes('**/*.yml') && lt.includes('**/*.yaml') && lt.includes('**/*.toml')
-  const ok =
-    lt &&
-    lt.includes('cspell') &&
-    lt.includes('run-shellcheck-text.mjs') &&
-    lt.includes('bunx markdownlint-cli2') &&
-    lt.includes('**/*.mdc') &&
-    v8rTextOk &&
-    (!globsRequired || globsOk)
-  if (ok) {
-    passFn('package.json: lint-text — shellcheck (run-shellcheck-text.mjs), v8r: run-v8r.mjs або чотири bunx v8r')
+  const lt = typeof lintText === 'string' ? lintText.trim() : ''
+  if (lt === 'n-cursor lint-text') {
+    passFn('lint-text делегує CLI n-cursor lint-text (cspell + shellcheck + markdownlint + v8r)')
   } else {
     failFn(
-      'package.json: lint-text — додай bun ./…/run-shellcheck-text.mjs; v8r: bun ./…/run-v8r.mjs або чотири (bunx v8r "<glob>" || [ $? -eq 98 ]) (див. n-text.mdc)'
+      'package.json: lint-text має бути "n-cursor lint-text" — CLI пакета @nitra/cursor виконує cspell → shellcheck → markdownlint-cli2 → v8r (text.mdc)'
     )
   }
 }

package/rules/text/js/lint.mjs

@@ -0,0 +1,34 @@
+/**
+ * CLI-обгортка над канонічним `lint-text` (text.mdc): послідовно
+ *   1) `cspell .` — перевірка правопису з `@nitra/cspell-dict`;
+ *   2) `runShellcheckText()` — авто-фікс і фінальна перевірка `*.sh` через `shellcheck`;
+ *   3) `bunx markdownlint-cli2 --fix "**\/*.md" "**\/*.mdc"` — авто-фікс Markdown;
+ *   4) `runV8rWithGlobs()` — schema-валідація json/json5/yaml/yml/toml через v8r з каталогом `@nitra/cursor`.
+ *
+ * Перший ненульовий код з ланцюжка повертається як код виходу; наступні кроки не запускаються.
+ * Експортовано як `runLintTextCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-text`.
+ */
+import { runLintStep } from '../../../scripts/utils/run-lint-step.mjs'
+import { runShellcheckText } from './run-shellcheck.mjs'
+import { runV8rWithGlobs } from './run-v8r.mjs'
+
+/**
+ * Виконує канонічний `lint-text`: cspell → run-shellcheck → markdownlint-cli2 → run-v8r.
+ * Першу помилку повертаємо як код виходу; наступні кроки не запускаються.
+ * Усі кроки синхронні (`spawnSync` + sync-ентрі з пакета), тому функція не async.
+ * @returns {number} 0 — все OK, інакше — код першого кроку, що впав
+ */
+export function runLintTextCli() {
+  const cspellCode = runLintStep('cspell', 'npx', ['cspell', '.'])
+  if (cspellCode !== 0) return cspellCode
+
+  console.log('\n▶ shellcheck (авто-фікс + фінальна перевірка *.sh)')
+  const shellcheckCode = runShellcheckText()
+  if (shellcheckCode !== 0) return shellcheckCode
+
+  const markdownlintCode = runLintStep('markdownlint', 'bunx', ['markdownlint-cli2', '--fix', '**/*.md', '**/*.mdc'])
+  if (markdownlintCode !== 0) return markdownlintCode
+
+  console.log('\n▶ v8r (schema-валідація json/json5/yaml/yml/toml)')
+  return runV8rWithGlobs()
+}

package/rules/text/js/run-shellcheck.mjs

@@ -82,7 +82,7 @@ export function listShellScriptPaths(cwd) {
         return []
       }
       const files = ls.stdout.split('\0').filter(Boolean)
-      return new Set(files).toSorted()
+      return [...new Set(files)].toSorted()
     }
   }
 
@@ -90,7 +90,7 @@ export function listShellScriptPaths(cwd) {
     cwd,
     exclude: p => p.includes('node_modules') || p.startsWith(`node_modules/`) || p.split('/').includes('node_modules')
   })
-  return new Set(fromGlob.map(p => p.replaceAll('\\', '/'))).toSorted()
+  return [...new Set(fromGlob.map(p => p.replaceAll('\\', '/')))].toSorted()
 }
 
 /**

package/rules/text/js/run-v8r.mjs

@@ -24,8 +24,8 @@ import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 /** Типові glob-и для форматів, які обробляє v8r (див. опис CLI v8r). */
 export const DEFAULT_V8R_GLOBS = ['**/*.json', '**/*.json5', '**/*.yml', '**/*.yaml', '**/*.toml']
 
-/** Абсолютний шлях до `schemas/v8r-catalog.json` поруч з цим скриптом у пакеті `@nitra/cursor`. */
-export const V8R_CATALOG_PATH = join(dirname(fileURLToPath(import.meta.url)), '../schemas/v8r-catalog.json')
+/** Абсолютний шлях до `schemas/v8r-catalog.json` у корені пакета `@nitra/cursor` (`npm/schemas/`). */
+export const V8R_CATALOG_PATH = join(dirname(fileURLToPath(import.meta.url)), '../../../schemas/v8r-catalog.json')
 
 /**
  * Повертає шлях до каталогу схем v8r для пакета (для тестів і діагностики).