@nitra/cursor 1.11.4 → 1.11.6

package/CHANGELOG.md

@@ -4,6 +4,29 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.11.6] - 2026-05-15
+
+### Changed
+
+- **`npm/rules/npm-module/npm-module.mdc`** — переформульовано вимогу про тести й фікстури. Раніше правило вимагало тримати їх **поза** будь-яким шляхом з `"files"` (канонічно — у `npm/tests/`). Тепер тести/фікстури можуть лежати **поруч з кодом** усередині `"files"`-шляхів, але `"files"` обовʼязково має містити **негативні glob-патерни**, що виключають їх із tarball (`!**/*.test.*`, `!**/*.spec.*`, `!**/test-helpers.*`, `!**/fixtures/**`, `!**/__tests__/**`, опційно `!**/*_test.rego`). Це краще відповідає реальному layout пакета (co-located test-файли у `rules/<id>/js/<concern>/`) і прибирає роз'їзд правила з фактичним `npm/package.json`. Версію `.mdc` піднято до `1.12`.
+- **`npm/rules/npm-module/js/package_structure/check.mjs::checkNoTestsInPublishedFiles`** — текст fail-повідомлення тепер однозначно радить додати негативний glob у `"files"`, без альтернативи «винеси за межі шляхів з "files"». Логіка перевірки (walk positive ∖ negative + класифікація test-style) не змінилась — пере-кваліфіковано лише підказку для агента й людини.
+
+## [1.11.5] - 2026-05-15
+
+### Added
+
+- **`npm/bin/n-cursor.js`** — підкоманди `lint-rego`, `lint-k8s`, `lint-docker`, `lint-text` (раніше був лише `lint-ga`). Споживчі `package.json` тепер можуть використовувати уніфіковану форму `n-cursor lint-X` замість прямих посилань на файли `bun ./npm/scripts/*.mjs`, які після phase 2 концерн-сплету переїхали у `npm/rules/<id>/js/`. `lint-text` — композитний: послідовно `cspell .` → `runShellcheckText()` → `bunx markdownlint-cli2 --fix "**/*.md" "**/*.mdc"` → `runV8rWithGlobs()`.
+- **`npm/rules/text/js/lint.mjs`** — новий ентрі-модуль для канонічного `lint-text`.
+- **`npm/scripts/utils/run-lint-step.mjs`** — спільний хелпер `runLintStep(title, cmd, args)` для CLI-обгорток `lint-<rule>` (раніше дублювалося у `rules/ga/js/lint.mjs` і новому `rules/text/js/lint.mjs` — jscpd-clone).
+
+### Changed
+
+- **`npm/rules/k8s/js/run.mjs`**, **`npm/rules/docker/js/run.mjs`** — `main()` перейменовано і експортовано як `runLintK8s` / `runLintDocker` для виклику з CLI-маршрутизатора. `isRunAsCli()`-гілка прямого запуску збережена для зворотної сумісності.
+- **`npm/rules/rego/js/lint.mjs`** — авто-виклик `runLintRego()` тепер обгорнуто `if (isRunAsCli())`, інакше імпорт модуля з CLI запускав би лінт як side-effect.
+- **`npm/rules/rego/policy/package_json/`** — канонічне значення `scripts.lint-rego` змінено на `"n-cursor lint-rego"` (раніше `"bun ./npm/scripts/lint-rego.mjs"`). Аналогічно `npm/rules/docker/policy/package_json/` — на `"n-cursor lint-docker"`.
+- **`npm/rules/text/js/formatting/check.mjs`** — `checkLintTextScript()` тепер вимагає рівно `"n-cursor lint-text"` замість попередньої складної валідації багатоступеневого ланцюжка (`cspell` → `run-shellcheck-text.mjs` → `markdownlint-cli2` → `run-v8r.mjs`). Канонічна форма — одне посилання на CLI, а зміст ланцюжка живе у `npm/rules/text/js/lint.mjs`.
+- **`npm/package.json#files`** — додано негативний glob `"!**/*_test.rego"` (раніше були лише `*.test.mjs`, `test-helpers.mjs`, `fixtures/**`). 33 rego-юніт-тестових файли (`<policy>_test.rego`) більше не потрапляють у tarball — їх виконує лише `conftest verify` у dev-репо.
+
 ## [1.11.4] - 2026-05-15
 
 ### Fixed
@@ -83,7 +106,7 @@
 
 ### Fixed
 
-- `npm/package.json#files`: додано негативні glob-патерни `!**/*.test.mjs`, `!**/test-helpers.mjs`, `!**/fixtures/**`, щоб після переїзду тестів у `rules/<rule>/js/`, `scripts/`, `scripts/utils/` вони не потрапляли в опубліковану npm-таrball (вимагає правило `npm-module`).
+- `npm/package.json#files`: додано негативні glob-патерни `!**/*.test.mjs`, `!**/test-helpers.mjs`, `!**/fixtures/**`, щоб після переїзду тестів у `rules/<rule>/js/`, `scripts/`, `scripts/utils/` вони не потрапляли в опубліковану npm-tarball (вимагає правило `npm-module`).
 - `npm/package.json#devDependencies`: додано `@nitra/cursor: ^1.9.22` (auto-fill від `ensure-nitra-cursor-dev-dependencies.mjs`).
 
 ## [1.9.22] - 2026-05-14

package/bin/n-cursor.js

@@ -13,6 +13,12 @@
  *                                     інакше викликає `check`); прописується автоматично в `.claude/settings.json`
  *   `npx \@nitra/cursor lint-ga`     — канонічний lint-ga (ga.mdc): preflight на `shellcheck` →
  *                                     `bunx github-actionlint` → `uvx zizmor --offline --collect=workflows .`
+ *   `npx \@nitra/cursor lint-rego`   — канонічний lint-rego (conftest.mdc + rego.mdc):
+ *                                     preflight на `opa`/`regal` → `opa check --strict` → `regal lint` → опц. `conftest verify`
+ *   `npx \@nitra/cursor lint-k8s`    — канонічний lint-k8s (k8s.mdc): `kubeconform` + `kubescape` по `…/k8s/*.yaml`
+ *   `npx \@nitra/cursor lint-docker` — канонічний lint-docker (docker.mdc): `hadolint` по `Dockerfile`/`*.Dockerfile`
+ *   `npx \@nitra/cursor lint-text`   — канонічний lint-text (text.mdc): `cspell` → `shellcheck` (з auto-fix) →
+ *                                     `markdownlint-cli2 --fix` → `v8r` (json/json5/yaml/yml/toml)
  *
  * Claude Code інтеграція: під час синку, окрім `.cursor/rules` і `.claude/commands` (з skills), CLI ще раз
  * синхронізує `.claude/settings.json` (hooks + permissions; merge — користувацькі поля зберігаються),
@@ -68,7 +74,11 @@ import { detectAutoSkills } from '../scripts/auto-skills.mjs'
 import { runStopHookCli } from '../scripts/claude-stop-hook.mjs'
 import { discoverCheckableRules } from '../scripts/utils/discover-checkable-rules.mjs'
 import { ensureNitraCursorInRootDevDependencies } from '../scripts/ensure-nitra-cursor-dev-dependencies.mjs'
+import { runLintDocker } from '../rules/docker/js/run.mjs'
 import { runLintGaCli } from '../rules/ga/js/lint.mjs'
+import { runLintK8s } from '../rules/k8s/js/run.mjs'
+import { runLintRego } from '../rules/rego/js/lint.mjs'
+import { runLintTextCli } from '../rules/text/js/lint.mjs'
 import { runRule } from '../scripts/utils/run-rule.mjs'
 import { syncClaudeConfig } from '../scripts/sync-claude-config.mjs'
 import { upgradeNitraCursorToLatestAndBunInstall } from '../scripts/upgrade-nitra-cursor-and-install.mjs'
@@ -88,7 +98,6 @@ const RULE_PREFIX = 'n-'
 
 const binDir = dirname(fileURLToPath(import.meta.url))
 const BUNDLED_RULES_DIR = join(binDir, '..', 'rules')
-const BUNDLED_SCRIPTS_DIR = join(binDir, '..', 'scripts')
 const BUNDLED_SKILLS_DIR = join(binDir, '..', 'skills')
 const BUNDLED_AGENTS_TEMPLATE_PATH = join(binDir, '..', AGENTS_TEMPLATE_FILE)
 /** Корінь установленого пакету (каталог з `rules/`, `github-actions/`, …) */
@@ -1000,9 +1009,9 @@ function logRemovedManagedItems(title, basePath, names) {
  * (плюс legacy `rules/<id>/js/check.mjs` як концерн `legacy`) або policy-концерн у
  * `rules/<id>/policy/<concern>/target.json`. Делегує у `discoverCheckableRules` —
  * див. `scripts/utils/discover-checkable-rules.mjs`.
- * @returns {Promise<import('../scripts/utils/discover-checkable-rules.mjs').CheckableRule[]>} опис правил у алфавітному порядку
+ * @returns {import('../scripts/utils/discover-checkable-rules.mjs').CheckableRule[]} опис правил у алфавітному порядку
  */
-async function discoverCheckScripts() {
+function discoverCheckScripts() {
   return discoverCheckableRules(BUNDLED_RULES_DIR)
 }
 
@@ -1348,6 +1357,30 @@ try {
 
       break
     }
+    case 'lint-rego': {
+      // Канонічний lint-rego: preflight opa/regal → opa check --strict → regal lint → conftest verify (опц.).
+      process.exitCode = runLintRego()
+
+      break
+    }
+    case 'lint-k8s': {
+      // Канонічний lint-k8s: kubeconform + kubescape по знайдених деревах `…/k8s/*.yaml`.
+      process.exitCode = await runLintK8s()
+
+      break
+    }
+    case 'lint-docker': {
+      // Канонічний lint-docker: hadolint по Dockerfile та *.Dockerfile (docker.mdc).
+      process.exitCode = await runLintDocker()
+
+      break
+    }
+    case 'lint-text': {
+      // Канонічний lint-text: cspell → run-shellcheck → markdownlint-cli2 --fix → run-v8r (text.mdc).
+      process.exitCode = runLintTextCli()
+
+      break
+    }
     case undefined:
     case '': {
       await runSync()
@@ -1357,7 +1390,7 @@ try {
     default: {
       console.error(`❌ Невідома команда: ${command}`)
       console.error(
-        `   Очікується: (без аргументів) синхронізація правил, check, rename-yaml-extensions, stop-hook, lint-ga`
+        `   Очікується: (без аргументів) синхронізація правил, check, rename-yaml-extensions, stop-hook, lint-ga, lint-rego, lint-k8s, lint-docker, lint-text`
       )
       process.exitCode = 1
     }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.11.4",
+  "version": "1.11.6",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -34,6 +34,7 @@
     "AGENTS.template.md",
     "CHANGELOG.md",
     "!**/*.test.mjs",
+    "!**/*_test.rego",
     "!**/test-helpers.mjs",
     "!**/fixtures/**"
   ],

package/rules/abie/utils/http-route.mjs

@@ -2,7 +2,7 @@
  * Cross-документна аналітика abie HTTPRoute: підрахунок `backendRefs` до спільних
  * сервісів (`auth-run-hl`, `file-link-hl`) у base-маніфестах пакета (поза overlay `ua`).
  * Використовується ua_http_route-концерном для синхронізації числа patch-ів namespace
- * у overlay із кількістю base-referencе.
+ * у overlay із кількістю base-reference.
  */
 import { relative } from 'node:path'
 

package/rules/abie/utils/k8s-tree.mjs

@@ -5,7 +5,6 @@
  *
  * Кеш — module-level singleton, ключований за `(root, ignorePaths)`. Перший виклик
  * платить за обхід; наступні концерни в межах того ж прогону отримують готове.
- * Для тестів — `resetAbieK8sTreeCache()` (інакше withTmpCwd-фікстури злипатимуться).
  */
 import { dirname, relative } from 'node:path'
 
@@ -20,15 +19,6 @@ const yamlCache = new Map()
 /** @type {Map<string, Promise<Set<string>>>} */
 const deploymentCache = new Map()
 
-/**
- * Скидає кеш — тести мусять викликати між фікстурами.
- * @returns {void} результат
- */
-export function resetAbieK8sTreeCache() {
-  yamlCache.clear()
-  deploymentCache.clear()
-}
-
 /**
  * Стабільний ключ кешу за (root, ignorePaths).
  * @param {string} root опис.
@@ -86,6 +76,15 @@ const silentFail = _msg => {
   // noop
 }
 
+/**
+ * Знаходить унікальні каталоги, що містять Deployment-маніфести серед переданих YAML-файлів.
+ * Парсить документи через `readAndParseYamlDocs` і фільтрує лише ті, що є Deployment.
+ * Кешує результат за ключем `root|<sorted yamlAbs>`, щоб повторні виклики не робили I/O.
+ * @param {string} root абсолютний корінь репо для побудови relative-шляхів у повідомленнях
+ * @param {string[]} yamlAbs абсолютні шляхи до YAML-файлів для перевірки
+ * @param {(msg: string) => void} [fail] callback на помилку парсингу (за замовчуванням noop)
+ * @returns {Promise<Set<string>>} проміс із сетом абсолютних каталогів, де знайдено Deployment
+ */
 export function collectDeploymentDirs(root, yamlAbs, fail = silentFail) {
   const key = `${root}|${[...yamlAbs].toSorted((a, b) => a.localeCompare(b)).join(':')}`
   const cached = deploymentCache.get(key)

package/rules/abie/utils/overlay-paths.mjs

@@ -16,7 +16,7 @@ const TRAILING_SLASH_RE = /\/$/u
 
 /**
  * Чи `rel` — це `…/ua/kustomization.yaml` (abie overlay).
- * @param {string} rel посі від кореня репозиторію
+ * @param {string} rel posix-шлях від кореня репозиторію
  * @returns {boolean} результат
  */
 export function isUaKustomizationPath(rel) {

package/rules/adr/adr.mdc

@@ -39,7 +39,7 @@ Stop-hook `normalize-decisions.sh` спрацьовує на тому самом
 LLM повертає масив операцій:
 
 | `op` | Семантика | Поля |
-|---|---|---|
+| --- | --- | --- |
 | `delete` | Чернетка тривіальна / повністю покрита іншим clean-ADR-ом. | `file`, `reason` |
 | `rewrite` | Чернетка стає окремим clean-файлом: frontmatter знімається, ім'я → `<slug>.md`, додаються `**Status: Accepted**` і `**Date:**` з `captured`. | `file`, `slug`, `content` |
 | `merge-into` | Чернетка повторює тему вже існуючого clean-файлу; дописуємо `## Update YYYY-MM-DD` у кінець `target`. | `file`, `target`, `additions` |
@@ -55,7 +55,7 @@ LLM повертає масив операцій:
 Інший LLM CLI, який запустить normalize, успадковує `ADR_NORMALIZE_RUNNING=1` — внутрішній Stop-hook вийде відразу. Доступні ENV:
 
 | Змінна | Default | Призначення |
-|---|---|---|
+| --- | --- | --- |
 | `ADR_NORMALIZE_THRESHOLD` | `30` | Поріг чернеток для запуску фази. |
 | `ADR_NORMALIZE_BATCH` | `30` | Максимум чернеток у одному виклику LLM. |
 | `ADR_NORMALIZE_MIN_INTERVAL_HOURS` | `6` | Мінімум між спробами (навіть якщо поріг). |

package/rules/adr/js/hooks/check.mjs

@@ -79,7 +79,7 @@ function gitignoreLineCoversHookLog(line, logPath) {
 
 /**
  * Перевіряє наявність і канонічність одного hook-скрипта.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @param {string} scriptName базове ім'я скрипта (наприклад `capture-decisions.sh`)
  * @returns {Promise<void>}
  */
@@ -108,7 +108,7 @@ async function checkHookScript(reporter, scriptName) {
  * `.claude/settings.local.json`. Структуру (`hooks.Stop[]` містить групу з
  * `capture-decisions.sh`; `settings.local.json` не дублює) валідують
  * `npm/policy/adr/settings_json/` і `npm/policy/adr/settings_local_json/`.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер
  */
 function checkProjectSettings(reporter) {
   const { pass, fail } = reporter
@@ -121,7 +121,7 @@ function checkProjectSettings(reporter) {
 
 /**
  * Перевіряє `.gitignore` на ігнорування лог-файлу одного хука.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @param {string} logName базове ім'я лог-файлу (наприклад `capture-decisions.log`)
  * @param {string} gitignoreContent попередньо прочитаний вміст `.gitignore`
  * @returns {void}
@@ -142,7 +142,7 @@ function checkGitignoreForLog(reporter, logName, gitignoreContent) {
 
 /**
  * Перевіряє `.gitignore` для всіх hook-логів одним проходом.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @returns {Promise<void>}
  */
 async function checkGitignore(reporter) {
@@ -182,7 +182,7 @@ function isBinaryInPath(name) {
 /**
  * Інформативна перевірка: чи доступний бодай один LLM CLI (`claude` або `cursor-agent`).
  * Якщо жодного немає — це warning (`pass` з підказкою), бо хук просто мовчки no-op'ає.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
  * @returns {void}
  */
 function checkLlmCliAvailable(reporter) {

package/rules/docker/docker.mdc

@@ -97,7 +97,7 @@ CMD ["./app"]
 
 ## lint-docker
 
-CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE...]` у **`hadolint --help`**); обхід репозиторію робить скрипт **`npm/scripts/run-docker.mjs`**.
+CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE...]` у **`hadolint --help`**); обхід репозиторію робить CLI **`n-cursor lint-docker`** (реалізація — **`npm/rules/docker/js/run.mjs`**).
 
 **Область lint-docker (вужча, ніж `check docker`):** лише файли з іменем **`Dockerfile`** та **`*.Dockerfile`** (суфікс **`.dockerfile`** без урахування регістру, наприклад **`api.Dockerfile`**). Файли **`Dockerfile.prod`**, **`Containerfile`** тощо **не** входять у **`lint-docker`**; їх ловить **`check docker`** (`check-docker.mjs`).
 
@@ -106,7 +106,7 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 ```json title="package.json"
 {
   "scripts": {
-    "lint-docker": "bun ./npm/scripts/run-docker.mjs"
+    "lint-docker": "n-cursor lint-docker"
   }
 }
 ```

package/rules/docker/js/run.mjs

@@ -47,9 +47,10 @@ export async function findLintDockerfilePaths(root, ignorePaths = []) {
 
 /**
  * Запуск hadolint по Dockerfile та *.Dockerfile.
+ * Експортовано як `runLintDocker` — використовується з `bin/n-cursor.js` як підкоманда `lint-docker`.
  * @returns {Promise<number>} 0 — OK, 1 — зауваження або помилка
  */
-async function main() {
+export async function runLintDocker() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter
 
@@ -80,5 +81,5 @@ async function main() {
 }
 
 if (isRunAsCli()) {
-  process.exitCode = await main()
+  process.exitCode = await runLintDocker()
 }

package/rules/docker/policy/package_json/package_json.rego

@@ -19,7 +19,7 @@ package docker.package_json
 
 import rego.v1
 
-canonical_lint_docker := "bun ./npm/scripts/run-docker.mjs"
+canonical_lint_docker := "n-cursor lint-docker"
 
 lint_docker_template := concat(" ", [
 	"package.json: scripts.lint-docker має бути %q",

package/rules/ga/js/lint.mjs

@@ -19,11 +19,11 @@
  *
  * Експортовано окремо `runLintGaCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-ga`.
  */
-import { spawnSync } from 'node:child_process'
 import { platform } from 'node:process'
 
 import { check as checkGa } from './workflows/check.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
+import { runLintStep } from '../../../scripts/utils/run-lint-step.mjs'
 
 /**
  * Опис залежності preflight-ом: бінарник, для чого потрібен, і команди встановлення.
@@ -112,29 +112,6 @@ function preflight(dep) {
   return false
 }
 
-/**
- * Запускає крок lint-ga з відображенням команди користувачу. Stdout/stderr дочірнього процесу
- * передається користувачу як є (`stdio: 'inherit'`), щоб виглядало як прямий виклик у shell.
- * @param {string} title заголовок для логу (наприклад `actionlint`)
- * @param {string} cmd ім'я команди (`bunx`, `uvx`)
- * @param {string[]} args аргументи команди
- * @returns {number} код виходу дочірнього процесу (0 — OK, інше — помилка)
- */
-function runStep(title, cmd, args) {
-  console.log(`\n▶ ${title}: ${cmd} ${args.join(' ')}`)
-  const resolved = resolveCmd(cmd)
-  if (!resolved) {
-    console.error(`❌ ${cmd} не знайдено в PATH (${title}).`)
-    return 127
-  }
-  const r = spawnSync(resolved, args, { stdio: 'inherit', env: process.env })
-  if (r.error) {
-    console.error(`❌ Не вдалося запустити ${cmd}: ${r.error.message}`)
-    return 1
-  }
-  return r.status ?? 1
-}
-
 /**
  * Виконує канонічний `lint-ga` з preflight-перевірками і делегує до `check-ga.check()`.
  *
@@ -160,10 +137,10 @@ export async function runLintGaCli() {
   }
   if (!preflightOk) return 1
 
-  const actionlintCode = runStep('actionlint', 'bunx', ['github-actionlint'])
+  const actionlintCode = runLintStep('actionlint', 'bunx', ['github-actionlint'])
   if (actionlintCode !== 0) return actionlintCode
 
-  const zizmorCode = runStep('zizmor', 'uvx', ['zizmor', '--offline', '--collect=workflows', '.'])
+  const zizmorCode = runLintStep('zizmor', 'uvx', ['zizmor', '--offline', '--collect=workflows', '.'])
   if (zizmorCode !== 0) return zizmorCode
 
   console.log('\n▶ check-ga (rego-полісі npm/policy/ga/ + JS cross-file перевірки)')

package/rules/k8s/js/run.mjs

@@ -146,9 +146,10 @@ function runKubescape(dirs) {
 
 /**
  * Головна точка входу: kubeconform + kubescape для усіх знайдених дерев `k8s`.
+ * Експортовано як `runLintK8s` — використовується з `bin/n-cursor.js` як підкоманда `lint-k8s`.
  * @returns {Promise<number>} код виходу для `process.exitCode` (0 — успіх або пропуск)
  */
-async function main() {
+export async function runLintK8s() {
   const root = process.cwd()
   const ignorePaths = await loadCursorIgnorePaths(root)
   const dirs = await findK8sRoots(root, ignorePaths)
@@ -169,5 +170,5 @@ async function main() {
 }
 
 if (isRunAsCli()) {
-  process.exitCode = await main()
+  process.exitCode = await runLintK8s()
 }

package/rules/k8s/k8s.mdc

@@ -38,20 +38,18 @@ alwaysApply: false
 
 **kubescape:** типово **`kubescape scan <каталог-k8s>`**; поріг серйозності підлаштуй під проєкт (наприклад **`--severity-threshold high`**). Перший запуск може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
-У репозиторії пакета **`@nitra/cursor`** скрипт **`lint-k8s`** делегує обхід дерев і виклики **`npm/scripts/run-k8s.mjs`**. У інших проєктах можна скопіювати цей скрипт або зібрати еквівалентні команди в **`package.json`**.
+У репозиторії пакета **`@nitra/cursor`** скрипт **`lint-k8s`** делегує до CLI **`n-cursor lint-k8s`** (реалізація — **`npm/rules/k8s/js/run.mjs`**). У інших проєктах достатньо встановити **`@nitra/cursor`** у `devDependencies` — бінарка **`n-cursor`** буде у **`node_modules/.bin/`**.
 
 ```json title="package.json"
 {
   "scripts": {
-    "lint-k8s": "bun ./npm/scripts/run-k8s.mjs"
+    "lint-k8s": "n-cursor lint-k8s"
   }
 }
 ```
 
 Якщо правило **`k8s`** підключено в **`.n-cursor.json`** (масив **`rules`**), у **кореневому** `package.json` **мають** бути скрипт **`lint-k8s`** і виклик **`bun run lint-k8s`** у агрегованому **`lint`** (див. **`bun.mdc`**). Це перевіряє **`npx @nitra/cursor check bun`**.
 
-Шлях до скрипта підстав свій (`./scripts/…` після копіювання, `node_modules/@nitra/cursor/scripts/…` якщо пакет у залежностях).
-
 Додай workflow **`.github/workflows/lint-k8s.yml`** (гілки **`dev`** і **`main`**, лише **`.yml`**, узгоджено з **`ga.mdc`**). **Не** дублюй **`setup-node`**, **`oven-sh/setup-bun`**, **`actions/cache`** і **`bun install`** у job — після **`checkout`** використовуй локальний composite **`setup-bun-deps`** (шлях **`./.github/actions/setup-bun-deps`** або **`./npm/github-actions/setup-bun-deps`**, як у репозиторії). Встановлення **kubeconform** / **kubescape** лишаються окремими кроками.
 
 ```yaml title=".github/workflows/lint-k8s.yml"

package/rules/npm-module/js/package_structure/check.mjs

@@ -496,8 +496,8 @@ async function checkNoTestsInPublishedFiles(pass, fail) {
   }
   for (const v of violations) {
     fail(
-      `npm/${v.file}: ${v.reason} — винеси за межі шляхів з "files" або додай негативний glob ` +
-        '(наприклад "!**/*_test.rego") у npm/package.json (npm-module.mdc)'
+      `npm/${v.file}: ${v.reason} — додай у "files" у npm/package.json негативний glob, ` +
+        'що виключає цей файл з tarball (наприклад "!**/*.test.mjs", "!**/fixtures/**", "!**/*_test.rego") (npm-module.mdc)'
     )
   }
 }

package/rules/npm-module/npm-module.mdc

@@ -1,7 +1,7 @@
 ---
 description: Оформлення репозиторію для npm модуля
 alwaysApply: true
-version: '1.11'
+version: '1.12'
 ---
 
 Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.github/workflows/`**; опційно **`demo/`**.
@@ -11,13 +11,13 @@ Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.g
 Мета — **максимально компактний** опублікований пакет: у npm потрапляє тільки те, що потрібно під час `require`/`import` користувачем.
 
 - **`"files"` обовʼязковий** у `npm/package.json` як **whitelist** того, що публікується (без `"files"` npm пакує майже все — це антипатерн для цього правила).
-- **Тести й фікстури — поза будь-яким шляхом з `"files"`.** Канонічне місце для всього тестового — `npm/tests/` (його **не** додаємо до `"files"`). Це стосується **і** фреймворк-тестів (`bun:test`, `node:test`, `vitest`, `@jest/globals`, `mocha`, …), **і** test-style каталогів (`tests/`, `__tests__/`, `fixtures/`, `__fixtures__/`, `spec/`), **і** файлів за патернами `*.test.*` / `*.spec.*`. **Виняток — Rego (`*_test.rego`):** за конвенцією conftest юніт-тест лежить поруч з полісі у тому самому `package`, тож rego-тести дозволені всередині опублікованого `policy/`-каталогу.
+- **Тести й фікстури не публікуються — через негативні glob-патерни у `"files"`.** Тести можна (і зазвичай зручніше) тримати **поруч з кодом** усередині шляхів, перелічених у `"files"` (наприклад `*.test.mjs` поруч з модулем чи `fixtures/` під `rules/<id>/js/`). Щоб вони не потрапляли у tarball, `"files"` **обовʼязково має містити негативні glob-патерни**, що їх виключають. Покрий усі форми тестового: фреймворк-тести (`bun:test`, `node:test`, `vitest`, `@jest/globals`, `mocha`, …), test-style каталоги (`tests/`, `__tests__/`, `fixtures/`, `__fixtures__/`, `spec/`, `test/`), файли за патернами `*.test.*` / `*.spec.*`. Орієнтовний набір: `"!**/*.test.*"`, `"!**/*.spec.*"`, `"!**/test-helpers.*"`, `"!**/fixtures/**"`, `"!**/__tests__/**"`. **Rego (`*_test.rego`):** за конвенцією conftest юніт-тест лежить поруч з полісі у тому самому `package` — `*_test.rego` усередині опублікованого `policy/` дозволені; якщо потрібна максимальна компактність, додай `"!**/*_test.rego"` явно (як у самому `@nitra/cursor`).
 - **Лише runtime-залежності у `npm/package.json`.** `devDependencies` тримай у **кореневому** `package.json` монорепо — тоді `npm install @nitra/<pkg>` не тягне інструментарій, потрібний лише для розробки самого пакета.
 
 Деталі алгоритму перевірки:
 
 - Пер-документні правила для `npm/package.json` (whitelist `files`, заборона `devDependencies`, форма `types`) — у rego-пакеті `npm_module.npm_package_json` (`npm/policy/npm_module/npm_package_json/`).
-- Скан опублікованого простору файлів на тест-патерни (walking + AST JS/TS) — у `check-npm-module.mjs::checkNoTestsInPublishedFiles` (FS / AST не лягають у rego).
+- Walk шляхів з `"files"` з застосуванням негативних patterns і скан залишку на тест-патерни (walking + AST JS/TS) — у `check.mjs::checkNoTestsInPublishedFiles` (FS / AST не лягають у rego). Якщо після застосування негативних patterns у tarball лишається test-style файл — `check` падає з вказівкою, який саме негативний glob треба додати у `"files"`.
 
 ## TypeScript declaration (`npm/types`)
 

package/rules/rego/js/lint.mjs

@@ -26,6 +26,7 @@ import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
 import { resolve } from 'node:path'
 
+import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 
 /** Шляхи з Rego-полісі (відносно cwd). Існують не всі на ранніх стадіях — фільтруємо нижче. */
@@ -128,4 +129,6 @@ export function runLintRego(cwd = process.cwd()) {
   return runStep(conftest, ['verify', ...targets.flatMap(t => ['-p', t])], root)
 }
 
-process.exitCode = runLintRego()
+if (isRunAsCli()) {
+  process.exitCode = runLintRego()
+}

package/rules/rego/policy/package_json/package_json.rego

@@ -3,14 +3,16 @@
 # Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
 # `.rego` файлів у дереві. Глобально у `lint-conftest` НЕ реєструється.
 #
-# Canonical (rego.mdc): scripts.lint-rego має бути "bun ./npm/scripts/lint-rego.mjs".
+# Canonical (rego.mdc): scripts.lint-rego має бути "n-cursor lint-rego" — CLI пакета `@nitra/cursor`
+# (бінарка з `node_modules/.bin/`) робить preflight `opa`/`regal` і прогонить
+# `opa check --strict` → `regal lint` → опц. `conftest verify` (`@nitra/cursor lint-rego`).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 package rego.package_json
 
 import rego.v1
 
-canonical_lint_rego := "bun ./npm/scripts/lint-rego.mjs"
+canonical_lint_rego := "n-cursor lint-rego"
 
 lint_rego_template := concat(" ", [
 	"package.json: scripts.lint-rego має бути %q",
@@ -22,7 +24,7 @@ deny contains msg if {
 	not "lint-rego" in object.keys(scripts)
 	msg := concat(" ", [
 		"package.json: відсутній scripts.lint-rego — додай",
-		"\"lint-rego\": \"bun ./npm/scripts/lint-rego.mjs\" (rego.mdc)",
+		"\"lint-rego\": \"n-cursor lint-rego\" (rego.mdc)",
 	])
 }
 

package/rules/rego/rego.mdc

@@ -36,13 +36,13 @@ alwaysApply: false
 bun run lint-rego
 ```
 
-Скрипт делегує до `bun ./npm/scripts/lint-rego.mjs`. Послідовність:
+Скрипт делегує до CLI `n-cursor lint-rego` (бінарка з `node_modules/.bin/` пакету `@nitra/cursor`). Послідовність:
 
 1. **preflight** — наявність `opa` і `regal` у `PATH`; якщо хоча б одного нема — exit 1 з підказкою встановлення;
 2. `opa check --strict <targets>` — компіляція з типами та `--strict` (мертвий код, неоднозначні правила, незадекларовані змінні);
 3. `regal lint <targets>` — статичний лінтер Rego ([Styra Regal](https://docs.styra.com/regal)): ловить v0-синтаксис, неявні set-rules і відхилення від `rego.v1`, плюс bugs/idiomatic/style-правила.
 
-Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `lint-rego.mjs`.
+Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/js/lint.mjs`.
 
 ### Встановлення інструментів
 
@@ -58,7 +58,7 @@ bun run lint-rego
 ```json title="package.json"
 {
   "scripts": {
-    "lint-rego": "bun ./npm/scripts/lint-rego.mjs"
+    "lint-rego": "n-cursor lint-rego"
   }
 }
 ```

package/rules/style-lint/js/tooling/check.mjs

@@ -25,7 +25,7 @@ import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mj
  * Альтернатива полю `stylelint` у `package.json` — зовнішній файл конфігу. Якщо
  * поля немає і файлу немає, фейлимося; якщо є хоч щось — пропускаємо. Поле
  * `stylelint.extends == "@nitra/stylelint-config"` сам формат — у Rego.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер
+ * @param {import('../../../../scripts/utils/check-reporter.mjs').CheckReporter} reporter репортер
  */
 async function checkStylelintConfigPresence(reporter) {
   const { pass, fail } = reporter

package/rules/style-lint/style-lint.mdc

@@ -9,7 +9,7 @@ alwaysApply: false
 
 - **Джерело правил:** перед тим як писати або суттєво змінювати **`.css`**, **`.scss`** або стилі в **`.vue`**, переглянь у корені проєкту (і в релевантних пакетах монорепо, якщо є) поле **`stylelint`** у **`package.json`** (зокрема `extends`), наявні **`.stylelintrc.*`**, **`stylelint.config.*`** та **`.stylelintignore`**. Не покладайся на «типові» правила stylelint з пам’яті — дотримуйся **проєктного** **`@nitra/stylelint-config`** і будь-яких локальних доповнень у репозиторії.
 - **Форматування** узгоджуй з **`n-text.mdc`** (oxfmt / `.oxfmtrc.json` для css, scss тощо), щоб форматер і stylelint не суперечили один одному.
-- **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний набір `lint-*` (навичка **`n-fix`**).
+- **Запуск stylelint:** лише **`npx stylelint`**. Локально — через скрипт **`lint-style`** (`bun run lint-style`); у **GitHub Actions** у кроці **`run`** викликай `npx stylelint '**/*.{css,scss,vue}' --fix` напряму (не через **`bun run lint-style`**). Не використовуй **`bunx stylelint`**. Після змін запускай **`bun run lint-style`** і виправляй усе, що лишилось після auto-fix; за потреби — повний `bun run lint` (навичка **`/n-lint`**).
 - **Не розширюй винятки:** не додавай зайві **`stylelint-disable`** без потреби; краще підлаштувати стилі під правила проєкту.
 
 **VSCode:** у **`.vscode/extensions.json`** рекомендуй **`stylelint.vscode-stylelint`**. У **`.vscode/settings.json`** вимкни вбудовану валідацію CSS/SCSS/Less і увімкни явні code actions:

package/rules/text/js/formatting/check.mjs

@@ -147,36 +147,20 @@ async function checkPackageJsonText(passFn, failFn) {
 }
 
 /**
- * Перевіряє скрипт lint-text на коректність v8r-виклику.
- * @param {unknown} lintText параметр lintText
+ * Перевіряє скрипт lint-text: канонічний — `n-cursor lint-text` (CLI пакета `@nitra/cursor` робить
+ * `cspell` → `runShellcheckText()` → `bunx markdownlint-cli2 --fix` → `runV8rWithGlobs()`).
+ * Дозволено whitespace навколо команди.
+ * @param {unknown} lintText значення `scripts.lint-text` з package.json
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
  */
 function checkLintTextScript(lintText, passFn, failFn) {
-  const lt = typeof lintText === 'string' ? lintText : ''
-  const v8rCalls = (lt.match(/bunx v8r/g) || []).length
-  const quietCalls = (lt.match(/run-v8r?\.mjs/g) || []).length
-  const eq98Hints = (lt.match(/eq 98/g) || []).length
-  const legacyV8r = v8rCalls >= 4 && eq98Hints >= 4
-  const quietBundled = quietCalls === 1
-  const quietLegacy4x = quietCalls >= 4
-  const v8rTextOk = legacyV8r || quietBundled || quietLegacy4x
-  const globsRequired = legacyV8r || quietLegacy4x
-  const globsOk =
-    lt.includes('**/*.json') && lt.includes('**/*.yml') && lt.includes('**/*.yaml') && lt.includes('**/*.toml')
-  const ok =
-    lt &&
-    lt.includes('cspell') &&
-    lt.includes('run-shellcheck-text.mjs') &&
-    lt.includes('bunx markdownlint-cli2') &&
-    lt.includes('**/*.mdc') &&
-    v8rTextOk &&
-    (!globsRequired || globsOk)
-  if (ok) {
-    passFn('package.json: lint-text — shellcheck (run-shellcheck-text.mjs), v8r: run-v8r.mjs або чотири bunx v8r')
+  const lt = typeof lintText === 'string' ? lintText.trim() : ''
+  if (lt === 'n-cursor lint-text') {
+    passFn('lint-text делегує CLI n-cursor lint-text (cspell + shellcheck + markdownlint + v8r)')
   } else {
     failFn(
-      'package.json: lint-text — додай bun ./…/run-shellcheck-text.mjs; v8r: bun ./…/run-v8r.mjs або чотири (bunx v8r "<glob>" || [ $? -eq 98 ]) (див. n-text.mdc)'
+      'package.json: lint-text має бути "n-cursor lint-text" — CLI пакета @nitra/cursor виконує cspell → shellcheck → markdownlint-cli2 → v8r (text.mdc)'
     )
   }
 }