@nitra/cursor 1.13.1 → 1.13.8

package/.claude-template/hooks/capture-decisions.sh

@@ -83,33 +83,51 @@ if [[ -z "$TRANSCRIPT" ]]; then
 fi
 
 PROMPT=$(cat <<'EOF'
-You analyze a Claude Code session transcript and produce a durable knowledge artifact (ADR, Runbook, or Knowledge note) capturing what was done and why.
+You analyze an AI coding session transcript and produce durable decision documentation.
 
-LANGUAGE: Write the ENTIRE output in Ukrainian. This applies to the title, all section content, prose, and rationale. Keep code identifiers, file paths, commands, and tool or library names in their original form (do not translate `walkDir`, `package.json`, `npm`, etc.) — only translate the natural-language prose around them. Section labels themselves stay in Ukrainian per the template below.
+LANGUAGE: Write the content in Ukrainian. Keep MADR section headings in English exactly as shown below. Keep code identifiers, file paths, commands, and tool or library names in their original form (do not translate `walkDir`, `package.json`, `npm`, etc.).
 
 IMPORTANT: by "decision" we mean the design choice expressed in the session — even if the user pre-specified it in their brief. The user dictating the approach IS the decision; capture it, including the rationale they gave or that became apparent during implementation. Do NOT return NONE just because the user gave detailed instructions upfront.
 
+ANTI-HALLUCINATION RULES:
+- Use only facts present in the transcript, tool calls, changed file paths, or direct implications of those facts.
+- Do not invent decision makers, stakeholders, business context, requirements, alternatives, or consequences.
+- If alternatives were not discussed, write exactly: "Інші варіанти в transcript не обговорювалися."
+- If a consequence is unknown, write it as "Neutral, because transcript не містить підтвердження наслідку."
+- Prefer specific file paths and commands from the transcript over generic prose.
+
 OUTPUT RULES:
 - Emit one or more markdown blocks in this exact shape (no preamble, no trailing prose):
 
-## [ADR|Runbook|Knowledge] <короткий заголовок українською>
-**Контекст:** <яка проблема / ситуація це спричинила — 1-2 речення>
-**Рішення/Процедура/Факт:** <що було зроблено — конкретно: змінені файли, введена семантика, кроки>
-**Обґрунтування:** <чому саме такий підхід — з ТЗ користувача або міркувань асистента>
-**Розглянуті альтернативи:** <перелік явно обговорених, або «не обговорювалися»>
-**Зачіпає:** <файли, модулі, публічні API, конфіги>
+## ADR <короткий заголовок українською>
+
+## Context and Problem Statement
+<1-3 речення: яка проблема / ситуація спричинила рішення.>
+
+## Considered Options
+* <назва явно обговореного варіанта>
+* <або "Інші варіанти в transcript не обговорювалися.">
+
+## Decision Outcome
+Chosen option: "<назва обраного варіанта>", because <коротке обґрунтування з transcript>.
+
+### Consequences
+* Good, because <підтверджений позитивний наслідок або "transcript фіксує очікувану користь: ...">.
+* Bad, because <підтверджений негативний наслідок або "transcript не містить підтверджених негативних наслідків.">.
+
+## More Information
+<файли, команди, публічні API, конфіги, transcript facts. Якщо нема — "Додаткової інформації в transcript не зафіксовано.">
 
 WHEN TO PICK EACH TYPE:
-- ADR: a design choice (library, schema, pattern, semantics of a field/API). Most substantive code work qualifies.
-- Runbook: a procedure to operate, fix, deploy, or reproduce something.
-- Knowledge: a non-obvious constraint, gotcha, or invariant uncovered (without a corresponding code change).
+- Emit ADR for design choices: library, schema, pattern, file layout, hook semantics, API behavior, validation semantics.
+- Do not emit Runbook or Knowledge blocks here. This hook stores MADR-style decision records only.
 
 OUTPUT NONE ONLY IF the session is genuinely trivial:
 - A single typo fix, comment edit, or lint cleanup with no design content
-- A pure question/answer with no code change and no surprising fact
+- A pure question/answer with no durable decision
 - An aborted/empty session
 
-When in doubt, emit a block. Capturing too much is acceptable; missing real work is not.
+When in doubt, emit a conservative ADR with explicit "not discussed" placeholders rather than inventing missing details.
 
 TRANSCRIPT FOLLOWS:
 ---

package/.claude-template/hooks/normalize-decisions.sh

@@ -160,7 +160,7 @@ PROMPT_HEADER=$(cat <<'EOF'
 {
   "operations": [
     { "op": "delete",     "file": "<basename>.md", "reason": "..." },
-    { "op": "rewrite",    "file": "<basename>.md", "slug": "<kebab-case-ukrainian>", "content": "<повний markdown файлу>" },
+    { "op": "rewrite",    "file": "<basename>.md", "slug": "<kebab-case-ukrainian>", "content": "<повний markdown файлу у MADR 4.0.0>" },
     { "op": "merge-into", "file": "<basename>.md", "target": "<slug>.md", "additions": "<markdown для дописування>" }
   ]
 }
@@ -169,11 +169,15 @@ PROMPT_HEADER=$(cat <<'EOF'
 
 1. `delete` — драфт тривіальний / повністю покритий іншим існуючим clean-ADR-ом / порожній. Поясни короткою причиною українською.
 
-2. `rewrite` — драфт має самостійну цінність. Повертай у `content` повний фінальний вміст файлу:
+2. `rewrite` — драфт має самостійну цінність як decision record. Повертай у `content` повний фінальний вміст файлу у форматі MADR 4.0.0 minimal:
    - Без YAML frontmatter (жодного `session:`, `captured:`, `transcript:`).
    - Заголовок `# <Title>` українською.
    - Один рядок `**Status:** Accepted` і один рядок `**Date:** YYYY-MM-DD` — дату беремо з поля `captured:` оригінальної чернетки (перші 10 символів ISO-дати).
-   - Далі розділи **Контекст**, **Рішення/Процедура/Факт**, **Обґрунтування**, **Розглянуті альтернативи**, **Зачіпає** — як у драфті, але причесані: цілісні речення, без скорочень, без слідів автогенерованого тегу типу `## Knowledge`.
+   - Далі секції з точними MADR headings англійською: `## Context and Problem Statement`, `## Considered Options`, `## Decision Outcome`, `### Consequences`, `## More Information`.
+   - У `## Considered Options` перелічуй лише варіанти, які є в драфті/transcript. Якщо альтернатив не було, додай bullet `Інші варіанти в transcript не обговорювалися.`
+   - У `## Decision Outcome` використовуй форму `Chosen option: "<option>", because <reason>.` Причина має спиратися на драфт/transcript, без вигаданого business/context.
+   - У `### Consequences` пиши bullets `Good, because ...`, `Bad, because ...`, `Neutral, because ...`. Якщо наслідок не зафіксований, явно пиши `transcript не містить підтвердження ...`, не вигадуй.
+   - У `## More Information` перенеси файли, команди, публічні API, конфіги й transcript facts. Якщо нема — `Додаткової інформації в transcript не зафіксовано.`
    - `slug` — kebab-case українською (наприклад `ланцюжок-запуску-abie`, `npm-publish-flow`). Без розширення `.md`. Літери малі, дозволено цифри, дефіс, кирилиця. Якщо тема технічна англійською (назва пакету, ключове слово) — лиши англійською без транслітерації.
 
 3. `merge-into` — драфт повторює тему вже існуючого clean-файлу зі списку нижче. `target` — точна назва файлу зі списку (з `.md`). `additions` — лише новий зміст, який варто дописати в кінець target-файлу під підзаголовком `## Update YYYY-MM-DD` (date з `captured` драфта). Якщо нічого нового додати — використовуй `delete`.
@@ -184,6 +188,7 @@ PROMPT_HEADER=$(cat <<'EOF'
 - Кожен файл з вхідного списку має зʼявитися у `operations` рівно один раз.
 - Слаги не повторювати між операціями того самого батча. Якщо дві чернетки про одну тему — одна `rewrite`, інша `merge-into target: <slug>.md` з тим самим slug-ом.
 - Не вигадуй target, якого нема у списку clean-файлів.
+- Не вигадуй альтернативи, decision drivers, наслідки, людей або зовнішній контекст. Якщо даних бракує — явно напиши, що transcript цього не містить.
 
 Вхідні драфти і clean-список — нижче.
 EOF

package/CHANGELOG.md

@@ -4,6 +4,67 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.8] - 2026-05-17
+
+### Changed
+
+- Перенесено частину per-document логіки з `fix` у Rego policy:
+  - `js-lint`: `.jscpd.json` і `.vscode/extensions.json`;
+  - `ga`: `package.json#scripts.lint-ga`, `.vscode/extensions.json`, `.vscode/settings.json`, `.github/zizmor.yml`;
+  - `security`: `.gitleaks.toml` (`[extend].useDefault = true`);
+  - `vue`: залежності Vue/Vite-пакетів і заборону `esbuild`.
+- Відповідні JS check-и спрощено до FS/cross-file/AST/tooling частини без дублювання Rego-умов.
+- `ensureNitraCursorInRootDevDependencies` тепер додає `@nitra/cursor` тільки в `package.json` поруч із запуском, якщо в ньому є `workspaces`.
+- `vue.mdc` уточнює тестування через Bun Test Runner + Vue Test Utils/happy-dom замість Vitest/jsdom.
+
+### Fixed
+
+- `npm/package.json#devDependencies` — прибрано self-reference `@nitra/cursor`, щоб published package знову відповідав `npm-module` compact-package canon.
+
+## [1.13.7] - 2026-05-17
+
+### Fixed
+
+- `inlineTemplateLinks`: `String.replace(needle, replacement)` інтерпретує `$'`, `$&` тощо у `replacement`. Через це інлайнінг `.gitleaks.toml.snippet.toml` (де є `$'''`) ламав вивід — хвіст `.mdc` реінжектився всередину блока. Перехід на function-replacer (`(_) => replacement`) усуває це. Додано регресійний тест із фікстурою `with-dollar.toml`.
+
+## [1.13.6] - 2026-05-17
+
+### Added
+
+- `npm/scripts/utils/inline-template-links.mjs` — `inlineTemplateLinks(text, ruleDir)`: під час sync знаходить markdown-лінки виду `[label](./…/template/…)` у `.mdc` і замінює їх inline fenced-блоком з вмістом відповідного файла. Відсутній файл — hard error (fail loud).
+
+### Changed
+
+- `readBundledRuleContent` у `npm/bin/n-cursor.js` тепер пропускає текст правила через `inlineTemplateLinks` перед записом у `.cursor/rules/n-*.mdc`. Template-посилання у скопійованих правилах більше не зламані.
+
+## [1.13.5] - 2026-05-17
+
+### Added
+
+- Оркестратор `run-rule.mjs` тепер викликає `findMissingMdcRefs` для кожного правила — fail, якщо файл у `template/` не згаданий як markdown-посилання у `<id>.mdc`. Поки що активно лише для `security` (єдине правило з `template/`); готова страховка для Phase 2+.
+
+### Fixed
+
+- `check-mdc-template-refs.test.mjs` тест 3 — фіксував дубль test 1; тепер використовує окрему `no-templates` фікстуру, що дійсно валідує "no template/ dirs → empty result".
+
+## [1.13.4] - 2026-05-17
+
+### Removed
+
+- `npm/package.json#devDependencies` — повторно видалено self-reference `@nitra/cursor` (порушує canon `npm-module`: «devDependencies не публікуються користувачам пакета»). Автоматично повертався у попередніх тасках template-dir роботи; цей коміт остаточно прибирає.
+
+## [1.13.3] - 2026-05-17
+
+### Changed
+
+- `security/security.mdc` — прибрано inline merge-фрагменти (package.json snippet для `lint-security`, .gitleaks.toml повний канон), замість них markdown-посилання на файли в `template/` (single source of truth). Зміст правила залишається (описи для чого потрібен gitleaks, GitHub Actions), видалено дублювання фіксованого коду.
+
+## [1.13.2] - 2026-05-17
+
+### Changed
+
+- **`adr` hook output тепер MADR v4.0.0 minimal** — capture/normalize prompts генерують ADR-и з canonical headings `Context and Problem Statement`, `Considered Options`, `Decision Outcome`, `Consequences`, `More Information`. Prompts стали evidence-bound: якщо transcript не містить альтернатив або підтверджених наслідків, hook явно пише, що даних немає, замість вигадування деталей.
+
 ## [1.13.1] - 2026-05-17
 
 ### Added
@@ -14,6 +75,10 @@
 
 ### Changed
 
+- `security/fix/gitleaks/check.mjs` читає канон з `template/`, не з inline regex.
+- `security/policy/package_json/package_json.rego` читає очікувані значення з `data.template.*`, не з inline literals.
+- Оркестратор `run-rule.mjs` для policy-концернів вантажить `template/` через `resolveConcernTemplateData` і передає у `runConftestBatch.templateData`.
+- Снепет `.gitleaks.toml.snippet.toml` тримає канонічний title + allowlist paths (description лишається user-specific).
 - **9 правил переведено з `alwaysApply: true` на `alwaysApply: false` + `globs:`** — AI-контекст у Cursor/Claude Code підвантажується лише при роботі з релевантними файлами; програмна валідація через `npx check <rule>` залишається повністю функціональною незалежно від AI-контексту. Економить контекстне вікно у сесіях, де редагують код, далекий від відповідних конфігів.
   - **`bun`** (`1.7 → 1.8`) — `globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"`
   - **`capacitor`** (`1.0 → 1.1`) — `globs: "**/capacitor.config.json,**/android/**,**/ios/**"`

package/bin/n-cursor.js

@@ -67,6 +67,7 @@ import { cwd, env } from 'node:process'
 import { fileURLToPath } from 'node:url'
 
 import { buildAgentsCommandBulletItems } from '../scripts/build-agents-commands.mjs'
+import { inlineTemplateLinks } from '../scripts/utils/inline-template-links.mjs'
 import {
   detectAutoRules,
   detectLegacyRuleIds,
@@ -394,7 +395,7 @@ function normalizeRuleName(ruleName) {
  * @param {string} [bundledRulesDir] каталог `rules/` у корені пакету-джерела
  * @returns {Promise<string>} текст правила для запису в `.cursor/rules/n-*.mdc`
  */
-function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
+async function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
   const id = normalizeRuleName(rule)
   const bundledPath = join(bundledRulesDir, id, `${id}.mdc`)
   if (!existsSync(bundledPath)) {
@@ -402,7 +403,8 @@ function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
       `Немає файлу ${id}/${id}.mdc у ${bundledRulesDir}. Оновіть ${PACKAGE_NAME} або приберіть "${rule}" з rules у ${CONFIG_FILE}.`
     )
   }
-  return readFile(bundledPath, 'utf8')
+  const text = await readFile(bundledPath, 'utf8')
+  return inlineTemplateLinks(text, dirname(bundledPath))
 }
 
 /**

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.1",
+  "version": "1.13.8",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -36,7 +36,8 @@
     "!**/*.test.mjs",
     "!**/*_test.rego",
     "!**/test-helpers.mjs",
-    "!**/fixtures/**"
+    "!**/fixtures/**",
+    "!**/__fixtures__/**"
   ],
   "type": "module",
   "types": "./types/bin/n-cursor.d.ts",
@@ -47,6 +48,7 @@
   "dependencies": {
     "oxc-parser": "^0.128.0",
     "picomatch": "^4.0.4",
+    "smol-toml": "^1.6.1",
     "yaml": "^2.8.3"
   },
   "engines": {

package/rules/adr/adr.mdc

@@ -4,9 +4,19 @@ alwaysApply: true
 version: '2.0'
 ---
 
-## Дві фази, один каталог
+## MADR v4 і дві фази
 
-ADR живуть у єдиному каталозі **`docs/adr/`**. Є два стани файлу, які відрізняються YAML frontmatter:
+ADR живуть у єдиному каталозі **`docs/adr/`**. Clean ADR-и мають формат **MADR v4.0.0 minimal** з точними section headings англійською:
+
+- `## Context and Problem Statement`
+- `## Considered Options`
+- `## Decision Outcome`
+- `### Consequences`
+- `## More Information`
+
+Вміст секцій — українською, code identifiers / paths / commands — як у transcript. Якщо transcript не містить альтернатив або підтверджених наслідків, hook має явно писати `Інші варіанти в transcript не обговорювалися.` або `transcript не містить підтвердження ...`, а не вигадувати відсутні факти.
+
+Є два стани файлу, які відрізняються YAML frontmatter:
 
 - **Draft** — файл з frontmatter `session: …`, `captured: …`, `transcript: …` та timestamp-іменем `YYYYMMDD-HHMMSS-<sid>.md`. Пише `capture-decisions.sh` після кожної сесії.
 - **Clean** — файл без frontmatter, з kebab-case-іменем `<slug>.md` (наприклад `ланцюжок-запуску-abie.md`). Створює `normalize-decisions.sh` або людина руками.
@@ -15,7 +25,7 @@ ADR живуть у єдиному каталозі **`docs/adr/`**. Є два
 
 ### Фаза 1 — Capture
 
-Stop-hook `capture-decisions.sh` зчитує JSONL-транскрипт сесії (через `jq`), витягає текст, `thinking`-блоки та назви `tool_use`-викликів, передає компактний дайджест у LLM CLI з промптом українською і записує результат у **`docs/adr/<timestamp>-<session>.md`**, якщо модель повернула блок з шапкою `## ADR|Runbook|Knowledge …`. Якщо модель повернула `NONE` (тривіальна сесія) — нічого не пишеться. Рекурсію з внутрішнього виклику моделі блокує env-var `CAPTURE_DECISIONS_RUNNING=1`.
+Stop-hook `capture-decisions.sh` зчитує JSONL-транскрипт сесії (через `jq`), витягає текст, `thinking`-блоки та назви `tool_use`-викликів, передає компактний дайджест у LLM CLI з evidence-bound промптом і записує результат у **`docs/adr/<timestamp>-<session>.md`**, якщо модель повернула MADR-блок з шапкою `## ADR …`. Якщо модель повернула `NONE` (тривіальна сесія) — нічого не пишеться. Рекурсію з внутрішнього виклику моделі блокує env-var `CAPTURE_DECISIONS_RUNNING=1`.
 
 Для Cursor payload скрипт бере `transcript_path`, `conversation_id` / `generation_id` і `workspace_roots[0]`; для Claude Code — `transcript_path`, `session_id` і `CLAUDE_PROJECT_DIR`.
 
@@ -34,7 +44,7 @@ LLM повертає масив операцій:
 | `op` | Семантика | Поля |
 | --- | --- | --- |
 | `delete` | Чернетка тривіальна / повністю покрита іншим clean-ADR-ом. | `file`, `reason` |
-| `rewrite` | Чернетка стає окремим clean-файлом: frontmatter знімається, ім'я → `<slug>.md`, додаються `**Status: Accepted**` і `**Date:**` з `captured`. | `file`, `slug`, `content` |
+| `rewrite` | Чернетка стає окремим clean-файлом MADR v4 minimal: frontmatter знімається, ім'я → `<slug>.md`, додаються `**Status:** Accepted`, `**Date:**` з `captured` і canonical MADR headings. | `file`, `slug`, `content` |
 | `merge-into` | Чернетка повторює тему вже існуючого clean-файлу; дописуємо `## Update YYYY-MM-DD` у кінець `target`. | `file`, `target`, `additions` |
 
 `slug` — kebab-case українською (`ланцюжок-запуску-abie`, `npm-publish-flow`); англійські технічні терміни лишаються англійською без транслітерації. Колізія slug-ів обробляється детермінованим суфіксом `-2`, `-3`.

package/rules/ga/fix/workflows/check.mjs

@@ -1,18 +1,18 @@
 /**
  * Перевіряє GitHub Actions за правилом ga.mdc.
  *
- * Workflows лише з розширенням `.yml`, наявність clean/lint workflow, конфіг zizmor з ref-pin,
- * відсутність MegaLinter, коректний скрипт `lint-ga` у `package.json`, виклик у `lint-ga.yml`,
+ * Workflows лише з розширенням `.yml`, наявність clean/lint workflow,
+ * відсутність MegaLinter, виклик у `lint-ga.yml`,
  * наявність composite `.github/actions/setup-bun-deps/action.yml` (його записує npx `\@nitra/cursor`),
- * `\.vscode/settings.json` — `editor.defaultFormatter` **oxc** для `[github-actions-workflow]`.
  *
  * Структурні поля 4 канонічних workflow (`clean-ga-workflows.yml`, `clean-merged-branch.yml`,
  * `lint-ga.yml`, `git-ai.yml`) і УНІВЕРСАЛЬНІ перевірки для всіх `.github/workflows/*.yml`
  * (`concurrency`, заборонені `oven-sh/setup-bun` / `actions/cache` / `bun install` у `uses`/`run`,
  * shell-продовження `\` у `run`, обов'язковий `actions/checkout@v6` перед локальним
- * `setup-bun-deps`) — у Rego-полісі під `npm/policy/ga/` і запускаються через
- * `bun run lint-ga` (`runConftestStep` у `lint-ga.mjs`). Тут лишилася лише git-залежна
- * перевірка `on.*.paths` glob-ів через `git ls-files :(glob)`.
+ * `setup-bun-deps`), а також `package.json`, `.vscode/*` і `.github/zizmor.yml` —
+ * у Rego-полісі під `npm/policy/ga/`. Тут лишилися FS/git/tooling перевірки:
+ * наявність файлів, MegaLinter leftovers, `on.*.paths` через `git ls-files :(glob)`,
+ * і локальний `shellcheck`.
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
@@ -30,8 +30,6 @@ const MEGALINTER_USE_PATTERNS = [/oxsecurity\/megalinter-action/i, /megalinter\/
 /** Типові конфіги MegaLinter у корені репо */
 const MEGALINTER_CONFIG_NAMES = ['.mega-linter.yml', '.megalinter.yaml', '.mega-linter.yaml']
 
-const N_CURSOR_LINT_GA_RE = /\bn-cursor\s+lint-ga\b/
-
 /** Обовʼязкові workflow-файли (ga.mdc). */
 const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml', 'git-ai.yml']
 
@@ -179,92 +177,6 @@ async function checkMegalinter(wfDir, ymlWorkflows, passFn, failFn) {
   if (!found) passFn('Залишків MegaLinter не виявлено')
 }
 
-/**
- * Перевіряє zizmor конфіг.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkZizmor(passFn, failFn) {
-  const zizmorPath = '.github/zizmor.yml'
-  if (!existsSync(zizmorPath)) {
-    failFn(`Відсутній ${zizmorPath} — потрібен для zizmor (ga.mdc)`)
-    return
-  }
-  const z = await readFile(zizmorPath, 'utf8')
-  passFn(`${zizmorPath} існує`)
-  if (z.includes('ref-pin')) {
-    passFn(`${zizmorPath} містить політику ref-pin (zizmor)`)
-  } else {
-    failFn(`${zizmorPath}: додай policies ref-pin для unpinned-uses (ga.mdc)`)
-  }
-}
-
-/**
- * Перевіряє `.vscode/settings.json`: oxfmt/oxc як default formatter для GitHub Actions workflow (мова
- * `github-actions-workflow` з розширення github.vscode-github-actions), узгоджено з oxc для yaml/workflow.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkVscodeSettingsForGa(passFn, failFn) {
-  const rel = '.vscode/settings.json'
-  if (!existsSync(rel)) {
-    failFn(`${rel} не існує — додай [github-actions-workflow].editor.defaultFormatter = oxc.oxc-vscode (ga.mdc)`)
-    return
-  }
-  let settings
-  try {
-    settings = JSON.parse(await readFile(rel, 'utf8'))
-  } catch {
-    failFn(`${rel}: невалідний JSON (ga.mdc)`)
-    return
-  }
-  if (!settings || typeof settings !== 'object') {
-    failFn(`${rel}: очікується об’єкт налаштувань (ga.mdc)`)
-    return
-  }
-  const block = /** @type {Record<string, unknown>} */ (settings)['[github-actions-workflow]']
-  if (!block || typeof block !== 'object' || block === null || Array.isArray(block)) {
-    failFn(`${rel}: додай "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } (ga.mdc)`)
-    return
-  }
-  const df = String(/** @type {Record<string, unknown>} */ (block)['editor.defaultFormatter'] ?? '')
-  if (df !== 'oxc.oxc-vscode') {
-    failFn(
-      `${rel}: [github-actions-workflow].editor.defaultFormatter має бути "oxc.oxc-vscode" (зараз: ${df || '∅'}) (ga.mdc)`
-    )
-    return
-  }
-  passFn(`${rel}: [github-actions-workflow] → oxc.oxc-vscode`)
-}
-
-/**
- * Перевіряє скрипт lint-ga в package.json.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkLintGaScript(passFn, failFn) {
-  if (!existsSync('package.json')) {
-    failFn('package.json не існує — потрібен lint-ga у scripts')
-    return
-  }
-  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
-  const lg = pkg.scripts?.['lint-ga']
-  if (typeof lg !== 'string') {
-    failFn('package.json: додай скрипт "lint-ga" (ga.mdc)')
-    return
-  }
-  passFn('package.json містить lint-ga')
-  // Канонічний скрипт делегує виконання CLI `n-cursor lint-ga` (bin з `@nitra/cursor`) — там preflight
-  // на shellcheck + послідовно `bunx github-actionlint` і `uvx zizmor --offline --collect=workflows .`.
-  // Виклик через bin-ім’я `n-cursor`, а не `npx --no @nitra/cursor`, бо `bun run` транслює `npx` у `bun x`,
-  // а `bun x @nitra/cursor` для скоупованого пакету з одним bin-ім’ям повертає 0 без виконання.
-  if (N_CURSOR_LINT_GA_RE.test(lg)) {
-    passFn('lint-ga делегує CLI n-cursor lint-ga (preflight shellcheck + actionlint + zizmor)')
-  } else {
-    failFn('lint-ga має бути "n-cursor lint-ga" — CLI робить preflight shellcheck перед actionlint/zizmor (ga.mdc)')
-  }
-}
-
 /**
  * Перевіряє наявність локального `shellcheck` у PATH. `actionlint` (`bunx github-actionlint`)
  * запускає shell-перевірки в кроках `run:` workflow тільки коли `shellcheck` доступний; інакше
@@ -437,19 +349,6 @@ export async function check() {
   await checkApplyWorkflow(wfDir, files, 'apply-k8s.yml', '**/k8s/**/*.yaml', pass, fail)
   await checkApplyWorkflow(wfDir, files, 'apply-nats-consumer.yml', '**/consumer.yaml', pass, fail)
 
-  if (existsSync('.vscode/extensions.json')) {
-    const ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-    if (ext.recommendations?.includes('github.vscode-github-actions')) {
-      pass('extensions.json містить github.vscode-github-actions')
-    } else {
-      fail('extensions.json не містить github.vscode-github-actions')
-    }
-  } else {
-    fail('.vscode/extensions.json не існує')
-  }
-
-  await checkVscodeSettingsForGa(pass, fail)
-
   await checkMegalinter(wfDir, ymlWorkflows, pass, fail)
 
   // git-залежна перевірка `on.push.paths` glob-ів (вимагає `git ls-files`) —
@@ -462,8 +361,6 @@ export async function check() {
     }
   }
 
-  await checkZizmor(pass, fail)
-  await checkLintGaScript(pass, fail)
   checkShellcheckInstalled(pass, fail)
 
   return reporter.getExitCode()

package/rules/ga/policy/package_json/package_json.rego

@@ -0,0 +1,24 @@
+# Перевірка кореневого `package.json` для GitHub Actions tooling (ga.mdc).
+#
+# Структурні workflow-перевірки живуть у `ga.workflow_common` і per-workflow
+# policy-пакетах. JS лишається для PATH-preflight (`shellcheck`) і git-залежної
+# перевірки `on.*.paths` через `git ls-files`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.package_json
+
+import rego.v1
+
+deny contains msg if {
+	not is_string(object.get(object.get(input, "scripts", {}), "lint-ga", null))
+	msg := "package.json: додай скрипт \"lint-ga\" (ga.mdc)"
+}
+
+deny contains msg if {
+	lint_ga := object.get(object.get(input, "scripts", {}), "lint-ga", "")
+	is_string(lint_ga)
+	not regex.match(`\bn-cursor\s+lint-ga\b`, lint_ga)
+	msg := "lint-ga має делегувати CLI `n-cursor lint-ga` (ga.mdc)"
+}

package/rules/ga/policy/package_json/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": "package.json",
+    "required": true
+  },
+  "missingMessage": "package.json не існує — потрібен lint-ga у scripts (ga.mdc)"
+}

package/rules/ga/policy/vscode_extensions/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/extensions.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/extensions.json не існує — додай github.vscode-github-actions (ga.mdc)"
+}

package/rules/ga/policy/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,16 @@
+# Перевірка `.vscode/extensions.json` для GitHub Actions (ga.mdc).
+#
+# Canonical: у `recommendations` має бути `github.vscode-github-actions`.
+# Додаткові рекомендації від інших правил дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	not "github.vscode-github-actions" in {r | some r in object.get(input, "recommendations", [])}
+	msg := ".vscode/extensions.json: recommendations має містити \"github.vscode-github-actions\" (ga.mdc)"
+}

package/rules/ga/policy/vscode_settings/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/settings.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/settings.json не існує — додай [github-actions-workflow].editor.defaultFormatter (ga.mdc)"
+}

package/rules/ga/policy/vscode_settings/vscode_settings.rego

@@ -0,0 +1,24 @@
+# Перевірка `.vscode/settings.json` для GitHub Actions workflow (ga.mdc).
+#
+# Мова `github-actions-workflow` має форматуватись через `oxc.oxc-vscode`,
+# узгоджено з oxc для YAML/workflow.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.vscode_settings
+
+import rego.v1
+
+deny contains msg if {
+	block := object.get(input, "[github-actions-workflow]", null)
+	not is_object(block)
+	msg := ".vscode/settings.json: додай \"[github-actions-workflow]\": { \"editor.defaultFormatter\": \"oxc.oxc-vscode\" } (ga.mdc)"
+}
+
+deny contains msg if {
+	block := object.get(input, "[github-actions-workflow]", null)
+	is_object(block)
+	object.get(block, "editor.defaultFormatter", null) != "oxc.oxc-vscode"
+	msg := ".vscode/settings.json: [github-actions-workflow].editor.defaultFormatter має бути \"oxc.oxc-vscode\" (ga.mdc)"
+}

package/rules/ga/policy/zizmor_yml/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".github/zizmor.yml",
+    "required": true
+  },
+  "missingMessage": ".github/zizmor.yml не існує — потрібен для zizmor (ga.mdc)"
+}

package/rules/ga/policy/zizmor_yml/zizmor_yml.rego

@@ -0,0 +1,17 @@
+# Перевірка `.github/zizmor.yml` для GitHub Actions (ga.mdc).
+#
+# JS раніше перевіряв сирий текст на `ref-pin`; у policy це робиться по
+# JSON-представленню розпарсеного YAML-документа. Коментарі не враховуються,
+# тож збіг має бути у фактичній конфігурації.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.zizmor_yml
+
+import rego.v1
+
+deny contains msg if {
+	not contains(json.marshal(input), "ref-pin")
+	msg := ".github/zizmor.yml: додай policies ref-pin для unpinned-uses (ga.mdc)"
+}