@nitra/cursor 1.13.1 → 1.13.8

package/rules/js-lint/fix/tooling/check.mjs

@@ -1,15 +1,14 @@
 /**
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
- * Канонічний `lint-js`, flat ESLint з getConfig і ignore для auto-imports, рекомендації VSCode,
+ * Flat ESLint з getConfig і ignore для auto-imports,
  * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
- * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.9.2** (з 3.8.0 правило
- * `no-restricted-syntax` для `ForInStatement` забороняє `for...in`; з 3.9.2 у `getConfig` вбудовано
- * ignore для ADR-каталогів — локально цей glob додавати не потрібно; також тягне транзитивний
- * `@e18e/eslint-plugin` для oxlint), `.jscpd.json` (gitignore, exitCode, reporters, minLines), workflow
- * `lint-js.yml` (checkout@v6, setup-bun-deps, bunx без --fix), без prettier, `engines.node` >= 24,
- * `engines.bun` >= 1.3, `"type": "module"` у кореневому і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
+ * globals, ignorePatterns. Також перевіряє workspace `package.json` на `type: "module"`
+ * і `engines`, workflow-дубль у `lint.yml`, `knip.json` autofill і застарілі `.eslintrc*`.
+ *
+ * Per-document вимоги (`lint-js`, `@nitra/eslint-config`, root `engines`, `.jscpd.json`,
+ * `.vscode/extensions.json`, `lint-js.yml`) — у policy-пакетах `js_lint.*`.
  */
 import { existsSync } from 'node:fs'
 import { copyFile, readFile } from 'node:fs/promises'
@@ -42,9 +41,6 @@ export const KNIP_CANONICAL_JSON_PATH = join(
   'knip-canonical.json'
 )
 
-/** Мінімальні рекомендації розширень редактора з js-lint.mdc (eslint, oxlint, GA). */
-export const REQUIRED_VSCODE_EXTENSIONS = ['dbaeumer.vscode-eslint', 'github.vscode-github-actions', 'oxc.oxc-vscode']
-
 const NON_DIGITS_RE = /\D+/u
 
 // Канонічний рядок `lint-js`-скрипта і мінімальна версія `@nitra/eslint-config` —
@@ -353,36 +349,6 @@ async function checkOxlintRc(passFn, failFn) {
   }
 }
 
-/**
- * Перевіряє .vscode/extensions.json на потрібні розширення.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkVscodeExtensions(passFn, failFn) {
-  if (!existsSync('.vscode/extensions.json')) {
-    failFn('.vscode/extensions.json не існує — додай recommendations з js-lint.mdc (див. check-js-lint.mjs)')
-    return
-  }
-  let ext
-  try {
-    ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-  } catch {
-    failFn('.vscode/extensions.json не є валідним JSON')
-    return
-  }
-  const rec = ext.recommendations
-  if (!Array.isArray(rec)) {
-    failFn('.vscode/extensions.json: поле recommendations має бути масивом')
-    return
-  }
-  const missing = REQUIRED_VSCODE_EXTENSIONS.filter(id => !rec.includes(id))
-  if (missing.length > 0) {
-    failFn(`.vscode/extensions.json: додай у recommendations: ${missing.join(', ')} (мінімум для js-lint.mdc)`)
-  } else {
-    passFn('.vscode/extensions.json: є рекомендації oxlint, eslint і GitHub Actions')
-  }
-}
-
 /**
  * FS-existence для `lint-js.yml` + cross-file перевірка, що `lint.yml` (якщо існує)
  * не дублює лінт JS-кроки. Структуру `lint-js.yml` (`actions/checkout@v6`,
@@ -408,47 +374,6 @@ async function checkLintJsWorkflows(passFn, failFn) {
   }
 }
 
-/**
- * Перевіряє .jscpd.json.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkJscpdConfig(passFn, failFn) {
-  if (!existsSync('.jscpd.json')) {
-    failFn('.jscpd.json не існує — створи з полями згідно check js-lint')
-    return
-  }
-  let jscpdCfg
-  try {
-    jscpdCfg = JSON.parse(await readFile('.jscpd.json', 'utf8'))
-  } catch {
-    failFn('.jscpd.json не є валідним JSON')
-    return
-  }
-  passFn('.jscpd.json існує')
-  if (jscpdCfg.gitignore === true) {
-    passFn('.jscpd.json: gitignore увімкнено')
-  } else {
-    failFn('.jscpd.json має містити "gitignore": true')
-  }
-  if (jscpdCfg.exitCode === 1) {
-    passFn('.jscpd.json: exitCode 1 при дублікатах')
-  } else {
-    failFn('.jscpd.json має містити "exitCode": 1 (інакше CI не впаде на клонах)')
-  }
-  if (Array.isArray(jscpdCfg.reporters) && jscpdCfg.reporters.includes('console')) {
-    passFn('.jscpd.json: reporters містить console')
-  } else {
-    failFn('.jscpd.json має містити "reporters": ["console"] (або масив із "console")')
-  }
-  const minLines = jscpdCfg.minLines
-  if (typeof minLines === 'number' && minLines >= 25) {
-    passFn(`.jscpd.json: minLines ${minLines} (>=25)`)
-  } else {
-    failFn('.jscpd.json має містити "minLines" як число >= 25')
-  }
-}
-
 /**
  * Перевіряє наявність `knip.json` у корені проєкту. Якщо файл відсутній —
  * копіює канонічний `knip-canonical.json` з пакета `@nitra/cursor` як стартовий
@@ -485,9 +410,7 @@ export async function check() {
   await checkEslintConfig(pass, fail)
   await checkPackageJsonJsLint(pass, fail)
   await checkOxlintRc(pass, fail)
-  await checkVscodeExtensions(pass, fail)
   await checkLintJsWorkflows(pass, fail)
-  await checkJscpdConfig(pass, fail)
   await checkKnipConfig(pass, fail)
 
   for (const dup of ['.eslintrc', '.eslintrc.js', '.eslintrc.json', '.eslintrc.yml']) {

package/rules/js-lint/policy/jscpd/jscpd.rego

@@ -0,0 +1,38 @@
+# Перевірка `.jscpd.json` для js-lint (js-lint.mdc).
+#
+# JS-частина лишається для FS/cross-file: наявність workflow, flat ESLint config,
+# `.oxlintrc.json` проти embedded canonical snapshot, `knip.json` autofill.
+# Цей пакет покриває лише структуру одного JSON-документа.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.jscpd
+
+import rego.v1
+
+deny contains msg if {
+	input.gitignore != true
+	msg := ".jscpd.json має містити \"gitignore\": true (js-lint.mdc)"
+}
+
+deny contains msg if {
+	input.exitCode != 1
+	msg := ".jscpd.json має містити \"exitCode\": 1 (інакше CI не впаде на клонах) (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not "console" in {r | some r in object.get(input, "reporters", [])}
+	msg := ".jscpd.json має містити \"reporters\": [\"console\"] або масив із \"console\" (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not is_number(object.get(input, "minLines", null))
+	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
+}
+
+deny contains msg if {
+	is_number(input.minLines)
+	input.minLines < 25
+	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
+}

package/rules/js-lint/policy/jscpd/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".jscpd.json",
+    "required": true
+  },
+  "missingMessage": ".jscpd.json не існує — створи з полями згідно js-lint.mdc"
+}

package/rules/js-lint/policy/vscode_extensions/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/extensions.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/extensions.json не існує — додай recommendations з js-lint.mdc"
+}

package/rules/js-lint/policy/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,25 @@
+# Перевірка `.vscode/extensions.json` для js-lint (js-lint.mdc).
+#
+# Canonical: у `recommendations` мають бути ESLint, GitHub Actions і Oxlint.
+# Канон задає мінімум — додаткові рекомендації від інших правил дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.vscode_extensions
+
+import rego.v1
+
+required_extensions := {
+	"dbaeumer.vscode-eslint",
+	"github.vscode-github-actions",
+	"oxc.oxc-vscode",
+}
+
+recommendations_set := {r | some r in object.get(input, "recommendations", [])}
+
+deny contains msg if {
+	some required in required_extensions
+	not required in recommendations_set
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (js-lint.mdc)", [required])
+}

package/rules/security/fix/gitleaks/check.mjs

@@ -1,62 +1,25 @@
 /**
- * FS-частина правила `security` (security.mdc).
+ * FS-частина правила `security`.
  *
- * **Що тут лишилося** (FS / cross-file):
- *  - наявність `package.json` у корені (структуру валідує Rego);
- *  - наявність `.gitleaks.toml` у корені — нагадування створити з канону `security.mdc`;
- *  - `.gitleaks.toml` має `useDefault = true` у блоці `[extend]` (інакше дефолтні правила
- *    gitleaks перетираються і скан стає сліпим до 95% типових витоків).
+ * Перевіряє:
+ *  - наявність `package.json` (структуру валідує Rego);
+ *  - контекстне pass-повідомлення для JS-концерну.
  *
- * **Що покрила Rego** (`npx \@nitra/cursor check`, `npm/policy/security/package_json/`):
- *  - `scripts.lint-security` існує і викликає `gitleaks` з `detect`/`git` subcommand;
- *  - агрегований `scripts.lint` (якщо є) містить `bun run lint-security`;
- *  - `gitleaks` НЕ у `dependencies` / `devDependencies` (бо це глобальний CLI).
+ * Наявність і вміст `.gitleaks.toml` (`[extend].useDefault = true`) тепер
+ * перевіряє policy `security.gitleaks`.
  */
 import { existsSync } from 'node:fs'
-import { readFile } from 'node:fs/promises'
 
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 
-const GITLEAKS_CONFIG = '.gitleaks.toml'
-
-/**
- * Перевіряє наявність `.gitleaks.toml` у корені та канонічну вимогу `useDefault = true`
- * у блоці `[extend]`. Користувач сам наповнює `[allowlist]` локальними патернами.
- * @param {(msg: string) => void} pass callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @returns {Promise<void>}
- */
-async function checkGitleaksConfig(pass, fail) {
-  if (!existsSync(GITLEAKS_CONFIG)) {
-    fail(`${GITLEAKS_CONFIG} не знайдено в корені — створи за каноном security.mdc (useDefault = true + [allowlist])`)
-    return
-  }
-  const raw = await readFile(GITLEAKS_CONFIG, 'utf8')
-  if (!/useDefault\s*=\s*true/u.test(raw)) {
-    fail(
-      `${GITLEAKS_CONFIG}: відсутнє \`useDefault = true\` у блоці [extend] — без нього вбудовані ` +
-        'gitleaks-правила перетираються і скан стає сліпим (security.mdc)'
-    )
-    return
-  }
-  pass(`${GITLEAKS_CONFIG} існує і успадковує дефолтні gitleaks-правила (useDefault = true)`)
-}
-
-/**
- * Запускає всі FS-перевірки правила security.
- * @returns {Promise<number>} 0 — все OK, 1 — є зауваження
- */
 export async function check() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter
-
   if (!existsSync('package.json')) {
     fail('package.json не знайдено в корені — додай (security.mdc)')
     return reporter.getExitCode()
   }
-  pass('package.json є (структуру перевіряє npx @nitra/cursor check → security.package_json)')
-
-  await checkGitleaksConfig(pass, fail)
-
+  pass('package.json є (структуру перевіряє Rego)')
+  pass('.gitleaks.toml перевіряє npx @nitra/cursor check → security.gitleaks')
   return reporter.getExitCode()
 }

package/rules/security/fix/gitleaks/template/.gitleaks.toml.snippet.toml

@@ -0,0 +1,12 @@
+[extend]
+useDefault = true
+
+[allowlist]
+paths = [
+  '''(^|/)node_modules(/|$)''',
+  '''(^|/)\.git(/|$)''',
+  '''(^|/)dist(/|$)''',
+  '''(^|/)build(/|$)''',
+  '''.*\.lock$''',
+  '''.*fixtures?/.*'''
+]

package/rules/security/policy/gitleaks/gitleaks.rego

@@ -0,0 +1,17 @@
+# Перевірка `.gitleaks.toml` для security (security.mdc).
+#
+# Канонічна мінімальна вимога: `[extend].useDefault = true`, щоб локальний
+# конфіг не вимикав стандартні правила gitleaks. Додаткові локальні правила
+# дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package security.gitleaks
+
+import rego.v1
+
+deny contains msg if {
+	object.get(object.get(input, "extend", {}), "useDefault", null) != true
+	msg := ".gitleaks.toml: [extend].useDefault має бути true (security.mdc)"
+}

package/rules/security/policy/gitleaks/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".gitleaks.toml",
+    "required": true
+  },
+  "missingMessage": ".gitleaks.toml не знайдено — створи за каноном security.mdc"
+}

package/rules/security/policy/package_json/package_json.rego

@@ -1,75 +1,38 @@
 # Перевірка `package.json` для правила security (security.mdc).
-#
-# Запуск (локально):
-#   conftest test package.json -p npm/policy/security \
-#     --namespace security.package_json
-#
-# Перевіряє: наявність `scripts.lint-security`, виклик `gitleaks detect`,
-# входження `bun run lint-security` у агрегований `scripts.lint` (якщо `lint` є),
-# та заборону `gitleaks` у dependencies/devDependencies (інструмент глобальний).
-#
-# FS-перевірки (наявність `.gitleaks.toml`, `useDefault = true`) — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ..., "deny": ..., "contains": ... } }
+# Структура --data сформована з template/<target>.{snippet,deny,contains}.json концерну.
 package security.package_json
 
 import rego.v1
 
-gitleaks_pkg := "gitleaks"
-
-dep_template := concat(" ", [
-	"package.json: %q не повинен бути в %s —",
-	"gitleaks встановлюється глобально (security.mdc)",
-])
-
-# ── deny: scripts.lint-security ──────────────────────────────────────────
-
+# ── deny: кожен snippet leaf має співпадати з input ──────────────────────────
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-security" in object.keys(scripts)
-	msg := "package.json: відсутній scripts.lint-security — додай `gitleaks detect --no-banner` (security.mdc)"
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	actual != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (security.mdc)", [script_name, expected])
 }
 
+# ── deny: жодного ключа з deny у dependencies/devDependencies ────────────────
 deny contains msg if {
-	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
-	lint_security != ""
-	not contains(lint_security, "gitleaks")
-	msg := "package.json: lint-security має викликати `gitleaks` (security.mdc)"
+	some pkg, reason in data.template.deny.dependencies
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("package.json: dependencies.%s — %s (security.mdc)", [pkg, reason])
 }
 
 deny contains msg if {
-	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
-	contains(lint_security, "gitleaks")
-	not has_detect_or_git_subcommand(lint_security)
-	msg := "package.json: lint-security має містити `detect` або `git` як gitleaks-subcommand (security.mdc)"
+	some pkg, reason in data.template.deny.devDependencies
+	pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf("package.json: devDependencies.%s — %s (security.mdc)", [pkg, reason])
 }
 
-# ── deny: агрегований `lint` має кликати `bun run lint-security` ─────────
-
+# ── deny: рядкові поля з contains мають містити кожен substring ──────────────
+# Перевіряємо лише наявні поля (якщо `scripts.<name>` відсутній — поле опціональне).
 deny contains msg if {
-	"lint-security" in object.keys(object.get(input, "scripts", {}))
-	lint := object.get(object.get(input, "scripts", {}), "lint", "")
-	lint != ""
-	not contains(lint, "bun run lint-security")
-	msg := "package.json: агрегований `lint` має містити `bun run lint-security` (security.mdc)"
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	actual != ""
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (security.mdc)", [script_name, needle])
 }
-
-# ── deny: `gitleaks` НЕ в dependencies/devDependencies ───────────────────
-
-deny contains msg if {
-	gitleaks_pkg in object.keys(object.get(input, "dependencies", {}))
-	msg := sprintf(dep_template, [gitleaks_pkg, "dependencies"])
-}
-
-deny contains msg if {
-	gitleaks_pkg in object.keys(object.get(input, "devDependencies", {}))
-	msg := sprintf(dep_template, [gitleaks_pkg, "devDependencies"])
-}
-
-# ── helpers ──────────────────────────────────────────────────────────────
-
-# Чи містить рядок subcommand `detect` або `git` (як слово, не як підрядок випадкового шляху).
-# `gitleaks detect ...`, `gitleaks git --no-banner`, `gitleaks detect --source=.` — усі OK.
-has_detect_or_git_subcommand(s) if regex.match(`\bgitleaks\s+(detect|git)\b`, s)

package/rules/security/policy/package_json/template/package.json.contains.json

@@ -0,0 +1 @@
+{ "scripts": { "lint": ["bun run lint-security"] } }

package/rules/security/policy/package_json/template/package.json.deny.json

@@ -0,0 +1,4 @@
+{
+  "dependencies": { "gitleaks": "глобальний CLI — не додавай у dependencies" },
+  "devDependencies": { "gitleaks": "глобальний CLI — не додавай у devDependencies" }
+}

package/rules/security/policy/package_json/template/package.json.snippet.json

@@ -0,0 +1 @@
+{ "scripts": { "lint-security": "gitleaks detect --no-banner" } }

package/rules/security/security.mdc

@@ -9,14 +9,11 @@ version: '1.1'
 
 ## Канон `package.json#scripts`
 
-```json title="package.json"
-{
-  "scripts": {
-    "lint-security": "gitleaks detect --no-banner",
-    "lint": "bun run lint-rego && bun run lint-js && bun run lint-text && bun run lint-security && oxfmt ."
-  }
-}
-```
+- `lint-security` скрипт: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+- `lint` агрегатор повинен містити: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
+- Заборонено `gitleaks` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+
+**Зауваження:**
 
 - `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
 - `--no-banner` — прибирає ASCII-арт (CI-friendly).
@@ -24,25 +21,9 @@ version: '1.1'
 
 ## `.gitleaks.toml` (рекомендована основа)
 
-```toml title=".gitleaks.toml"
-title = "Project gitleaks config"
-
-[extend]
-useDefault = true
-
-[allowlist]
-description = "Файли й шляхи, які навмисно містять test-фікстури з паттернами секретів."
-paths = [
-  '''(^|/)node_modules(/|$)''',
-  '''(^|/)\.git(/|$)''',
-  '''(^|/)dist(/|$)''',
-  '''(^|/)build(/|$)''',
-  '''.*\.lock$''',
-  '''.*fixtures?/.*'''
-]
-```
+Канон (допускає розширення в `[allowlist].paths`): [.gitleaks.toml.snippet.toml](./fix/gitleaks/template/.gitleaks.toml.snippet.toml)
 
-`useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+**Важливо:** `useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
 
 ## GitHub Actions (опційно)
 

package/rules/vue/fix/packages/check.mjs

@@ -1,8 +1,12 @@
 /**
  * Знаходить пакети з `vue` у dependencies і перевіряє їх за правилом vue.mdc.
  *
- * Версії Vite та плагінів, vue-macros, auto-import, layouts, вміст `vite.config`;
- * у репозиторії — рекомендацію розширення Vue.volar.
+ * Вміст `vite.config`, editor-файли для Vite client types, у репозиторії —
+ * рекомендацію розширення Vue.volar.
+ *
+ * Залежності Vue/Vite (`vite >= 8`, `@vitejs/plugin-vue`, `vue-macros`,
+ * `unplugin-auto-import`, `vite-plugin-vue-layouts-next`, заборона `esbuild`) —
+ * у policy `vue.package_json`.
  *
  * У кожному Vue+Vite-пакеті очікується `src/vite-env.d.ts` з `/// <reference types="vite/client" />`
  * та `jsconfig.json` у корені пакета (типи для імпортів асетів у `.vue`).
@@ -183,30 +187,6 @@ function ukFilesCountPhrase(n) {
   return `${n} файлів`
 }
 
-/**
- * Перевіряє наявність залежності в об'єкті deps.
- * @param {Record<string,string>} deps об'єкт залежностей
- * @param {string} name ім'я пакета
- * @param {string} prefix префікс повідомлення
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @param {string} hint підказка при відсутності
- */
-function checkRequiredDep(deps, name, prefix, passFn, fail, hint = `${name} відсутній`) {
-  if (deps[name]) {
-    passFn(`${prefix}${name}: ${deps[name]}`)
-  } else {
-    fail(`${prefix}${hint}`)
-  }
-}
-
-/**
- * Перевіряє версію vite у devDependencies.
- * @param {Record<string,string>} devDeps devDependencies з package.json
- * @param {string} prefix параметр prefix
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- */
 /**
  * Перевіряє `src/vite-env.d.ts` і наявність `jsconfig.json` для підтягування типів асетів Vite у IDE.
  * @param {string} rootDir відносний шлях до кореня пакета
@@ -433,44 +413,7 @@ async function checkVueImportViolations(rootDir, absPackageRoot, ignorePaths, ha
  */
 async function checkVuePackage(rootDir, ignorePaths, fail, passFn) {
   const prefix = `[${packageLabel(rootDir)}] `
-  const pkg = JSON.parse(await readFile(join(rootDir, 'package.json'), 'utf8'))
-  const deps = pkg.dependencies || {}
-  const devDeps = pkg.devDependencies || {}
-  const allDeps = { ...deps, ...devDeps }
-
-  if (allDeps.esbuild) {
-    fail(`${prefix}esbuild заборонено (знайдено: ${allDeps.esbuild}). Замінити на rolldown та прибрати esbuild.`)
-  }
-
-  checkRequiredDep(deps, 'vue', prefix, passFn, fail, 'vue відсутній в dependencies')
-  // `vite >= 8` перенесено в Rego (`npm/policy/vue/package_json/`); запуск
-  // через `npx @nitra/cursor check`. Залишені вимоги — present-/missing-deps
-  // (vue-macros, unplugin-auto-import, тощо) — у самому JS-чекері.
-  checkRequiredDep(
-    devDeps,
-    '@vitejs/plugin-vue',
-    prefix,
-    passFn,
-    fail,
-    '@vitejs/plugin-vue відсутній в devDependencies'
-  )
-  checkRequiredDep(allDeps, 'vue-macros', prefix, passFn, fail, 'vue-macros відсутній — bun add -d vue-macros')
-  checkRequiredDep(
-    allDeps,
-    'unplugin-auto-import',
-    prefix,
-    passFn,
-    fail,
-    'unplugin-auto-import відсутній — bun add -d unplugin-auto-import'
-  )
-  checkRequiredDep(
-    allDeps,
-    'vite-plugin-vue-layouts-next',
-    prefix,
-    passFn,
-    fail,
-    'vite-plugin-vue-layouts-next відсутній — bun add -d vite-plugin-vue-layouts-next'
-  )
+  passFn(`${prefix}package.json залежності перевіряє npx @nitra/cursor check → vue.package_json`)
 
   await checkViteClientEnvAndEditorConfig(rootDir, prefix, passFn, fail)
 

package/rules/vue/policy/package_json/package_json.rego

@@ -5,8 +5,9 @@
 #   conftest test path/to/package.json -p npm/policy/vue \
 #     --namespace vue.package_json
 #
-# Перевіряє: якщо в `dependencies` є `vue`, то у `devDependencies.vite` має бути
-# мажорна версія ≥ 8.
+# Перевіряє: якщо в `dependencies` є `vue`, то потрібні канонічні Vue/Vite
+# залежності, `devDependencies.vite` має бути мажорної версії ≥ 8, а `esbuild`
+# у dependencies/devDependencies заборонений (міграція на rolldown).
 #
 # AST-сканування коду (заборона явних value-імпортів `from 'vue'`, заборона
 # Node-нативних модулів у `.vue` SFC, перевірка `vite.config` на
@@ -34,12 +35,54 @@ deny contains msg if {
 	msg := sprintf("Vue-пакет: vite має бути >= 8 (зараз %q) (vue.mdc)", [vite_range])
 }
 
+deny contains msg if {
+	uses_vue
+	not "@vitejs/plugin-vue" in dev_dependency_names
+	msg := "Vue-пакет: @vitejs/plugin-vue відсутній у devDependencies (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	not "vue-macros" in all_dependency_names
+	msg := "Vue-пакет: vue-macros відсутній (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	not "unplugin-auto-import" in all_dependency_names
+	msg := "Vue-пакет: unplugin-auto-import відсутній (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	not "vite-plugin-vue-layouts-next" in all_dependency_names
+	msg := "Vue-пакет: vite-plugin-vue-layouts-next відсутній (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	"esbuild" in all_dependency_names
+	msg := "Vue-пакет: esbuild заборонено — заміни на rolldown і прибери залежність (vue.mdc)"
+}
+
 # ── helpers ────────────────────────────────────────────────────────────────
 
 uses_vue if {
 	"vue" in object.keys(object.get(input, "dependencies", {}))
 }
 
+dependency_names := {n | some n in object.keys(object.get(input, "dependencies", {}))}
+
+dev_dependency_names := {n | some n in object.keys(object.get(input, "devDependencies", {}))}
+
+all_dependency_names contains n if {
+	some n in dependency_names
+}
+
+all_dependency_names contains n if {
+	some n in dev_dependency_names
+}
+
 vite_in_dev_dependencies if {
 	"vite" in object.keys(object.get(input, "devDependencies", {}))
 }