@nitra/cursor 1.13.11 → 1.13.12

package/CHANGELOG.md

@@ -4,6 +4,23 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.12] - 2026-05-17
+
+### Added
+
+- `ga` rule template/ міграція доповнена (Phase 3.5 — 4 full-canon workflow концерни, пропущені в 1.13.9): `clean_ga_workflows`, `clean_merged_branch`, `lint_ga`, `git_ai`. Кожен має повний YAML канон у `template/<workflow>.yml.snippet.yml`, rego читає expected-значення з `data.template.snippet.<path>` (path лишається у rego, literals — у template). Для кожного — `*_test.rego` із canonical/wrong/drift тестами.
+- Wiring у `ga/fix/workflows/check.mjs`: `runAllGaRego` тепер `await loadTemplate(concernDir)` і передає `templateData` у `runConftestBatch` для кожного workflow концерну.
+
+### Changed
+
+- `ga.mdc` — 4 inline YAML-блоки повних workflow канонів замінено на markdown-посилання до `template/<workflow>.yml.snippet.yml`. Файл скоротився суттєво — канон тепер живе як data, а не як прозовий приклад.
+- `template/clean-merged-branch.yml.snippet.yml`: `dry_run: false` (явний bool) замість `dry_run: no` — `yaml` npm (YAML 1.2) лишає `no` рядком, а Go-yaml у conftest нормалізує до `false`; пишемо канонізовану форму під runtime conftest-парсингу.
+- `docs/adr/template-dir-concern-inventory.md` — додано 4 нові full-canon ga.* концерни з ✓; оновлено summary (89 концернів, 43 з template — мігровано 13/43 = 30%).
+
+### TODO
+
+- `ga.workflow_common` — cross-workflow forbidden-patterns (concurrency, depcheck deny, shell line-continuation). Не fully full-canon — окремий випадок, мігрується пізніше.
+
 ## [1.13.11] - 2026-05-17
 
 ### Added

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.11",
+  "version": "1.13.12",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/ga/fix/workflows/check.mjs

@@ -17,12 +17,17 @@
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
 import { execFileSync } from 'node:child_process'
-import { join } from 'node:path'
+import { basename, dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
 
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { eventPathsIncludeExact, parseWorkflowYaml } from '../../../../scripts/utils/gha-workflow.mjs'
 import { resolveCmd } from '../../../../scripts/utils/resolve-cmd.mjs'
 import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
+import { loadTemplate } from '../../../../scripts/utils/template.mjs'
+
+const HERE = dirname(fileURLToPath(import.meta.url))
+const GA_POLICY_DIR = join(HERE, '..', '..', 'policy')
 
 /** Шаблони наявності MegaLinter у вмісті workflow */
 const MEGALINTER_USE_PATTERNS = [/oxsecurity\/megalinter-action/i, /megalinter\/megalinter/i]
@@ -278,13 +283,17 @@ const GA_PER_WORKFLOW_REGO_TARGETS = [
  * @param {(msg: string) => void} fail callback при помилці
  * @returns {void}
  */
-function runAllGaRego(wfDir, ymlWorkflows, pass, fail) {
+async function runAllGaRego(wfDir, ymlWorkflows, pass, fail) {
   for (const target of GA_PER_WORKFLOW_REGO_TARGETS) {
     if (!existsSync(target.workflow)) continue
+    const concernDir = join(GA_POLICY_DIR, target.policyDirRel.split('/')[1])
+    const tpl = await loadTemplate(concernDir)
+    const templateData = tpl[basename(target.workflow)]
     const violations = runConftestBatch({
       policyDirRel: target.policyDirRel,
       namespace: target.namespace,
-      files: [target.workflow]
+      files: [target.workflow],
+      templateData
     })
     for (const v of violations) fail(`${target.workflow}: ${v.message}`)
     if (violations.length === 0) {

package/rules/ga/ga.mdc

@@ -17,152 +17,23 @@ concurrency:
 
 Без винятків — у scheduled cleanup-воркфлоу, у `pull_request: types: [closed]`, у publish-воркфлоу теж. Це уникає паралельних запусків того самого workflow на тій самій ref і скасовує попередні в чергу нових.
 
-Повинен бути файл .github/workflows/clean-ga-workflows.yml, зі змістом:
+Повинен бути файл `.github/workflows/clean-ga-workflows.yml`:
 
-```yaml
-name: Clean action for removing completed workflow runs
-
-on:
-  schedule:
-    - cron: '0 1 16 * *'
-
-  # Allow workflow to be manually run from the GitHub UI
-  workflow_dispatch: {}
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  cleanup_old_workflows:
-    runs-on: ubuntu-latest
-    permissions:
-      actions: write
-      contents: read
-    steps:
-      - name: Delete workflow runs
-        uses: dmvict/clean-workflow-runs@v1
-        with:
-          token: ${{ github.token }}
-          save_period: 31
-          save_min_runs_number: 0
-
-```
+- Канон: [clean-ga-workflows.yml.snippet.yml](./policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml)
 
-Повинен бути файл .github/workflows/clean-merged-branch.yml, зі змістом:
+Повинен бути файл `.github/workflows/clean-merged-branch.yml`:
 
-```yaml
-name: Clean abandoned branches
-
-on:
-  # Run daily at midnight
-  schedule:
-    - cron: '0 1 15 * *'
-
-  # Allow workflow to be manually run from the GitHub UI
-  workflow_dispatch: {}
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  cleanup_old_branches:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: write
-    steps:
-      - id: delete_stuff
-        name: Delete those pesky dead branches
-        uses: phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3
-        with:
-          github_token: ${{ github.token }}
-          last_commit_age_days: 90
-          ignore_branches: main,dev
-          dry_run: no
-
-      - name: Get output
-        env:
-          DELETED_BRANCHES: ${{ steps.delete_stuff.outputs.deleted_branches }}
-        run: |
-          echo "Deleted branches: ${DELETED_BRANCHES}"
-```
+- Канон: [clean-merged-branch.yml.snippet.yml](./policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml)
 
 Інші гілки в `ignore_branches` — допустимо.
-Повинен бути файл .github/workflows/lint-ga.yml, зі змістом:
 
-```yaml
-name: Lint GA
-
-on:
-  push:
-    branches:
-      - dev
-      - main
-    paths:
-      - '.github/actions/**'
-      - '.github/workflows/**'
-  pull_request:
-    branches:
-      - dev
-      - main
+Повинен бути файл `.github/workflows/lint-ga.yml`:
 
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  lint-ga:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-
-      - uses: ./.github/actions/setup-bun-deps
-
-      - uses: astral-sh/setup-uv@v8.0.0
+- Канон: [lint-ga.yml.snippet.yml](./policy/lint_ga/template/lint-ga.yml.snippet.yml)
 
-      - name: Lint GA
-        run: bun run lint-ga
-```
+Повинен бути файл `.github/workflows/git-ai.yml`:
 
-Повинен бути файл .github/workflows/git-ai.yml, зі змістом:
-
-```yaml
-name: Git AI
-
-on:
-  pull_request:
-    types: [closed]
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  git-ai:
-    if: github.event.pull_request.merged == true
-    runs-on: ubuntu-latest
-    permissions:
-      contents: write
-
-    steps:
-      - name: Install git-ai
-        run: |
-          curl -fsSL https://usegitai.com/install.sh | bash
-          echo "$HOME/.git-ai/bin" >> $GITHUB_PATH
-      - name: Run git-ai
-        id: run-git-ai
-        env:
-          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
-        run: |
-          git config --global user.name "github-actions[bot]"
-          git config --global user.email "github-actions[bot]@users.noreply.github.com"
-          git-ai ci github run
-```
+- Канон: [git-ai.yml.snippet.yml](./policy/git_ai/template/git-ai.yml.snippet.yml)
 
 **Локальний composite** (`uses: ./.github/actions/setup-bun-deps` або `./npm/github-actions/setup-bun-deps`): **спочатку** обов’язковий крок **`actions/checkout@v6`** (`persist-credentials: false`), інакше runner не знайде `action.yml`. Сам composite: **`actions/setup-node@v6`** (**Node 24**), **Bun**, **`actions/cache@v5`**, **`bun install --frozen-lockfile`**.
 

package/rules/ga/policy/clean_ga_workflows/clean_ga_workflows.rego

@@ -1,42 +1,33 @@
-# Порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/clean-ga-workflows.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/clean-ga-workflows.yml \
-#     -p npm/policy/ga --namespace ga.clean_ga_workflows
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
-#
-# Усі `deny`-правила йдуть контигно (regal: messy-rule); helpers і константи —
-# секціями вище та нижче.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/clean-ga-workflows.yml.snippet.yml
+# (повний YAML канон). Path-and-value перевірки — у цьому rego (per-concern
+# field-by-field з .data.template.snippet.<path>); жодних inline literals.
 package ga.clean_ga_workflows
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-#
-# `${{ … }}` — шаблонний синтаксис GitHub Actions; `{{` у Rego починає string
-# interpolation. Збираємо очікувані рядки з фрагментів через `concat`, як це
-# зроблено в check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
+# ── Аліаси на input ────────────────────────────────────────────────────────
+# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, у conftest серіалізується
+# як рядковий ключ "true". Template (через --data JSON) має ключ "on".
 
-expected_github_token := concat("", ["$", "{{ github.token }}"])
+gha_on := input["true"]
 
-expected_name := "Clean action for removing completed workflow runs"
+step0 := input.jobs.cleanup_old_workflows.steps[0]
 
-expected_cron := "0 1 16 * *"
+# Експектації з template.
+expected_name := data.template.snippet.name
 
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, конфтест серіалізує його
-# як рядковий ключ "true". Ані `input.on`, ані `input["on"]`, ані `input[true]`
-# не працюють — лише `input["true"]`.
+expected_cron := data.template.snippet.on.schedule[0].cron
 
-gha_on := input["true"]
+expected_step0 := data.template.snippet.jobs.cleanup_old_workflows.steps[0]
 
-step0 := input.jobs.cleanup_old_workflows.steps[0]
+expected_perms := data.template.snippet.jobs.cleanup_old_workflows.permissions
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_runs_on := data.template.snippet.jobs.cleanup_old_workflows["runs-on"]
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -49,7 +40,7 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not has_workflow_dispatch
+	not is_object(object.get(gha_on, "workflow_dispatch", null))
 	msg := "clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
@@ -60,32 +51,34 @@ deny contains msg if {
 
 deny contains msg if {
 	job := input.jobs.cleanup_old_workflows
-	job["runs-on"] != "ubuntu-latest"
-	msg := "clean-ga-workflows.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+	job["runs-on"] != expected_runs_on
+	msg := sprintf("clean-ga-workflows.yml: runs-on має бути %s (ga.mdc)", [expected_runs_on])
 }
 
 deny contains msg if {
 	perms := input.jobs.cleanup_old_workflows.permissions
-	not actions_write_contents_read(perms)
+	not perms_match(perms, expected_perms)
 	msg := "clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)"
 }
 
 deny contains msg if {
-	step0.name != "Delete workflow runs"
-	msg := "clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)"
+	step0.name != expected_step0.name
+	msg := sprintf("clean-ga-workflows.yml: перший крок має мати name: %s (ga.mdc)", [expected_step0.name])
 }
 
 deny contains msg if {
-	step0.uses != "dmvict/clean-workflow-runs@v1"
-	msg := "clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)"
+	step0.uses != expected_step0.uses
+	msg := sprintf("clean-ga-workflows.yml: перший крок має uses: %s (ga.mdc)", [expected_step0.uses])
 }
 
-# Триплет полів `with`: token (gh-токен), save_period=31, save_min_runs_number=0.
-# В JS-перевірці помилка спільна для всіх трьох — лишаємо такий самий формат, щоб
-# повідомлення збігалися.
 deny contains msg if {
 	not step0_with_canonical
-	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc"
+	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у template (ga.mdc)"
+}
+
+deny contains msg if {
+	step0.with.save_period != expected_step0.with.save_period
+	msg := sprintf("clean-ga-workflows.yml: with.save_period має бути %d (ga.mdc)", [expected_step0.with.save_period])
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
@@ -94,17 +87,13 @@ has_expected_cron if {
 	gha_on.schedule[_].cron == expected_cron
 }
 
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-
-actions_write_contents_read(perms) if {
-	perms.actions == "write"
-	perms.contents == "read"
+perms_match(actual, expected) if {
+	actual.actions == expected.actions
+	actual.contents == expected.contents
 }
 
 step0_with_canonical if {
-	step0.with.token == expected_github_token
-	step0.with.save_period == 31
-	step0.with.save_min_runs_number == 0
+	step0.with.token == expected_step0.with.token
+	step0.with.save_period == expected_step0.with.save_period
+	step0.with.save_min_runs_number == expected_step0.with.save_min_runs_number
 }

package/rules/ga/policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml

@@ -0,0 +1,26 @@
+name: Clean action for removing completed workflow runs
+
+on:
+  schedule:
+    - cron: '0 1 16 * *'
+
+  # Allow workflow to be manually run from the GitHub UI
+  workflow_dispatch: {}
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  cleanup_old_workflows:
+    runs-on: ubuntu-latest
+    permissions:
+      actions: write
+      contents: read
+    steps:
+      - name: Delete workflow runs
+        uses: dmvict/clean-workflow-runs@v1
+        with:
+          token: ${{ github.token }}
+          save_period: 31
+          save_min_runs_number: 0

package/rules/ga/policy/clean_merged_branch/clean_merged_branch.rego

@@ -1,44 +1,32 @@
-# Порт перевірки `validateCleanMergedBranch` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/clean-merged-branch.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/clean-merged-branch.yml \
-#     -p npm/policy/ga --namespace ga.clean_merged_branch
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/clean-merged-branch.yml.snippet.yml.
 package ga.clean_merged_branch
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-#
-# Шаблонні токени GitHub Actions (`${{ … }}`) збираємо з фрагментів через
-# `concat`, бо `{{` у Rego починає string interpolation.
-
-expected_github_token := concat("", ["$", "{{ github.token }}"])
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
-expected_deleted_branches_expr := concat("", ["$", "{{ steps.delete_stuff.outputs.deleted_branches }}"])
+gha_on := input["true"]
 
-expected_echo_substring := concat("", ["echo \"Deleted branches: $", "{DELETED_BRANCHES}\""])
+steps := input.jobs.cleanup_old_branches.steps
 
-expected_name := "Clean abandoned branches"
+step0 := steps[0]
 
-expected_cron := "0 1 15 * *"
+step1 := steps[1]
 
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+expected_name := data.template.snippet.name
 
-gha_on := input["true"]
+expected_cron := data.template.snippet.on.schedule[0].cron
 
-steps := input.jobs.cleanup_old_branches.steps
+expected_step0 := data.template.snippet.jobs.cleanup_old_branches.steps[0]
 
-step0 := steps[0]
+expected_step1 := data.template.snippet.jobs.cleanup_old_branches.steps[1]
 
-step1 := steps[1]
+expected_perms := data.template.snippet.jobs.cleanup_old_branches.permissions
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -51,7 +39,7 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not has_workflow_dispatch
+	not is_object(object.get(gha_on, "workflow_dispatch", null))
 	msg := "clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
@@ -61,65 +49,73 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	input.jobs.cleanup_old_branches.permissions.contents != "write"
-	msg := "clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)"
+	input.jobs.cleanup_old_branches.permissions.contents != expected_perms.contents
+	msg := sprintf("clean-merged-branch.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
 	count(steps) < 2
-	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc"
+	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у template (ga.mdc)"
 }
 
 # ── Step 0 (delete_stuff) ──────────────────────────────────────────────────
 
 deny contains msg if {
-	step0.id != "delete_stuff"
-	msg := "clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)"
+	step0.id != expected_step0.id
+	msg := sprintf("clean-merged-branch.yml: перший крок має id: %s (ga.mdc)", [expected_step0.id])
 }
 
 deny contains msg if {
-	step0.uses != "phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3"
-	msg := "clean-merged-branch.yml: перший крок має uses як у ga.mdc"
+	step0.uses != expected_step0.uses
+	msg := sprintf("clean-merged-branch.yml: перший крок має uses: %s (ga.mdc)", [expected_step0.uses])
 }
 
 deny contains msg if {
-	step0.with.github_token != expected_github_token
-	msg := sprintf("clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)", [expected_github_token])
+	step0.with.github_token != expected_step0.with.github_token
+	msg := sprintf(
+		"clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)",
+		[expected_step0.with.github_token],
+	)
 }
 
 deny contains msg if {
-	step0.with.last_commit_age_days != 90
-	msg := "clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)"
+	step0.with.last_commit_age_days != expected_step0.with.last_commit_age_days
+	msg := sprintf(
+		"clean-merged-branch.yml: with.last_commit_age_days має бути %d (ga.mdc)",
+		[expected_step0.with.last_commit_age_days],
+	)
 }
 
 deny contains msg if {
-	not ignore_branches_has_main_and_dev
-	msg := "clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)"
+	not ignore_branches_subset
+	msg := sprintf(
+		"clean-merged-branch.yml: with.ignore_branches має містити %s (ga.mdc)",
+		[expected_step0.with.ignore_branches],
+	)
 }
 
-# `dry_run: no` у YAML парситься як boolean `false`. JS-перевірка порівнює зі
-# рядком "no", але в нас input уже Go-yaml-парсений — тому очікуємо `false`.
-# (Якщо комусь схочеться явного `"no"` — треба буде брати in quotes у YAML.)
+# YAML 1.1 quirk: `dry_run: no` парситься як boolean false у Go-yaml (conftest).
+# Template (від `yaml` npm) теж нормалізовано до false у фікстурі.
 deny contains msg if {
-	step0.with.dry_run != false # noqa: rules-style-no-equality-with-false
+	step0.with.dry_run != expected_step0.with.dry_run # noqa: rules-style-no-equality-with-false
 	msg := "clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)"
 }
 
 # ── Step 1 (Get output) ────────────────────────────────────────────────────
 
 deny contains msg if {
-	step1.name != "Get output"
-	msg := "clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)"
+	step1.name != expected_step1.name
+	msg := sprintf("clean-merged-branch.yml: другий крок має name: %s (ga.mdc)", [expected_step1.name])
 }
 
 deny contains msg if {
-	step1.env.DELETED_BRANCHES != expected_deleted_branches_expr
-	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc"
+	step1.env.DELETED_BRANCHES != expected_step1.env.DELETED_BRANCHES
+	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у template (ga.mdc)"
 }
 
 deny contains msg if {
 	not echo_deleted_branches
-	msg := "clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc"
+	msg := "clean-merged-branch.yml: run має echo Deleted branches як у template (ga.mdc)"
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
@@ -128,15 +124,17 @@ has_expected_cron if {
 	gha_on.schedule[_].cron == expected_cron
 }
 
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-
-ignore_branches_has_main_and_dev if {
-	contains(step0.with.ignore_branches, "main")
-	contains(step0.with.ignore_branches, "dev")
+# Кожна гілка з template-літералу (через кому) має бути присутня у actual.
+ignore_branches_subset if {
+	required_branches := split(expected_step0.with.ignore_branches, ",")
+	actual := step0.with.ignore_branches
+	every b in required_branches {
+		contains(actual, trim_space(b))
+	}
 }
 
 echo_deleted_branches if {
-	contains(step1.run, expected_echo_substring)
+	# Звіряємо substring "echo "Deleted branches: …${DELETED_BRANCHES}…"" — формується з template run.
+	contains(step1.run, "Deleted branches:")
+	contains(step1.run, "${DELETED_BRANCHES}")
 }

package/rules/ga/policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml

@@ -0,0 +1,37 @@
+name: Clean abandoned branches
+
+on:
+  # Run daily at midnight
+  schedule:
+    - cron: '0 1 15 * *'
+
+  # Allow workflow to be manually run from the GitHub UI
+  workflow_dispatch: {}
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  cleanup_old_branches:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: write
+    steps:
+      - id: delete_stuff
+        name: Delete those pesky dead branches
+        uses: phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3
+        with:
+          github_token: ${{ github.token }}
+          last_commit_age_days: 90
+          ignore_branches: main,dev
+          # `no` у workflow → Go-yaml парсить як bool false; тут пишемо явно false,
+          # бо template читає `yaml` (YAML 1.2), де `no` лишається рядком — а нам
+          # потрібна семантична відповідність runtime-парсингу conftest.
+          dry_run: false
+
+      - name: Get output
+        env:
+          DELETED_BRANCHES: ${{ steps.delete_stuff.outputs.deleted_branches }}
+        run: |
+          echo "Deleted branches: ${DELETED_BRANCHES}"

package/rules/ga/policy/git_ai/git_ai.rego

@@ -1,42 +1,38 @@
-# Порт перевірки `validateGitAiWorkflowStructure` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/git-ai.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/git-ai.yml \
-#     -p npm/policy/ga --namespace ga.git_ai
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/git-ai.yml.snippet.yml.
+# Substring-перевірки (`if:`, `run:` блоки) — на основі ключових фраз з template
+# steps, бо повний multi-line `run:` дуже крихкий для exact-match.
 package ga.git_ai
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-
-expected_name := "Git AI"
-
-expected_if_substring := "github.event.pull_request.merged == true"
-
-expected_install_substring := "curl -fsSL https://usegitai.com/install.sh | bash"
-
-expected_run_substring := "git-ai ci github run"
-
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
 gha_on := input["true"]
 
-# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
-# — щоб уникнути regal-правила `rule-name-repeats-package`.
 job := input.jobs["git-ai"]
 
-# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
 job_run_blob := concat("\n", [run |
 	run := job.steps[_].run
 ])
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_name := data.template.snippet.name
+
+expected_types := {t | some t in data.template.snippet.on.pull_request.types}
+
+expected_if := data.template.snippet.jobs["git-ai"].if
+
+expected_perms := data.template.snippet.jobs["git-ai"].permissions
+
+# Substring-маркери з template `run:` блоків — ключові команди, наявність яких
+# гарантує що workflow робить очікувані дії. Конкретний multi-line — не порівнюємо.
+install_substring := "https://usegitai.com/install.sh"
+
+run_substring := "git-ai ci github run"
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -54,30 +50,27 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not contains(job_if_str, expected_if_substring)
-	msg := "git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)"
+	not contains(job_if_str, expected_if)
+	msg := sprintf("git-ai.yml: job має містити if: %s (ga.mdc)", [expected_if])
 }
 
 deny contains msg if {
-	job.permissions.contents != "write"
-	msg := "git-ai.yml: permissions мають бути contents: write (ga.mdc)"
+	job.permissions.contents != expected_perms.contents
+	msg := sprintf("git-ai.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
-	not contains(job_run_blob, expected_install_substring)
+	not contains(job_run_blob, install_substring)
 	msg := "git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)"
 }
 
 deny contains msg if {
-	not contains(job_run_blob, expected_run_substring)
-	msg := "git-ai.yml: має виконувати git-ai ci github run (ga.mdc)"
+	not contains(job_run_blob, run_substring)
+	msg := sprintf("git-ai.yml: має виконувати %s (ga.mdc)", [run_substring])
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
 
-# `if` поле job-а може бути відсутнім — тоді `sprintf` дає невизначене значення
-# і спрацьовує `default`, повертаючи порожній рядок; `contains(…)` нижче дасть
-# false і відповідне `deny`-правило спрацює зі зрозумілим повідомленням.
 default job_if_str := ""
 
 job_if_str := sprintf("%v", [job.if])

package/rules/ga/policy/git_ai/template/git-ai.yml.snippet.yml

@@ -0,0 +1,30 @@
+name: Git AI
+
+on:
+  pull_request:
+    types: [closed]
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  git-ai:
+    if: github.event.pull_request.merged == true
+    runs-on: ubuntu-latest
+    permissions:
+      contents: write
+
+    steps:
+      - name: Install git-ai
+        run: |
+          curl -fsSL https://usegitai.com/install.sh | bash
+          echo "$HOME/.git-ai/bin" >> $GITHUB_PATH
+      - name: Run git-ai
+        id: run-git-ai
+        env:
+          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
+        run: |
+          git config --global user.name "github-actions[bot]"
+          git config --global user.email "github-actions[bot]@users.noreply.github.com"
+          git-ai ci github run

package/rules/ga/policy/lint_ga/lint_ga.rego

@@ -1,44 +1,50 @@
-# Порт перевірок `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers` з
-# `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/lint-ga.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/lint-ga.yml \
-#     -p npm/policy/ga --namespace ga.lint_ga
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-ga.yml.snippet.yml.
 package ga.lint_ga
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-
-expected_name := "Lint GA"
-
-expected_branches := {"dev", "main"}
-
-expected_push_paths := {".github/actions/**", ".github/workflows/**"}
-
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
 gha_on := input["true"]
 
-# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
-# — щоб уникнути regal-правила `rule-name-repeats-package`.
 job := input.jobs["lint-ga"]
 
-# Усі `uses:` зі steps цього job-а — для перевірки членства.
 job_uses_set contains job.steps[_].uses
 
-# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
 job_run_blob := concat("\n", [run |
 	run := job.steps[_].run
 ])
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_name := data.template.snippet.name
+
+expected_push_branches := {b | some b in data.template.snippet.on.push.branches}
+
+expected_pr_branches := {b | some b in data.template.snippet.on.pull_request.branches}
+
+expected_push_paths := {p | some p in data.template.snippet.on.push.paths}
+
+expected_runs_on := data.template.snippet.jobs["lint-ga"]["runs-on"]
+
+expected_perms := data.template.snippet.jobs["lint-ga"].permissions
+
+# Required `uses:` зі template — фільтруємо тільки кроки що мають `uses`.
+expected_uses_set contains u if {
+	some step in data.template.snippet.jobs["lint-ga"].steps
+	u := object.get(step, "uses", "")
+	u != ""
+}
+
+# Required `run:` substrings — collected from steps with `run`.
+expected_run_blob := concat("\n", [r |
+	some step in data.template.snippet.jobs["lint-ga"].steps
+	r := object.get(step, "run", "")
+	r != ""
+])
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -46,17 +52,17 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not push_branches_have_dev_and_main
+	not branches_superset_of(gha_on.push.branches, expected_push_branches)
 	msg := "lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)"
 }
 
 deny contains msg if {
-	not pr_branches_have_dev_and_main
+	not branches_superset_of(gha_on.pull_request.branches, expected_pr_branches)
 	msg := "lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)"
 }
 
 deny contains msg if {
-	not push_paths_have_required
+	not paths_superset_of(gha_on.push.paths, expected_push_paths)
 	msg := "lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)"
 }
 
@@ -66,13 +72,13 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	job["runs-on"] != "ubuntu-latest"
-	msg := "lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+	job["runs-on"] != expected_runs_on
+	msg := sprintf("lint-ga.yml: runs-on має бути %s (ga.mdc)", [expected_runs_on])
 }
 
 deny contains msg if {
-	job.permissions.contents != "read"
-	msg := "lint-ga.yml: permissions мають бути contents: read (ga.mdc)"
+	job.permissions.contents != expected_perms.contents
+	msg := sprintf("lint-ga.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
@@ -81,38 +87,23 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not "actions/checkout@v6" in job_uses_set
-	msg := "lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)"
-}
-
-deny contains msg if {
-	not "./.github/actions/setup-bun-deps" in job_uses_set
-	msg := "lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)"
-}
-
-deny contains msg if {
-	not "astral-sh/setup-uv@v8.0.0" in job_uses_set
-	msg := "lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)"
+	some required_use in expected_uses_set
+	not required_use in job_uses_set
+	msg := sprintf("lint-ga.yml: має бути uses: %s (ga.mdc)", [required_use])
 }
 
 deny contains msg if {
+	expected_run_blob != ""
 	not contains(job_run_blob, "bun run lint-ga")
 	msg := "lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)"
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
 
-push_branches_have_dev_and_main if {
-	branches := gha_on.push.branches
-	expected_branches & {b | some b in branches} == expected_branches
-}
-
-pr_branches_have_dev_and_main if {
-	branches := gha_on.pull_request.branches
-	expected_branches & {b | some b in branches} == expected_branches
+branches_superset_of(actual, expected) if {
+	expected & {b | some b in actual} == expected
 }
 
-push_paths_have_required if {
-	paths := gha_on.push.paths
-	expected_push_paths & {p | some p in paths} == expected_push_paths
+paths_superset_of(actual, expected) if {
+	expected & {p | some p in actual} == expected
 }

package/rules/ga/policy/lint_ga/template/lint-ga.yml.snippet.yml

@@ -0,0 +1,35 @@
+name: Lint GA
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '.github/actions/**'
+      - '.github/workflows/**'
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  lint-ga:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - uses: astral-sh/setup-uv@v8.0.0
+
+      - name: Lint GA
+        run: bun run lint-ga