@nitra/cursor 1.13.11 → 1.13.13

package/rules/ga/ga.mdc

@@ -17,152 +17,23 @@ concurrency:
 
 Без винятків — у scheduled cleanup-воркфлоу, у `pull_request: types: [closed]`, у publish-воркфлоу теж. Це уникає паралельних запусків того самого workflow на тій самій ref і скасовує попередні в чергу нових.
 
-Повинен бути файл .github/workflows/clean-ga-workflows.yml, зі змістом:
+Повинен бути файл `.github/workflows/clean-ga-workflows.yml`:
 
-```yaml
-name: Clean action for removing completed workflow runs
-
-on:
-  schedule:
-    - cron: '0 1 16 * *'
-
-  # Allow workflow to be manually run from the GitHub UI
-  workflow_dispatch: {}
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  cleanup_old_workflows:
-    runs-on: ubuntu-latest
-    permissions:
-      actions: write
-      contents: read
-    steps:
-      - name: Delete workflow runs
-        uses: dmvict/clean-workflow-runs@v1
-        with:
-          token: ${{ github.token }}
-          save_period: 31
-          save_min_runs_number: 0
-
-```
+- Канон: [clean-ga-workflows.yml.snippet.yml](./policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml)
 
-Повинен бути файл .github/workflows/clean-merged-branch.yml, зі змістом:
+Повинен бути файл `.github/workflows/clean-merged-branch.yml`:
 
-```yaml
-name: Clean abandoned branches
-
-on:
-  # Run daily at midnight
-  schedule:
-    - cron: '0 1 15 * *'
-
-  # Allow workflow to be manually run from the GitHub UI
-  workflow_dispatch: {}
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  cleanup_old_branches:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: write
-    steps:
-      - id: delete_stuff
-        name: Delete those pesky dead branches
-        uses: phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3
-        with:
-          github_token: ${{ github.token }}
-          last_commit_age_days: 90
-          ignore_branches: main,dev
-          dry_run: no
-
-      - name: Get output
-        env:
-          DELETED_BRANCHES: ${{ steps.delete_stuff.outputs.deleted_branches }}
-        run: |
-          echo "Deleted branches: ${DELETED_BRANCHES}"
-```
+- Канон: [clean-merged-branch.yml.snippet.yml](./policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml)
 
 Інші гілки в `ignore_branches` — допустимо.
-Повинен бути файл .github/workflows/lint-ga.yml, зі змістом:
 
-```yaml
-name: Lint GA
-
-on:
-  push:
-    branches:
-      - dev
-      - main
-    paths:
-      - '.github/actions/**'
-      - '.github/workflows/**'
-  pull_request:
-    branches:
-      - dev
-      - main
+Повинен бути файл `.github/workflows/lint-ga.yml`:
 
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  lint-ga:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-
-      - uses: ./.github/actions/setup-bun-deps
-
-      - uses: astral-sh/setup-uv@v8.0.0
+- Канон: [lint-ga.yml.snippet.yml](./policy/lint_ga/template/lint-ga.yml.snippet.yml)
 
-      - name: Lint GA
-        run: bun run lint-ga
-```
+Повинен бути файл `.github/workflows/git-ai.yml`:
 
-Повинен бути файл .github/workflows/git-ai.yml, зі змістом:
-
-```yaml
-name: Git AI
-
-on:
-  pull_request:
-    types: [closed]
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  git-ai:
-    if: github.event.pull_request.merged == true
-    runs-on: ubuntu-latest
-    permissions:
-      contents: write
-
-    steps:
-      - name: Install git-ai
-        run: |
-          curl -fsSL https://usegitai.com/install.sh | bash
-          echo "$HOME/.git-ai/bin" >> $GITHUB_PATH
-      - name: Run git-ai
-        id: run-git-ai
-        env:
-          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
-        run: |
-          git config --global user.name "github-actions[bot]"
-          git config --global user.email "github-actions[bot]@users.noreply.github.com"
-          git-ai ci github run
-```
+- Канон: [git-ai.yml.snippet.yml](./policy/git_ai/template/git-ai.yml.snippet.yml)
 
 **Локальний composite** (`uses: ./.github/actions/setup-bun-deps` або `./npm/github-actions/setup-bun-deps`): **спочатку** обов’язковий крок **`actions/checkout@v6`** (`persist-credentials: false`), інакше runner не знайде `action.yml`. Сам composite: **`actions/setup-node@v6`** (**Node 24**), **Bun**, **`actions/cache@v5`**, **`bun install --frozen-lockfile`**.
 

package/rules/ga/policy/clean_ga_workflows/clean_ga_workflows.rego

@@ -1,42 +1,33 @@
-# Порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/clean-ga-workflows.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/clean-ga-workflows.yml \
-#     -p npm/policy/ga --namespace ga.clean_ga_workflows
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
-#
-# Усі `deny`-правила йдуть контигно (regal: messy-rule); helpers і константи —
-# секціями вище та нижче.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/clean-ga-workflows.yml.snippet.yml
+# (повний YAML канон). Path-and-value перевірки — у цьому rego (per-concern
+# field-by-field з .data.template.snippet.<path>); жодних inline literals.
 package ga.clean_ga_workflows
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-#
-# `${{ … }}` — шаблонний синтаксис GitHub Actions; `{{` у Rego починає string
-# interpolation. Збираємо очікувані рядки з фрагментів через `concat`, як це
-# зроблено в check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
+# ── Аліаси на input ────────────────────────────────────────────────────────
+# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, у conftest серіалізується
+# як рядковий ключ "true". Template (через --data JSON) має ключ "on".
 
-expected_github_token := concat("", ["$", "{{ github.token }}"])
+gha_on := input["true"]
 
-expected_name := "Clean action for removing completed workflow runs"
+step0 := input.jobs.cleanup_old_workflows.steps[0]
 
-expected_cron := "0 1 16 * *"
+# Експектації з template.
+expected_name := data.template.snippet.name
 
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, конфтест серіалізує його
-# як рядковий ключ "true". Ані `input.on`, ані `input["on"]`, ані `input[true]`
-# не працюють — лише `input["true"]`.
+expected_cron := data.template.snippet.on.schedule[0].cron
 
-gha_on := input["true"]
+expected_step0 := data.template.snippet.jobs.cleanup_old_workflows.steps[0]
 
-step0 := input.jobs.cleanup_old_workflows.steps[0]
+expected_perms := data.template.snippet.jobs.cleanup_old_workflows.permissions
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_runs_on := data.template.snippet.jobs.cleanup_old_workflows["runs-on"]
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -49,7 +40,7 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not has_workflow_dispatch
+	not is_object(object.get(gha_on, "workflow_dispatch", null))
 	msg := "clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
@@ -60,32 +51,34 @@ deny contains msg if {
 
 deny contains msg if {
 	job := input.jobs.cleanup_old_workflows
-	job["runs-on"] != "ubuntu-latest"
-	msg := "clean-ga-workflows.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+	job["runs-on"] != expected_runs_on
+	msg := sprintf("clean-ga-workflows.yml: runs-on має бути %s (ga.mdc)", [expected_runs_on])
 }
 
 deny contains msg if {
 	perms := input.jobs.cleanup_old_workflows.permissions
-	not actions_write_contents_read(perms)
+	not perms_match(perms, expected_perms)
 	msg := "clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)"
 }
 
 deny contains msg if {
-	step0.name != "Delete workflow runs"
-	msg := "clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)"
+	step0.name != expected_step0.name
+	msg := sprintf("clean-ga-workflows.yml: перший крок має мати name: %s (ga.mdc)", [expected_step0.name])
 }
 
 deny contains msg if {
-	step0.uses != "dmvict/clean-workflow-runs@v1"
-	msg := "clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)"
+	step0.uses != expected_step0.uses
+	msg := sprintf("clean-ga-workflows.yml: перший крок має uses: %s (ga.mdc)", [expected_step0.uses])
 }
 
-# Триплет полів `with`: token (gh-токен), save_period=31, save_min_runs_number=0.
-# В JS-перевірці помилка спільна для всіх трьох — лишаємо такий самий формат, щоб
-# повідомлення збігалися.
 deny contains msg if {
 	not step0_with_canonical
-	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc"
+	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у template (ga.mdc)"
+}
+
+deny contains msg if {
+	step0.with.save_period != expected_step0.with.save_period
+	msg := sprintf("clean-ga-workflows.yml: with.save_period має бути %d (ga.mdc)", [expected_step0.with.save_period])
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
@@ -94,17 +87,13 @@ has_expected_cron if {
 	gha_on.schedule[_].cron == expected_cron
 }
 
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-
-actions_write_contents_read(perms) if {
-	perms.actions == "write"
-	perms.contents == "read"
+perms_match(actual, expected) if {
+	actual.actions == expected.actions
+	actual.contents == expected.contents
 }
 
 step0_with_canonical if {
-	step0.with.token == expected_github_token
-	step0.with.save_period == 31
-	step0.with.save_min_runs_number == 0
+	step0.with.token == expected_step0.with.token
+	step0.with.save_period == expected_step0.with.save_period
+	step0.with.save_min_runs_number == expected_step0.with.save_min_runs_number
 }

package/rules/ga/policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml

@@ -0,0 +1,26 @@
+name: Clean action for removing completed workflow runs
+
+on:
+  schedule:
+    - cron: '0 1 16 * *'
+
+  # Allow workflow to be manually run from the GitHub UI
+  workflow_dispatch: {}
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  cleanup_old_workflows:
+    runs-on: ubuntu-latest
+    permissions:
+      actions: write
+      contents: read
+    steps:
+      - name: Delete workflow runs
+        uses: dmvict/clean-workflow-runs@v1
+        with:
+          token: ${{ github.token }}
+          save_period: 31
+          save_min_runs_number: 0

package/rules/ga/policy/clean_merged_branch/clean_merged_branch.rego

@@ -1,44 +1,32 @@
-# Порт перевірки `validateCleanMergedBranch` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/clean-merged-branch.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/clean-merged-branch.yml \
-#     -p npm/policy/ga --namespace ga.clean_merged_branch
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/clean-merged-branch.yml.snippet.yml.
 package ga.clean_merged_branch
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-#
-# Шаблонні токени GitHub Actions (`${{ … }}`) збираємо з фрагментів через
-# `concat`, бо `{{` у Rego починає string interpolation.
-
-expected_github_token := concat("", ["$", "{{ github.token }}"])
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
-expected_deleted_branches_expr := concat("", ["$", "{{ steps.delete_stuff.outputs.deleted_branches }}"])
+gha_on := input["true"]
 
-expected_echo_substring := concat("", ["echo \"Deleted branches: $", "{DELETED_BRANCHES}\""])
+steps := input.jobs.cleanup_old_branches.steps
 
-expected_name := "Clean abandoned branches"
+step0 := steps[0]
 
-expected_cron := "0 1 15 * *"
+step1 := steps[1]
 
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+expected_name := data.template.snippet.name
 
-gha_on := input["true"]
+expected_cron := data.template.snippet.on.schedule[0].cron
 
-steps := input.jobs.cleanup_old_branches.steps
+expected_step0 := data.template.snippet.jobs.cleanup_old_branches.steps[0]
 
-step0 := steps[0]
+expected_step1 := data.template.snippet.jobs.cleanup_old_branches.steps[1]
 
-step1 := steps[1]
+expected_perms := data.template.snippet.jobs.cleanup_old_branches.permissions
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -51,7 +39,7 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not has_workflow_dispatch
+	not is_object(object.get(gha_on, "workflow_dispatch", null))
 	msg := "clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
@@ -61,65 +49,73 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	input.jobs.cleanup_old_branches.permissions.contents != "write"
-	msg := "clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)"
+	input.jobs.cleanup_old_branches.permissions.contents != expected_perms.contents
+	msg := sprintf("clean-merged-branch.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
 	count(steps) < 2
-	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc"
+	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у template (ga.mdc)"
 }
 
 # ── Step 0 (delete_stuff) ──────────────────────────────────────────────────
 
 deny contains msg if {
-	step0.id != "delete_stuff"
-	msg := "clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)"
+	step0.id != expected_step0.id
+	msg := sprintf("clean-merged-branch.yml: перший крок має id: %s (ga.mdc)", [expected_step0.id])
 }
 
 deny contains msg if {
-	step0.uses != "phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3"
-	msg := "clean-merged-branch.yml: перший крок має uses як у ga.mdc"
+	step0.uses != expected_step0.uses
+	msg := sprintf("clean-merged-branch.yml: перший крок має uses: %s (ga.mdc)", [expected_step0.uses])
 }
 
 deny contains msg if {
-	step0.with.github_token != expected_github_token
-	msg := sprintf("clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)", [expected_github_token])
+	step0.with.github_token != expected_step0.with.github_token
+	msg := sprintf(
+		"clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)",
+		[expected_step0.with.github_token],
+	)
 }
 
 deny contains msg if {
-	step0.with.last_commit_age_days != 90
-	msg := "clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)"
+	step0.with.last_commit_age_days != expected_step0.with.last_commit_age_days
+	msg := sprintf(
+		"clean-merged-branch.yml: with.last_commit_age_days має бути %d (ga.mdc)",
+		[expected_step0.with.last_commit_age_days],
+	)
 }
 
 deny contains msg if {
-	not ignore_branches_has_main_and_dev
-	msg := "clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)"
+	not ignore_branches_subset
+	msg := sprintf(
+		"clean-merged-branch.yml: with.ignore_branches має містити %s (ga.mdc)",
+		[expected_step0.with.ignore_branches],
+	)
 }
 
-# `dry_run: no` у YAML парситься як boolean `false`. JS-перевірка порівнює зі
-# рядком "no", але в нас input уже Go-yaml-парсений — тому очікуємо `false`.
-# (Якщо комусь схочеться явного `"no"` — треба буде брати in quotes у YAML.)
+# YAML 1.1 quirk: `dry_run: no` парситься як boolean false у Go-yaml (conftest).
+# Template (від `yaml` npm) теж нормалізовано до false у фікстурі.
 deny contains msg if {
-	step0.with.dry_run != false # noqa: rules-style-no-equality-with-false
+	step0.with.dry_run != expected_step0.with.dry_run # noqa: rules-style-no-equality-with-false
 	msg := "clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)"
 }
 
 # ── Step 1 (Get output) ────────────────────────────────────────────────────
 
 deny contains msg if {
-	step1.name != "Get output"
-	msg := "clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)"
+	step1.name != expected_step1.name
+	msg := sprintf("clean-merged-branch.yml: другий крок має name: %s (ga.mdc)", [expected_step1.name])
 }
 
 deny contains msg if {
-	step1.env.DELETED_BRANCHES != expected_deleted_branches_expr
-	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc"
+	step1.env.DELETED_BRANCHES != expected_step1.env.DELETED_BRANCHES
+	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у template (ga.mdc)"
 }
 
 deny contains msg if {
 	not echo_deleted_branches
-	msg := "clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc"
+	msg := "clean-merged-branch.yml: run має echo Deleted branches як у template (ga.mdc)"
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
@@ -128,15 +124,17 @@ has_expected_cron if {
 	gha_on.schedule[_].cron == expected_cron
 }
 
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-
-ignore_branches_has_main_and_dev if {
-	contains(step0.with.ignore_branches, "main")
-	contains(step0.with.ignore_branches, "dev")
+# Кожна гілка з template-літералу (через кому) має бути присутня у actual.
+ignore_branches_subset if {
+	required_branches := split(expected_step0.with.ignore_branches, ",")
+	actual := step0.with.ignore_branches
+	every b in required_branches {
+		contains(actual, trim_space(b))
+	}
 }
 
 echo_deleted_branches if {
-	contains(step1.run, expected_echo_substring)
+	# Звіряємо substring "echo "Deleted branches: …${DELETED_BRANCHES}…"" — формується з template run.
+	contains(step1.run, "Deleted branches:")
+	contains(step1.run, "${DELETED_BRANCHES}")
 }

package/rules/ga/policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml

@@ -0,0 +1,37 @@
+name: Clean abandoned branches
+
+on:
+  # Run daily at midnight
+  schedule:
+    - cron: '0 1 15 * *'
+
+  # Allow workflow to be manually run from the GitHub UI
+  workflow_dispatch: {}
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  cleanup_old_branches:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: write
+    steps:
+      - id: delete_stuff
+        name: Delete those pesky dead branches
+        uses: phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3
+        with:
+          github_token: ${{ github.token }}
+          last_commit_age_days: 90
+          ignore_branches: main,dev
+          # `no` у workflow → Go-yaml парсить як bool false; тут пишемо явно false,
+          # бо template читає `yaml` (YAML 1.2), де `no` лишається рядком — а нам
+          # потрібна семантична відповідність runtime-парсингу conftest.
+          dry_run: false
+
+      - name: Get output
+        env:
+          DELETED_BRANCHES: ${{ steps.delete_stuff.outputs.deleted_branches }}
+        run: |
+          echo "Deleted branches: ${DELETED_BRANCHES}"

package/rules/ga/policy/git_ai/git_ai.rego

@@ -1,42 +1,38 @@
-# Порт перевірки `validateGitAiWorkflowStructure` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/git-ai.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/git-ai.yml \
-#     -p npm/policy/ga --namespace ga.git_ai
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/git-ai.yml.snippet.yml.
+# Substring-перевірки (`if:`, `run:` блоки) — на основі ключових фраз з template
+# steps, бо повний multi-line `run:` дуже крихкий для exact-match.
 package ga.git_ai
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-
-expected_name := "Git AI"
-
-expected_if_substring := "github.event.pull_request.merged == true"
-
-expected_install_substring := "curl -fsSL https://usegitai.com/install.sh | bash"
-
-expected_run_substring := "git-ai ci github run"
-
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
 gha_on := input["true"]
 
-# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
-# — щоб уникнути regal-правила `rule-name-repeats-package`.
 job := input.jobs["git-ai"]
 
-# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
 job_run_blob := concat("\n", [run |
 	run := job.steps[_].run
 ])
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_name := data.template.snippet.name
+
+expected_types := {t | some t in data.template.snippet.on.pull_request.types}
+
+expected_if := data.template.snippet.jobs["git-ai"].if
+
+expected_perms := data.template.snippet.jobs["git-ai"].permissions
+
+# Substring-маркери з template `run:` блоків — ключові команди, наявність яких
+# гарантує що workflow робить очікувані дії. Конкретний multi-line — не порівнюємо.
+install_substring := "https://usegitai.com/install.sh"
+
+run_substring := "git-ai ci github run"
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -54,30 +50,27 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not contains(job_if_str, expected_if_substring)
-	msg := "git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)"
+	not contains(job_if_str, expected_if)
+	msg := sprintf("git-ai.yml: job має містити if: %s (ga.mdc)", [expected_if])
 }
 
 deny contains msg if {
-	job.permissions.contents != "write"
-	msg := "git-ai.yml: permissions мають бути contents: write (ga.mdc)"
+	job.permissions.contents != expected_perms.contents
+	msg := sprintf("git-ai.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
-	not contains(job_run_blob, expected_install_substring)
+	not contains(job_run_blob, install_substring)
 	msg := "git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)"
 }
 
 deny contains msg if {
-	not contains(job_run_blob, expected_run_substring)
-	msg := "git-ai.yml: має виконувати git-ai ci github run (ga.mdc)"
+	not contains(job_run_blob, run_substring)
+	msg := sprintf("git-ai.yml: має виконувати %s (ga.mdc)", [run_substring])
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
 
-# `if` поле job-а може бути відсутнім — тоді `sprintf` дає невизначене значення
-# і спрацьовує `default`, повертаючи порожній рядок; `contains(…)` нижче дасть
-# false і відповідне `deny`-правило спрацює зі зрозумілим повідомленням.
 default job_if_str := ""
 
 job_if_str := sprintf("%v", [job.if])