@nitra/cursor 1.13.14 → 1.13.25

package/rules/image-compress/policy/package_json/package_json.rego

@@ -1,71 +1,48 @@
-# Порт перевірки `package.json` з `npm/scripts/check-image-compress.mjs`
-# (image-compress.mdc).
+# Перевірка `package.json` (image-compress.mdc).
 #
-# Запуск (локально):
-#   conftest test package.json -p npm/policy/image_compress \
-#     --namespace image_compress.package_json
+# Канон надходить через --data: { "template": { "contains": ..., "deny": ... } }
+# Структура --data сформована з template/package.json.{contains,deny}.json.
 #
-# Перевіряє: скрипт `lint-image` викликає `npx @nitra/minify-image` з `--src=.`
-# і `--write`, без `--avif` (AVIF — окреме правило); агрегатор `lint` (якщо є)
-# містить `bun run lint-image`; `@nitra/minify-image` НЕ в dependencies / devDependencies.
-#
-# FS-перевірки (`.minify-image-cache.tsv` legacy-файл, `.gitignore` правил для
-# `.n-minify-image.tsv`) — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Логіка, що ЛИШАЄТЬСЯ у rego (inverse-patterns, не виносяться у template):
+#  - `--avif` ЗАБОРОНЕНИЙ підрядок у `lint-image` (anti-contains);
+#  - агрегатор `lint` (якщо `lint-image` присутній) має містити `bun run lint-image`.
 package image_compress.package_json
 
 import rego.v1
 
-minify_pkg := "@nitra/minify-image"
-
-dep_template := concat(" ", [
-	"package.json: %q не повинен бути в %s —",
-	"використовуй npx (image-compress.mdc)",
-])
-
-avif_in_lint_image_template := concat(" ", [
-	"package.json: lint-image не має містити `--avif` —",
-	"AVIF-генерацію виконує check image-avif (image-compress.mdc)",
-])
-
-# ── deny: lint-image ──────────────────────────────────────────────────────
+# ── deny: scripts.<name> має містити кожен substring з template.contains ─
 
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-image" in object.keys(scripts)
-	msg := "package.json: відсутній scripts.lint-image (image-compress.mdc)"
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (image-compress.mdc)", [script_name, needle])
 }
 
-deny contains msg if {
-	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
-	lint_image != ""
-	not contains(lint_image, sprintf("npx %s", [minify_pkg]))
-	msg := sprintf("package.json: lint-image має викликати `npx %s` (image-compress.mdc)", [minify_pkg])
-}
+# ── deny: top-level deps/devDeps з template.deny ─────────────────────────
 
 deny contains msg if {
-	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
-	contains(lint_image, sprintf("npx %s", [minify_pkg]))
-	not has_src_flag(lint_image)
-	msg := "package.json: lint-image має містити `--src=.` (image-compress.mdc)"
+	some pkg, reason in data.template.deny.dependencies
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("package.json: dependencies.%s — %s", [pkg, reason])
 }
 
 deny contains msg if {
-	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
-	contains(lint_image, sprintf("npx %s", [minify_pkg]))
-	not contains(lint_image, "--write")
-	msg := "package.json: lint-image має містити `--write` (image-compress.mdc)"
+	some pkg, reason in data.template.deny.devDependencies
+	pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf("package.json: devDependencies.%s — %s", [pkg, reason])
 }
 
-deny contains avif_in_lint_image_template if {
+# ── deny: `--avif` заборонений у `lint-image` (anti-contains, у rego) ────
+
+deny contains msg if {
 	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
 	contains(lint_image, "--avif")
+	msg := "package.json: lint-image не має містити `--avif` — AVIF-генерацію виконує check image-avif (image-compress.mdc)"
 }
 
-# ── deny: агрегований `lint` має кликати `bun run lint-image` ─────────────
+# ── deny: агрегатор `lint` (якщо `lint-image` є) ─────────────────────────
 
 deny contains msg if {
 	"lint-image" in object.keys(object.get(input, "scripts", {}))
@@ -74,21 +51,3 @@ deny contains msg if {
 	not contains(lint, "bun run lint-image")
 	msg := "package.json: агрегований `lint` має містити `bun run lint-image` (image-compress.mdc)"
 }
-
-# ── deny: `@nitra/minify-image` НЕ в dependencies/devDependencies ────────
-
-deny contains msg if {
-	minify_pkg in object.keys(object.get(input, "dependencies", {}))
-	msg := sprintf(dep_template, [minify_pkg, "dependencies"])
-}
-
-deny contains msg if {
-	minify_pkg in object.keys(object.get(input, "devDependencies", {}))
-	msg := sprintf(dep_template, [minify_pkg, "devDependencies"])
-}
-
-# ── helpers ────────────────────────────────────────────────────────────────
-
-has_src_flag(s) if contains(s, "--src=.")
-
-has_src_flag(s) if contains(s, "--src .")

package/rules/image-compress/policy/package_json/template/package.json.contains.json

@@ -0,0 +1,5 @@
+{
+  "scripts": {
+    "lint-image": ["npx @nitra/minify-image", "--src=.", "--write"]
+  }
+}

package/rules/image-compress/policy/package_json/template/package.json.deny.json

@@ -0,0 +1,8 @@
+{
+  "dependencies": {
+    "@nitra/minify-image": "не повинен бути в dependencies — використовуй npx (image-compress.mdc)"
+  },
+  "devDependencies": {
+    "@nitra/minify-image": "не повинен бути в devDependencies — використовуй npx (image-compress.mdc)"
+  }
+}

package/rules/js-bun-db/policy/package_json/package_json.rego

@@ -1,28 +1,15 @@
-# Порт перевірки залежностей `package.json` з `npm/scripts/check-js-bun-db.mjs`
-# (js-bun-db.mdc).
+# Перевірка `dependencies` (js-bun-db.mdc).
 #
-# Запуск (локально, для будь-якого `package.json` у дереві):
-#   conftest test path/to/package.json -p npm/policy/js_bun_db \
-#     --namespace js_bun_db.package_json
-#
-# Перевіряє: у `dependencies` не повинно бути `pg`, `pg-format`, `mysql2` —
-# заміна на Bun native SQL (https://bun.com/docs/runtime/sql).
-#
-# AST-скан коду (`new SQL(...)` всередині функцій, `unsafe()` без маркера
-# `// allow-unsafe`, pg-leftover виклики, динамічні `IN (…)` через `.join(',')`)
-# лишається у JS (потребує парсингу `.js` / `.ts` через oxc-parser).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "deny": ... } }
+# Структура --data сформована з template/package.json.deny.json.
+# AST-скан коду (`new SQL(...)` у функціях, `unsafe()` без маркера, pg-leftover,
+# динамічні `IN (…)` через `.join(',')`) лишається у JS.
 package js_bun_db.package_json
 
 import rego.v1
 
-forbidden_dependencies := {"pg", "pg-format", "mysql2"}
-
 deny contains msg if {
-	some pkg_name in forbidden_dependencies
-	pkg_name in object.keys(object.get(input, "dependencies", {}))
-	msg := sprintf("dependencies містить заборонений %q — заміни на Bun native SQL (js-bun-db.mdc)", [pkg_name])
+	some pkg, reason in data.template.deny.dependencies
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("dependencies.%s — %s", [pkg, reason])
 }

package/rules/js-bun-db/policy/package_json/template/package.json.deny.json

@@ -0,0 +1,7 @@
+{
+  "dependencies": {
+    "pg": "заміни на Bun native SQL (js-bun-db.mdc)",
+    "pg-format": "заміни на Bun native SQL — без ручного форматування (js-bun-db.mdc)",
+    "mysql2": "заміни на Bun native SQL (js-bun-db.mdc)"
+  }
+}

package/rules/js-bun-redis/policy/package_json/package_json.rego

@@ -1,37 +1,15 @@
-# Перевірка `dependencies` для правила `js-bun-redis.mdc` — паралель до
-# `npm/policy/js_bun_db/package_json/package_json.rego`.
+# Перевірка `dependencies` (js-bun-redis.mdc).
 #
-# Запуск (локально, для будь-якого `package.json` у дереві):
-#   conftest test path/to/package.json -p npm/policy/js_bun_redis \
-#     --namespace js_bun_redis.package_json
-#
-# Перевіряє: у `dependencies` не повинно бути `ioredis`, `node-redis`,
-# `redis` або жодного з підпакетів `@redis/*` — заміна на Bun native Redis
-# (https://bun.com/docs/runtime/redis).
-#
-# AST-скан коду (`import` / `require` / dynamic `import()` тих самих пакетів)
-# лишається у `npm/scripts/check-js-bun-redis.mjs` (потребує `oxc-parser`).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "deny": ... } }
+# Структура --data сформована з template/package.json.deny.json.
+# AST-скан коду (`import`/`require`/dynamic `import()` тих самих пакетів)
+# лишається у `js-bun-redis/fix/imports/check.mjs`.
 package js_bun_redis.package_json
 
 import rego.v1
 
-forbidden_dependencies := {
-	"ioredis",
-	"node-redis",
-	"redis",
-	"@redis/client",
-	"@redis/json",
-	"@redis/search",
-	"@redis/time-series",
-	"@redis/bloom",
-}
-
 deny contains msg if {
-	some pkg_name in forbidden_dependencies
-	pkg_name in object.keys(object.get(input, "dependencies", {}))
-	msg := sprintf("dependencies містить заборонений %q — заміни на Bun native Redis (js-bun-redis.mdc)", [pkg_name])
+	some pkg, reason in data.template.deny.dependencies
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("dependencies.%s — %s", [pkg, reason])
 }

package/rules/js-bun-redis/policy/package_json/template/package.json.deny.json

@@ -0,0 +1,12 @@
+{
+  "dependencies": {
+    "ioredis": "заміни на Bun native Redis (js-bun-redis.mdc)",
+    "node-redis": "заміни на Bun native Redis (js-bun-redis.mdc)",
+    "redis": "заміни на Bun native Redis (js-bun-redis.mdc)",
+    "@redis/client": "заміни на Bun native Redis (js-bun-redis.mdc)",
+    "@redis/json": "заміни на Bun native Redis (js-bun-redis.mdc)",
+    "@redis/search": "заміни на Bun native Redis (js-bun-redis.mdc)",
+    "@redis/time-series": "заміни на Bun native Redis (js-bun-redis.mdc)",
+    "@redis/bloom": "заміни на Bun native Redis (js-bun-redis.mdc)"
+  }
+}

package/rules/js-lint/policy/jscpd/jscpd.rego

@@ -1,38 +1,44 @@
-# Перевірка `.jscpd.json` для js-lint (js-lint.mdc).
+# Перевірка `.jscpd.json` (js-lint.mdc).
 #
-# JS-частина лишається для FS/cross-file: наявність workflow, flat ESLint config,
-# `.oxlintrc.json` проти embedded canonical snapshot, `knip.json` autofill.
-# Цей пакет покриває лише структуру одного JSON-документа.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/.jscpd.json.snippet.json.
+# Особливості:
+#  - `reporters` — subset-of (масив string)
+#  - `minLines` — >= expected (semantic: дозволяється більше, не менше)
+#  - `gitignore`/`exitCode` — exact match
 package js_lint.jscpd
 
 import rego.v1
 
+# Top-level scalar leafs (exact match) для gitignore + exitCode.
 deny contains msg if {
-	input.gitignore != true
-	msg := ".jscpd.json має містити \"gitignore\": true (js-lint.mdc)"
+	some key, expected_value in data.template.snippet
+	key != "minLines"
+	not is_array(expected_value)
+	actual := object.get(input, key, null)
+	actual != expected_value
+	msg := sprintf(".jscpd.json має містити \"%s\": %v (js-lint.mdc)", [key, expected_value])
 }
 
+# Array subset-of для reporters.
 deny contains msg if {
-	input.exitCode != 1
-	msg := ".jscpd.json має містити \"exitCode\": 1 (інакше CI не впаде на клонах) (js-lint.mdc)"
+	some field, expected_values in data.template.snippet
+	is_array(expected_values)
+	actual_set := {v | some v in object.get(input, field, [])}
+	some required in expected_values
+	not required in actual_set
+	msg := sprintf(".jscpd.json має містити \"%s\": [\"%s\"] (js-lint.mdc)", [field, required])
 }
 
+# minLines: must be number and >= expected.
 deny contains msg if {
-	not "console" in {r | some r in object.get(input, "reporters", [])}
-	msg := ".jscpd.json має містити \"reporters\": [\"console\"] або масив із \"console\" (js-lint.mdc)"
+	expected := data.template.snippet.minLines
+	actual := object.get(input, "minLines", null)
+	not is_valid_min_lines(actual, expected)
+	msg := sprintf(".jscpd.json має містити \"minLines\" як число >= %d (js-lint.mdc)", [expected])
 }
 
-deny contains msg if {
-	not is_number(object.get(input, "minLines", null))
-	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
-}
-
-deny contains msg if {
-	is_number(input.minLines)
-	input.minLines < 25
-	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
+is_valid_min_lines(actual, expected) if {
+	is_number(actual)
+	actual >= expected
 }

package/rules/js-lint/policy/jscpd/template/.jscpd.json.snippet.json

@@ -0,0 +1,6 @@
+{
+  "gitignore": true,
+  "exitCode": 1,
+  "reporters": ["console"],
+  "minLines": 25
+}

package/rules/js-lint/policy/lint_js_yml/lint_js_yml.rego

@@ -1,27 +1,35 @@
-# Порт перевірки `.github/workflows/lint-js.yml` з `npm/scripts/check-js-lint.mjs`
-# (js-lint.mdc) — структурні очікування `verifyLintJsWorkflowStructure`.
+# Перевірка `.github/workflows/lint-js.yml` (js-lint.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/lint-js.yml -p npm/policy/js_lint \
-#     --namespace js_lint.lint_js_yml
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-js.yml.snippet.yml.
+# Required uses + run substrings зчитуються з template's eslint-job steps.
+# Універсальні workflow-перевірки — у `ga.workflow_common`.
 #
-# Перевіряє: є крок `actions/checkout@v6` з `with.persist-credentials: false`,
-# є крок `./.github/actions/setup-bun-deps`, у `run` є `bunx oxlint`, `bunx eslint .`,
-# `bunx jscpd .`, у `run` НЕМАЄ `oxlint --fix` чи `eslint --fix` (CI не повинен
-# редагувати код).
-#
-# Універсальні workflow-перевірки (concurrency, заборонені setup-bun/cache, shell
-# line-continuation) — у `ga.workflow_common`. Дубль JS-перевірок у `lint.yml` —
-# у JS-частині `check-js-lint.mjs` (потребує другого workflow-файлу).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Логіка, що ЛИШАЄТЬСЯ у rego (inverse anti-patterns):
+#  - `oxlint --fix` / `eslint --fix` у CI заборонено;
+#  - actions/checkout@v6 має мати `with.persist-credentials: false`.
 package js_lint.lint_js_yml
 
 import rego.v1
 
-# Усі кроки з усіх jobs — для substring-перевірок.
+# Required `uses:` зі template — фільтруємо тільки кроки з uses.
+expected_uses_set contains u if {
+	some step in data.template.snippet.jobs.eslint.steps
+	u := object.get(step, "uses", "")
+	u != ""
+}
+
+# Required `run:` substrings (per-line з template).
+expected_run_substrings contains line if {
+	some step in data.template.snippet.jobs.eslint.steps
+	r := object.get(step, "run", "")
+	r != ""
+	some raw in split(r, "\n")
+	line := trim_space(raw)
+	line != ""
+}
+
+# Аліаси на input.
 all_steps contains step if {
 	some job in object.get(input, "jobs", {})
 	some step in object.get(job, "steps", [])
@@ -37,46 +45,30 @@ all_run_blob := concat("\n", [r |
 	r := step_run_text(step)
 ])
 
-# ── deny: required uses ────────────────────────────────────────────────────
-
-deny contains msg if {
-	not contains(all_uses_blob, "actions/checkout@v6")
-	msg := "lint-js.yml: відсутній крок uses: actions/checkout@v6 (js-lint.mdc)"
-}
-
-deny contains msg if {
-	not contains(all_uses_blob, "./.github/actions/setup-bun-deps")
-	msg := "lint-js.yml: відсутній крок uses: ./.github/actions/setup-bun-deps (js-lint.mdc)"
-}
+# ── deny: required uses ─────────────────────────────────────────────────
 
 deny contains msg if {
-	not has_checkout_persist_credentials_false
-	msg := "lint-js.yml: actions/checkout@v6 має бути з with.persist-credentials: false (js-lint.mdc)"
+	some required_use in expected_uses_set
+	not contains(all_uses_blob, required_use)
+	msg := sprintf("lint-js.yml: відсутній крок uses: %s (js-lint.mdc)", [required_use])
 }
 
-# ── deny: required run substrings ─────────────────────────────────────────
+# ── deny: required run substrings ───────────────────────────────────────
 
 deny contains msg if {
-	not contains(all_run_blob, "bunx oxlint")
-	msg := "lint-js.yml: у run немає `bunx oxlint` (js-lint.mdc)"
+	some required_run in expected_run_substrings
+	not contains(all_run_blob, required_run)
+	msg := sprintf("lint-js.yml: у run немає %q (js-lint.mdc)", [required_run])
 }
 
-deny contains msg if {
-	not contains(all_run_blob, "bunx eslint .")
-	msg := "lint-js.yml: у run немає `bunx eslint .` (js-lint.mdc)"
-}
+# ── deny: actions/checkout@v6 has persist-credentials: false (inverse) ──
 
 deny contains msg if {
-	not contains(all_run_blob, "bunx jscpd .")
-	msg := "lint-js.yml: у run немає `bunx jscpd .` (js-lint.mdc)"
-}
-
-deny contains msg if {
-	not contains(all_run_blob, "bunx knip")
-	msg := "lint-js.yml: у run немає `bunx knip` (js-lint.mdc)"
+	not has_checkout_persist_credentials_false
+	msg := "lint-js.yml: actions/checkout@v6 має бути з with.persist-credentials: false (js-lint.mdc)"
 }
 
-# ── deny: --fix у CI заборонено ───────────────────────────────────────────
+# ── deny: --fix у CI заборонено (inverse) ───────────────────────────────
 
 deny contains msg if {
 	regex.match(`bunx\s+oxlint[^\n]*--fix`, all_run_blob)
@@ -88,7 +80,7 @@ deny contains msg if {
 	msg := "lint-js.yml: у run є `eslint --fix` (у CI заборонено) (js-lint.mdc)"
 }
 
-# ── helpers ────────────────────────────────────────────────────────────────
+# ── helpers ─────────────────────────────────────────────────────────────
 
 has_checkout_persist_credentials_false if {
 	some step in all_steps

package/rules/js-lint/policy/lint_js_yml/template/lint-js.yml.snippet.yml

@@ -0,0 +1,44 @@
+name: Lint JS
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/*.js'
+      - '**/*.mjs'
+      - '**/*.cjs'
+      - '**/*.jsx'
+      - '**/*.ts'
+      - '**/*.tsx'
+      - '**/*.vue'
+      - '**/eslint.config.*'
+
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  eslint:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - name: Eslint
+        run: |
+          bunx oxlint
+          bunx eslint .
+          bunx jscpd .
+          bunx knip --no-config-hints

package/rules/js-lint/policy/package_json/package_json.rego

@@ -1,47 +1,36 @@
-# Порт перевірок `package.json` з `npm/scripts/check-js-lint.mjs` (js-lint.mdc).
+# Перевірка `package.json` (js-lint.mdc).
 #
-# Запуск (локально):
-#   conftest test package.json -p npm/policy/js_lint --namespace js_lint.package_json
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/package.json.snippet.json
+# (canonical `type` + `scripts.lint-js`).
 #
-# Перевіряє: канонічний `lint-js` скрипт, `@nitra/eslint-config` ≥ 3.9.2 у
-# `devDependencies`, `engines.node >= 24`, `engines.bun >= 1.3`, `type: "module"`.
-#
-# Перевірка `.oxlintrc.json` проти канонічного JSON (`utils/oxlint-canonical.json`)
-# і дубля JS-перевірок у `lint.yml` — у JS (потребує читання другого файлу
-# і порівняння глибокої структури проти embedded snapshot).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Логіка, що ЛИШАЄТЬСЯ у rego (inverse, не виноситься у template):
+#  - `engines.node` >= 24, `engines.bun` >= 1.3 (semver range parsing);
+#  - `@nitra/eslint-config` >= 3.9.2 (semver range parsing).
 package js_lint.package_json
 
 import rego.v1
 
-canonical_lint_js := "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd . && bunx knip --no-config-hints"
-
-# ── deny: `lint-js` скрипт ─────────────────────────────────────────────────
-
-deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-js" in object.keys(scripts)
-	msg := "package.json: відсутній скрипт `lint-js` (js-lint.mdc)"
-}
+# ── deny: top-level scalar leafs (type) ─────────────────────────────────
 
 deny contains msg if {
-	lint_js := object.get(object.get(input, "scripts", {}), "lint-js", "")
-	lint_js != ""
-	normalize_lint_js(lint_js) != canonical_lint_js
-	msg := sprintf("package.json: lint-js має бути %q (js-lint.mdc)", [canonical_lint_js])
+	some key, expected_value in data.template.snippet
+	not is_object(expected_value)
+	actual := object.get(input, key, null)
+	actual != expected_value
+	msg := sprintf("package.json: \"%s\" має бути %q (js-lint.mdc)", [key, expected_value])
 }
 
-# ── deny: type: "module" ──────────────────────────────────────────────────
+# ── deny: scripts (nested) — exact match із normalize ──────────────────
 
 deny contains msg if {
-	object.get(input, "type", null) != "module"
-	msg := "package.json: \"type\" має бути \"module\" (js-lint.mdc)"
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	normalize_script(actual) != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (js-lint.mdc)", [script_name, expected])
 }
 
-# ── deny: engines ──────────────────────────────────────────────────────────
+# ── deny: engines.node >= 24 (inverse, у rego) ──────────────────────────
 
 deny contains msg if {
 	engines := object.get(input, "engines", {})
@@ -55,7 +44,7 @@ deny contains msg if {
 	msg := "package.json: engines.bun має бути >= 1.3 (js-lint.mdc)"
 }
 
-# ── deny: @nitra/eslint-config ≥ 3.9.2 ────────────────────────────────────
+# ── deny: @nitra/eslint-config >= 3.9.2 (inverse) ───────────────────────
 
 deny contains msg if {
 	dev := object.get(input, "devDependencies", {})
@@ -70,20 +59,15 @@ deny contains msg if {
 	msg := sprintf("package.json: @nitra/eslint-config має бути >= 3.9.2 (зараз %q) (js-lint.mdc)", [range])
 }
 
-# ── helpers ────────────────────────────────────────────────────────────────
+# ── helpers ──────────────────────────────────────────────────────────────
 
-# Нормалізація `lint-js`: trim + одиничні пробіли (як у JS).
-normalize_lint_js(s) := regex.replace(trim_space(s), `\s+`, " ")
+normalize_script(s) := regex.replace(trim_space(s), `\s+`, " ")
 
-# `engines.node`: дозволяється `>=24`, `^24`, `24.x`, `24.0.0` тощо. Дістаємо
-# першу мажорну цифру; вона має бути ≥ 24.
 engines_node_meets(spec) if {
 	major := first_major(spec)
 	major >= 24
 }
 
-# `engines.bun`: дозволяється `>=1.3`, `^1.3.0`, `1.3.x` тощо. Перша мажор-мінор
-# пара має бути ≥ 1.3.
 engines_bun_meets(spec) if {
 	parts := split_to_numbers(spec)
 	count(parts) >= 2
@@ -97,7 +81,6 @@ engines_bun_meets(spec) if {
 	parts[1] >= 3
 }
 
-# `@nitra/eslint-config`: ≥ 3.9.2; `workspace:*` теж OK.
 eslint_config_meets_min(range) if startswith(trim_space(range), "workspace:")
 
 eslint_config_meets_min(range) if {
@@ -121,15 +104,12 @@ eslint_config_meets_min(range) if {
 	parts[2] >= 2
 }
 
-# Перша мажорна цифра з рядка-діапазону (наприклад `^24.1.0` → 24).
 first_major(spec) := major if {
 	parts := split_to_numbers(spec)
 	count(parts) >= 1
 	major := parts[0]
 }
 
-# Розкидати рядок версії на список чисел (відкидаючи range-оператори і нечислові
-# фрагменти). `^24.1.0` → [24, 1, 0]; `>=1.3` → [1, 3]; `workspace:*` → [].
 split_to_numbers(spec) := nums if {
 	tokens := regex.split(`\D+`, spec)
 	non_empty := [t | some t in tokens; t != ""]

package/rules/js-lint/policy/package_json/template/package.json.snippet.json

@@ -0,0 +1,6 @@
+{
+  "type": "module",
+  "scripts": {
+    "lint-js": "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd . && bunx knip --no-config-hints"
+  }
+}

package/rules/js-lint/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -0,0 +1,7 @@
+{
+  "recommendations": [
+    "dbaeumer.vscode-eslint",
+    "github.vscode-github-actions",
+    "oxc.oxc-vscode"
+  ]
+}