@nitra/cursor 1.13.14 → 1.13.25

package/rules/js-lint/policy/vscode_extensions/vscode_extensions.rego

@@ -1,25 +1,12 @@
 # Перевірка `.vscode/extensions.json` для js-lint (js-lint.mdc).
 #
-# Canonical: у `recommendations` мають бути ESLint, GitHub Actions і Oxlint.
-# Канон задає мінімум — додаткові рекомендації від інших правил дозволені.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
 package js_lint.vscode_extensions
 
 import rego.v1
 
-required_extensions := {
-	"dbaeumer.vscode-eslint",
-	"github.vscode-github-actions",
-	"oxc.oxc-vscode",
-}
-
-recommendations_set := {r | some r in object.get(input, "recommendations", [])}
-
 deny contains msg if {
-	some required in required_extensions
-	not required in recommendations_set
-	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (js-lint.mdc)", [required])
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (js-lint.mdc)", [rec])
 }

package/rules/js-run/policy/configmap/configmap.rego

@@ -1,45 +1,21 @@
-# Порт перевірки `k8s/base/configmap.yaml` з `npm/scripts/check-js-run.mjs`
-# (js-run.mdc) — `OTEL_RESOURCE_ATTRIBUTES` має містити `service.name=` і
-# `service.namespace=`.
+# Перевірка ConfigMap (js-run.mdc).
 #
-# Запуск (локально):
-#   conftest test path/to/k8s/base/configmap.yaml -p npm/policy/js_run \
-#     --namespace js_run.configmap
-#
-# Відповідність імені ConfigMap імені Deployment (cross-file) — у JS і `check-k8s.mjs`.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "contains": ... } }
+# Структура --data сформована з template/configmap.yaml.contains.yml.
+# Контекст: kind=ConfigMap; OTEL_RESOURCE_ATTRIBUTES має містити кожен substring
+# зі snippet (`service.name=`, `service.namespace=`).
 package js_run.configmap
 
 import rego.v1
 
-# Шаблони повідомлень — через `concat` для regal style/line-length.
-otel_service_name_template := concat(" ", [
-	"ConfigMap %q: OTEL_RESOURCE_ATTRIBUTES має містити",
-	"`service.name=` (js-run.mdc)",
-])
-
-otel_service_namespace_template := concat(" ", [
-	"ConfigMap %q: OTEL_RESOURCE_ATTRIBUTES має містити",
-	"`service.namespace=` (js-run.mdc)",
-])
-
-deny contains msg if {
-	input.kind == "ConfigMap"
-	otel := object.get(object.get(input, "data", {}), "OTEL_RESOURCE_ATTRIBUTES", "")
-	otel != ""
-	not contains(otel, "service.name=")
-	msg := sprintf(otel_service_name_template, [cm_name])
-}
-
 deny contains msg if {
 	input.kind == "ConfigMap"
-	otel := object.get(object.get(input, "data", {}), "OTEL_RESOURCE_ATTRIBUTES", "")
-	otel != ""
-	not contains(otel, "service.namespace=")
-	msg := sprintf(otel_service_namespace_template, [cm_name])
+	some field, needles in data.template.contains.data
+	actual := object.get(object.get(input, "data", {}), field, "")
+	actual != ""
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("ConfigMap %q: %s має містити %q (js-run.mdc)", [cm_name, field, needle])
 }
 
 cm_name := object.get(object.get(input, "metadata", {}), "name", "?")

package/rules/js-run/policy/configmap/template/configmap.yaml.contains.yml

@@ -0,0 +1,4 @@
+data:
+  OTEL_RESOURCE_ATTRIBUTES:
+    - 'service.name='
+    - 'service.namespace='

package/rules/js-run/policy/jsconfig/jsconfig.rego

@@ -1,66 +1,59 @@
-# Порт перевірки `jsconfig.json` з `npm/scripts/check-js-run.mjs` (js-run.mdc).
+# Перевірка `jsconfig.json` (js-run.mdc).
 #
-# Запуск (локально, у backend-пакеті з каталогом `src/`):
-#   conftest test path/to/jsconfig.json -p npm/policy/js_run \
-#     --namespace js_run.jsconfig
-#
-# Перевіряє: `compilerOptions.{lib, module, moduleResolution, target, checkJs}` і
-# `include` мають канонічні значення (js-run.mdc).
-#
-# FS-перевірка (наявність каталогу `src/` у пакеті, наявність самого `jsconfig.json`)
-# і вибір файлу-кандидата — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/jsconfig.json.snippet.yml.
+# Walker: для кожного leaf у template's snippet порівнюємо input[path].
+# Для масивів — equality (не subset-of, бо в jsconfig потрібен точний набір).
 package js_run.jsconfig
 
 import rego.v1
 
-# ── deny: compilerOptions ──────────────────────────────────────────────────
-
+# Generic 2-level walker: section → key → expected (для compilerOptions).
 deny contains msg if {
-	co := object.get(input, "compilerOptions", {})
-	not is_array(object.get(co, "lib", null))
-	msg := "jsconfig.json: compilerOptions.lib має бути [\"esnext\"] (js-run.mdc)"
+	some section, expected_inner in data.template.snippet
+	is_object(expected_inner)
+	inner := object.get(input, section, {})
+	is_object(inner)
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	not values_match(actual, expected_value)
+	msg := sprintf("jsconfig.json: %s.%s має бути %v (js-run.mdc)", [section, leaf_key, expected_value])
 }
 
+# Section відсутня або не обʼєкт.
 deny contains msg if {
-	co := object.get(input, "compilerOptions", {})
-	is_array(co.lib)
-	{l | some l in co.lib} != {"esnext"}
-	msg := "jsconfig.json: compilerOptions.lib має бути [\"esnext\"] (js-run.mdc)"
+	some section, expected_inner in data.template.snippet
+	is_object(expected_inner)
+	raw := object.get(input, section, null)
+	not is_object(raw)
+	msg := sprintf("jsconfig.json: відсутній обʼєкт %s (js-run.mdc)", [section])
 }
 
+# Top-level масив (наприклад include) — порівнюємо як множину.
 deny contains msg if {
-	object.get(object.get(input, "compilerOptions", {}), "module", null) != "NodeNext"
-	msg := "jsconfig.json: compilerOptions.module має бути \"NodeNext\" (js-run.mdc)"
+	some field, expected_array in data.template.snippet
+	is_array(expected_array)
+	actual := object.get(input, field, null)
+	not is_array(actual)
+	msg := sprintf("jsconfig.json: %s має бути масив %v (js-run.mdc)", [field, expected_array])
 }
 
 deny contains msg if {
-	object.get(object.get(input, "compilerOptions", {}), "moduleResolution", null) != "NodeNext"
-	msg := "jsconfig.json: compilerOptions.moduleResolution має бути \"NodeNext\" (js-run.mdc)"
+	some field, expected_array in data.template.snippet
+	is_array(expected_array)
+	is_array(object.get(input, field, null))
+	{x | some x in input[field]} != {x | some x in expected_array}
+	msg := sprintf("jsconfig.json: %s має бути %v (js-run.mdc)", [field, expected_array])
 }
 
-deny contains msg if {
-	object.get(object.get(input, "compilerOptions", {}), "target", null) != "esnext"
-	msg := "jsconfig.json: compilerOptions.target має бути \"esnext\" (js-run.mdc)"
+# Helper: leaf-level value match, з підтримкою масивів як множин.
+values_match(actual, expected) if {
+	not is_array(expected)
+	actual == expected
 }
 
-deny contains msg if {
-	object.get(object.get(input, "compilerOptions", {}), "checkJs", null) != false
-	msg := "jsconfig.json: compilerOptions.checkJs має бути false (js-run.mdc)"
-}
-
-# ── deny: include ──────────────────────────────────────────────────────────
-
-deny contains msg if {
-	not is_array(object.get(input, "include", null))
-	msg := "jsconfig.json: include має бути [\"src/**/*\"] (js-run.mdc)"
-}
-
-deny contains msg if {
-	is_array(input.include)
-	{p | some p in input.include} != {"src/**/*"}
-	msg := "jsconfig.json: include має бути [\"src/**/*\"] (js-run.mdc)"
+values_match(actual, expected) if {
+	is_array(expected)
+	is_array(actual)
+	{x | some x in actual} == {x | some x in expected}
 }

package/rules/js-run/policy/jsconfig/template/jsconfig.json.snippet.json

@@ -0,0 +1,10 @@
+{
+  "compilerOptions": {
+    "lib": ["esnext"],
+    "module": "NodeNext",
+    "moduleResolution": "NodeNext",
+    "target": "esnext",
+    "checkJs": false
+  },
+  "include": ["src/**/*"]
+}

package/rules/js-run/policy/package_json/package_json.rego

@@ -1,31 +1,20 @@
-# Порт перевірки залежностей `package.json` з `npm/scripts/check-js-run.mjs`
-# (js-run.mdc) — заборона `bunyan` / `@nitra/bunyan`.
+# Перевірка `package.json` (js-run.mdc).
 #
-# Запуск (локально, для будь-якого `package.json` у дереві):
-#   conftest test path/to/package.json -p npm/policy/js_run \
-#     --namespace js_run.package_json
-#
-# AST-скан коду на імпорти `bunyan` / `process.env` без `checkEnv`,
-# `new Promise(resolve => setTimeout(resolve, ...))`, обмеження `#conn/*`-аліасів —
-# у JS (потребує парсингу `.js` / `.ts` через oxc-parser).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "deny": ... } }
+# Структура --data сформована з template/package.json.deny.json.
+# AST-скан коду (`bunyan`/`process.env`/`#conn/*`) — у JS.
 package js_run.package_json
 
 import rego.v1
 
-forbidden_packages := {"bunyan", "@nitra/bunyan"}
-
 deny contains msg if {
-	some pkg_name in forbidden_packages
-	pkg_name in object.keys(object.get(input, "dependencies", {}))
-	msg := sprintf("dependencies містить %q — використовуй стандартні логери (js-run.mdc)", [pkg_name])
+	some pkg, reason in data.template.deny.dependencies
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("dependencies.%s — %s", [pkg, reason])
 }
 
 deny contains msg if {
-	some pkg_name in forbidden_packages
-	pkg_name in object.keys(object.get(input, "devDependencies", {}))
-	msg := sprintf("devDependencies містить %q — використовуй стандартні логери (js-run.mdc)", [pkg_name])
+	some pkg, reason in data.template.deny.devDependencies
+	pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf("devDependencies.%s — %s", [pkg, reason])
 }

package/rules/js-run/policy/package_json/template/package.json.deny.json

@@ -0,0 +1,10 @@
+{
+  "dependencies": {
+    "bunyan": "використовуй стандартні логери (js-run.mdc)",
+    "@nitra/bunyan": "використовуй стандартні логери (js-run.mdc)"
+  },
+  "devDependencies": {
+    "bunyan": "використовуй стандартні логери (js-run.mdc)",
+    "@nitra/bunyan": "використовуй стандартні логери (js-run.mdc)"
+  }
+}

package/rules/npm-module/npm-module.mdc

@@ -75,39 +75,10 @@ bunx -p typescript tsc src/**/*.js --declaration --allowJs --emitDeclarationOnly
 
 **`npm-publish.yml`:** push у **`main`**, **`on.push.paths`** з **`npm/**`**, **`JS-DevTools/npm-publish@v4.1.5`**, **`with.package: npm/package.json`**, **`permissions.id-token: write`** (OIDC на npm).
 
-```yaml title=".github/workflows/npm-publish.yml"
-name: npm-publish
-
-on:
-  push:
-    paths:
-      - 'npm/**'
-    branches:
-      - main
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  publish:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-      id-token: write # КРИТИЧНО для OIDC!
-
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-
-      - uses: actions/setup-node@v6
-        with:
-          node-version: '24' # includes npm@11.6.0
-          registry-url: 'https://registry.npmjs.org'
-
-      - name: Publish package
-        uses: JS-DevTools/npm-publish@v4.1.5
-        with:
-          package: npm/package.json
-```
+- Канон: [npm-publish.yml.snippet.yml](./policy/npm_publish_yml/template/npm-publish.yml.snippet.yml)
+
+## Канонічні конфіги
+
+- Кореневий `package.json` (workspaces): [package.json.snippet.json](./policy/root_package_json/template/package.json.snippet.json)
+- `npm/package.json` (whitelist `files` обовʼязково має містити `types`): [package.json.snippet.json](./policy/npm_package_json/template/package.json.snippet.json)
+- `npm/tsconfig.emit-types.json` (canonical `compilerOptions` для emit-types): [tsconfig.emit-types.json.snippet.json](./policy/emit_types_config/template/tsconfig.emit-types.json.snippet.json)

package/rules/npm-module/policy/emit_types_config/emit_types_config.rego

@@ -1,37 +1,28 @@
-# Порт перевірок `npm/tsconfig.emit-types.json` з `npm/scripts/check-npm-module.mjs`
-# (npm-module.mdc).
+# Перевірка `npm/tsconfig.emit-types.json` (npm-module.mdc).
 #
-# Запуск (локально):
-#   conftest test npm/tsconfig.emit-types.json -p npm/policy/npm_module \
-#     --namespace npm_module.emit_types_config
-#
-# Перевіряє: `compilerOptions.{allowJs, declaration, emitDeclarationOnly, outDir,
-# skipLibCheck}` мають канонічні значення (true/true/true/"types"/true). FS-перевірки
-# (наявність самого `tsconfig.emit-types.json`, активність layout-варіанта) — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/tsconfig.emit-types.json.snippet.json.
+# Snippet — 2-рівнева мапа (section → key → expected). Walker такий самий,
+# як для ga.vscode_settings / bun.bunfig.
 package npm_module.emit_types_config
 
 import rego.v1
 
-required_compiler_options := {
-	"allowJs": true,
-	"declaration": true,
-	"emitDeclarationOnly": true,
-	"outDir": "types",
-	"skipLibCheck": true,
-}
-
+# Leaf-by-leaf: коли section присутня й обʼєкт.
 deny contains msg if {
-	not is_object(object.get(input, "compilerOptions", null))
-	msg := "npm/tsconfig.emit-types.json: відсутній compilerOptions (npm-module.mdc)"
+	some section, expected_inner in data.template.snippet
+	inner := object.get(input, section, {})
+	is_object(inner)
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf("npm/tsconfig.emit-types.json: %s.%s має бути %v (npm-module.mdc)", [section, leaf_key, expected_value])
 }
 
+# Section відсутня (null) або не обʼєкт.
 deny contains msg if {
-	is_object(input.compilerOptions)
-	some key, expected in required_compiler_options
-	object.get(input.compilerOptions, key, null) != expected
-	msg := sprintf("npm/tsconfig.emit-types.json: compilerOptions.%s має бути %v (npm-module.mdc)", [key, expected])
+	some section in object.keys(data.template.snippet)
+	raw := object.get(input, section, null)
+	not is_object(raw)
+	msg := sprintf("npm/tsconfig.emit-types.json: відсутній %s (npm-module.mdc)", [section])
 }

package/rules/npm-module/policy/emit_types_config/template/tsconfig.emit-types.json.snippet.json

@@ -0,0 +1,9 @@
+{
+  "compilerOptions": {
+    "allowJs": true,
+    "declaration": true,
+    "emitDeclarationOnly": true,
+    "outDir": "types",
+    "skipLibCheck": true
+  }
+}

package/rules/npm-module/policy/npm_package_json/npm_package_json.rego

@@ -1,44 +1,29 @@
-# Порт перевірок `npm/package.json` з `npm/scripts/check-npm-module.mjs`
-# (npm-module.mdc).
+# Порт перевірок `npm/package.json` (npm-module.mdc).
 #
-# Запуск (локально):
-#   conftest test npm/package.json -p npm/policy/npm_module \
-#     --namespace npm_module.npm_package_json
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/package.json.snippet.json
+# (snippet-array subset-of для whitelist `files`).
 #
-# Перевіряє:
-#  - поле `types` має один із двох канонічних патернів: `./types/index.d.ts`
-#    (layout `npm/src` з `.js`) або `./types/<…>.d.ts`/`.d.mts` (emit-types);
-#  - масив `files` присутній, непорожній і містить `"types"` (whitelist
-#    обовʼязковий — без нього npm пакує майже все);
-#  - `devDependencies` відсутні або порожні: dev-інструментарій тримаємо у
-#    кореневому `package.json` монорепо, щоб `npm install @nitra/<pkg>` його
-#    не тягнув (npm-module.mdc: компактний пакет).
+# Логіка, що ЛИШАЄТЬСЯ у rego (inverse-patterns, не виносяться у template):
+#  - форма поля `types` (regex pattern: `./types/index.d.ts` або `./types/<…>.d.ts|.d.mts`);
+#  - `devDependencies` мають бути відсутні або порожні (inverse-pattern — заборона будь-яких).
 #
-# Те, який саме типовий layout активний (наявність `.js` під `npm/src`),
-# існування файлу зі шляху `types` і скан тест-патернів у tarball — у
-# JS-перевірці (`check-npm-module.mjs`: cross-file / FS-access / AST).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# FS-перевірки (наявність файлу зі шляху `types`, скан tarball на тест-патерни) — у JS.
 package npm_module.npm_package_json
 
 import rego.v1
 
-# Шаблон повідомлення про неканонічне поле `types` — через `concat` для
-# regal style/line-length.
 types_field_template := concat(" ", [
 	"npm/package.json: поле \"types\" має бути \"./types/index.d.ts\"",
 	"або \"./types/<…>.d.ts|.d.mts\" (зараз: %v) (npm-module.mdc)",
 ])
 
-# Шаблон повідомлення про присутність `devDependencies`.
 dev_deps_template := concat(" ", [
 	"npm/package.json: \"devDependencies\" не публікуються користувачам пакета —",
 	"перенеси у кореневий package.json: %v (npm-module.mdc: компактний пакет)",
 ])
 
-# ── deny: types ────────────────────────────────────────────────────────────
+# ── deny: types (regex — лишається в rego) ───────────────────────────────
 
 deny contains msg if {
 	types_field := object.get(input, "types", "")
@@ -46,7 +31,7 @@ deny contains msg if {
 	msg := sprintf(types_field_template, [types_field])
 }
 
-# ── deny: files має існувати, бути непорожнім, містити "types" ────────────
+# ── deny: files має існувати та бути масивом ─────────────────────────────
 
 deny contains msg if {
 	not is_array(object.get(input, "files", null))
@@ -59,14 +44,19 @@ deny contains msg if {
 	msg := "npm/package.json: масив \"files\" не повинен бути порожнім (npm-module.mdc: компактний пакет)"
 }
 
+# ── deny: files subset-of з template (template-driven) ──────────────────
+
 deny contains msg if {
-	is_array(input.files)
-	count(input.files) > 0
-	not "types" in {f | some f in input.files}
-	msg := "npm/package.json: масив \"files\" має містити \"types\" (npm-module.mdc)"
+	some field, expected_values in data.template.snippet
+	is_array(object.get(input, field, null))
+	count(input[field]) > 0
+	actual_set := {v | some v in input[field]}
+	some required in expected_values
+	not required in actual_set
+	msg := sprintf("npm/package.json: масив \"%s\" має містити %q (npm-module.mdc)", [field, required])
 }
 
-# ── deny: жодних devDependencies у npm/package.json ───────────────────────
+# ── deny: devDependencies (inverse-pattern, лишається в rego) ────────────
 
 deny contains msg if {
 	dev := object.get(input, "devDependencies", {})

package/rules/npm-module/policy/npm_package_json/template/package.json.snippet.json

@@ -0,0 +1 @@
+{ "files": ["types"] }

package/rules/npm-module/policy/npm_publish_yml/npm_publish_yml.rego

@@ -1,20 +1,12 @@
-# Порт перевірок `.github/workflows/npm-publish.yml` з `npm/scripts/check-npm-module.mjs`
-# (npm-module.mdc).
+# Перевірка `.github/workflows/npm-publish.yml` (npm-module.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/npm-publish.yml -p npm/policy/npm_module \
-#     --namespace npm_module.npm_publish_yml
-#
-# Перевіряє: `on.push.paths` містить glob з `npm/**`, `on.push.branches` містить
-# `main`, у jobs є `permissions.id-token: write` (OIDC), є крок з
-# `uses: JS-DevTools/npm-publish` і `with.package: npm/package.json`.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/npm-publish.yml.snippet.yml.
+# Per-concern field-by-field: path/substring-маркери з expected_uses_set читаються
+# зі steps template, експектації branches/paths — subset-of.
 #
 # Універсальні workflow-перевірки (concurrency, заборонені setup-bun/cache/install,
 # shell line-continuation) — у `ga.workflow_common`.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package npm_module.npm_publish_yml
 
 import rego.v1
@@ -22,58 +14,74 @@ import rego.v1
 # YAML 1.1 quirk: ключ `on:` → boolean true → у конфтесті ключ "true".
 gha_on := input["true"]
 
-# Шаблон повідомлення про відсутній JS-DevTools/npm-publish крок — через `concat`
-# для regal style/line-length.
-npm_publish_step_template := concat(" ", [
-	"npm-publish.yml: очікується `uses: JS-DevTools/npm-publish`",
-	"з `with.package: npm/package.json` (npm-module.mdc)",
-])
+# Required marker — substring у `uses` для ідентифікації npm-publish кроку.
+publish_action_marker := "JS-DevTools/npm-publish"
+
+# Очікувані літерали з template.
+expected_paths := {p | some p in data.template.snippet.on.push.paths}
 
-# ── deny: paths/branches ──────────────────────────────────────────────────
+expected_branches := {b | some b in data.template.snippet.on.push.branches}
+
+expected_permissions := data.template.snippet.jobs.publish.permissions
+
+# Required publish-step (за маркером): expected `with.package` value з template.
+expected_publish_with_package := s.with.package if {
+	some s in data.template.snippet.jobs.publish.steps
+	contains(object.get(s, "uses", ""), publish_action_marker)
+}
+
+# ── deny: paths містить кожне з expected_paths (subset-of) ───────────────
 
 deny contains msg if {
-	not push_paths_have_npm_glob
-	msg := "npm-publish.yml: у on.push.paths має бути `npm/**` (npm-module.mdc)"
+	some required_path in expected_paths
+	not path_present(required_path)
+	msg := sprintf("npm-publish.yml: у on.push.paths має бути `%s` (npm-module.mdc)", [required_path])
 }
 
+# ── deny: branches містить кожне з expected_branches (subset-of) ─────────
+
 deny contains msg if {
-	not push_branches_have_main
-	msg := "npm-publish.yml: on.push.branches має містити `main` (npm-module.mdc)"
+	some required_branch in expected_branches
+	not required_branch in {b | some b in gha_on.push.branches}
+	msg := sprintf("npm-publish.yml: on.push.branches має містити `%s` (npm-module.mdc)", [required_branch])
 }
 
 # ── deny: id-token: write у permissions хоч одного job ────────────────────
 
 deny contains msg if {
-	not any_job_has_id_token_write
-	msg := "npm-publish.yml: permissions має містити `id-token: write` (OIDC) (npm-module.mdc)"
+	required := expected_permissions["id-token"]
+	not any_job_has_id_token(required)
+	msg := sprintf("npm-publish.yml: permissions має містити `id-token: %s` (OIDC) (npm-module.mdc)", [required])
 }
 
-# ── deny: крок з uses JS-DevTools/npm-publish та with.package ─────────────
+# ── deny: крок з uses-маркером npm-publish та канонічним with.package ────
 
-deny contains npm_publish_step_template if {
+deny contains msg if {
 	not has_npm_publish_step
+	msg := sprintf(
+		"npm-publish.yml: очікується `uses: %s` з `with.package: %s` (npm-module.mdc)",
+		[publish_action_marker, expected_publish_with_package],
+	)
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
 
-push_paths_have_npm_glob if {
+# Path присутній, якщо хоч один шлях у actual містить required як substring
+# (npm/** glob у workflow може бути записаний як `npm/**` або `'npm/**'`).
+path_present(required) if {
 	some p in gha_on.push.paths
 	is_string(p)
-	contains(p, "npm/**")
-}
-
-push_branches_have_main if {
-	"main" in {b | some b in gha_on.push.branches}
+	contains(p, required)
 }
 
-any_job_has_id_token_write if {
+any_job_has_id_token(required) if {
 	some job in object.get(input, "jobs", {})
-	job.permissions["id-token"] == "write"
+	job.permissions["id-token"] == required
 }
 
 has_npm_publish_step if {
 	some job in object.get(input, "jobs", {})
 	some step in object.get(job, "steps", [])
-	contains(object.get(step, "uses", ""), "JS-DevTools/npm-publish")
-	step.with.package == "npm/package.json"
+	contains(object.get(step, "uses", ""), publish_action_marker)
+	step.with.package == expected_publish_with_package
 }

package/rules/npm-module/policy/npm_publish_yml/template/npm-publish.yml.snippet.yml

@@ -0,0 +1,34 @@
+name: npm-publish
+
+on:
+  push:
+    paths:
+      - 'npm/**'
+    branches:
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  publish:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+      id-token: write # КРИТИЧНО для OIDC!
+
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: actions/setup-node@v6
+        with:
+          node-version: '24' # includes npm@11.6.0
+          registry-url: 'https://registry.npmjs.org'
+
+      - name: Publish package
+        uses: JS-DevTools/npm-publish@v4.1.5
+        with:
+          package: npm/package.json