@nitra/cursor 1.13.15 → 1.13.26

package/.claude-template/hooks/normalize-decisions.sh

@@ -78,7 +78,7 @@ if [ -f "$STATE_FILE" ]; then
 fi
 
 THRESHOLD="${ADR_NORMALIZE_THRESHOLD:-30}"
-BATCH_SIZE="${ADR_NORMALIZE_BATCH:-30}"
+BATCH_SIZE="${ADR_NORMALIZE_BATCH:-10}"
 DRY_RUN="${ADR_NORMALIZE_DRY:-0}"
 
 # Detects whether a markdown file is a draft: has YAML frontmatter with `session:` field.

package/CHANGELOG.md

@@ -4,6 +4,91 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.26] - 2026-05-17
+
+### Changed
+
+- `security` rule: міграція з gitleaks на TruffleHog. Канонічний `lint-security` тепер `trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail`; allowlist переїхав із TOML-файлу `.gitleaks.toml` (`[extend].useDefault=true` + `[allowlist].paths`) у plain-text `.trufflehog-exclude` (regex-pattern на рядок). Bump `security.mdc` version `1.1` → `2.0`.
+
+### Added
+
+- `npm/rules/security/fix/trufflehog/check.mjs` + `template/.trufflehog-exclude.snippet.txt` — JS-частина правила перевіряє існування `.trufflehog-exclude` та subset канонічних patterns через `checkTextSubset` (Rego не пасує plain-text-формату).
+- `npm/rules/security/policy/lint_security_yml/` — Rego policy `security.lint_security_yml` із template `lint-security.yml.snippet.yml`; перевіряє, що `.github/workflows/lint-security.yml` містить крок з `uses: trufflesecurity/trufflehog@main`. У `security.mdc` inline-YAML замінено на template-link для single-source-of-truth (патерн із `php`/`style-lint`/`js-lint`). Workflow обовʼязковий (`target.json: required=true` + `missingMessage`), у корені cursor створено `.github/workflows/lint-security.yml` за каноном.
+
+### Removed
+
+- `npm/rules/security/fix/gitleaks/` + `npm/rules/security/policy/gitleaks/` (концерн gitleaks повністю видалено разом з Rego policy `security.gitleaks`).
+- Кореневий `.gitleaks.toml` (замінено на `.trufflehog-exclude`).
+
+## [1.13.25] - 2026-05-17
+
+### Added
+
+- `js-lint` rule template/ міграція (Phase 15, фінал): 4 концерни — `jscpd` (snippet з minLines >=N semantic), `vscode_extensions` (snippet-array), `package_json` (partial — `type`+`scripts.lint-js` у template; engines + eslint-config semver ranges у rego), `lint_js_yml` (full-canon з required uses + per-line run substrings з template's eslint-job steps; --fix anti-patterns + checkout persist-credentials у rego).
+
+### Closed
+
+- Template/ migration scope (Phases 1-15): 19 з 39 template-eligible концернів мігровано у попередніх фазах + 17 нових у Phase 6-15 = усі 39 завершено (100%). Залишилися лише non-eligible (AST-walks, multi-kind YAML, cross-file gating) — за дизайном живуть у JS/rego inline.
+
+## [1.13.24] - 2026-05-17
+
+### Added
+
+- `text` rule template/ міграція (Phase 14): 6 концернів — `cspell` (snippet + contains + deny з `@cspell/dict-` як forbidden substrings), `markdownlint` (3-level walker для `config.MD024.siblings_only`), `oxfmtrc` (scalar leafs + array subset-of; required_keys presence лишається в rego), `package_json` (top-level deny + deps/devDeps deny; `@nitra/cspell-dict` semver range у rego), `vscode_extensions` (snippet-array), `vscode_settings` (top-level leafs + per-language blocks).
+
+## [1.13.23] - 2026-05-17
+
+### Added
+
+- `style-lint` rule template/ міграція (Phase 13): 4 policy концерни — `package_json` (contains + 2-level snippet для `stylelint.extends`; `@nitra/stylelint-config` presence лишається в rego), `vscode_extensions` (snippet-array), `vscode_settings` (top-level leaf walker для `css/less/scss.validate`), `lint_style_yml` (full-canon з substring-маркером з template's stylelint-job steps). `fix/tooling` (`.stylelintignore` partial) лишається JS-managed.
+
+## [1.13.22] - 2026-05-17
+
+### Added
+
+- `image-avif.package_json` template/ міграція (Phase 12): typo-keys у `template/package.json.deny.json` (`@nitra/minify-image.disabled-avif` як приклад typo до `disable-avif`). Type-перевірки (inverse-patterns) лишилися в rego.
+
+## [1.13.21] - 2026-05-17
+
+### Added
+
+- `js-run` rule template/ міграція (Phase 11): 3 концерни (інвентар недорахував `jsconfig`) — `configmap` (contains, OTEL_RESOURCE_ATTRIBUTES substrings), `package_json` (deny на bunyan/@nitra/bunyan у deps/devDeps), `jsconfig` (snippet з generic 2-level walker + top-level array як множина для `include`).
+- Drift-тести у кожному `*_test.rego`.
+
+## [1.13.20] - 2026-05-17
+
+### Added
+
+- `abie.clean_merged_ignore_branches` template/ міграція (Phase 10): action marker (`uses:` substring) + required `ignore_branches` tokens (`dev,ua`) тепер у `template/clean-merged-branch.yml.snippet.yml`. Rego читає expected step із template's `jobs.cleanup_old_branches.steps[0]`. Drift test покриває зміну required-branches.
+- `abie.mdc` — inline `ignore_branches` фрагмент замінено на template-link.
+
+## [1.13.19] - 2026-05-17
+
+### Added
+
+- `docker` rule template/ міграція (Phase 9): `docker.package_json` (snippet, scripts.lint-docker з trim_space, conditional на наявність) + `docker.lint_docker_yml` (full-canon — paths, required uses, run substrings з template's steps).
+- `docker.mdc` — 2 inline-блоки замінено на template-links.
+
+## [1.13.18] - 2026-05-17
+
+### Added
+
+- `js-bun-db.package_json` + `js-bun-redis.package_json` template/ міграція (Phase 8): `template/package.json.deny.json` (forbidden deps з причинами). Rego — простий deny-walker. 2 нових `*_test.rego` (8 тестів).
+
+## [1.13.17] - 2026-05-17
+
+### Added
+
+- `php` rule template/ міграція (Phase 7): `php.package_json` (fragment, contains-walker для `lint-php`) + `php.lint_php_yml` (full-canon, substring-маркер `bun run lint-php` з template's php-job steps). 2 нових `*_test.rego` (8 тестів).
+- `php.mdc` — 2 inline-блоки замінено на template-links.
+
+## [1.13.16] - 2026-05-17
+
+### Added
+
+- `image-compress.package_json` template/ міграція (Phase 6): `template/package.json.{contains,deny}.json` + новий `package_json_test.rego` (10 тестів). Generic contains-walker для substring-перевірок lint-image + generic deny-walker для заборонених deps; інверс-патерни (`--avif` заборонений підрядок + аґреґатор `lint` має містити `bun run lint-image`) лишилися в rego.
+- `image-compress.mdc` — inline `package.json` snippet замінено на template-links.
+
 ## [1.13.15] - 2026-05-17
 
 ### Added

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.15",
+  "version": "1.13.26",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/abie.mdc

@@ -148,10 +148,7 @@ KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
 
 У **`.github/workflows/clean-merged-branch.yml`** у кроці **`phpdocker-io/github-actions-delete-abandoned-branches`** значення **`with.ignore_branches`** має містити **dev** та **ua** (разом з іншими гілками, якщо потрібно):
 
-```yaml title=".github/workflows/clean-merged-branch.yml (фрагмент)"
-with:
-  ignore_branches: main,dev,ua
-```
+- abie-specific канон (action marker + required ignore_branches tokens): [clean-merged-branch.yml.snippet.yml](./policy/clean_merged_ignore_branches/template/clean-merged-branch.yml.snippet.yml)
 
 ## Швидкий gate через conftest (Rego)
 

package/rules/abie/policy/clean_merged_ignore_branches/clean_merged_ignore_branches.rego

@@ -1,58 +1,42 @@
-# Порт перевірки `parseCleanMergedIgnoreBranches` + `ignoreBranchesIncludesRequired`
-# з `npm/scripts/check-abie.mjs` (abie.mdc): у workflow
-# `.github/workflows/clean-merged-branch.yml` крок з
-# `uses: phpdocker-io/github-actions-delete-abandoned-branches` має у
-# `with.ignore_branches` містити усі обовʼязкові токени `dev,ua`
-# (case-insensitive, кома-розділені).
+# Перевірка `clean-merged-branch.yml` для abie-проєктів (abie.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/clean-merged-branch.yml \
-#     -p npm/policy/abie/clean_merged_ignore_branches \
-#     --namespace abie.clean_merged_ignore_branches
-#
-# JS authoritative (`check-abie.mjs`: `checkCleanMergedBranch`,
-# `parseCleanMergedIgnoreBranches`, `ignoreBranchesIncludesRequired`); ця Rego —
-# швидкий gate для одиничного workflow YAML. Cross-file гейтинг (правило
-# `abie` у `.n-cursor.json`) — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/clean-merged-branch.yml.snippet.yml.
+# Action-маркер (`uses:` substring) і required branches (parsed з template's
+# `ignore_branches`) читаються з template. ga.clean_merged_branch перевіряє
+# повний канон workflow окремо; цей пакет — лише abie-specific шар.
 package abie.clean_merged_ignore_branches
 
 import rego.v1
 
-# Обовʼязкові гілки в `ignore_branches` (узгоджено з `ABIE_REQUIRED_IGNORE_BRANCHES`).
-required_branches := {"dev", "ua"}
+# Експектації з template's step (першого з steps).
+expected_step := step if some step in data.template.snippet.jobs.cleanup_old_branches.steps
+
+target_action_marker := expected_step.uses
 
-# Префікс `uses:` для GitHub Action, у якого читаємо `with.ignore_branches`.
-target_action_marker := "phpdocker-io/github-actions-delete-abandoned-branches"
+required_branches := parsed_ignore_tokens(expected_step.with.ignore_branches)
 
-step_missing_msg := concat(" ", [
-	"clean-merged-branch.yml: не знайдено крок з uses: phpdocker-io/github-actions-delete-abandoned-branches",
-	"(abie.mdc)",
-])
+step_missing_msg := sprintf(
+	"clean-merged-branch.yml: не знайдено крок з uses: %s (abie.mdc)",
+	[target_action_marker],
+)
 
-ignore_branches_missing_msg := concat(" ", [
-	"clean-merged-branch.yml: не знайдено with.ignore_branches у кроці",
-	"phpdocker-io/github-actions-delete-abandoned-branches (abie.mdc)",
-])
+ignore_branches_missing_msg := sprintf(
+	"clean-merged-branch.yml: не знайдено with.ignore_branches у кроці %s (abie.mdc)",
+	[target_action_marker],
+)
 
-# ── deny: крок не знайдено ────────────────────────────────────────────────
+# ── deny ─────────────────────────────────────────────────────────────────
 
 deny contains step_missing_msg if {
 	count(target_steps) == 0
 }
 
-# ── deny: з step нема with.ignore_branches ────────────────────────────────
-
 deny contains ignore_branches_missing_msg if {
 	count(target_steps) > 0
 	not has_ignore_branches_value
 }
 
-# ── deny: ignore_branches не містить усіх обов'язкових токенів ────────────
-
 deny contains msg if {
 	count(target_steps) > 0
 	ignore_branches_value != ""
@@ -64,9 +48,8 @@ deny contains msg if {
 	)
 }
 
-# ── helpers ───────────────────────────────────────────────────────────────
+# ── helpers ──────────────────────────────────────────────────────────────
 
-# Усі steps з усіх jobs у workflow (підтримує jobs.<job>.steps[]).
 target_steps contains step if {
 	some job in object.get(input, "jobs", {})
 	some step in object.get(job, "steps", [])
@@ -75,7 +58,6 @@ target_steps contains step if {
 	contains(uses, target_action_marker)
 }
 
-# Чи у знайдених steps хоча б у одного є with.ignore_branches непорожнім рядком.
 has_ignore_branches_value if {
 	some step in target_steps
 	v := object.get(object.get(step, "with", {}), "ignore_branches", null)
@@ -93,7 +75,6 @@ ignore_branches_value := values[0] if {
 	count(values) > 0
 }
 
-# Розбирає `ignore_branches` як `,`-розділений список, нормалізує через trim+lower.
 parsed_ignore_tokens(value) := {lower(trim_space(part)) |
 	some part in split(value, ",")
 	trim_space(part) != ""

package/rules/abie/policy/clean_merged_ignore_branches/template/clean-merged-branch.yml.snippet.yml

@@ -0,0 +1,9 @@
+# abie-specific шар поверх ga.clean_merged_branch:
+# у `clean-merged-branch.yml` крок phpdocker-io/github-actions-delete-abandoned-branches
+# має містити `ignore_branches: dev,ua` (обовʼязкові гілки для abie-проєктів).
+jobs:
+  cleanup_old_branches:
+    steps:
+      - uses: phpdocker-io/github-actions-delete-abandoned-branches
+        with:
+          ignore_branches: dev,ua

package/rules/adr/adr.mdc

@@ -35,7 +35,7 @@ Stop-hook `normalize-decisions.sh` спрацьовує на тому самом
 
 - Виходить миттєво, якщо чернеток (`session:` у frontmatter) менше ніж **`ADR_NORMALIZE_THRESHOLD`** (default 30).
 - Виходить миттєво, якщо від попередньої спроби пройшло менше **`ADR_NORMALIZE_MIN_INTERVAL_HOURS`** годин (default 6) — щоб не крутитися щоразу, коли поріг постійний.
-- Бере не більше **`ADR_NORMALIZE_BATCH`** чернеток (default 30, найстарші за іменем-timestamp), формує один промпт LLM і чекає JSON-відповідь зі списком операцій.
+- Бере не більше **`ADR_NORMALIZE_BATCH`** чернеток (default 10, найстарші за іменем-timestamp), формує один промпт LLM і чекає JSON-відповідь зі списком операцій.
 - Виходить миттєво, якщо репозиторій у стані `MERGE_HEAD` / `rebase-*` — небезпечно правити файли посеред конфлікту.
 - Виходить миттєво, якщо інший normalize-запуск тримає `flock` на `.claude/hooks/.normalize.lock` (тільки де `flock` доступний).
 
@@ -60,7 +60,7 @@ LLM повертає масив операцій:
 | Змінна | Default | Призначення |
 | --- | --- | --- |
 | `ADR_NORMALIZE_THRESHOLD` | `30` | Поріг чернеток для запуску фази. |
-| `ADR_NORMALIZE_BATCH` | `30` | Максимум чернеток у одному виклику LLM. |
+| `ADR_NORMALIZE_BATCH` | `10` | Максимум чернеток у одному виклику LLM. |
 | `ADR_NORMALIZE_MIN_INTERVAL_HOURS` | `6` | Мінімум між спробами (навіть якщо поріг). |
 | `ADR_NORMALIZE_DRY` | `0` | `1` — лише лог запланованих операцій, без змін на диску. |
 | `ADR_NORMALIZE_MODEL` | `sonnet` | Модель для `claude -p`. |

package/rules/docker/docker.mdc

@@ -101,61 +101,13 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 
 Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`check-docker.mjs`**. Виклик **`hadolint`**: **`PATH`**, інакше **`docker run`** — спільна логіка **`npm/scripts/utils/docker-hadolint.mjs`**.
 
-```json title="package.json"
-{
-  "scripts": {
-    "lint-docker": "n-cursor lint-docker"
-  }
-}
-```
+- Канон `package.json#scripts.lint-docker`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
 
 Якщо правило **`docker`** підключено в **`.n-cursor.json`** (масив **`rules`**), у **кореневому** `package.json` **обов'язково** мають бути скрипт **`lint-docker`** і виклик **`bun run lint-docker`** у агрегованому **`lint`** (див. **`bun.mdc`**). Це перевіряє **`npx @nitra/cursor check bun`**.
 
 Додай workflow **`.github/workflows/lint-docker.yml`** (гілки **`dev`** і **`main`**, лише **`.yml`**, узгоджено з **`ga.mdc`**):
 
-```yaml title=".github/workflows/lint-docker.yml"
-name: Lint Docker
-
-on:
-  push:
-    branches:
-      - dev
-      - main
-    paths:
-      - '**/Dockerfile'
-      - '**/*.Dockerfile'
-      - '**/*.dockerfile'
-
-  pull_request:
-    branches:
-      - dev
-      - main
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  lint-docker:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-
-      - name: Install hadolint
-        run: |
-          curl -sSL -o /tmp/hadolint https://github.com/hadolint/hadolint/releases/download/v2.12.0/hadolint-Linux-x86_64
-          chmod +x /tmp/hadolint
-          sudo mv /tmp/hadolint /usr/local/bin/hadolint
-
-      - uses: ./.github/actions/setup-bun-deps
-
-      - name: Lint Docker
-        run: bun run lint-docker
-```
+- Канон: [lint-docker.yml.snippet.yml](./policy/lint_docker_yml/template/lint-docker.yml.snippet.yml)
 
 Узгоджуй версію hadolint **v2.12.0** з **`HADOLINT_IMAGE`** у **`npm/scripts/utils/docker-hadolint.mjs`**.
 

package/rules/docker/policy/lint_docker_yml/lint_docker_yml.rego

@@ -1,33 +1,32 @@
 # Перевірка `.github/workflows/lint-docker.yml` (docker.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/lint-docker.yml -p npm/policy/docker/lint_docker_yml \
-#     --namespace docker.lint_docker_yml
-#
-# Canonical (docker.mdc):
-#   - `on.push.paths` містить glob-и для Dockerfile (`**/Dockerfile`, `**/*.Dockerfile`,
-#     `**/*.dockerfile`);
-#   - крок `Install hadolint` з URL версії `v2.12.0` (узгоджено з `HADOLINT_IMAGE`
-#     у `npm/scripts/utils/docker-hadolint.mjs`);
-#   - крок `uses: ./.github/actions/setup-bun-deps` (canonical composite per ga.mdc;
-#     прямі `oxen-sh/setup-bun`/`actions/cache`/`bun install` заборонено через
-#     `ga.workflow_common`);
-#   - крок `run: bun run lint-docker`.
-#
-# Універсальні workflow-перевірки (concurrency, заборонені setup-bun/cache/install,
-# shell line-continuation) — у `ga.workflow_common`.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-docker.yml.snippet.yml.
+# Path-маркери, hadolint версія (substring "v2.12.0" у run), setup-bun-deps
+# composite, `bun run lint-docker` substring — все читається з template's snippet.
+# Універсальні workflow-перевірки — у `ga.workflow_common`.
 package docker.lint_docker_yml
 
 import rego.v1
 
-required_push_paths := {"**/Dockerfile", "**/*.Dockerfile", "**/*.dockerfile"}
-required_hadolint_version := "v2.12.0"
-canonical_setup_bun_action := "./.github/actions/setup-bun-deps"
+# Очікувані літерали з template.
+expected_paths := {p | some p in data.template.snippet.on.push.paths}
+
+# Required uses set — з template's steps.
+expected_uses_set contains u if {
+	some step in data.template.snippet.jobs["lint-docker"].steps
+	u := object.get(step, "uses", "")
+	u != ""
+}
 
-# Усі тексти `uses:` зі steps усіх jobs (incremental set rule per regal:
-# prefer-set-or-object-rule — це краще за comprehension).
+# Required run substrings — collected per-step з template.
+expected_run_substrings contains r if {
+	some step in data.template.snippet.jobs["lint-docker"].steps
+	r := object.get(step, "run", "")
+	r != ""
+}
+
+# Аліаси на input.
 all_step_uses contains u if {
 	some job in object.get(input, "jobs", {})
 	some step in object.get(job, "steps", [])
@@ -41,49 +40,36 @@ all_run_text := concat("\n", [run_text |
 	run_text := step_run_to_text(step)
 ])
 
-# Множина значень `on.push.paths` (підтримує `on: { push: { paths: [...] } }`).
 push_paths_set := {p |
 	some p in object.get(object.get(object.get(input, "on", {}), "push", {}), "paths", [])
 }
 
-# ── deny: on.push.paths ──────────────────────────────────────────────────
+# ── deny: on.push.paths subset-of ──────────────────────────────────────
 
 deny contains msg if {
-	some required in required_push_paths
+	some required in expected_paths
 	not required in push_paths_set
 	msg := sprintf("lint-docker.yml: on.push.paths має містити %q (docker.mdc)", [required])
 }
 
-# ── deny: hadolint install version ───────────────────────────────────────
-
-deny contains msg if {
-	not contains(all_run_text, required_hadolint_version)
-	msg := sprintf(
-		"lint-docker.yml: крок hadolint install має містити версію %q (узгоджено з HADOLINT_IMAGE) (docker.mdc)",
-		[required_hadolint_version],
-	)
-}
-
-# ── deny: setup-bun-deps composite ───────────────────────────────────────
+# ── deny: required uses present ────────────────────────────────────────
 
 deny contains msg if {
-	not canonical_setup_bun_action in all_step_uses
-	msg := concat(" ", [
-		"lint-docker.yml: відсутній крок",
-		"`uses: ./.github/actions/setup-bun-deps` (canonical composite per ga.mdc) (docker.mdc)",
-	])
+	some required_use in expected_uses_set
+	not required_use in all_step_uses
+	msg := sprintf("lint-docker.yml: відсутній крок `uses: %s` (docker.mdc)", [required_use])
 }
 
-# ── deny: bun run lint-docker ────────────────────────────────────────────
+# ── deny: required run substrings ──────────────────────────────────────
 
 deny contains msg if {
-	not contains(all_run_text, "bun run lint-docker")
-	msg := "lint-docker.yml: жоден крок run не містить `bun run lint-docker` (docker.mdc)"
+	some required_run in expected_run_substrings
+	not contains(all_run_text, required_run)
+	msg := sprintf("lint-docker.yml: жоден крок run не містить %q (docker.mdc)", [required_run])
 }
 
-# ── helpers ──────────────────────────────────────────────────────────────
+# ── helpers ────────────────────────────────────────────────────────────
 
-# Текст `run:` як один рядок: підтримує string і array форми (YAML).
 step_run_to_text(step) := step.run if is_string(step.run)
 
 else := concat("\n", [s | some s in step.run]) if is_array(step.run)

package/rules/docker/policy/lint_docker_yml/template/lint-docker.yml.snippet.yml

@@ -0,0 +1,41 @@
+name: Lint Docker
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/Dockerfile'
+      - '**/*.Dockerfile'
+      - '**/*.dockerfile'
+
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  lint-docker:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - name: Install hadolint
+        run: |
+          curl -sSL -o /tmp/hadolint https://github.com/hadolint/hadolint/releases/download/v2.12.0/hadolint-Linux-x86_64
+          chmod +x /tmp/hadolint
+          sudo mv /tmp/hadolint /usr/local/bin/hadolint
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - name: Lint Docker
+        run: bun run lint-docker

package/rules/docker/policy/package_json/package_json.rego

@@ -1,35 +1,18 @@
-# Перевірка `package.json` для docker (docker.mdc).
+# Перевірка `package.json` (docker.mdc).
 #
-# Запуск (локально):
-#   conftest test package.json -p npm/policy/docker/package_json \
-#     --namespace docker.package_json
-#
-# Canonical (docker.mdc): якщо у проєкті є правило `docker` (у `.n-cursor.json`),
-# у кореневому `package.json` має бути канонічний `scripts.lint-docker`.
-#
-# Цей пакет перевіряє ЛИШЕ зміст значення `scripts.lint-docker`, якщо ключ
-# присутній. Умовну обовʼязковість (правило `docker` у `.n-cursor.json` →
-# `scripts.lint-docker` ЗОБОВ'ЯЗАНИЙ існувати) перевіряє `check-bun.mjs` через
-# cross-file логіку (читає `.n-cursor.json` і `package.json`). Тут rego видно
-# лише один документ, тому без `.n-cursor.json`-контексту вимагати наявність
-# `scripts.lint-docker` означало б false-positive порушення для проєктів без docker.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Перевіряє ЛИШЕ зміст значення `scripts.lint-docker`, якщо ключ присутній.
+# Умовну обовʼязковість (правило `docker` у `.n-cursor.json` → `scripts.lint-docker`
+# зобовʼязаний існувати) перевіряє `check-bun.mjs` через cross-file логіку.
 package docker.package_json
 
 import rego.v1
 
-canonical_lint_docker := "n-cursor lint-docker"
-
-lint_docker_template := concat(" ", [
-	"package.json: scripts.lint-docker має бути %q",
-	"(зараз: %q) (docker.mdc)",
-])
-
+# Conditional snippet-check: тільки якщо значення непорожнє у input.
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	lint_docker := object.get(scripts, "lint-docker", "")
-	lint_docker != ""
-	trim_space(lint_docker) != canonical_lint_docker
-	msg := sprintf(lint_docker_template, [canonical_lint_docker, lint_docker])
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	actual != ""
+	trim_space(actual) != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (зараз: %q) (docker.mdc)", [script_name, expected, actual])
 }

package/rules/docker/policy/package_json/template/package.json.snippet.json

@@ -0,0 +1 @@
+{ "scripts": { "lint-docker": "n-cursor lint-docker" } }

package/rules/image-avif/policy/package_json/package_json.rego

@@ -1,43 +1,41 @@
 # Структурна перевірка опт-аут конфігу для image-avif у `package.json` (image-avif.mdc).
 #
-# Запуск (локально):
-#   conftest test <pkg>/package.json -p npm/policy/image_avif/package_json \
-#     --namespace image_avif.package_json
-#
-# Канонічна форма опт-ауту з image-avif.mdc:
-#   { "@nitra/minify-image": { "disable-avif": true } }
-#
-# Поле опційне — більшість проєктів його не мають. Полісі deny лише, якщо поле
-# присутнє, але має нелегітимну форму: типовий typo (`disabled-avif`) або
-# неправильний тип (`"disable-avif": "yes"`). Без цієї перевірки помилкове
-# написання тихо повертає AVIF-генерацію всередину пакета, де її хотіли вимкнути.
+# Канон надходить через --data: { "template": { "deny": ... } }
+# Структура --data сформована з template/package.json.deny.json:
+# `<field>.<typo_key>` — нелегітимні (typo) ключі під опт-аут конфігом.
 #
+# Inverse type-перевірки (поле має бути обʼєктом, `disable-avif` — boolean) лишаються
+# inline у rego, бо це не лежить на template-pattern (це інверс типу, не deny-key).
 # FS / behavior (запуск `npx @nitra/minify-image`, walk `.vue`, видалення AVIF-сиріт) — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
 package image_avif.package_json
 
 import rego.v1
 
-minify_image_field := "@nitra/minify-image"
+# ── deny: typo-keys (template-driven) ────────────────────────────────────
+
+deny contains msg if {
+	some field, typo_map in data.template.deny
+	cfg := object.get(input, field, null)
+	is_object(cfg)
+	some typo_key, reason in typo_map
+	typo_key in object.keys(cfg)
+	msg := sprintf("package.json: ключ \"%s.%s\" — %s", [field, typo_key, reason])
+}
 
-# ── deny: значення поля має бути обʼєктом, якщо присутнє ──────────────────
+# ── deny: тип поля (inverse — лишається в rego) ──────────────────────────
 
 deny contains msg if {
-	value := object.get(input, minify_image_field, null)
+	some field, _ in data.template.deny
+	value := object.get(input, field, null)
 	value != null
 	not is_object(value)
-	msg := sprintf(
-		"package.json: поле \"@nitra/minify-image\" має бути обʼєктом (зараз: %v) (image-avif.mdc)",
-		[value],
-	)
+	msg := sprintf("package.json: поле \"%s\" має бути обʼєктом (зараз: %v) (image-avif.mdc)", [field, value])
 }
 
-# ── deny: відомі ключі мають правильний тип ──────────────────────────────
+# ── deny: тип disable-avif (inverse — лишається в rego, hardcoded key) ──
 
 deny contains msg if {
-	cfg := object.get(input, minify_image_field, {})
+	cfg := object.get(input, "@nitra/minify-image", {})
 	is_object(cfg)
 	value := object.get(cfg, "disable-avif", null)
 	value != null
@@ -47,15 +45,3 @@ deny contains msg if {
 		[value],
 	)
 }
-
-# ── deny: захист від typo `disabled-avif` ────────────────────────────────
-
-deny contains msg if {
-	cfg := object.get(input, minify_image_field, {})
-	is_object(cfg)
-	"disabled-avif" in object.keys(cfg)
-	msg := concat(" ", [
-		"package.json: ключ \"@nitra/minify-image.disabled-avif\" виглядає як typo —",
-		"канонічна назва \"disable-avif\" (image-avif.mdc)",
-	])
-}

package/rules/image-avif/policy/package_json/template/package.json.deny.json

@@ -0,0 +1,5 @@
+{
+  "@nitra/minify-image": {
+    "disabled-avif": "виглядає як typo — канонічна назва \"disable-avif\" (image-avif.mdc)"
+  }
+}

package/rules/image-compress/image-compress.mdc

@@ -11,14 +11,8 @@ CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (
 
 ## `package.json`
 
-```json title="package.json"
-{
-  "scripts": {
-    "lint": "bun run lint-js && bun run lint-text && bun run lint-ga && bun run lint-image && oxfmt .",
-    "lint-image": "npx @nitra/minify-image --src=. --write"
-  }
-}
-```
+- Канон `lint-image` (substring requirements): [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
+- Заборонені залежності `@nitra/minify-image` у deps/devDeps: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
 
 Якщо в `package.json` уже є агрегований `lint`, додай у його ланцюжок `bun run lint-image` (як `bun run lint-text`, `bun run lint-js`, `bun run lint-ga`). Так розробник, що локально гонить `bun run lint`, перед фіксацією одразу бачить, чи зросли зображення.