@nitra/cursor 1.13.15 → 1.13.26

package/rules/security/security.mdc

@@ -1,58 +1,37 @@
 ---
-description: Локальний та CI-секюріті-лінт через gitleaks — скрипт `lint-security`, `.gitleaks.toml`, інтеграція в агрегований `lint`
-globs: "**/.gitleaks.toml,**/package.json,**/.github/workflows/**/*.yml"
+description: Локальний та CI-секюріті-лінт через TruffleHog — скрипт `lint-security`, `.trufflehog-exclude`, інтеграція в агрегований `lint`
+globs: "**/.trufflehog-exclude,**/package.json,**/.github/workflows/**/*.yml"
 alwaysApply: false
-version: '1.1'
+version: '2.0'
 ---
 
-[gitleaks](https://github.com/gitleaks/gitleaks) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+[TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
 
 ## Канон `package.json#scripts`
 
 - `lint-security` скрипт: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
 - `lint` агрегатор повинен містити: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
-- Заборонено `gitleaks` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+- Заборонено `trufflehog` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
 
 **Зауваження:**
 
-- `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
-- `--no-banner` — прибирає ASCII-арт (CI-friendly).
+- `trufflehog filesystem .` — сканує робоче дерево як директорію (включно з untracked/gitignored файлами); підкоманда `git file://.` лишається на CI для аудиту історії.
+- `--no-update` — вимикає self-update check (CI-friendly).
+- `--exclude-paths .trufflehog-exclude` — файл з regex-patterns, які треба пропускати (аналог `[allowlist].paths` із gitleaks).
+- `--results=verified,unknown` — показує лише верифіковані секрети + ті, що TruffleHog не зміг перевірити (`unverified` дублікат відсіюється).
+- `--fail` — exit-code `183` за наявності знахідок (потрібно, щоб `bun run lint` падав).
 - Позиція в `lint`: за конвенцією після інших `lint-*` і перед `oxfmt`.
 
-## `.gitleaks.toml` (рекомендована основа)
+## `.trufflehog-exclude` (рекомендована основа)
 
-Канон (допускає розширення в `[allowlist].paths`): [.gitleaks.toml.snippet.toml](./fix/gitleaks/template/.gitleaks.toml.snippet.toml)
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./fix/trufflehog/template/.trufflehog-exclude.snippet.txt)
 
-**Важливо:** `useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+**Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
 
-## GitHub Actions (опційно)
+## CI: `.github/workflows/lint-security.yml`
 
-Окремий workflow не обовʼязковий — `lint-security` уже виконується через агрегований `lint`. Для fast-feedback окремо:
+Workflow обовʼязковий — забезпечує незалежний скан секретів на push/PR (агрегований `lint` локально + окремий fail-fast job на CI).
 
-```yaml title=".github/workflows/lint-security.yml"
-name: Lint Security
+- Канон: [lint-security.yml.snippet.yml](./policy/lint_security_yml/template/lint-security.yml.snippet.yml)
 
-on:
-  push:
-    branches: [dev, main]
-  pull_request:
-    branches: [dev, main]
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  security:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-          fetch-depth: 0
-      - uses: gitleaks/gitleaks-action@v2
-```
-
-Для повного скану git-історії потрібен `fetch-depth: 0`.
+Перевіряється policy `security.lint_security_yml`: серед `uses:` має бути крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.

package/rules/style-lint/policy/lint_style_yml/lint_style_yml.rego

@@ -1,21 +1,19 @@
-# Порт перевірки `lint-style.yml` з `npm/scripts/check-style-lint.mjs` (style-lint.mdc).
+# Перевірка `lint-style.yml` (style-lint.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/lint-style.yml -p npm/policy/style_lint \
-#     --namespace style_lint.lint_style_yml
-#
-# Перевіряє: хоча б один крок `run` містить `npx stylelint` (саме через npx, не
-# `bun run lint-style`). Універсальні workflow-перевірки (concurrency, заборонені
-# setup-bun/cache/install) — у `ga.workflow_common`.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-style.yml.snippet.yml.
+# Маркер `run:` (npx stylelint substring) збирається з template's stylelint-job steps.
+# Універсальні workflow-перевірки — у `ga.workflow_common`.
 package style_lint.lint_style_yml
 
 import rego.v1
 
-# Усі тексти `run:` зі steps усіх jobs, склеєні в один blob — для substring-перевірки.
+expected_run_blob := concat("\n", [r |
+	some step in data.template.snippet.jobs.stylelint.steps
+	r := object.get(step, "run", "")
+	r != ""
+])
+
 all_run_text := concat("\n", [run_text |
 	some job in object.get(input, "jobs", {})
 	some step in object.get(job, "steps", [])
@@ -23,11 +21,11 @@ all_run_text := concat("\n", [run_text |
 ])
 
 deny contains msg if {
-	not contains(all_run_text, "npx stylelint")
-	msg := "lint-style.yml: жоден крок run не містить `npx stylelint` (style-lint.mdc)"
+	expected_run_blob != ""
+	not contains(all_run_text, expected_run_blob)
+	msg := sprintf("lint-style.yml: жоден крок run не містить %q (style-lint.mdc)", [expected_run_blob])
 }
 
-# Текст `run:` як один рядок: підтримує string і array форми (YAML).
 step_run_to_text(step) := step.run if is_string(step.run)
 
 else := concat("\n", [s | some s in step.run]) if is_array(step.run)

package/rules/style-lint/policy/lint_style_yml/template/lint-style.yml.snippet.yml

@@ -0,0 +1,39 @@
+name: StyleLint
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/*.css'
+      - '**/*.scss'
+      - '**/*.vue'
+
+  pull_request:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/*.css'
+      - '**/*.scss'
+      - '**/*.vue'
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  stylelint:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - name: StyleLint
+        run: npx stylelint '**/*.{css,scss,vue}' --fix

package/rules/style-lint/policy/package_json/package_json.rego

@@ -1,49 +1,41 @@
-# Порт перевірок `package.json` з `npm/scripts/check-style-lint.mjs` (style-lint.mdc).
+# Порт перевірок `package.json` (style-lint.mdc).
 #
-# Запуск (локально):
-#   conftest test package.json -p npm/policy/style_lint --namespace style_lint.package_json
+# Канон надходить через --data: { "template": { "contains": ..., "snippet": ... } }
+# Структура --data сформована з template/package.json.{contains,snippet}.json.
+# FS-альтернативи (`.stylelintrc.*` файли) + `.stylelintignore` — у JS.
 #
-# Перевіряє: наявність скрипта `lint-style` з `npx stylelint`, `@nitra/stylelint-config`
-# у `devDependencies`, поле `stylelint.extends == "@nitra/stylelint-config"`. FS-частина
-# (зовнішні `.stylelintrc.*` як альтернатива полю; `.stylelintignore`) лишається у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Логіка, що ЛИШАЄТЬСЯ у rego (inverse — не виноситься у template):
+#  - `@nitra/stylelint-config` має бути у devDependencies (presence-check).
 package style_lint.package_json
 
 import rego.v1
 
-# ── deny: lint-style скрипт ───────────────────────────────────────────────
+# ── deny: substring requirements у scripts (contains) ────────────────────
 
 deny contains msg if {
-	not object.get(object.get(input, "scripts", {}), "lint-style", false)
-	msg := "package.json не містить скрипт \"lint-style\" (style-lint.mdc)"
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (style-lint.mdc)", [script_name, needle])
 }
 
+# ── deny: 2-level snippet walker (для stylelint.extends, якщо поле є) ────
+
 deny contains msg if {
-	lint_style := object.get(object.get(input, "scripts", {}), "lint-style", "")
-	lint_style != ""
-	not contains(lint_style, "npx stylelint")
-	msg := sprintf("lint-style має викликати stylelint через npx (зараз: %q) (style-lint.mdc)", [lint_style])
+	some section, expected_inner in data.template.snippet
+	cfg := object.get(input, section, null)
+	is_object(cfg)
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(cfg, leaf_key, null)
+	actual != expected_value
+	msg := sprintf("package.json: %s.%s має бути %q (style-lint.mdc)", [section, leaf_key, expected_value])
 }
 
-# ── deny: @nitra/stylelint-config у devDependencies ───────────────────────
+# ── deny: @nitra/stylelint-config у devDependencies (inverse) ────────────
 
 deny contains msg if {
 	dev := object.get(input, "devDependencies", {})
 	not "@nitra/stylelint-config" in object.keys(dev)
 	msg := "@nitra/stylelint-config відсутній — bun add -d @nitra/stylelint-config (style-lint.mdc)"
 }
-
-# ── deny: поле stylelint.extends = "@nitra/stylelint-config" ──────────────
-#
-# JS-перевірка дозволяє альтернативу: окремий файл `.stylelintrc.*`. Цю частину
-# перевіряємо в JS (FS-вибірка); тут — лише структурна валідація поля, якщо воно є.
-
-deny contains msg if {
-	cfg := object.get(input, "stylelint", null)
-	is_object(cfg)
-	object.get(cfg, "extends", null) != "@nitra/stylelint-config"
-	msg := "package.json: stylelint.extends має бути \"@nitra/stylelint-config\" (style-lint.mdc)"
-}

package/rules/style-lint/policy/package_json/template/package.json.contains.json

@@ -0,0 +1,5 @@
+{
+  "scripts": {
+    "lint-style": ["npx stylelint"]
+  }
+}

package/rules/style-lint/policy/package_json/template/package.json.snippet.json

@@ -0,0 +1,5 @@
+{
+  "stylelint": {
+    "extends": "@nitra/stylelint-config"
+  }
+}

package/rules/style-lint/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -0,0 +1 @@
+{ "recommendations": ["stylelint.vscode-stylelint"] }

package/rules/style-lint/policy/vscode_extensions/vscode_extensions.rego

@@ -1,23 +1,13 @@
 # Перевірка `.vscode/extensions.json` для style-lint (style-lint.mdc).
 #
-# Запуск (локально):
-#   conftest test .vscode/extensions.json -p npm/policy/style_lint/vscode_extensions \
-#     --namespace style_lint.vscode_extensions
-#
-# Canonical (style-lint.mdc):
-#   { "recommendations": ["stylelint.vscode-stylelint"] }
-#
-# Канон задає мінімум — `recommendations` має МІСТИТИ `stylelint.vscode-stylelint`;
-# додаткові записи (від інших правил — markdownlint, oxc тощо) дозволені.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
 package style_lint.vscode_extensions
 
 import rego.v1
 
 deny contains msg if {
-	recs := object.get(input, "recommendations", [])
-	not "stylelint.vscode-stylelint" in {r | some r in recs}
-	msg := ".vscode/extensions.json: recommendations має містити \"stylelint.vscode-stylelint\" (style-lint.mdc)"
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (style-lint.mdc)", [rec])
 }

package/rules/style-lint/policy/vscode_settings/template/settings.json.snippet.json

@@ -0,0 +1,5 @@
+{
+  "css.validate": false,
+  "less.validate": false,
+  "scss.validate": false
+}

package/rules/style-lint/policy/vscode_settings/vscode_settings.rego

@@ -1,24 +1,15 @@
 # Перевірка `.vscode/settings.json` для style-lint (style-lint.mdc).
 #
-# Запуск (локально):
-#   conftest test .vscode/settings.json -p npm/policy/style_lint/vscode_settings \
-#     --namespace style_lint.vscode_settings
-#
-# Canonical (style-lint.mdc): вимкнути вбудовану валідацію CSS/SCSS/Less, щоб
-# stylelint був єдиним джерелом діагностики.
-#   { "css.validate": false, "less.validate": false, "scss.validate": false }
-#
-# `editor.codeActionsOnSave` у каноні є, але це smell-test — навмисно не deny,
-# щоб не падати на пакетах, які мають свій codeActionsOnSave-конфіг.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/settings.json.snippet.json.
+# Top-level літеральні keys — leaf-by-leaf walker.
 package style_lint.vscode_settings
 
 import rego.v1
 
 deny contains msg if {
-	some key in {"css.validate", "less.validate", "scss.validate"}
-	object.get(input, key, null) != false
-	msg := sprintf(".vscode/settings.json: \"%s\" має бути false (style-lint.mdc)", [key])
+	some key, expected_value in data.template.snippet
+	actual := object.get(input, key, null)
+	actual != expected_value
+	msg := sprintf(".vscode/settings.json: \"%s\" має бути %v (style-lint.mdc)", [key, expected_value])
 }

package/rules/text/policy/cspell/cspell.rego

@@ -1,91 +1,71 @@
-# Порт перевірок `.cspell.json` з `npm/scripts/check-text.mjs` (text.mdc).
+# Перевірка `.cspell.json` (text.mdc).
 #
-# Запуск (локально):
-#   conftest test .cspell.json -p npm/policy/text --namespace text.cspell
+# Канон надходить через --data: { "template": { "snippet": ..., "contains": ..., "deny": ... } }
+# Структура --data сформована з template/.cspell.json.{snippet,contains,deny}.json.
 #
-# Перевіряє: `version: "0.2"`, наявність `language`, імпорт `@nitra/cspell-dict`,
-# відсутність прямих імпортів `@cspell/dict-*`, обовʼязкові glob-и в `ignorePaths`
-# (text.mdc).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Логіка, що ЛИШАЄТЬСЯ у rego (inverse — не виноситься у template):
+#  - `language` має бути присутнє (presence-only).
 package text.cspell
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
+# ── deny: top-level snippet leafs (version etc) ──────────────────────────
 
-# Канонічні `ignorePaths` з text.mdc — кожен має бути присутнім.
-required_ignore_paths := {
-	"**/node_modules/**",
-	"**/vscode-extension/**",
-	"**/.git/**",
-	".vscode",
-	"report",
-	"*.svg",
-	"**/k8s/**/*.yaml",
+deny contains msg if {
+	some key, expected_value in data.template.snippet
+	not is_array(expected_value)
+	not is_object(expected_value)
+	actual := object.get(input, key, null)
+	actual != expected_value
+	msg := sprintf(".cspell.json: %s має бути %v (text.mdc)", [key, expected_value])
 }
 
-nitra_cspell_dict_marker := "@nitra/cspell-dict"
-
-legacy_dict_marker := "@cspell/dict-"
-
-# Шаблон повідомлення про заборонений імпорт `@cspell/dict-*` — через `concat`
-# для regal style/line-length.
-legacy_dict_import_template := concat(" ", [
-	".cspell.json не має імпортувати @cspell/dict-* —",
-	"використовуй лише @nitra/cspell-dict (знайдено: %s) (text.mdc)",
-])
-
-# ── deny: version / language ──────────────────────────────────────────────
+# ── deny: ignorePaths subset-of ──────────────────────────────────────────
 
 deny contains msg if {
-	object.get(input, "version", null) != "0.2"
-	msg := ".cspell.json: version має бути \"0.2\" (text.mdc)"
+	some field, expected_values in data.template.snippet
+	is_array(expected_values)
+	is_array(object.get(input, field, null))
+	actual_set := {v | some v in input[field]}
+	some required in expected_values
+	not required in actual_set
+	msg := sprintf(".cspell.json %s: додай %q (text.mdc)", [field, required])
 }
 
+# ── deny: language presence (inverse, in rego) ───────────────────────────
+
 deny contains msg if {
 	not object.get(input, "language", false)
 	msg := ".cspell.json: відсутнє поле language (text.mdc)"
 }
 
-# ── deny: imports ─────────────────────────────────────────────────────────
+# ── deny: import substrings required (contains) ─────────────────────────
 
 deny contains msg if {
-	imports := object.get(input, "import", [])
+	some field, needles in data.template.contains
+	imports := object.get(input, field, [])
 	is_array(imports)
-	not has_nitra_dict_import(imports)
-	msg := ".cspell.json не імпортує @nitra/cspell-dict/cspell-ext.json (text.mdc)"
+	some needle in needles
+	not has_substring_in_array(imports, needle)
+	msg := sprintf(".cspell.json: %s має містити %q (text.mdc)", [field, needle])
 }
 
+# ── deny: import substrings forbidden ────────────────────────────────────
+
 deny contains msg if {
+	some forbidden, reason in data.template.deny["import-substrings"]
 	imports := object.get(input, "import", [])
 	is_array(imports)
 	some imp in imports
 	is_string(imp)
-	contains(imp, legacy_dict_marker)
-	msg := sprintf(legacy_dict_import_template, [imp])
+	contains(imp, forbidden)
+	msg := sprintf(".cspell.json import містить заборонений %q — %s", [imp, reason])
 }
 
-# ── deny: ignorePaths ─────────────────────────────────────────────────────
+# ── helpers ──────────────────────────────────────────────────────────────
 
-deny contains msg if {
-	not is_array(object.get(input, "ignorePaths", null))
-	msg := ".cspell.json: додай масив ignorePaths з канонічними glob-ами (text.mdc)"
-}
-
-deny contains msg if {
-	is_array(input.ignorePaths)
-	some path in required_ignore_paths
-	not path in {p | some p in input.ignorePaths}
-	msg := sprintf(".cspell.json ignorePaths: додай %q (text.mdc)", [path])
-}
-
-# ── helpers ────────────────────────────────────────────────────────────────
-
-has_nitra_dict_import(imports) if {
-	some imp in imports
-	is_string(imp)
-	contains(imp, nitra_cspell_dict_marker)
+has_substring_in_array(arr, needle) if {
+	some item in arr
+	is_string(item)
+	contains(item, needle)
 }

package/rules/text/policy/cspell/template/.cspell.json.contains.json

@@ -0,0 +1,3 @@
+{
+  "import": ["@nitra/cspell-dict"]
+}

package/rules/text/policy/cspell/template/.cspell.json.deny.json

@@ -0,0 +1,5 @@
+{
+  "import-substrings": {
+    "@cspell/dict-": "використовуй лише @nitra/cspell-dict (text.mdc)"
+  }
+}

package/rules/text/policy/cspell/template/.cspell.json.snippet.json

@@ -0,0 +1,12 @@
+{
+  "version": "0.2",
+  "ignorePaths": [
+    "**/node_modules/**",
+    "**/vscode-extension/**",
+    "**/.git/**",
+    ".vscode",
+    "report",
+    "*.svg",
+    "**/k8s/**/*.yaml"
+  ]
+}

package/rules/text/policy/markdownlint/markdownlint.rego

@@ -1,70 +1,57 @@
-# Порт перевірки `.markdownlint-cli2.jsonc` з `npm/scripts/check-text.mjs` (text.mdc).
+# Перевірка `.markdownlint-cli2.jsonc` (text.mdc).
 #
-# Запуск (локально):
-#   conftest test .markdownlint-cli2.jsonc -p npm/policy/text \
-#     --namespace text.markdownlint --parser json
-#
-# Конфтест парсить `.jsonc` як JSON лише якщо файл — валідний JSON (без коментарів).
-# У випадку справжнього JSONC з `//` коментарями цей крок мовчки ігноруватиметься
-# (conftest skip). FS-перевірка (наявність файлу) живе у JS.
-#
-# Перевіряє канонічний baseline з text.mdc (мінімум — додаткові ключі дозволені):
-#   { "gitignore": true,
-#     "config": { "default": true, "MD013": false, "MD024": {"siblings_only": true},
-#                 "MD029": false, "MD040": false, "MD041": false } }
-# MD041 off навмисно — `.mdc` з frontmatter (див. text.mdc).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/.markdownlint-cli2.jsonc.snippet.jsonc.
+# Walker: top-level leaf, потім вкладені обʼєкти (config.<rule>); також рекурсивний
+# leaf-check для MD024.siblings_only.
 package text.markdownlint
 
 import rego.v1
 
-# ── Шаблони повідомлень ────────────────────────────────────────────────────
-
-config_rule_template := concat(" ", [
-	".markdownlint-cli2.jsonc: config.%s має бути %v",
-	"(зараз: %v) (text.mdc)",
-])
-
-# ── deny: gitignore ───────────────────────────────────────────────────────
+# ── deny: top-level leafs ───────────────────────────────────────────────
 
 deny contains msg if {
-	object.get(input, "gitignore", null) != true
-	msg := ".markdownlint-cli2.jsonc: додай на верхньому рівні \"gitignore\": true (text.mdc)"
+	some key, expected_value in data.template.snippet
+	not is_object(expected_value)
+	actual := object.get(input, key, null)
+	actual != expected_value
+	msg := sprintf(".markdownlint-cli2.jsonc: %s має бути %v (text.mdc)", [key, expected_value])
 }
 
-# ── deny: config.default ──────────────────────────────────────────────────
+# ── deny: 2-level leafs (config.<rule> = scalar) ────────────────────────
 
 deny contains msg if {
-	config := object.get(input, "config", {})
-	object.get(config, "default", null) != true
-	msg := sprintf(config_rule_template, ["default", true, object.get(config, "default", null)])
+	some section, expected_inner in data.template.snippet
+	is_object(expected_inner)
+	inner := object.get(input, section, {})
+	is_object(inner)
+	some leaf_key, expected_value in expected_inner
+	not is_object(expected_value)
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf(".markdownlint-cli2.jsonc: %s.%s має бути %v (text.mdc)", [section, leaf_key, expected_value])
 }
 
-# ── deny: MD013 / MD029 / MD040 / MD041 повинні бути `false` ──────────────
+# ── deny: 3-level leafs (config.MD024.siblings_only) ────────────────────
 
 deny contains msg if {
-	config := object.get(input, "config", {})
-	some rule in {"MD013", "MD029", "MD040", "MD041"}
-	object.get(config, rule, null) != false
-	msg := sprintf(config_rule_template, [rule, false, object.get(config, rule, null)])
+	some section, expected_inner in data.template.snippet
+	is_object(expected_inner)
+	some inner_key, expected_subinner in expected_inner
+	is_object(expected_subinner)
+	subinner := object.get(object.get(input, section, {}), inner_key, {})
+	is_object(subinner)
+	some leaf, expected in expected_subinner
+	actual := object.get(subinner, leaf, null)
+	actual != expected
+	msg := sprintf(".markdownlint-cli2.jsonc: %s.%s.%s має бути %v (text.mdc)", [section, inner_key, leaf, expected])
 }
 
-# ── deny: MD024.siblings_only == true ─────────────────────────────────────
-
-deny contains msg if {
-	config := object.get(input, "config", {})
-	md024 := object.get(config, "MD024", null)
-	not is_object(md024)
-	msg := sprintf(config_rule_template, ["MD024", "{\"siblings_only\": true}", md024])
-}
+# ── deny: vкладеного обʼєкта взагалі немає ──────────────────────────────
 
 deny contains msg if {
-	config := object.get(input, "config", {})
-	md024 := object.get(config, "MD024", {})
-	is_object(md024)
-	object.get(md024, "siblings_only", null) != true
-	msg := sprintf(config_rule_template, ["MD024.siblings_only", true, object.get(md024, "siblings_only", null)])
+	some section, expected_inner in data.template.snippet
+	is_object(expected_inner)
+	not is_object(object.get(input, section, null))
+	msg := sprintf(".markdownlint-cli2.jsonc: відсутній обʼєкт %s (text.mdc)", [section])
 }

package/rules/text/policy/markdownlint/template/.markdownlint-cli2.jsonc.snippet.jsonc

@@ -0,0 +1,11 @@
+{
+  "gitignore": true,
+  "config": {
+    "default": true,
+    "MD013": false,
+    "MD024": { "siblings_only": true },
+    "MD029": false,
+    "MD040": false,
+    "MD041": false
+  }
+}