@nitra/cursor 1.13.2 → 1.13.11

package/CHANGELOG.md

@@ -4,6 +4,104 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.11] - 2026-05-17
+
+### Added
+
+- `rego` rule template/ міграція (Phase 3): 3 концерни — `package_json` (snippet із збереженням `trim_space` tolerance), `vscode_extensions` (snippet-array), `vscode_settings` (snippet-object 2-level + окремий deny на non-object block).
+- Drift-тести у кожному `*_test.rego`.
+
+### Changed
+
+- `rego.package_json.rego` — замість двох inline-deny (missing + wrong-value через `regex/trim_space`) тепер один snippet-walker через `data.template.snippet`.
+- `rego.vscode_extensions.rego` — замість inline `"tsandall.opa"` тепер subset-of через `data.template.snippet.recommendations`.
+- `rego.vscode_settings.rego` — 2-рівневий snippet-walker з гардом `is_object(inner)` для випадку, коли block існує, але не обʼєкт.
+- `rego.mdc` — inline `package.json` snippet замінено на template-link; додано посилання на `.vscode/{extensions,settings}.json` template-файли. Виправлено застаріле `Цілі — npm/policy/` → `npm/rules/`.
+- `docs/adr/template-dir-concern-inventory.md` — позначено 3 `rego.*` концерни як ✓; додано Phase 3 у прогрес-секцію.
+
+## [1.13.10] - 2026-05-17
+
+### Fixed
+
+- `runLintRego` (`npm/rules/rego/lint/lint.mjs`) — `LINT_TARGETS` вказував на застарілий шлях `npm/policy` (не існує після Phase 1 реструктуризації), тож `bun run lint-rego` мовчки exit 0 без реальної перевірки. Тепер `LINT_TARGETS = ['npm/rules']` — `opa check --strict`, `regal lint`, `conftest verify` реально проходять по всіх 111 `.rego`-файлах. TDD-регресія у `lint.test.mjs` (broken-syntax + well-formed fixtures).
+
+### Changed
+
+- `.regal/config.yaml` — додано `idiomatic.directory-package-mismatch` і `imports.unresolved-reference` у `ignore` (інтенціональні конвенції проєкту: package = `<rule>.<concern>` у `<rule>/policy/<concern>/`; `data.template.*` ін'єктиться runtime через `--data`). `style.line-length.max-line-length: 220` — узгоджено з `opa fmt` (тримає малі обʼєкти single-line).
+- `*_test.rego` з порушенням `test-outside-test-package` (4 файли: `js-lint.jscpd`, `js-lint.vscode_extensions`, `security.gitleaks`, `vue.package_json`) — перейменовано в `<package>_test` із явним `import data.<package>`.
+- `opa fmt -w npm/rules` — auto-fix форматування.
+- `docs/adr/template-dir-concern-inventory.md` — додано 4 `ga.*` концерни з відміткою `✓` (мігровано); оновлено summary-числа (85 концернів, 39 з template — 46%); додано секцію прогресу міграції.
+
+## [1.13.9] - 2026-05-17
+
+### Added
+
+- `ga` rule template/ міграція (Phase 2): 4 концерни — `package_json` (contains-style), `vscode_extensions` (snippet-array), `vscode_settings` (snippet-object), `zizmor_yml` (snippet з канонічним path `rules.unpinned-uses.config.policies."*"`).
+- Drift-тести (`test_data_template_drives_*`) у кожному `*_test.rego` ловлять регресію, якщо rego перестане читати з `data.template`.
+
+### Changed
+
+- `ga.package_json.rego` — замість двох inline-deny з `is_string` + `regex.match` тепер один generic contains-walker через `data.template.contains`.
+- `ga.vscode_extensions.rego` — замість inline `"github.vscode-github-actions"` тепер subset-of через `data.template.snippet.recommendations`.
+- `ga.vscode_settings.rego` — 2-рівневий snippet-walker через `data.template.snippet` (літеральні keys `[github-actions-workflow]`, `editor.defaultFormatter`).
+- `ga.zizmor_yml.rego` — замість substring `json.marshal` хака тепер структурний чек `rules.unpinned-uses.config.policies."*"` із expected value з `data.template.snippet`.
+- `ga.mdc` — inline `package.json` snippet і `zizmor.yml` snippet блоки замінено на markdown-посилання на template-файли; додано посилання на нові template/ для `.vscode/{extensions,settings}.json`.
+
+## [1.13.8] - 2026-05-17
+
+### Changed
+
+- Перенесено частину per-document логіки з `fix` у Rego policy:
+  - `js-lint`: `.jscpd.json` і `.vscode/extensions.json`;
+  - `ga`: `package.json#scripts.lint-ga`, `.vscode/extensions.json`, `.vscode/settings.json`, `.github/zizmor.yml`;
+  - `security`: `.gitleaks.toml` (`[extend].useDefault = true`);
+  - `vue`: залежності Vue/Vite-пакетів і заборону `esbuild`.
+- Відповідні JS check-и спрощено до FS/cross-file/AST/tooling частини без дублювання Rego-умов.
+- `ensureNitraCursorInRootDevDependencies` тепер додає `@nitra/cursor` тільки в `package.json` поруч із запуском, якщо в ньому є `workspaces`.
+- `vue.mdc` уточнює тестування через Bun Test Runner + Vue Test Utils/happy-dom замість Vitest/jsdom.
+
+### Fixed
+
+- `npm/package.json#devDependencies` — прибрано self-reference `@nitra/cursor`, щоб published package знову відповідав `npm-module` compact-package canon.
+
+## [1.13.7] - 2026-05-17
+
+### Fixed
+
+- `inlineTemplateLinks`: `String.replace(needle, replacement)` інтерпретує `$'`, `$&` тощо у `replacement`. Через це інлайнінг `.gitleaks.toml.snippet.toml` (де є `$'''`) ламав вивід — хвіст `.mdc` реінжектився всередину блока. Перехід на function-replacer (`(_) => replacement`) усуває це. Додано регресійний тест із фікстурою `with-dollar.toml`.
+
+## [1.13.6] - 2026-05-17
+
+### Added
+
+- `npm/scripts/utils/inline-template-links.mjs` — `inlineTemplateLinks(text, ruleDir)`: під час sync знаходить markdown-лінки виду `[label](./…/template/…)` у `.mdc` і замінює їх inline fenced-блоком з вмістом відповідного файла. Відсутній файл — hard error (fail loud).
+
+### Changed
+
+- `readBundledRuleContent` у `npm/bin/n-cursor.js` тепер пропускає текст правила через `inlineTemplateLinks` перед записом у `.cursor/rules/n-*.mdc`. Template-посилання у скопійованих правилах більше не зламані.
+
+## [1.13.5] - 2026-05-17
+
+### Added
+
+- Оркестратор `run-rule.mjs` тепер викликає `findMissingMdcRefs` для кожного правила — fail, якщо файл у `template/` не згаданий як markdown-посилання у `<id>.mdc`. Поки що активно лише для `security` (єдине правило з `template/`); готова страховка для Phase 2+.
+
+### Fixed
+
+- `check-mdc-template-refs.test.mjs` тест 3 — фіксував дубль test 1; тепер використовує окрему `no-templates` фікстуру, що дійсно валідує "no template/ dirs → empty result".
+
+## [1.13.4] - 2026-05-17
+
+### Removed
+
+- `npm/package.json#devDependencies` — повторно видалено self-reference `@nitra/cursor` (порушує canon `npm-module`: «devDependencies не публікуються користувачам пакета»). Автоматично повертався у попередніх тасках template-dir роботи; цей коміт остаточно прибирає.
+
+## [1.13.3] - 2026-05-17
+
+### Changed
+
+- `security/security.mdc` — прибрано inline merge-фрагменти (package.json snippet для `lint-security`, .gitleaks.toml повний канон), замість них markdown-посилання на файли в `template/` (single source of truth). Зміст правила залишається (описи для чого потрібен gitleaks, GitHub Actions), видалено дублювання фіксованого коду.
+
 ## [1.13.2] - 2026-05-17
 
 ### Changed
@@ -20,6 +118,10 @@
 
 ### Changed
 
+- `security/fix/gitleaks/check.mjs` читає канон з `template/`, не з inline regex.
+- `security/policy/package_json/package_json.rego` читає очікувані значення з `data.template.*`, не з inline literals.
+- Оркестратор `run-rule.mjs` для policy-концернів вантажить `template/` через `resolveConcernTemplateData` і передає у `runConftestBatch.templateData`.
+- Снепет `.gitleaks.toml.snippet.toml` тримає канонічний title + allowlist paths (description лишається user-specific).
 - **9 правил переведено з `alwaysApply: true` на `alwaysApply: false` + `globs:`** — AI-контекст у Cursor/Claude Code підвантажується лише при роботі з релевантними файлами; програмна валідація через `npx check <rule>` залишається повністю функціональною незалежно від AI-контексту. Економить контекстне вікно у сесіях, де редагують код, далекий від відповідних конфігів.
   - **`bun`** (`1.7 → 1.8`) — `globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"`
   - **`capacitor`** (`1.0 → 1.1`) — `globs: "**/capacitor.config.json,**/android/**,**/ios/**"`

package/bin/n-cursor.js

@@ -67,6 +67,7 @@ import { cwd, env } from 'node:process'
 import { fileURLToPath } from 'node:url'
 
 import { buildAgentsCommandBulletItems } from '../scripts/build-agents-commands.mjs'
+import { inlineTemplateLinks } from '../scripts/utils/inline-template-links.mjs'
 import {
   detectAutoRules,
   detectLegacyRuleIds,
@@ -394,7 +395,7 @@ function normalizeRuleName(ruleName) {
  * @param {string} [bundledRulesDir] каталог `rules/` у корені пакету-джерела
  * @returns {Promise<string>} текст правила для запису в `.cursor/rules/n-*.mdc`
  */
-function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
+async function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
   const id = normalizeRuleName(rule)
   const bundledPath = join(bundledRulesDir, id, `${id}.mdc`)
   if (!existsSync(bundledPath)) {
@@ -402,7 +403,8 @@ function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
       `Немає файлу ${id}/${id}.mdc у ${bundledRulesDir}. Оновіть ${PACKAGE_NAME} або приберіть "${rule}" з rules у ${CONFIG_FILE}.`
     )
   }
-  return readFile(bundledPath, 'utf8')
+  const text = await readFile(bundledPath, 'utf8')
+  return inlineTemplateLinks(text, dirname(bundledPath))
 }
 
 /**

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.2",
+  "version": "1.13.11",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -36,7 +36,8 @@
     "!**/*.test.mjs",
     "!**/*_test.rego",
     "!**/test-helpers.mjs",
-    "!**/fixtures/**"
+    "!**/fixtures/**",
+    "!**/__fixtures__/**"
   ],
   "type": "module",
   "types": "./types/bin/n-cursor.d.ts",
@@ -47,6 +48,7 @@
   "dependencies": {
     "oxc-parser": "^0.128.0",
     "picomatch": "^4.0.4",
+    "smol-toml": "^1.6.1",
     "yaml": "^2.8.3"
   },
   "engines": {

package/rules/ga/fix/workflows/check.mjs

@@ -1,18 +1,18 @@
 /**
  * Перевіряє GitHub Actions за правилом ga.mdc.
  *
- * Workflows лише з розширенням `.yml`, наявність clean/lint workflow, конфіг zizmor з ref-pin,
- * відсутність MegaLinter, коректний скрипт `lint-ga` у `package.json`, виклик у `lint-ga.yml`,
+ * Workflows лише з розширенням `.yml`, наявність clean/lint workflow,
+ * відсутність MegaLinter, виклик у `lint-ga.yml`,
  * наявність composite `.github/actions/setup-bun-deps/action.yml` (його записує npx `\@nitra/cursor`),
- * `\.vscode/settings.json` — `editor.defaultFormatter` **oxc** для `[github-actions-workflow]`.
  *
  * Структурні поля 4 канонічних workflow (`clean-ga-workflows.yml`, `clean-merged-branch.yml`,
  * `lint-ga.yml`, `git-ai.yml`) і УНІВЕРСАЛЬНІ перевірки для всіх `.github/workflows/*.yml`
  * (`concurrency`, заборонені `oven-sh/setup-bun` / `actions/cache` / `bun install` у `uses`/`run`,
  * shell-продовження `\` у `run`, обов'язковий `actions/checkout@v6` перед локальним
- * `setup-bun-deps`) — у Rego-полісі під `npm/policy/ga/` і запускаються через
- * `bun run lint-ga` (`runConftestStep` у `lint-ga.mjs`). Тут лишилася лише git-залежна
- * перевірка `on.*.paths` glob-ів через `git ls-files :(glob)`.
+ * `setup-bun-deps`), а також `package.json`, `.vscode/*` і `.github/zizmor.yml` —
+ * у Rego-полісі під `npm/policy/ga/`. Тут лишилися FS/git/tooling перевірки:
+ * наявність файлів, MegaLinter leftovers, `on.*.paths` через `git ls-files :(glob)`,
+ * і локальний `shellcheck`.
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
@@ -30,8 +30,6 @@ const MEGALINTER_USE_PATTERNS = [/oxsecurity\/megalinter-action/i, /megalinter\/
 /** Типові конфіги MegaLinter у корені репо */
 const MEGALINTER_CONFIG_NAMES = ['.mega-linter.yml', '.megalinter.yaml', '.mega-linter.yaml']
 
-const N_CURSOR_LINT_GA_RE = /\bn-cursor\s+lint-ga\b/
-
 /** Обовʼязкові workflow-файли (ga.mdc). */
 const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml', 'git-ai.yml']
 
@@ -179,92 +177,6 @@ async function checkMegalinter(wfDir, ymlWorkflows, passFn, failFn) {
   if (!found) passFn('Залишків MegaLinter не виявлено')
 }
 
-/**
- * Перевіряє zizmor конфіг.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkZizmor(passFn, failFn) {
-  const zizmorPath = '.github/zizmor.yml'
-  if (!existsSync(zizmorPath)) {
-    failFn(`Відсутній ${zizmorPath} — потрібен для zizmor (ga.mdc)`)
-    return
-  }
-  const z = await readFile(zizmorPath, 'utf8')
-  passFn(`${zizmorPath} існує`)
-  if (z.includes('ref-pin')) {
-    passFn(`${zizmorPath} містить політику ref-pin (zizmor)`)
-  } else {
-    failFn(`${zizmorPath}: додай policies ref-pin для unpinned-uses (ga.mdc)`)
-  }
-}
-
-/**
- * Перевіряє `.vscode/settings.json`: oxfmt/oxc як default formatter для GitHub Actions workflow (мова
- * `github-actions-workflow` з розширення github.vscode-github-actions), узгоджено з oxc для yaml/workflow.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkVscodeSettingsForGa(passFn, failFn) {
-  const rel = '.vscode/settings.json'
-  if (!existsSync(rel)) {
-    failFn(`${rel} не існує — додай [github-actions-workflow].editor.defaultFormatter = oxc.oxc-vscode (ga.mdc)`)
-    return
-  }
-  let settings
-  try {
-    settings = JSON.parse(await readFile(rel, 'utf8'))
-  } catch {
-    failFn(`${rel}: невалідний JSON (ga.mdc)`)
-    return
-  }
-  if (!settings || typeof settings !== 'object') {
-    failFn(`${rel}: очікується об’єкт налаштувань (ga.mdc)`)
-    return
-  }
-  const block = /** @type {Record<string, unknown>} */ (settings)['[github-actions-workflow]']
-  if (!block || typeof block !== 'object' || block === null || Array.isArray(block)) {
-    failFn(`${rel}: додай "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } (ga.mdc)`)
-    return
-  }
-  const df = String(/** @type {Record<string, unknown>} */ (block)['editor.defaultFormatter'] ?? '')
-  if (df !== 'oxc.oxc-vscode') {
-    failFn(
-      `${rel}: [github-actions-workflow].editor.defaultFormatter має бути "oxc.oxc-vscode" (зараз: ${df || '∅'}) (ga.mdc)`
-    )
-    return
-  }
-  passFn(`${rel}: [github-actions-workflow] → oxc.oxc-vscode`)
-}
-
-/**
- * Перевіряє скрипт lint-ga в package.json.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkLintGaScript(passFn, failFn) {
-  if (!existsSync('package.json')) {
-    failFn('package.json не існує — потрібен lint-ga у scripts')
-    return
-  }
-  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
-  const lg = pkg.scripts?.['lint-ga']
-  if (typeof lg !== 'string') {
-    failFn('package.json: додай скрипт "lint-ga" (ga.mdc)')
-    return
-  }
-  passFn('package.json містить lint-ga')
-  // Канонічний скрипт делегує виконання CLI `n-cursor lint-ga` (bin з `@nitra/cursor`) — там preflight
-  // на shellcheck + послідовно `bunx github-actionlint` і `uvx zizmor --offline --collect=workflows .`.
-  // Виклик через bin-ім’я `n-cursor`, а не `npx --no @nitra/cursor`, бо `bun run` транслює `npx` у `bun x`,
-  // а `bun x @nitra/cursor` для скоупованого пакету з одним bin-ім’ям повертає 0 без виконання.
-  if (N_CURSOR_LINT_GA_RE.test(lg)) {
-    passFn('lint-ga делегує CLI n-cursor lint-ga (preflight shellcheck + actionlint + zizmor)')
-  } else {
-    failFn('lint-ga має бути "n-cursor lint-ga" — CLI робить preflight shellcheck перед actionlint/zizmor (ga.mdc)')
-  }
-}
-
 /**
  * Перевіряє наявність локального `shellcheck` у PATH. `actionlint` (`bunx github-actionlint`)
  * запускає shell-перевірки в кроках `run:` workflow тільки коли `shellcheck` доступний; інакше
@@ -437,19 +349,6 @@ export async function check() {
   await checkApplyWorkflow(wfDir, files, 'apply-k8s.yml', '**/k8s/**/*.yaml', pass, fail)
   await checkApplyWorkflow(wfDir, files, 'apply-nats-consumer.yml', '**/consumer.yaml', pass, fail)
 
-  if (existsSync('.vscode/extensions.json')) {
-    const ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-    if (ext.recommendations?.includes('github.vscode-github-actions')) {
-      pass('extensions.json містить github.vscode-github-actions')
-    } else {
-      fail('extensions.json не містить github.vscode-github-actions')
-    }
-  } else {
-    fail('.vscode/extensions.json не існує')
-  }
-
-  await checkVscodeSettingsForGa(pass, fail)
-
   await checkMegalinter(wfDir, ymlWorkflows, pass, fail)
 
   // git-залежна перевірка `on.push.paths` glob-ів (вимагає `git ls-files`) —
@@ -462,8 +361,6 @@ export async function check() {
     }
   }
 
-  await checkZizmor(pass, fail)
-  await checkLintGaScript(pass, fail)
   checkShellcheckInstalled(pass, fail)
 
   return reporter.getExitCode()

package/rules/ga/ga.mdc

@@ -242,11 +242,7 @@ jobs:
 
 **Лінт:** [actionlint](https://github.com/rhysd/actionlint) через [github-actionlint](https://www.npmjs.com/package/github-actionlint); [zizmor](https://docs.zizmor.sh) — `uvx`, офлайн. Канонічний скрипт у корені делегує виконання CLI `n-cursor lint-ga` (бінарка з `node_modules/.bin/` пакету `@nitra/cursor`), який робить preflight на `shellcheck` і послідовно запускає `actionlint` та `zizmor`:
 
-```json title="package.json"
-"scripts": {
-  "lint-ga": "n-cursor lint-ga"
-}
-```
+- `package.json` — `scripts.lint-ga` має містити `n-cursor lint-ga`: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
 
 > Не використовуй `npx --no @nitra/cursor lint-ga` — `bun run` автоматично транслює `npx` у `bun x`, а `bun x` для скоупованого пакету з одним bin-ім’ям повертає 0 без виконання. Виклик через bin-ім’я `n-cursor` працює і у `bun run`, і у `npm run`.
 
@@ -254,16 +250,15 @@ CLI робить preflight на `shellcheck` і `uv` (`uvx`) у `PATH`, поті
 
 **`.github/zizmor.yml`:** для [unpinned-uses](https://docs.zizmor.sh/audits/#unpinned-uses) — політика **`ref-pin`**, якщо в `uses:` семантичні теги. За потреби вимкни [template-injection](https://docs.zizmor.sh/audits/#template-injection):
 
-```yaml title=".github/zizmor.yml"
-# https://docs.zizmor.sh/configuration/
-rules:
-  unpinned-uses:
-    config:
-      policies:
-        '*': ref-pin
-  template-injection:
-    disable: true
-```
+- Канон `.github/zizmor.yml`: [zizmor.yml.snippet.yml](./policy/zizmor_yml/template/zizmor.yml.snippet.yml)
+
+**`.vscode/extensions.json`** має рекомендувати `github.vscode-github-actions`:
+
+- Канон: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+**`.vscode/settings.json`** для мови `github-actions-workflow` має `editor.defaultFormatter = "oxc.oxc-vscode"`:
+
+- Канон: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
 
 **MegaLinter:** не використовувати; прибрати workflow, конфіги (`.mega-linter.yml`, `.megalinter.yaml`, `.mega-linter.yaml`), залежності та згадки в CI / pre-commit / документації.
 

package/rules/ga/policy/package_json/package_json.rego

@@ -0,0 +1,20 @@
+# Перевірка кореневого `package.json` для GitHub Actions tooling (ga.mdc).
+#
+# Канон надходить через --data: { "template": { "contains": ... } }
+# Структура --data сформована з template/package.json.contains.json.
+#
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.package_json
+
+import rego.v1
+
+# Кожне рядкове поле з contains має містити кожен substring.
+# Відсутність ключа → `""` → contains() = false → deny.
+deny contains msg if {
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (ga.mdc)", [script_name, needle])
+}

package/rules/ga/policy/package_json/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": "package.json",
+    "required": true
+  },
+  "missingMessage": "package.json не існує — потрібен lint-ga у scripts (ga.mdc)"
+}

package/rules/ga/policy/package_json/template/package.json.contains.json

@@ -0,0 +1 @@
+{ "scripts": { "lint-ga": ["n-cursor lint-ga"] } }

package/rules/ga/policy/vscode_extensions/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/extensions.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/extensions.json не існує — додай github.vscode-github-actions (ga.mdc)"
+}

package/rules/ga/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -0,0 +1 @@
+{ "recommendations": ["github.vscode-github-actions"] }

package/rules/ga/policy/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,18 @@
+# Перевірка `.vscode/extensions.json` для GitHub Actions (ga.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
+# `recommendations` — subset-of: кожна рекомендація з template має бути у input.
+# Додаткові рекомендації від інших правил дозволені.
+#
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (ga.mdc)", [rec])
+}

package/rules/ga/policy/vscode_settings/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/settings.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/settings.json не існує — додай [github-actions-workflow].editor.defaultFormatter (ga.mdc)"
+}

package/rules/ga/policy/vscode_settings/template/settings.json.snippet.json

@@ -0,0 +1 @@
+{ "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } }

package/rules/ga/policy/vscode_settings/vscode_settings.rego

@@ -0,0 +1,22 @@
+# Перевірка `.vscode/settings.json` для GitHub Actions workflow (ga.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/settings.json.snippet.json.
+# Snippet — 2-рівнева мапа: <language-block-key>.<setting-key> = <expected>
+# (VS Code-конвенція: ключі типу `[github-actions-workflow]` і `editor.defaultFormatter`
+# — це літеральні string-keys із дужками/крапкою, не вкладені обʼєкти).
+#
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.vscode_settings
+
+import rego.v1
+
+deny contains msg if {
+	some block_key, expected_inner in data.template.snippet
+	inner := object.get(input, block_key, {})
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf(".vscode/settings.json: %s.%s має бути %q (ga.mdc)", [block_key, leaf_key, expected_value])
+}

package/rules/ga/policy/zizmor_yml/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".github/zizmor.yml",
+    "required": true
+  },
+  "missingMessage": ".github/zizmor.yml не існує — потрібен для zizmor (ga.mdc)"
+}

package/rules/ga/policy/zizmor_yml/template/zizmor.yml.snippet.yml

@@ -0,0 +1,5 @@
+rules:
+  unpinned-uses:
+    config:
+      policies:
+        '*': ref-pin

package/rules/ga/policy/zizmor_yml/zizmor_yml.rego

@@ -0,0 +1,27 @@
+# Перевірка `.github/zizmor.yml` для GitHub Actions (ga.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/zizmor.yml.snippet.yml.
+# Канонічний шлях — `rules.unpinned-uses.config.policies."*"`; expected value
+# (наприклад `"ref-pin"`) приходить із template, path лишається тут.
+#
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.zizmor_yml
+
+import rego.v1
+
+deny contains msg if {
+	expected := data.template.snippet.rules["unpinned-uses"].config.policies["*"]
+	policies := object.get(
+		object.get(
+			object.get(object.get(input, "rules", {}), "unpinned-uses", {}),
+			"config",
+			{},
+		),
+		"policies",
+		{},
+	)
+	object.get(policies, "*", null) != expected
+	msg := sprintf(".github/zizmor.yml: rules.unpinned-uses.config.policies[%q] має бути %q (ga.mdc)", ["*", expected])
+}

package/rules/js-lint/fix/tooling/check.mjs

@@ -1,15 +1,14 @@
 /**
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
- * Канонічний `lint-js`, flat ESLint з getConfig і ignore для auto-imports, рекомендації VSCode,
+ * Flat ESLint з getConfig і ignore для auto-imports,
  * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
- * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.9.2** (з 3.8.0 правило
- * `no-restricted-syntax` для `ForInStatement` забороняє `for...in`; з 3.9.2 у `getConfig` вбудовано
- * ignore для ADR-каталогів — локально цей glob додавати не потрібно; також тягне транзитивний
- * `@e18e/eslint-plugin` для oxlint), `.jscpd.json` (gitignore, exitCode, reporters, minLines), workflow
- * `lint-js.yml` (checkout@v6, setup-bun-deps, bunx без --fix), без prettier, `engines.node` >= 24,
- * `engines.bun` >= 1.3, `"type": "module"` у кореневому і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
+ * globals, ignorePatterns. Також перевіряє workspace `package.json` на `type: "module"`
+ * і `engines`, workflow-дубль у `lint.yml`, `knip.json` autofill і застарілі `.eslintrc*`.
+ *
+ * Per-document вимоги (`lint-js`, `@nitra/eslint-config`, root `engines`, `.jscpd.json`,
+ * `.vscode/extensions.json`, `lint-js.yml`) — у policy-пакетах `js_lint.*`.
  */
 import { existsSync } from 'node:fs'
 import { copyFile, readFile } from 'node:fs/promises'
@@ -42,9 +41,6 @@ export const KNIP_CANONICAL_JSON_PATH = join(
   'knip-canonical.json'
 )
 
-/** Мінімальні рекомендації розширень редактора з js-lint.mdc (eslint, oxlint, GA). */
-export const REQUIRED_VSCODE_EXTENSIONS = ['dbaeumer.vscode-eslint', 'github.vscode-github-actions', 'oxc.oxc-vscode']
-
 const NON_DIGITS_RE = /\D+/u
 
 // Канонічний рядок `lint-js`-скрипта і мінімальна версія `@nitra/eslint-config` —
@@ -353,36 +349,6 @@ async function checkOxlintRc(passFn, failFn) {
   }
 }
 
-/**
- * Перевіряє .vscode/extensions.json на потрібні розширення.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkVscodeExtensions(passFn, failFn) {
-  if (!existsSync('.vscode/extensions.json')) {
-    failFn('.vscode/extensions.json не існує — додай recommendations з js-lint.mdc (див. check-js-lint.mjs)')
-    return
-  }
-  let ext
-  try {
-    ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-  } catch {
-    failFn('.vscode/extensions.json не є валідним JSON')
-    return
-  }
-  const rec = ext.recommendations
-  if (!Array.isArray(rec)) {
-    failFn('.vscode/extensions.json: поле recommendations має бути масивом')
-    return
-  }
-  const missing = REQUIRED_VSCODE_EXTENSIONS.filter(id => !rec.includes(id))
-  if (missing.length > 0) {
-    failFn(`.vscode/extensions.json: додай у recommendations: ${missing.join(', ')} (мінімум для js-lint.mdc)`)
-  } else {
-    passFn('.vscode/extensions.json: є рекомендації oxlint, eslint і GitHub Actions')
-  }
-}
-
 /**
  * FS-existence для `lint-js.yml` + cross-file перевірка, що `lint.yml` (якщо існує)
  * не дублює лінт JS-кроки. Структуру `lint-js.yml` (`actions/checkout@v6`,
@@ -408,47 +374,6 @@ async function checkLintJsWorkflows(passFn, failFn) {
   }
 }
 
-/**
- * Перевіряє .jscpd.json.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkJscpdConfig(passFn, failFn) {
-  if (!existsSync('.jscpd.json')) {
-    failFn('.jscpd.json не існує — створи з полями згідно check js-lint')
-    return
-  }
-  let jscpdCfg
-  try {
-    jscpdCfg = JSON.parse(await readFile('.jscpd.json', 'utf8'))
-  } catch {
-    failFn('.jscpd.json не є валідним JSON')
-    return
-  }
-  passFn('.jscpd.json існує')
-  if (jscpdCfg.gitignore === true) {
-    passFn('.jscpd.json: gitignore увімкнено')
-  } else {
-    failFn('.jscpd.json має містити "gitignore": true')
-  }
-  if (jscpdCfg.exitCode === 1) {
-    passFn('.jscpd.json: exitCode 1 при дублікатах')
-  } else {
-    failFn('.jscpd.json має містити "exitCode": 1 (інакше CI не впаде на клонах)')
-  }
-  if (Array.isArray(jscpdCfg.reporters) && jscpdCfg.reporters.includes('console')) {
-    passFn('.jscpd.json: reporters містить console')
-  } else {
-    failFn('.jscpd.json має містити "reporters": ["console"] (або масив із "console")')
-  }
-  const minLines = jscpdCfg.minLines
-  if (typeof minLines === 'number' && minLines >= 25) {
-    passFn(`.jscpd.json: minLines ${minLines} (>=25)`)
-  } else {
-    failFn('.jscpd.json має містити "minLines" як число >= 25')
-  }
-}
-
 /**
  * Перевіряє наявність `knip.json` у корені проєкту. Якщо файл відсутній —
  * копіює канонічний `knip-canonical.json` з пакета `@nitra/cursor` як стартовий
@@ -485,9 +410,7 @@ export async function check() {
   await checkEslintConfig(pass, fail)
   await checkPackageJsonJsLint(pass, fail)
   await checkOxlintRc(pass, fail)
-  await checkVscodeExtensions(pass, fail)
   await checkLintJsWorkflows(pass, fail)
-  await checkJscpdConfig(pass, fail)
   await checkKnipConfig(pass, fail)
 
   for (const dup of ['.eslintrc', '.eslintrc.js', '.eslintrc.json', '.eslintrc.yml']) {