npm - @nitra/cursor - Versions diffs - 1.13.2 → 1.13.11 - Mend

@nitra/cursor 1.13.2 → 1.13.11

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (49) hide show

package/rules/js-lint/policy/jscpd/jscpd.rego ADDED Viewed

@@ -0,0 +1,38 @@
+# Перевірка `.jscpd.json` для js-lint (js-lint.mdc).
+#
+# JS-частина лишається для FS/cross-file: наявність workflow, flat ESLint config,
+# `.oxlintrc.json` проти embedded canonical snapshot, `knip.json` autofill.
+# Цей пакет покриває лише структуру одного JSON-документа.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.jscpd
+import rego.v1
+deny contains msg if {
+	input.gitignore != true
+	msg := ".jscpd.json має містити \"gitignore\": true (js-lint.mdc)"
+}
+deny contains msg if {
+	input.exitCode != 1
+	msg := ".jscpd.json має містити \"exitCode\": 1 (інакше CI не впаде на клонах) (js-lint.mdc)"
+}
+deny contains msg if {
+	not "console" in {r | some r in object.get(input, "reporters", [])}
+	msg := ".jscpd.json має містити \"reporters\": [\"console\"] або масив із \"console\" (js-lint.mdc)"
+}
+deny contains msg if {
+	not is_number(object.get(input, "minLines", null))
+	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
+}
+deny contains msg if {
+	is_number(input.minLines)
+	input.minLines < 25
+	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
+}

package/rules/js-lint/policy/jscpd/target.json ADDED Viewed

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".jscpd.json",
+    "required": true
+  },
+  "missingMessage": ".jscpd.json не існує — створи з полями згідно js-lint.mdc"
+}

package/rules/js-lint/policy/vscode_extensions/target.json ADDED Viewed

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/extensions.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/extensions.json не існує — додай recommendations з js-lint.mdc"
+}

package/rules/js-lint/policy/vscode_extensions/vscode_extensions.rego ADDED Viewed

@@ -0,0 +1,25 @@
+# Перевірка `.vscode/extensions.json` для js-lint (js-lint.mdc).
+#
+# Canonical: у `recommendations` мають бути ESLint, GitHub Actions і Oxlint.
+# Канон задає мінімум — додаткові рекомендації від інших правил дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.vscode_extensions
+import rego.v1
+required_extensions := {
+	"dbaeumer.vscode-eslint",
+	"github.vscode-github-actions",
+	"oxc.oxc-vscode",
+}
+recommendations_set := {r | some r in object.get(input, "recommendations", [])}
+deny contains msg if {
+	some required in required_extensions
+	not required in recommendations_set
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (js-lint.mdc)", [required])
+}

package/rules/rego/lint/lint.mjs CHANGED Viewed

@@ -18,9 +18,10 @@
  * потрібен VS Code-розширенню `tsandall.opa` (LSP, format-on-save через `opa fmt`) — деталі в
  * `mdc/rego.mdc`.
  *
- * Цілі лінту: `npm/policy/` (місце, де поки що живуть Rego-полісі пакета `@nitra/cursor`).
- * Якщо в репозиторії з’являться інші *.rego поза цим деревом, додай шлях у `LINT_TARGETS` —
- * усі три інструменти приймають кілька шляхів і самі рекурсивно обходять директорії.
+ * Цілі лінту: `npm/rules/` (де живуть Rego-полісі пакета `@nitra/cursor` — у
+ * `npm/rules/<id>/policy/<concern>/`). Усі три інструменти приймають один шлях
+ * і самі рекурсивно знаходять `.rego` (ігноруючи інші розширення на кшталт
+ * `target.json` чи template-фіх).
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
@@ -30,7 +31,7 @@ import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 /** Шляхи з Rego-полісі (відносно cwd). Існують не всі на ранніх стадіях — фільтруємо нижче. */
-const LINT_TARGETS = ['npm/policy']
+const LINT_TARGETS = ['npm/rules']
 /**
  * Друкує підказку зі встановлення `opa` (потрібен для `opa check --strict` і VS Code LSP).

package/rules/rego/policy/package_json/package_json.rego CHANGED Viewed

@@ -1,37 +1,16 @@
 # Перевірка `package.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
-# `.rego` файлів у дереві. Глобально без `target.json` поруч (не auto-discoverable через `n-cursor check`).
-#
-# Canonical (rego.mdc): scripts.lint-rego має бути "n-cursor lint-rego" — CLI пакета `@nitra/cursor`
-# (бінарка з `node_modules/.bin/`) робить preflight `opa`/`regal` і прогонить
-# `opa check --strict` → `regal lint` → опц. `conftest verify` (`@nitra/cursor lint-rego`).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/package.json.snippet.json.
+# Дозволяємо whitespace навколо значення (trim_space) — допуск, який мав
+# попередній inline-варіант.
 package rego.package_json
 import rego.v1
-canonical_lint_rego := "n-cursor lint-rego"
-lint_rego_template := concat(" ", [
-	"package.json: scripts.lint-rego має бути %q",
-	"(зараз: %q) (rego.mdc)",
-])
-deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-rego" in object.keys(scripts)
-	msg := concat(" ", [
-		"package.json: відсутній scripts.lint-rego — додай",
-		"\"lint-rego\": \"n-cursor lint-rego\" (rego.mdc)",
-	])
-}
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	lint_rego := object.get(scripts, "lint-rego", "")
-	lint_rego != ""
-	trim_space(lint_rego) != canonical_lint_rego
-	msg := sprintf(lint_rego_template, [canonical_lint_rego, lint_rego])
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	trim_space(actual) != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (rego.mdc)", [script_name, expected])
 }

package/rules/rego/policy/package_json/template/package.json.snippet.json ADDED Viewed

	@@ -0,0 +1 @@
1	+ { "scripts": { "lint-rego": "n-cursor lint-rego" } }

package/rules/rego/policy/vscode_extensions/template/extensions.json.snippet.json ADDED Viewed

	@@ -0,0 +1 @@
1	+ { "recommendations": ["tsandall.opa"] }

package/rules/rego/policy/vscode_extensions/vscode_extensions.rego CHANGED Viewed

@@ -1,19 +1,15 @@
 # Перевірка `.vscode/extensions.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ того, як
-# JS виявив `.rego` файли у дереві (умовне правило — проєкти без rego не
-# зобовʼязані ставити tsandall.opa). Без `target.json` поруч НЕ
-# реєструється.
-#
-# Canonical (rego.mdc): `recommendations` має містити `tsandall.opa`.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
+# `recommendations` — subset-of: кожна рекомендація з template має бути у input.
+# Додаткові рекомендації від інших правил дозволені.
 package rego.vscode_extensions
 import rego.v1
 deny contains msg if {
-	recs := object.get(input, "recommendations", [])
-	not "tsandall.opa" in {r | some r in recs}
-	msg := ".vscode/extensions.json: recommendations має містити \"tsandall.opa\" (rego.mdc)"
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (rego.mdc)", [rec])
 }

package/rules/rego/policy/vscode_settings/template/settings.json.snippet.json ADDED Viewed

@@ -0,0 +1,6 @@
+{
+  "[rego]": {
+    "editor.defaultFormatter": "tsandall.opa",
+    "editor.formatOnSave": true
+  }
+}

package/rules/rego/policy/vscode_settings/vscode_settings.rego CHANGED Viewed

@@ -1,38 +1,30 @@
 # Перевірка `.vscode/settings.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
-# `.rego` файлів у дереві. Глобально без `target.json` поруч (не auto-discoverable через `n-cursor check`).
-#
-# Canonical (rego.mdc):
-#   { "[rego]": { "editor.defaultFormatter": "tsandall.opa",
-#                 "editor.formatOnSave": true } }
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/settings.json.snippet.json.
+# Snippet — 2-рівнева мапа: <language-block-key>.<setting-key> = <expected>
+# (VS Code-конвенція: ключі `[rego]` і `editor.defaultFormatter`/`editor.formatOnSave`
+# — це літеральні string-keys із дужками/крапкою, не вкладені обʼєкти).
 package rego.vscode_settings
 import rego.v1
-# ── deny: [rego] block ──────────────────────────────────────────────────
-deny contains msg if {
-	not is_object(object.get(input, "[rego]", null))
-	msg := concat(" ", [
-		".vscode/settings.json: \"[rego]\" має бути обʼєктом з",
-		"\"editor.defaultFormatter\": \"tsandall.opa\" і",
-		"\"editor.formatOnSave\": true (rego.mdc)",
-	])
-}
+# Leaf-by-leaf: працює коли block присутній і є обʼєктом.
 deny contains msg if {
-	rego_block := object.get(input, "[rego]", {})
-	is_object(rego_block)
-	object.get(rego_block, "editor.defaultFormatter", null) != "tsandall.opa"
-	msg := ".vscode/settings.json: \"[rego].editor.defaultFormatter\" має бути \"tsandall.opa\" (rego.mdc)"
+	some block_key, expected_inner in data.template.snippet
+	inner := object.get(input, block_key, {})
+	is_object(inner)
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf(".vscode/settings.json: %s.%s має бути %v (rego.mdc)", [block_key, leaf_key, expected_value])
 }
+# Block існує, але не обʼєкт (напр. рядок) — окрема помилка типу.
 deny contains msg if {
-	rego_block := object.get(input, "[rego]", {})
-	is_object(rego_block)
-	object.get(rego_block, "editor.formatOnSave", null) != true
-	msg := ".vscode/settings.json: \"[rego].editor.formatOnSave\" має бути true (rego.mdc)"
+	some block_key in object.keys(data.template.snippet)
+	raw := object.get(input, block_key, null)
+	raw != null
+	not is_object(raw)
+	msg := sprintf(".vscode/settings.json: %s має бути обʼєктом (rego.mdc)", [block_key])
 }

package/rules/rego/rego.mdc CHANGED Viewed

@@ -15,19 +15,21 @@ alwaysApply: false
 bun run lint-rego
 ```
-Цілі — `npm/policy/`. Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/js/lint.mjs`.
+Цілі — `npm/rules/` (рекурсивно знаходить `.rego` у `<rule>/policy/<concern>/`). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/lint/lint.mjs`.
 `opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
 ### `package.json`
-```json title="package.json"
-{
-  "scripts": {
-    "lint-rego": "n-cursor lint-rego"
-  }
-}
-```
+- Канон `scripts.lint-rego`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+### `.vscode/extensions.json`
+- Канон `recommendations` має містити `tsandall.opa` (LSP, format-on-save через `opa fmt`): [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+### `.vscode/settings.json`
+- Канон `[rego]`-block (`editor.defaultFormatter` + `editor.formatOnSave`): [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
 ## Конфіг regal

package/rules/security/fix/gitleaks/check.mjs CHANGED Viewed

@@ -1,62 +1,25 @@
 /**
- * FS-частина правила `security` (security.mdc).
+ * FS-частина правила `security`.
  *
- * **Що тут лишилося** (FS / cross-file):
- *  - наявність `package.json` у корені (структуру валідує Rego);
- *  - наявність `.gitleaks.toml` у корені — нагадування створити з канону `security.mdc`;
- *  - `.gitleaks.toml` має `useDefault = true` у блоці `[extend]` (інакше дефолтні правила
- *    gitleaks перетираються і скан стає сліпим до 95% типових витоків).
+ * Перевіряє:
+ *  - наявність `package.json` (структуру валідує Rego);
+ *  - контекстне pass-повідомлення для JS-концерну.
  *
- * **Що покрила Rego** (`npx \@nitra/cursor check`, `npm/policy/security/package_json/`):
- *  - `scripts.lint-security` існує і викликає `gitleaks` з `detect`/`git` subcommand;
- *  - агрегований `scripts.lint` (якщо є) містить `bun run lint-security`;
- *  - `gitleaks` НЕ у `dependencies` / `devDependencies` (бо це глобальний CLI).
+ * Наявність і вміст `.gitleaks.toml` (`[extend].useDefault = true`) тепер
+ * перевіряє policy `security.gitleaks`.
  */
 import { existsSync } from 'node:fs'
-import { readFile } from 'node:fs/promises'
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-const GITLEAKS_CONFIG = '.gitleaks.toml'
-/**
- * Перевіряє наявність `.gitleaks.toml` у корені та канонічну вимогу `useDefault = true`
- * у блоці `[extend]`. Користувач сам наповнює `[allowlist]` локальними патернами.
- * @param {(msg: string) => void} pass callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @returns {Promise<void>}
- */
-async function checkGitleaksConfig(pass, fail) {
-  if (!existsSync(GITLEAKS_CONFIG)) {
-    fail(`${GITLEAKS_CONFIG} не знайдено в корені — створи за каноном security.mdc (useDefault = true + [allowlist])`)
-    return
-  }
-  const raw = await readFile(GITLEAKS_CONFIG, 'utf8')
-  if (!/useDefault\s*=\s*true/u.test(raw)) {
-    fail(
-      `${GITLEAKS_CONFIG}: відсутнє \`useDefault = true\` у блоці [extend] — без нього вбудовані ` +
-        'gitleaks-правила перетираються і скан стає сліпим (security.mdc)'
-    )
-    return
-  }
-  pass(`${GITLEAKS_CONFIG} існує і успадковує дефолтні gitleaks-правила (useDefault = true)`)
-}
-/**
- * Запускає всі FS-перевірки правила security.
- * @returns {Promise<number>} 0 — все OK, 1 — є зауваження
- */
 export async function check() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter
   if (!existsSync('package.json')) {
     fail('package.json не знайдено в корені — додай (security.mdc)')
     return reporter.getExitCode()
   }
-  pass('package.json є (структуру перевіряє npx @nitra/cursor check → security.package_json)')
-  await checkGitleaksConfig(pass, fail)
+  pass('package.json є (структуру перевіряє Rego)')
+  pass('.gitleaks.toml перевіряє npx @nitra/cursor check → security.gitleaks')
   return reporter.getExitCode()
 }

package/rules/security/fix/gitleaks/template/.gitleaks.toml.snippet.toml ADDED Viewed

@@ -0,0 +1,12 @@
+[extend]
+useDefault = true
+[allowlist]
+paths = [
+  '''(^|/)node_modules(/|$)''',
+  '''(^|/)\.git(/|$)''',
+  '''(^|/)dist(/|$)''',
+  '''(^|/)build(/|$)''',
+  '''.*\.lock$''',
+  '''.*fixtures?/.*'''
+]

package/rules/security/policy/gitleaks/gitleaks.rego ADDED Viewed

@@ -0,0 +1,17 @@
+# Перевірка `.gitleaks.toml` для security (security.mdc).
+#
+# Канонічна мінімальна вимога: `[extend].useDefault = true`, щоб локальний
+# конфіг не вимикав стандартні правила gitleaks. Додаткові локальні правила
+# дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package security.gitleaks
+import rego.v1
+deny contains msg if {
+	object.get(object.get(input, "extend", {}), "useDefault", null) != true
+	msg := ".gitleaks.toml: [extend].useDefault має бути true (security.mdc)"
+}

package/rules/security/policy/gitleaks/target.json ADDED Viewed

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".gitleaks.toml",
+    "required": true
+  },
+  "missingMessage": ".gitleaks.toml не знайдено — створи за каноном security.mdc"
+}

package/rules/security/policy/package_json/package_json.rego CHANGED Viewed

@@ -1,75 +1,38 @@
 # Перевірка `package.json` для правила security (security.mdc).
-#
-# Запуск (локально):
-#   conftest test package.json -p npm/policy/security \
-#     --namespace security.package_json
-#
-# Перевіряє: наявність `scripts.lint-security`, виклик `gitleaks detect`,
-# входження `bun run lint-security` у агрегований `scripts.lint` (якщо `lint` є),
-# та заборону `gitleaks` у dependencies/devDependencies (інструмент глобальний).
-#
-# FS-перевірки (наявність `.gitleaks.toml`, `useDefault = true`) — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ..., "deny": ..., "contains": ... } }
+# Структура --data сформована з template/<target>.{snippet,deny,contains}.json концерну.
 package security.package_json
 import rego.v1
-gitleaks_pkg := "gitleaks"
-dep_template := concat(" ", [
-	"package.json: %q не повинен бути в %s —",
-	"gitleaks встановлюється глобально (security.mdc)",
-])
-# ── deny: scripts.lint-security ──────────────────────────────────────────
+# ── deny: кожен snippet leaf має співпадати з input ──────────────────────────
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-security" in object.keys(scripts)
-	msg := "package.json: відсутній scripts.lint-security — додай `gitleaks detect --no-banner` (security.mdc)"
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	actual != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (security.mdc)", [script_name, expected])
 }
+# ── deny: жодного ключа з deny у dependencies/devDependencies ────────────────
 deny contains msg if {
-	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
-	lint_security != ""
-	not contains(lint_security, "gitleaks")
-	msg := "package.json: lint-security має викликати `gitleaks` (security.mdc)"
+	some pkg, reason in data.template.deny.dependencies
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("package.json: dependencies.%s — %s (security.mdc)", [pkg, reason])
 }
 deny contains msg if {
-	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
-	contains(lint_security, "gitleaks")
-	not has_detect_or_git_subcommand(lint_security)
-	msg := "package.json: lint-security має містити `detect` або `git` як gitleaks-subcommand (security.mdc)"
+	some pkg, reason in data.template.deny.devDependencies
+	pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf("package.json: devDependencies.%s — %s (security.mdc)", [pkg, reason])
 }
-# ── deny: агрегований `lint` має кликати `bun run lint-security` ─────────
+# ── deny: рядкові поля з contains мають містити кожен substring ──────────────
+# Перевіряємо лише наявні поля (якщо `scripts.<name>` відсутній — поле опціональне).
 deny contains msg if {
-	"lint-security" in object.keys(object.get(input, "scripts", {}))
-	lint := object.get(object.get(input, "scripts", {}), "lint", "")
-	lint != ""
-	not contains(lint, "bun run lint-security")
-	msg := "package.json: агрегований `lint` має містити `bun run lint-security` (security.mdc)"
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	actual != ""
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (security.mdc)", [script_name, needle])
 }
-# ── deny: `gitleaks` НЕ в dependencies/devDependencies ───────────────────
-deny contains msg if {
-	gitleaks_pkg in object.keys(object.get(input, "dependencies", {}))
-	msg := sprintf(dep_template, [gitleaks_pkg, "dependencies"])
-}
-deny contains msg if {
-	gitleaks_pkg in object.keys(object.get(input, "devDependencies", {}))
-	msg := sprintf(dep_template, [gitleaks_pkg, "devDependencies"])
-}
-# ── helpers ──────────────────────────────────────────────────────────────
-# Чи містить рядок subcommand `detect` або `git` (як слово, не як підрядок випадкового шляху).
-# `gitleaks detect ...`, `gitleaks git --no-banner`, `gitleaks detect --source=.` — усі OK.
-has_detect_or_git_subcommand(s) if regex.match(`\bgitleaks\s+(detect|git)\b`, s)

package/rules/security/policy/package_json/template/package.json.contains.json ADDED Viewed

	@@ -0,0 +1 @@
1	+ { "scripts": { "lint": ["bun run lint-security"] } }

package/rules/security/policy/package_json/template/package.json.deny.json ADDED Viewed

@@ -0,0 +1,4 @@
+{
+  "dependencies": { "gitleaks": "глобальний CLI — не додавай у dependencies" },
+  "devDependencies": { "gitleaks": "глобальний CLI — не додавай у devDependencies" }
+}

package/rules/security/policy/package_json/template/package.json.snippet.json ADDED Viewed

	@@ -0,0 +1 @@
1	+ { "scripts": { "lint-security": "gitleaks detect --no-banner" } }

package/rules/security/security.mdc CHANGED Viewed

@@ -9,14 +9,11 @@ version: '1.1'
 ## Канон `package.json#scripts`
-```json title="package.json"
-{
-  "scripts": {
-    "lint-security": "gitleaks detect --no-banner",
-    "lint": "bun run lint-rego && bun run lint-js && bun run lint-text && bun run lint-security && oxfmt ."
-  }
-}
-```
+- `lint-security` скрипт: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+- `lint` агрегатор повинен містити: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
+- Заборонено `gitleaks` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+**Зауваження:**
 - `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
 - `--no-banner` — прибирає ASCII-арт (CI-friendly).
@@ -24,25 +21,9 @@ version: '1.1'
 ## `.gitleaks.toml` (рекомендована основа)
-```toml title=".gitleaks.toml"
-title = "Project gitleaks config"
-[extend]
-useDefault = true
-[allowlist]
-description = "Файли й шляхи, які навмисно містять test-фікстури з паттернами секретів."
-paths = [
-  '''(^|/)node_modules(/|$)''',
-  '''(^|/)\.git(/|$)''',
-  '''(^|/)dist(/|$)''',
-  '''(^|/)build(/|$)''',
-  '''.*\.lock$''',
-  '''.*fixtures?/.*'''
-]
-```
+Канон (допускає розширення в `[allowlist].paths`): [.gitleaks.toml.snippet.toml](./fix/gitleaks/template/.gitleaks.toml.snippet.toml)
-`useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+**Важливо:** `useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
 ## GitHub Actions (опційно)

package/rules/security/todo.MD ADDED Viewed

@@ -0,0 +1,27 @@
+# TODO:
+## semgrep --config p/kubernetes
+p/security-audit
+p/secrets
+p/nodejs
+p/javascript
+p/typescript
+p/docker
+p/kubernetes
+## Trivy
+Найцінніша частина Trivy
+НЕ image scanning. А:
+config scanning
++
+Kubernetes scanning