@nitra/cursor 1.13.2 → 1.13.8

package/CHANGELOG.md

@@ -4,6 +4,61 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.8] - 2026-05-17
+
+### Changed
+
+- Перенесено частину per-document логіки з `fix` у Rego policy:
+  - `js-lint`: `.jscpd.json` і `.vscode/extensions.json`;
+  - `ga`: `package.json#scripts.lint-ga`, `.vscode/extensions.json`, `.vscode/settings.json`, `.github/zizmor.yml`;
+  - `security`: `.gitleaks.toml` (`[extend].useDefault = true`);
+  - `vue`: залежності Vue/Vite-пакетів і заборону `esbuild`.
+- Відповідні JS check-и спрощено до FS/cross-file/AST/tooling частини без дублювання Rego-умов.
+- `ensureNitraCursorInRootDevDependencies` тепер додає `@nitra/cursor` тільки в `package.json` поруч із запуском, якщо в ньому є `workspaces`.
+- `vue.mdc` уточнює тестування через Bun Test Runner + Vue Test Utils/happy-dom замість Vitest/jsdom.
+
+### Fixed
+
+- `npm/package.json#devDependencies` — прибрано self-reference `@nitra/cursor`, щоб published package знову відповідав `npm-module` compact-package canon.
+
+## [1.13.7] - 2026-05-17
+
+### Fixed
+
+- `inlineTemplateLinks`: `String.replace(needle, replacement)` інтерпретує `$'`, `$&` тощо у `replacement`. Через це інлайнінг `.gitleaks.toml.snippet.toml` (де є `$'''`) ламав вивід — хвіст `.mdc` реінжектився всередину блока. Перехід на function-replacer (`(_) => replacement`) усуває це. Додано регресійний тест із фікстурою `with-dollar.toml`.
+
+## [1.13.6] - 2026-05-17
+
+### Added
+
+- `npm/scripts/utils/inline-template-links.mjs` — `inlineTemplateLinks(text, ruleDir)`: під час sync знаходить markdown-лінки виду `[label](./…/template/…)` у `.mdc` і замінює їх inline fenced-блоком з вмістом відповідного файла. Відсутній файл — hard error (fail loud).
+
+### Changed
+
+- `readBundledRuleContent` у `npm/bin/n-cursor.js` тепер пропускає текст правила через `inlineTemplateLinks` перед записом у `.cursor/rules/n-*.mdc`. Template-посилання у скопійованих правилах більше не зламані.
+
+## [1.13.5] - 2026-05-17
+
+### Added
+
+- Оркестратор `run-rule.mjs` тепер викликає `findMissingMdcRefs` для кожного правила — fail, якщо файл у `template/` не згаданий як markdown-посилання у `<id>.mdc`. Поки що активно лише для `security` (єдине правило з `template/`); готова страховка для Phase 2+.
+
+### Fixed
+
+- `check-mdc-template-refs.test.mjs` тест 3 — фіксував дубль test 1; тепер використовує окрему `no-templates` фікстуру, що дійсно валідує "no template/ dirs → empty result".
+
+## [1.13.4] - 2026-05-17
+
+### Removed
+
+- `npm/package.json#devDependencies` — повторно видалено self-reference `@nitra/cursor` (порушує canon `npm-module`: «devDependencies не публікуються користувачам пакета»). Автоматично повертався у попередніх тасках template-dir роботи; цей коміт остаточно прибирає.
+
+## [1.13.3] - 2026-05-17
+
+### Changed
+
+- `security/security.mdc` — прибрано inline merge-фрагменти (package.json snippet для `lint-security`, .gitleaks.toml повний канон), замість них markdown-посилання на файли в `template/` (single source of truth). Зміст правила залишається (описи для чого потрібен gitleaks, GitHub Actions), видалено дублювання фіксованого коду.
+
 ## [1.13.2] - 2026-05-17
 
 ### Changed
@@ -20,6 +75,10 @@
 
 ### Changed
 
+- `security/fix/gitleaks/check.mjs` читає канон з `template/`, не з inline regex.
+- `security/policy/package_json/package_json.rego` читає очікувані значення з `data.template.*`, не з inline literals.
+- Оркестратор `run-rule.mjs` для policy-концернів вантажить `template/` через `resolveConcernTemplateData` і передає у `runConftestBatch.templateData`.
+- Снепет `.gitleaks.toml.snippet.toml` тримає канонічний title + allowlist paths (description лишається user-specific).
 - **9 правил переведено з `alwaysApply: true` на `alwaysApply: false` + `globs:`** — AI-контекст у Cursor/Claude Code підвантажується лише при роботі з релевантними файлами; програмна валідація через `npx check <rule>` залишається повністю функціональною незалежно від AI-контексту. Економить контекстне вікно у сесіях, де редагують код, далекий від відповідних конфігів.
   - **`bun`** (`1.7 → 1.8`) — `globs: "**/package.json,**/bunfig.toml,**/bun.lock,**/bun.lockb"`
   - **`capacitor`** (`1.0 → 1.1`) — `globs: "**/capacitor.config.json,**/android/**,**/ios/**"`

package/bin/n-cursor.js

@@ -67,6 +67,7 @@ import { cwd, env } from 'node:process'
 import { fileURLToPath } from 'node:url'
 
 import { buildAgentsCommandBulletItems } from '../scripts/build-agents-commands.mjs'
+import { inlineTemplateLinks } from '../scripts/utils/inline-template-links.mjs'
 import {
   detectAutoRules,
   detectLegacyRuleIds,
@@ -394,7 +395,7 @@ function normalizeRuleName(ruleName) {
  * @param {string} [bundledRulesDir] каталог `rules/` у корені пакету-джерела
  * @returns {Promise<string>} текст правила для запису в `.cursor/rules/n-*.mdc`
  */
-function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
+async function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
   const id = normalizeRuleName(rule)
   const bundledPath = join(bundledRulesDir, id, `${id}.mdc`)
   if (!existsSync(bundledPath)) {
@@ -402,7 +403,8 @@ function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR) {
       `Немає файлу ${id}/${id}.mdc у ${bundledRulesDir}. Оновіть ${PACKAGE_NAME} або приберіть "${rule}" з rules у ${CONFIG_FILE}.`
     )
   }
-  return readFile(bundledPath, 'utf8')
+  const text = await readFile(bundledPath, 'utf8')
+  return inlineTemplateLinks(text, dirname(bundledPath))
 }
 
 /**

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.2",
+  "version": "1.13.8",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -36,7 +36,8 @@
     "!**/*.test.mjs",
     "!**/*_test.rego",
     "!**/test-helpers.mjs",
-    "!**/fixtures/**"
+    "!**/fixtures/**",
+    "!**/__fixtures__/**"
   ],
   "type": "module",
   "types": "./types/bin/n-cursor.d.ts",
@@ -47,6 +48,7 @@
   "dependencies": {
     "oxc-parser": "^0.128.0",
     "picomatch": "^4.0.4",
+    "smol-toml": "^1.6.1",
     "yaml": "^2.8.3"
   },
   "engines": {

package/rules/ga/fix/workflows/check.mjs

@@ -1,18 +1,18 @@
 /**
  * Перевіряє GitHub Actions за правилом ga.mdc.
  *
- * Workflows лише з розширенням `.yml`, наявність clean/lint workflow, конфіг zizmor з ref-pin,
- * відсутність MegaLinter, коректний скрипт `lint-ga` у `package.json`, виклик у `lint-ga.yml`,
+ * Workflows лише з розширенням `.yml`, наявність clean/lint workflow,
+ * відсутність MegaLinter, виклик у `lint-ga.yml`,
  * наявність composite `.github/actions/setup-bun-deps/action.yml` (його записує npx `\@nitra/cursor`),
- * `\.vscode/settings.json` — `editor.defaultFormatter` **oxc** для `[github-actions-workflow]`.
  *
  * Структурні поля 4 канонічних workflow (`clean-ga-workflows.yml`, `clean-merged-branch.yml`,
  * `lint-ga.yml`, `git-ai.yml`) і УНІВЕРСАЛЬНІ перевірки для всіх `.github/workflows/*.yml`
  * (`concurrency`, заборонені `oven-sh/setup-bun` / `actions/cache` / `bun install` у `uses`/`run`,
  * shell-продовження `\` у `run`, обов'язковий `actions/checkout@v6` перед локальним
- * `setup-bun-deps`) — у Rego-полісі під `npm/policy/ga/` і запускаються через
- * `bun run lint-ga` (`runConftestStep` у `lint-ga.mjs`). Тут лишилася лише git-залежна
- * перевірка `on.*.paths` glob-ів через `git ls-files :(glob)`.
+ * `setup-bun-deps`), а також `package.json`, `.vscode/*` і `.github/zizmor.yml` —
+ * у Rego-полісі під `npm/policy/ga/`. Тут лишилися FS/git/tooling перевірки:
+ * наявність файлів, MegaLinter leftovers, `on.*.paths` через `git ls-files :(glob)`,
+ * і локальний `shellcheck`.
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
@@ -30,8 +30,6 @@ const MEGALINTER_USE_PATTERNS = [/oxsecurity\/megalinter-action/i, /megalinter\/
 /** Типові конфіги MegaLinter у корені репо */
 const MEGALINTER_CONFIG_NAMES = ['.mega-linter.yml', '.megalinter.yaml', '.mega-linter.yaml']
 
-const N_CURSOR_LINT_GA_RE = /\bn-cursor\s+lint-ga\b/
-
 /** Обовʼязкові workflow-файли (ga.mdc). */
 const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml', 'git-ai.yml']
 
@@ -179,92 +177,6 @@ async function checkMegalinter(wfDir, ymlWorkflows, passFn, failFn) {
   if (!found) passFn('Залишків MegaLinter не виявлено')
 }
 
-/**
- * Перевіряє zizmor конфіг.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkZizmor(passFn, failFn) {
-  const zizmorPath = '.github/zizmor.yml'
-  if (!existsSync(zizmorPath)) {
-    failFn(`Відсутній ${zizmorPath} — потрібен для zizmor (ga.mdc)`)
-    return
-  }
-  const z = await readFile(zizmorPath, 'utf8')
-  passFn(`${zizmorPath} існує`)
-  if (z.includes('ref-pin')) {
-    passFn(`${zizmorPath} містить політику ref-pin (zizmor)`)
-  } else {
-    failFn(`${zizmorPath}: додай policies ref-pin для unpinned-uses (ga.mdc)`)
-  }
-}
-
-/**
- * Перевіряє `.vscode/settings.json`: oxfmt/oxc як default formatter для GitHub Actions workflow (мова
- * `github-actions-workflow` з розширення github.vscode-github-actions), узгоджено з oxc для yaml/workflow.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkVscodeSettingsForGa(passFn, failFn) {
-  const rel = '.vscode/settings.json'
-  if (!existsSync(rel)) {
-    failFn(`${rel} не існує — додай [github-actions-workflow].editor.defaultFormatter = oxc.oxc-vscode (ga.mdc)`)
-    return
-  }
-  let settings
-  try {
-    settings = JSON.parse(await readFile(rel, 'utf8'))
-  } catch {
-    failFn(`${rel}: невалідний JSON (ga.mdc)`)
-    return
-  }
-  if (!settings || typeof settings !== 'object') {
-    failFn(`${rel}: очікується об’єкт налаштувань (ga.mdc)`)
-    return
-  }
-  const block = /** @type {Record<string, unknown>} */ (settings)['[github-actions-workflow]']
-  if (!block || typeof block !== 'object' || block === null || Array.isArray(block)) {
-    failFn(`${rel}: додай "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } (ga.mdc)`)
-    return
-  }
-  const df = String(/** @type {Record<string, unknown>} */ (block)['editor.defaultFormatter'] ?? '')
-  if (df !== 'oxc.oxc-vscode') {
-    failFn(
-      `${rel}: [github-actions-workflow].editor.defaultFormatter має бути "oxc.oxc-vscode" (зараз: ${df || '∅'}) (ga.mdc)`
-    )
-    return
-  }
-  passFn(`${rel}: [github-actions-workflow] → oxc.oxc-vscode`)
-}
-
-/**
- * Перевіряє скрипт lint-ga в package.json.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkLintGaScript(passFn, failFn) {
-  if (!existsSync('package.json')) {
-    failFn('package.json не існує — потрібен lint-ga у scripts')
-    return
-  }
-  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
-  const lg = pkg.scripts?.['lint-ga']
-  if (typeof lg !== 'string') {
-    failFn('package.json: додай скрипт "lint-ga" (ga.mdc)')
-    return
-  }
-  passFn('package.json містить lint-ga')
-  // Канонічний скрипт делегує виконання CLI `n-cursor lint-ga` (bin з `@nitra/cursor`) — там preflight
-  // на shellcheck + послідовно `bunx github-actionlint` і `uvx zizmor --offline --collect=workflows .`.
-  // Виклик через bin-ім’я `n-cursor`, а не `npx --no @nitra/cursor`, бо `bun run` транслює `npx` у `bun x`,
-  // а `bun x @nitra/cursor` для скоупованого пакету з одним bin-ім’ям повертає 0 без виконання.
-  if (N_CURSOR_LINT_GA_RE.test(lg)) {
-    passFn('lint-ga делегує CLI n-cursor lint-ga (preflight shellcheck + actionlint + zizmor)')
-  } else {
-    failFn('lint-ga має бути "n-cursor lint-ga" — CLI робить preflight shellcheck перед actionlint/zizmor (ga.mdc)')
-  }
-}
-
 /**
  * Перевіряє наявність локального `shellcheck` у PATH. `actionlint` (`bunx github-actionlint`)
  * запускає shell-перевірки в кроках `run:` workflow тільки коли `shellcheck` доступний; інакше
@@ -437,19 +349,6 @@ export async function check() {
   await checkApplyWorkflow(wfDir, files, 'apply-k8s.yml', '**/k8s/**/*.yaml', pass, fail)
   await checkApplyWorkflow(wfDir, files, 'apply-nats-consumer.yml', '**/consumer.yaml', pass, fail)
 
-  if (existsSync('.vscode/extensions.json')) {
-    const ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-    if (ext.recommendations?.includes('github.vscode-github-actions')) {
-      pass('extensions.json містить github.vscode-github-actions')
-    } else {
-      fail('extensions.json не містить github.vscode-github-actions')
-    }
-  } else {
-    fail('.vscode/extensions.json не існує')
-  }
-
-  await checkVscodeSettingsForGa(pass, fail)
-
   await checkMegalinter(wfDir, ymlWorkflows, pass, fail)
 
   // git-залежна перевірка `on.push.paths` glob-ів (вимагає `git ls-files`) —
@@ -462,8 +361,6 @@ export async function check() {
     }
   }
 
-  await checkZizmor(pass, fail)
-  await checkLintGaScript(pass, fail)
   checkShellcheckInstalled(pass, fail)
 
   return reporter.getExitCode()

package/rules/ga/policy/package_json/package_json.rego

@@ -0,0 +1,24 @@
+# Перевірка кореневого `package.json` для GitHub Actions tooling (ga.mdc).
+#
+# Структурні workflow-перевірки живуть у `ga.workflow_common` і per-workflow
+# policy-пакетах. JS лишається для PATH-preflight (`shellcheck`) і git-залежної
+# перевірки `on.*.paths` через `git ls-files`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.package_json
+
+import rego.v1
+
+deny contains msg if {
+	not is_string(object.get(object.get(input, "scripts", {}), "lint-ga", null))
+	msg := "package.json: додай скрипт \"lint-ga\" (ga.mdc)"
+}
+
+deny contains msg if {
+	lint_ga := object.get(object.get(input, "scripts", {}), "lint-ga", "")
+	is_string(lint_ga)
+	not regex.match(`\bn-cursor\s+lint-ga\b`, lint_ga)
+	msg := "lint-ga має делегувати CLI `n-cursor lint-ga` (ga.mdc)"
+}

package/rules/ga/policy/package_json/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": "package.json",
+    "required": true
+  },
+  "missingMessage": "package.json не існує — потрібен lint-ga у scripts (ga.mdc)"
+}

package/rules/ga/policy/vscode_extensions/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/extensions.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/extensions.json не існує — додай github.vscode-github-actions (ga.mdc)"
+}

package/rules/ga/policy/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,16 @@
+# Перевірка `.vscode/extensions.json` для GitHub Actions (ga.mdc).
+#
+# Canonical: у `recommendations` має бути `github.vscode-github-actions`.
+# Додаткові рекомендації від інших правил дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	not "github.vscode-github-actions" in {r | some r in object.get(input, "recommendations", [])}
+	msg := ".vscode/extensions.json: recommendations має містити \"github.vscode-github-actions\" (ga.mdc)"
+}

package/rules/ga/policy/vscode_settings/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/settings.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/settings.json не існує — додай [github-actions-workflow].editor.defaultFormatter (ga.mdc)"
+}

package/rules/ga/policy/vscode_settings/vscode_settings.rego

@@ -0,0 +1,24 @@
+# Перевірка `.vscode/settings.json` для GitHub Actions workflow (ga.mdc).
+#
+# Мова `github-actions-workflow` має форматуватись через `oxc.oxc-vscode`,
+# узгоджено з oxc для YAML/workflow.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.vscode_settings
+
+import rego.v1
+
+deny contains msg if {
+	block := object.get(input, "[github-actions-workflow]", null)
+	not is_object(block)
+	msg := ".vscode/settings.json: додай \"[github-actions-workflow]\": { \"editor.defaultFormatter\": \"oxc.oxc-vscode\" } (ga.mdc)"
+}
+
+deny contains msg if {
+	block := object.get(input, "[github-actions-workflow]", null)
+	is_object(block)
+	object.get(block, "editor.defaultFormatter", null) != "oxc.oxc-vscode"
+	msg := ".vscode/settings.json: [github-actions-workflow].editor.defaultFormatter має бути \"oxc.oxc-vscode\" (ga.mdc)"
+}

package/rules/ga/policy/zizmor_yml/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".github/zizmor.yml",
+    "required": true
+  },
+  "missingMessage": ".github/zizmor.yml не існує — потрібен для zizmor (ga.mdc)"
+}

package/rules/ga/policy/zizmor_yml/zizmor_yml.rego

@@ -0,0 +1,17 @@
+# Перевірка `.github/zizmor.yml` для GitHub Actions (ga.mdc).
+#
+# JS раніше перевіряв сирий текст на `ref-pin`; у policy це робиться по
+# JSON-представленню розпарсеного YAML-документа. Коментарі не враховуються,
+# тож збіг має бути у фактичній конфігурації.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.zizmor_yml
+
+import rego.v1
+
+deny contains msg if {
+	not contains(json.marshal(input), "ref-pin")
+	msg := ".github/zizmor.yml: додай policies ref-pin для unpinned-uses (ga.mdc)"
+}

package/rules/js-lint/fix/tooling/check.mjs

@@ -1,15 +1,14 @@
 /**
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
- * Канонічний `lint-js`, flat ESLint з getConfig і ignore для auto-imports, рекомендації VSCode,
+ * Flat ESLint з getConfig і ignore для auto-imports,
  * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
- * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.9.2** (з 3.8.0 правило
- * `no-restricted-syntax` для `ForInStatement` забороняє `for...in`; з 3.9.2 у `getConfig` вбудовано
- * ignore для ADR-каталогів — локально цей glob додавати не потрібно; також тягне транзитивний
- * `@e18e/eslint-plugin` для oxlint), `.jscpd.json` (gitignore, exitCode, reporters, minLines), workflow
- * `lint-js.yml` (checkout@v6, setup-bun-deps, bunx без --fix), без prettier, `engines.node` >= 24,
- * `engines.bun` >= 1.3, `"type": "module"` у кореневому і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
+ * globals, ignorePatterns. Також перевіряє workspace `package.json` на `type: "module"`
+ * і `engines`, workflow-дубль у `lint.yml`, `knip.json` autofill і застарілі `.eslintrc*`.
+ *
+ * Per-document вимоги (`lint-js`, `@nitra/eslint-config`, root `engines`, `.jscpd.json`,
+ * `.vscode/extensions.json`, `lint-js.yml`) — у policy-пакетах `js_lint.*`.
  */
 import { existsSync } from 'node:fs'
 import { copyFile, readFile } from 'node:fs/promises'
@@ -42,9 +41,6 @@ export const KNIP_CANONICAL_JSON_PATH = join(
   'knip-canonical.json'
 )
 
-/** Мінімальні рекомендації розширень редактора з js-lint.mdc (eslint, oxlint, GA). */
-export const REQUIRED_VSCODE_EXTENSIONS = ['dbaeumer.vscode-eslint', 'github.vscode-github-actions', 'oxc.oxc-vscode']
-
 const NON_DIGITS_RE = /\D+/u
 
 // Канонічний рядок `lint-js`-скрипта і мінімальна версія `@nitra/eslint-config` —
@@ -353,36 +349,6 @@ async function checkOxlintRc(passFn, failFn) {
   }
 }
 
-/**
- * Перевіряє .vscode/extensions.json на потрібні розширення.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkVscodeExtensions(passFn, failFn) {
-  if (!existsSync('.vscode/extensions.json')) {
-    failFn('.vscode/extensions.json не існує — додай recommendations з js-lint.mdc (див. check-js-lint.mjs)')
-    return
-  }
-  let ext
-  try {
-    ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-  } catch {
-    failFn('.vscode/extensions.json не є валідним JSON')
-    return
-  }
-  const rec = ext.recommendations
-  if (!Array.isArray(rec)) {
-    failFn('.vscode/extensions.json: поле recommendations має бути масивом')
-    return
-  }
-  const missing = REQUIRED_VSCODE_EXTENSIONS.filter(id => !rec.includes(id))
-  if (missing.length > 0) {
-    failFn(`.vscode/extensions.json: додай у recommendations: ${missing.join(', ')} (мінімум для js-lint.mdc)`)
-  } else {
-    passFn('.vscode/extensions.json: є рекомендації oxlint, eslint і GitHub Actions')
-  }
-}
-
 /**
  * FS-existence для `lint-js.yml` + cross-file перевірка, що `lint.yml` (якщо існує)
  * не дублює лінт JS-кроки. Структуру `lint-js.yml` (`actions/checkout@v6`,
@@ -408,47 +374,6 @@ async function checkLintJsWorkflows(passFn, failFn) {
   }
 }
 
-/**
- * Перевіряє .jscpd.json.
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkJscpdConfig(passFn, failFn) {
-  if (!existsSync('.jscpd.json')) {
-    failFn('.jscpd.json не існує — створи з полями згідно check js-lint')
-    return
-  }
-  let jscpdCfg
-  try {
-    jscpdCfg = JSON.parse(await readFile('.jscpd.json', 'utf8'))
-  } catch {
-    failFn('.jscpd.json не є валідним JSON')
-    return
-  }
-  passFn('.jscpd.json існує')
-  if (jscpdCfg.gitignore === true) {
-    passFn('.jscpd.json: gitignore увімкнено')
-  } else {
-    failFn('.jscpd.json має містити "gitignore": true')
-  }
-  if (jscpdCfg.exitCode === 1) {
-    passFn('.jscpd.json: exitCode 1 при дублікатах')
-  } else {
-    failFn('.jscpd.json має містити "exitCode": 1 (інакше CI не впаде на клонах)')
-  }
-  if (Array.isArray(jscpdCfg.reporters) && jscpdCfg.reporters.includes('console')) {
-    passFn('.jscpd.json: reporters містить console')
-  } else {
-    failFn('.jscpd.json має містити "reporters": ["console"] (або масив із "console")')
-  }
-  const minLines = jscpdCfg.minLines
-  if (typeof minLines === 'number' && minLines >= 25) {
-    passFn(`.jscpd.json: minLines ${minLines} (>=25)`)
-  } else {
-    failFn('.jscpd.json має містити "minLines" як число >= 25')
-  }
-}
-
 /**
  * Перевіряє наявність `knip.json` у корені проєкту. Якщо файл відсутній —
  * копіює канонічний `knip-canonical.json` з пакета `@nitra/cursor` як стартовий
@@ -485,9 +410,7 @@ export async function check() {
   await checkEslintConfig(pass, fail)
   await checkPackageJsonJsLint(pass, fail)
   await checkOxlintRc(pass, fail)
-  await checkVscodeExtensions(pass, fail)
   await checkLintJsWorkflows(pass, fail)
-  await checkJscpdConfig(pass, fail)
   await checkKnipConfig(pass, fail)
 
   for (const dup of ['.eslintrc', '.eslintrc.js', '.eslintrc.json', '.eslintrc.yml']) {

package/rules/js-lint/policy/jscpd/jscpd.rego

@@ -0,0 +1,38 @@
+# Перевірка `.jscpd.json` для js-lint (js-lint.mdc).
+#
+# JS-частина лишається для FS/cross-file: наявність workflow, flat ESLint config,
+# `.oxlintrc.json` проти embedded canonical snapshot, `knip.json` autofill.
+# Цей пакет покриває лише структуру одного JSON-документа.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.jscpd
+
+import rego.v1
+
+deny contains msg if {
+	input.gitignore != true
+	msg := ".jscpd.json має містити \"gitignore\": true (js-lint.mdc)"
+}
+
+deny contains msg if {
+	input.exitCode != 1
+	msg := ".jscpd.json має містити \"exitCode\": 1 (інакше CI не впаде на клонах) (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not "console" in {r | some r in object.get(input, "reporters", [])}
+	msg := ".jscpd.json має містити \"reporters\": [\"console\"] або масив із \"console\" (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not is_number(object.get(input, "minLines", null))
+	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
+}
+
+deny contains msg if {
+	is_number(input.minLines)
+	input.minLines < 25
+	msg := ".jscpd.json має містити \"minLines\" як число >= 25 (js-lint.mdc)"
+}

package/rules/js-lint/policy/jscpd/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".jscpd.json",
+    "required": true
+  },
+  "missingMessage": ".jscpd.json не існує — створи з полями згідно js-lint.mdc"
+}

package/rules/js-lint/policy/vscode_extensions/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".vscode/extensions.json",
+    "required": true
+  },
+  "missingMessage": ".vscode/extensions.json не існує — додай recommendations з js-lint.mdc"
+}

package/rules/js-lint/policy/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,25 @@
+# Перевірка `.vscode/extensions.json` для js-lint (js-lint.mdc).
+#
+# Canonical: у `recommendations` мають бути ESLint, GitHub Actions і Oxlint.
+# Канон задає мінімум — додаткові рекомендації від інших правил дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.vscode_extensions
+
+import rego.v1
+
+required_extensions := {
+	"dbaeumer.vscode-eslint",
+	"github.vscode-github-actions",
+	"oxc.oxc-vscode",
+}
+
+recommendations_set := {r | some r in object.get(input, "recommendations", [])}
+
+deny contains msg if {
+	some required in required_extensions
+	not required in recommendations_set
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (js-lint.mdc)", [required])
+}