@nitra/cursor 1.13.2 → 1.13.8

package/rules/security/fix/gitleaks/check.mjs

@@ -1,62 +1,25 @@
 /**
- * FS-частина правила `security` (security.mdc).
+ * FS-частина правила `security`.
  *
- * **Що тут лишилося** (FS / cross-file):
- *  - наявність `package.json` у корені (структуру валідує Rego);
- *  - наявність `.gitleaks.toml` у корені — нагадування створити з канону `security.mdc`;
- *  - `.gitleaks.toml` має `useDefault = true` у блоці `[extend]` (інакше дефолтні правила
- *    gitleaks перетираються і скан стає сліпим до 95% типових витоків).
+ * Перевіряє:
+ *  - наявність `package.json` (структуру валідує Rego);
+ *  - контекстне pass-повідомлення для JS-концерну.
  *
- * **Що покрила Rego** (`npx \@nitra/cursor check`, `npm/policy/security/package_json/`):
- *  - `scripts.lint-security` існує і викликає `gitleaks` з `detect`/`git` subcommand;
- *  - агрегований `scripts.lint` (якщо є) містить `bun run lint-security`;
- *  - `gitleaks` НЕ у `dependencies` / `devDependencies` (бо це глобальний CLI).
+ * Наявність і вміст `.gitleaks.toml` (`[extend].useDefault = true`) тепер
+ * перевіряє policy `security.gitleaks`.
  */
 import { existsSync } from 'node:fs'
-import { readFile } from 'node:fs/promises'
 
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 
-const GITLEAKS_CONFIG = '.gitleaks.toml'
-
-/**
- * Перевіряє наявність `.gitleaks.toml` у корені та канонічну вимогу `useDefault = true`
- * у блоці `[extend]`. Користувач сам наповнює `[allowlist]` локальними патернами.
- * @param {(msg: string) => void} pass callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @returns {Promise<void>}
- */
-async function checkGitleaksConfig(pass, fail) {
-  if (!existsSync(GITLEAKS_CONFIG)) {
-    fail(`${GITLEAKS_CONFIG} не знайдено в корені — створи за каноном security.mdc (useDefault = true + [allowlist])`)
-    return
-  }
-  const raw = await readFile(GITLEAKS_CONFIG, 'utf8')
-  if (!/useDefault\s*=\s*true/u.test(raw)) {
-    fail(
-      `${GITLEAKS_CONFIG}: відсутнє \`useDefault = true\` у блоці [extend] — без нього вбудовані ` +
-        'gitleaks-правила перетираються і скан стає сліпим (security.mdc)'
-    )
-    return
-  }
-  pass(`${GITLEAKS_CONFIG} існує і успадковує дефолтні gitleaks-правила (useDefault = true)`)
-}
-
-/**
- * Запускає всі FS-перевірки правила security.
- * @returns {Promise<number>} 0 — все OK, 1 — є зауваження
- */
 export async function check() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter
-
   if (!existsSync('package.json')) {
     fail('package.json не знайдено в корені — додай (security.mdc)')
     return reporter.getExitCode()
   }
-  pass('package.json є (структуру перевіряє npx @nitra/cursor check → security.package_json)')
-
-  await checkGitleaksConfig(pass, fail)
-
+  pass('package.json є (структуру перевіряє Rego)')
+  pass('.gitleaks.toml перевіряє npx @nitra/cursor check → security.gitleaks')
   return reporter.getExitCode()
 }

package/rules/security/fix/gitleaks/template/.gitleaks.toml.snippet.toml

@@ -0,0 +1,12 @@
+[extend]
+useDefault = true
+
+[allowlist]
+paths = [
+  '''(^|/)node_modules(/|$)''',
+  '''(^|/)\.git(/|$)''',
+  '''(^|/)dist(/|$)''',
+  '''(^|/)build(/|$)''',
+  '''.*\.lock$''',
+  '''.*fixtures?/.*'''
+]

package/rules/security/policy/gitleaks/gitleaks.rego

@@ -0,0 +1,17 @@
+# Перевірка `.gitleaks.toml` для security (security.mdc).
+#
+# Канонічна мінімальна вимога: `[extend].useDefault = true`, щоб локальний
+# конфіг не вимикав стандартні правила gitleaks. Додаткові локальні правила
+# дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package security.gitleaks
+
+import rego.v1
+
+deny contains msg if {
+	object.get(object.get(input, "extend", {}), "useDefault", null) != true
+	msg := ".gitleaks.toml: [extend].useDefault має бути true (security.mdc)"
+}

package/rules/security/policy/gitleaks/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".gitleaks.toml",
+    "required": true
+  },
+  "missingMessage": ".gitleaks.toml не знайдено — створи за каноном security.mdc"
+}

package/rules/security/policy/package_json/package_json.rego

@@ -1,75 +1,38 @@
 # Перевірка `package.json` для правила security (security.mdc).
-#
-# Запуск (локально):
-#   conftest test package.json -p npm/policy/security \
-#     --namespace security.package_json
-#
-# Перевіряє: наявність `scripts.lint-security`, виклик `gitleaks detect`,
-# входження `bun run lint-security` у агрегований `scripts.lint` (якщо `lint` є),
-# та заборону `gitleaks` у dependencies/devDependencies (інструмент глобальний).
-#
-# FS-перевірки (наявність `.gitleaks.toml`, `useDefault = true`) — у JS.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ..., "deny": ..., "contains": ... } }
+# Структура --data сформована з template/<target>.{snippet,deny,contains}.json концерну.
 package security.package_json
 
 import rego.v1
 
-gitleaks_pkg := "gitleaks"
-
-dep_template := concat(" ", [
-	"package.json: %q не повинен бути в %s —",
-	"gitleaks встановлюється глобально (security.mdc)",
-])
-
-# ── deny: scripts.lint-security ──────────────────────────────────────────
-
+# ── deny: кожен snippet leaf має співпадати з input ──────────────────────────
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-security" in object.keys(scripts)
-	msg := "package.json: відсутній scripts.lint-security — додай `gitleaks detect --no-banner` (security.mdc)"
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	actual != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (security.mdc)", [script_name, expected])
 }
 
+# ── deny: жодного ключа з deny у dependencies/devDependencies ────────────────
 deny contains msg if {
-	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
-	lint_security != ""
-	not contains(lint_security, "gitleaks")
-	msg := "package.json: lint-security має викликати `gitleaks` (security.mdc)"
+	some pkg, reason in data.template.deny.dependencies
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("package.json: dependencies.%s — %s (security.mdc)", [pkg, reason])
 }
 
 deny contains msg if {
-	lint_security := object.get(object.get(input, "scripts", {}), "lint-security", "")
-	contains(lint_security, "gitleaks")
-	not has_detect_or_git_subcommand(lint_security)
-	msg := "package.json: lint-security має містити `detect` або `git` як gitleaks-subcommand (security.mdc)"
+	some pkg, reason in data.template.deny.devDependencies
+	pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf("package.json: devDependencies.%s — %s (security.mdc)", [pkg, reason])
 }
 
-# ── deny: агрегований `lint` має кликати `bun run lint-security` ─────────
-
+# ── deny: рядкові поля з contains мають містити кожен substring ──────────────
+# Перевіряємо лише наявні поля (якщо `scripts.<name>` відсутній — поле опціональне).
 deny contains msg if {
-	"lint-security" in object.keys(object.get(input, "scripts", {}))
-	lint := object.get(object.get(input, "scripts", {}), "lint", "")
-	lint != ""
-	not contains(lint, "bun run lint-security")
-	msg := "package.json: агрегований `lint` має містити `bun run lint-security` (security.mdc)"
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	actual != ""
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (security.mdc)", [script_name, needle])
 }
-
-# ── deny: `gitleaks` НЕ в dependencies/devDependencies ───────────────────
-
-deny contains msg if {
-	gitleaks_pkg in object.keys(object.get(input, "dependencies", {}))
-	msg := sprintf(dep_template, [gitleaks_pkg, "dependencies"])
-}
-
-deny contains msg if {
-	gitleaks_pkg in object.keys(object.get(input, "devDependencies", {}))
-	msg := sprintf(dep_template, [gitleaks_pkg, "devDependencies"])
-}
-
-# ── helpers ──────────────────────────────────────────────────────────────
-
-# Чи містить рядок subcommand `detect` або `git` (як слово, не як підрядок випадкового шляху).
-# `gitleaks detect ...`, `gitleaks git --no-banner`, `gitleaks detect --source=.` — усі OK.
-has_detect_or_git_subcommand(s) if regex.match(`\bgitleaks\s+(detect|git)\b`, s)

package/rules/security/policy/package_json/template/package.json.contains.json

@@ -0,0 +1 @@
+{ "scripts": { "lint": ["bun run lint-security"] } }

package/rules/security/policy/package_json/template/package.json.deny.json

@@ -0,0 +1,4 @@
+{
+  "dependencies": { "gitleaks": "глобальний CLI — не додавай у dependencies" },
+  "devDependencies": { "gitleaks": "глобальний CLI — не додавай у devDependencies" }
+}

package/rules/security/policy/package_json/template/package.json.snippet.json

@@ -0,0 +1 @@
+{ "scripts": { "lint-security": "gitleaks detect --no-banner" } }

package/rules/security/security.mdc

@@ -9,14 +9,11 @@ version: '1.1'
 
 ## Канон `package.json#scripts`
 
-```json title="package.json"
-{
-  "scripts": {
-    "lint-security": "gitleaks detect --no-banner",
-    "lint": "bun run lint-rego && bun run lint-js && bun run lint-text && bun run lint-security && oxfmt ."
-  }
-}
-```
+- `lint-security` скрипт: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+- `lint` агрегатор повинен містити: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
+- Заборонено `gitleaks` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+
+**Зауваження:**
 
 - `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
 - `--no-banner` — прибирає ASCII-арт (CI-friendly).
@@ -24,25 +21,9 @@ version: '1.1'
 
 ## `.gitleaks.toml` (рекомендована основа)
 
-```toml title=".gitleaks.toml"
-title = "Project gitleaks config"
-
-[extend]
-useDefault = true
-
-[allowlist]
-description = "Файли й шляхи, які навмисно містять test-фікстури з паттернами секретів."
-paths = [
-  '''(^|/)node_modules(/|$)''',
-  '''(^|/)\.git(/|$)''',
-  '''(^|/)dist(/|$)''',
-  '''(^|/)build(/|$)''',
-  '''.*\.lock$''',
-  '''.*fixtures?/.*'''
-]
-```
+Канон (допускає розширення в `[allowlist].paths`): [.gitleaks.toml.snippet.toml](./fix/gitleaks/template/.gitleaks.toml.snippet.toml)
 
-`useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+**Важливо:** `useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
 
 ## GitHub Actions (опційно)
 

package/rules/vue/fix/packages/check.mjs

@@ -1,8 +1,12 @@
 /**
  * Знаходить пакети з `vue` у dependencies і перевіряє їх за правилом vue.mdc.
  *
- * Версії Vite та плагінів, vue-macros, auto-import, layouts, вміст `vite.config`;
- * у репозиторії — рекомендацію розширення Vue.volar.
+ * Вміст `vite.config`, editor-файли для Vite client types, у репозиторії —
+ * рекомендацію розширення Vue.volar.
+ *
+ * Залежності Vue/Vite (`vite >= 8`, `@vitejs/plugin-vue`, `vue-macros`,
+ * `unplugin-auto-import`, `vite-plugin-vue-layouts-next`, заборона `esbuild`) —
+ * у policy `vue.package_json`.
  *
  * У кожному Vue+Vite-пакеті очікується `src/vite-env.d.ts` з `/// <reference types="vite/client" />`
  * та `jsconfig.json` у корені пакета (типи для імпортів асетів у `.vue`).
@@ -183,30 +187,6 @@ function ukFilesCountPhrase(n) {
   return `${n} файлів`
 }
 
-/**
- * Перевіряє наявність залежності в об'єкті deps.
- * @param {Record<string,string>} deps об'єкт залежностей
- * @param {string} name ім'я пакета
- * @param {string} prefix префікс повідомлення
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @param {string} hint підказка при відсутності
- */
-function checkRequiredDep(deps, name, prefix, passFn, fail, hint = `${name} відсутній`) {
-  if (deps[name]) {
-    passFn(`${prefix}${name}: ${deps[name]}`)
-  } else {
-    fail(`${prefix}${hint}`)
-  }
-}
-
-/**
- * Перевіряє версію vite у devDependencies.
- * @param {Record<string,string>} devDeps devDependencies з package.json
- * @param {string} prefix параметр prefix
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- */
 /**
  * Перевіряє `src/vite-env.d.ts` і наявність `jsconfig.json` для підтягування типів асетів Vite у IDE.
  * @param {string} rootDir відносний шлях до кореня пакета
@@ -433,44 +413,7 @@ async function checkVueImportViolations(rootDir, absPackageRoot, ignorePaths, ha
  */
 async function checkVuePackage(rootDir, ignorePaths, fail, passFn) {
   const prefix = `[${packageLabel(rootDir)}] `
-  const pkg = JSON.parse(await readFile(join(rootDir, 'package.json'), 'utf8'))
-  const deps = pkg.dependencies || {}
-  const devDeps = pkg.devDependencies || {}
-  const allDeps = { ...deps, ...devDeps }
-
-  if (allDeps.esbuild) {
-    fail(`${prefix}esbuild заборонено (знайдено: ${allDeps.esbuild}). Замінити на rolldown та прибрати esbuild.`)
-  }
-
-  checkRequiredDep(deps, 'vue', prefix, passFn, fail, 'vue відсутній в dependencies')
-  // `vite >= 8` перенесено в Rego (`npm/policy/vue/package_json/`); запуск
-  // через `npx @nitra/cursor check`. Залишені вимоги — present-/missing-deps
-  // (vue-macros, unplugin-auto-import, тощо) — у самому JS-чекері.
-  checkRequiredDep(
-    devDeps,
-    '@vitejs/plugin-vue',
-    prefix,
-    passFn,
-    fail,
-    '@vitejs/plugin-vue відсутній в devDependencies'
-  )
-  checkRequiredDep(allDeps, 'vue-macros', prefix, passFn, fail, 'vue-macros відсутній — bun add -d vue-macros')
-  checkRequiredDep(
-    allDeps,
-    'unplugin-auto-import',
-    prefix,
-    passFn,
-    fail,
-    'unplugin-auto-import відсутній — bun add -d unplugin-auto-import'
-  )
-  checkRequiredDep(
-    allDeps,
-    'vite-plugin-vue-layouts-next',
-    prefix,
-    passFn,
-    fail,
-    'vite-plugin-vue-layouts-next відсутній — bun add -d vite-plugin-vue-layouts-next'
-  )
+  passFn(`${prefix}package.json залежності перевіряє npx @nitra/cursor check → vue.package_json`)
 
   await checkViteClientEnvAndEditorConfig(rootDir, prefix, passFn, fail)
 

package/rules/vue/policy/package_json/package_json.rego

@@ -5,8 +5,9 @@
 #   conftest test path/to/package.json -p npm/policy/vue \
 #     --namespace vue.package_json
 #
-# Перевіряє: якщо в `dependencies` є `vue`, то у `devDependencies.vite` має бути
-# мажорна версія ≥ 8.
+# Перевіряє: якщо в `dependencies` є `vue`, то потрібні канонічні Vue/Vite
+# залежності, `devDependencies.vite` має бути мажорної версії ≥ 8, а `esbuild`
+# у dependencies/devDependencies заборонений (міграція на rolldown).
 #
 # AST-сканування коду (заборона явних value-імпортів `from 'vue'`, заборона
 # Node-нативних модулів у `.vue` SFC, перевірка `vite.config` на
@@ -34,12 +35,54 @@ deny contains msg if {
 	msg := sprintf("Vue-пакет: vite має бути >= 8 (зараз %q) (vue.mdc)", [vite_range])
 }
 
+deny contains msg if {
+	uses_vue
+	not "@vitejs/plugin-vue" in dev_dependency_names
+	msg := "Vue-пакет: @vitejs/plugin-vue відсутній у devDependencies (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	not "vue-macros" in all_dependency_names
+	msg := "Vue-пакет: vue-macros відсутній (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	not "unplugin-auto-import" in all_dependency_names
+	msg := "Vue-пакет: unplugin-auto-import відсутній (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	not "vite-plugin-vue-layouts-next" in all_dependency_names
+	msg := "Vue-пакет: vite-plugin-vue-layouts-next відсутній (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	"esbuild" in all_dependency_names
+	msg := "Vue-пакет: esbuild заборонено — заміни на rolldown і прибери залежність (vue.mdc)"
+}
+
 # ── helpers ────────────────────────────────────────────────────────────────
 
 uses_vue if {
 	"vue" in object.keys(object.get(input, "dependencies", {}))
 }
 
+dependency_names := {n | some n in object.keys(object.get(input, "dependencies", {}))}
+
+dev_dependency_names := {n | some n in object.keys(object.get(input, "devDependencies", {}))}
+
+all_dependency_names contains n if {
+	some n in dependency_names
+}
+
+all_dependency_names contains n if {
+	some n in dev_dependency_names
+}
+
 vite_in_dev_dependencies if {
 	"vite" in object.keys(object.get(input, "devDependencies", {}))
 }

package/rules/vue/vue.mdc

@@ -1,6 +1,6 @@
 ---
 description: Vue
-version: '1.8'
+version: '1.9'
 globs: "**/*.vue"
 alwaysApply: false
 ---
@@ -104,7 +104,20 @@ const additionalInstructions = `
 
 ### Тестування
 
-- **Unit / component:** **Vue Test Utils**; з **Vite** зручно **Vitest**.
+- **Unit:** **Bun Test Runner** (`bun test`) — використовуй його замість **Vitest**. API сумісне (`describe` / `it` / `expect` з `bun:test`), моки через `mock` і `mock.module`. У `package.json` тримай `"test": "bun test <шляхи>"`; не додавай `vitest`, `vitest.config.*` і пов’язані залежності.
+- **Component / DOM:** **Vue Test Utils** + **Bun Test Runner** з **happy-dom** як DOM-середовищем. Підключення — через `@happy-dom/global-registrator` у preload-файлі та `bunfig.toml`:
+
+```toml title="bunfig.toml"
+[test]
+preload = ["./test/happy-dom.preload.js"]
+```
+
+```js title="test/happy-dom.preload.js"
+import { GlobalRegistrator } from '@happy-dom/global-registrator'
+GlobalRegistrator.register()
+```
+
+`jsdom` не використовуй — happy-dom швидший і достатній для типових Vue-компонентних тестів.
 - **E2E:** **Playwright** змістовні сценарії користувацьких потоків.
 
 ### Інструменти (узгоджено з Vite і цим правилом)

package/scripts/ensure-nitra-cursor-dev-dependencies.mjs

@@ -1,10 +1,11 @@
 /**
- * Дописує `\@nitra/cursor` у `devDependencies` кореневого `package.json` проєкту, якщо пакет ще не
- * оголошено ні в `devDependencies`, ні в `dependencies`.
+ * Дописує `\@nitra/cursor` у `devDependencies` workspace-root `package.json` проєкту, якщо пакет ще
+ * не оголошено ні в `devDependencies`, ні в `dependencies`.
  *
  * Використовується CLI `n-cursor` при кожному запуску (`npx \@nitra/cursor`, зокрема `check`), щоб
  * команда `check` і скрипти з `node_modules/\@nitra/cursor/scripts/` були відтворювані після
- * `bun install` / `npm install`, а не лише з кешу npx.
+ * `bun install` / `npm install`, а не лише з кешу npx. Корінь визначається тільки за наявністю поля
+ * `workspaces` у `package.json` поруч із поточною директорією запуску.
  *
  * Версія діапазону: `^<version>` з поля `version` установленого пакету `\@nitra/cursor`.
  */
@@ -37,36 +38,55 @@ export async function readBundledPackageVersion() {
 }
 
 /**
- * Якщо в `root/package.json` немає `\@nitra/cursor` у `devDependencies` і `dependencies`, дописує
- * `devDependencies["\@nitra/cursor"]` зі значенням `^<bundledVersion>`.
- * @param {string} root абсолютний шлях кореня проєкту (зазвичай `process.cwd()`)
- * @param {{ bundledVersion?: string | null, silent?: boolean }} [options] `bundledVersion` — для тестів;
- *   `silent` — не писати в консоль при успішному оновленні
- * @returns {Promise<boolean>} `true`, якщо `package.json` змінено на диску
+ * Читає JSON-обʼєкт із диска.
+ * @param {string} path шлях до JSON-файлу
+ * @returns {Promise<Record<string, unknown> | null>} обʼєкт або `null`, якщо файл нечитабельний
  */
-export async function ensureNitraCursorInRootDevDependencies(root, options = {}) {
-  const pkgPath = join(root, 'package.json')
-  if (!existsSync(pkgPath)) {
-    return false
-  }
-
+async function readJsonObject(path) {
   let raw
   try {
-    raw = await readFile(pkgPath, 'utf8')
+    raw = await readFile(path, 'utf8')
   } catch {
-    return false
+    return null
   }
 
-  let pkg
   try {
-    pkg = JSON.parse(raw)
+    const value = JSON.parse(raw)
+    return value !== null && typeof value === 'object' && !Array.isArray(value) ? value : null
   } catch {
-    return false
+    return null
   }
+}
 
-  if (pkg === null || typeof pkg !== 'object' || Array.isArray(pkg)) {
+/**
+ * Читає `package.json` поруч зі стартовою директорією, якщо це workspace-root.
+ * @param {string} startDir директорія, з якої запущено CLI
+ * @returns {Promise<{ path: string, pkg: Record<string, unknown> } | null>} workspace-root package або `null`
+ */
+async function readAdjacentWorkspaceRootPackageJson(startDir) {
+  const pkgPath = join(startDir, 'package.json')
+  if (!existsSync(pkgPath)) {
+    return null
+  }
+
+  const pkg = await readJsonObject(pkgPath)
+  return pkg && Object.hasOwn(pkg, 'workspaces') ? { path: pkgPath, pkg } : null
+}
+
+/**
+ * Якщо у workspace-root `package.json` немає `\@nitra/cursor` у `devDependencies` і `dependencies`,
+ * дописує `devDependencies["\@nitra/cursor"]` зі значенням `^<bundledVersion>`.
+ * @param {string} root стартова директорія проєкту (зазвичай `process.cwd()`)
+ * @param {{ bundledVersion?: string | null, silent?: boolean }} [options] `bundledVersion` — для тестів;
+ *   `silent` — не писати в консоль при успішному оновленні
+ * @returns {Promise<boolean>} `true`, якщо `package.json` змінено на диску
+ */
+export async function ensureNitraCursorInRootDevDependencies(root, options = {}) {
+  const workspaceRoot = await readAdjacentWorkspaceRootPackageJson(root)
+  if (!workspaceRoot) {
     return false
   }
+  const { path: pkgPath, pkg } = workspaceRoot
 
   const devDeps = pkg.devDependencies
   const deps = pkg.dependencies

package/scripts/utils/check-mdc-template-refs.mjs

@@ -0,0 +1,47 @@
+/**
+ * Returns list of template/ files that are NOT referenced in <id>.mdc as
+ * markdown link targets. Paths returned are relative to ruleDir.
+ *
+ * @param {string} ruleDir absolute path to npm/rules/<id>/
+ * @param {string} ruleId basename (e.g. "security")
+ * @returns {Promise<string[]>}
+ */
+import { existsSync } from 'node:fs'
+import { readdir, readFile, stat } from 'node:fs/promises'
+import { join, relative } from 'node:path'
+
+async function walkTemplateDirs(ruleDir) {
+  const out = []
+  for (const kind of ['fix', 'policy']) {
+    const kindDir = join(ruleDir, kind)
+    if (!existsSync(kindDir)) continue
+    for (const concern of await readdir(kindDir)) {
+      const tpl = join(kindDir, concern, 'template')
+      if (!existsSync(tpl)) continue
+      if (!(await stat(tpl)).isDirectory()) continue
+      out.push(...(await collectFiles(tpl)))
+    }
+  }
+  return out.map(p => relative(ruleDir, p))
+}
+
+async function collectFiles(dir) {
+  const out = []
+  for (const entry of await readdir(dir, { withFileTypes: true })) {
+    const full = join(dir, entry.name)
+    if (entry.isDirectory()) out.push(...(await collectFiles(full)))
+    else out.push(full)
+  }
+  return out
+}
+
+export async function findMissingMdcRefs(ruleDir, ruleId) {
+  const mdcPath = join(ruleDir, `${ruleId}.mdc`)
+  if (!existsSync(mdcPath)) return []
+  const mdc = await readFile(mdcPath, 'utf8')
+  const allFiles = await walkTemplateDirs(ruleDir)
+  return allFiles.filter(rel => {
+    // Match markdown link to ./<rel> or (<rel>) anywhere in the .mdc
+    return !mdc.includes(`./${rel}`) && !mdc.includes(`(${rel})`)
+  })
+}