@nitra/cursor 1.13.25 → 1.13.26

package/.claude-template/hooks/normalize-decisions.sh

@@ -78,7 +78,7 @@ if [ -f "$STATE_FILE" ]; then
 fi
 
 THRESHOLD="${ADR_NORMALIZE_THRESHOLD:-30}"
-BATCH_SIZE="${ADR_NORMALIZE_BATCH:-30}"
+BATCH_SIZE="${ADR_NORMALIZE_BATCH:-10}"
 DRY_RUN="${ADR_NORMALIZE_DRY:-0}"
 
 # Detects whether a markdown file is a draft: has YAML frontmatter with `session:` field.

package/CHANGELOG.md

@@ -4,6 +4,22 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.26] - 2026-05-17
+
+### Changed
+
+- `security` rule: міграція з gitleaks на TruffleHog. Канонічний `lint-security` тепер `trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail`; allowlist переїхав із TOML-файлу `.gitleaks.toml` (`[extend].useDefault=true` + `[allowlist].paths`) у plain-text `.trufflehog-exclude` (regex-pattern на рядок). Bump `security.mdc` version `1.1` → `2.0`.
+
+### Added
+
+- `npm/rules/security/fix/trufflehog/check.mjs` + `template/.trufflehog-exclude.snippet.txt` — JS-частина правила перевіряє існування `.trufflehog-exclude` та subset канонічних patterns через `checkTextSubset` (Rego не пасує plain-text-формату).
+- `npm/rules/security/policy/lint_security_yml/` — Rego policy `security.lint_security_yml` із template `lint-security.yml.snippet.yml`; перевіряє, що `.github/workflows/lint-security.yml` містить крок з `uses: trufflesecurity/trufflehog@main`. У `security.mdc` inline-YAML замінено на template-link для single-source-of-truth (патерн із `php`/`style-lint`/`js-lint`). Workflow обовʼязковий (`target.json: required=true` + `missingMessage`), у корені cursor створено `.github/workflows/lint-security.yml` за каноном.
+
+### Removed
+
+- `npm/rules/security/fix/gitleaks/` + `npm/rules/security/policy/gitleaks/` (концерн gitleaks повністю видалено разом з Rego policy `security.gitleaks`).
+- Кореневий `.gitleaks.toml` (замінено на `.trufflehog-exclude`).
+
 ## [1.13.25] - 2026-05-17
 
 ### Added

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.25",
+  "version": "1.13.26",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/adr/adr.mdc

@@ -35,7 +35,7 @@ Stop-hook `normalize-decisions.sh` спрацьовує на тому самом
 
 - Виходить миттєво, якщо чернеток (`session:` у frontmatter) менше ніж **`ADR_NORMALIZE_THRESHOLD`** (default 30).
 - Виходить миттєво, якщо від попередньої спроби пройшло менше **`ADR_NORMALIZE_MIN_INTERVAL_HOURS`** годин (default 6) — щоб не крутитися щоразу, коли поріг постійний.
-- Бере не більше **`ADR_NORMALIZE_BATCH`** чернеток (default 30, найстарші за іменем-timestamp), формує один промпт LLM і чекає JSON-відповідь зі списком операцій.
+- Бере не більше **`ADR_NORMALIZE_BATCH`** чернеток (default 10, найстарші за іменем-timestamp), формує один промпт LLM і чекає JSON-відповідь зі списком операцій.
 - Виходить миттєво, якщо репозиторій у стані `MERGE_HEAD` / `rebase-*` — небезпечно правити файли посеред конфлікту.
 - Виходить миттєво, якщо інший normalize-запуск тримає `flock` на `.claude/hooks/.normalize.lock` (тільки де `flock` доступний).
 
@@ -60,7 +60,7 @@ LLM повертає масив операцій:
 | Змінна | Default | Призначення |
 | --- | --- | --- |
 | `ADR_NORMALIZE_THRESHOLD` | `30` | Поріг чернеток для запуску фази. |
-| `ADR_NORMALIZE_BATCH` | `30` | Максимум чернеток у одному виклику LLM. |
+| `ADR_NORMALIZE_BATCH` | `10` | Максимум чернеток у одному виклику LLM. |
 | `ADR_NORMALIZE_MIN_INTERVAL_HOURS` | `6` | Мінімум між спробами (навіть якщо поріг). |
 | `ADR_NORMALIZE_DRY` | `0` | `1` — лише лог запланованих операцій, без змін на диску. |
 | `ADR_NORMALIZE_MODEL` | `sonnet` | Модель для `claude -p`. |

package/rules/security/fix/trufflehog/check.mjs

@@ -0,0 +1,45 @@
+/**
+ * FS-частина правила `security`.
+ *
+ * Перевіряє:
+ *  - наявність `package.json` (структуру валідує policy security.package_json);
+ *  - наявність `.trufflehog-exclude` у корені та subset канонічних patterns
+ *    (text-subset, бо `.trufflehog-exclude` — plain text, не структурований).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { checkTextSubset } from '../../../../scripts/utils/template.mjs'
+
+const HERE = dirname(fileURLToPath(import.meta.url))
+const SNIPPET_PATH = join(HERE, 'template', '.trufflehog-exclude.snippet.txt')
+
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (security.mdc)')
+    return reporter.getExitCode()
+  }
+  pass('package.json є (структуру перевіряє Rego)')
+
+  if (!existsSync('.trufflehog-exclude')) {
+    fail('.trufflehog-exclude не знайдено в корені — додай за каноном (security.mdc)')
+    return reporter.getExitCode()
+  }
+
+  const actual = await readFile('.trufflehog-exclude', 'utf8')
+  const template = await readFile(SNIPPET_PATH, 'utf8')
+  const errors = checkTextSubset(actual, template, {
+    targetPath: '.trufflehog-exclude',
+    source: 'security.mdc'
+  })
+  for (const msg of errors) fail(msg)
+  if (errors.length === 0) pass('.trufflehog-exclude містить канонічні patterns')
+
+  return reporter.getExitCode()
+}

package/rules/security/fix/trufflehog/template/.trufflehog-exclude.snippet.txt

@@ -0,0 +1,6 @@
+(^|/)node_modules(/|$)
+(^|/)\.git(/|$)
+(^|/)dist(/|$)
+(^|/)build(/|$)
+.*\.lock$
+.*fixtures?/.*

package/rules/security/policy/lint_security_yml/lint_security_yml.rego

@@ -0,0 +1,33 @@
+# Перевірка `.github/workflows/lint-security.yml` (security.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }, побудоване
+# з template/lint-security.yml.snippet.yml. З нього збирається перелік
+# `uses:` action-refs security-job (виключаючи універсальні `actions/*`, які
+# валідує `ga.workflow_common`).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package security.lint_security_yml
+
+import rego.v1
+
+# Очікувані action-uses із template (не-`actions/*`).
+expected_uses_blob := concat("\n", [u |
+	some step in data.template.snippet.jobs.security.steps
+	u := object.get(step, "uses", "")
+	u != ""
+	not startswith(u, "actions/")
+])
+
+# Усі `uses:` із input workflow.
+all_uses_text := concat("\n", [u |
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	u := object.get(step, "uses", "")
+	u != ""
+])
+
+deny contains msg if {
+	expected_uses_blob != ""
+	not contains(all_uses_text, expected_uses_blob)
+	msg := sprintf("lint-security.yml: відсутній крок з uses %q (security.mdc)", [expected_uses_blob])
+}

package/rules/security/policy/lint_security_yml/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".github/workflows/lint-security.yml",
+    "required": true
+  },
+  "missingMessage": ".github/workflows/lint-security.yml не знайдено — створи за каноном security.mdc"
+}

package/rules/security/policy/lint_security_yml/template/lint-security.yml.snippet.yml

@@ -0,0 +1,31 @@
+name: Lint Security
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  security:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+          fetch-depth: 0
+
+      - uses: trufflesecurity/trufflehog@main
+        with:
+          extra_args: --results=verified,unknown

package/rules/security/policy/package_json/template/package.json.deny.json

@@ -1,4 +1,4 @@
 {
-  "dependencies": { "gitleaks": "глобальний CLI — не додавай у dependencies" },
-  "devDependencies": { "gitleaks": "глобальний CLI — не додавай у devDependencies" }
+  "dependencies": { "trufflehog": "глобальний CLI — не додавай у dependencies" },
+  "devDependencies": { "trufflehog": "глобальний CLI — не додавай у devDependencies" }
 }

package/rules/security/policy/package_json/template/package.json.snippet.json

@@ -1 +1 @@
-{ "scripts": { "lint-security": "gitleaks detect --no-banner" } }
+{ "scripts": { "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail" } }

package/rules/security/security.mdc

@@ -1,58 +1,37 @@
 ---
-description: Локальний та CI-секюріті-лінт через gitleaks — скрипт `lint-security`, `.gitleaks.toml`, інтеграція в агрегований `lint`
-globs: "**/.gitleaks.toml,**/package.json,**/.github/workflows/**/*.yml"
+description: Локальний та CI-секюріті-лінт через TruffleHog — скрипт `lint-security`, `.trufflehog-exclude`, інтеграція в агрегований `lint`
+globs: "**/.trufflehog-exclude,**/package.json,**/.github/workflows/**/*.yml"
 alwaysApply: false
-version: '1.1'
+version: '2.0'
 ---
 
-[gitleaks](https://github.com/gitleaks/gitleaks) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+[TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
 
 ## Канон `package.json#scripts`
 
 - `lint-security` скрипт: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
 - `lint` агрегатор повинен містити: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
-- Заборонено `gitleaks` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+- Заборонено `trufflehog` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
 
 **Зауваження:**
 
-- `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
-- `--no-banner` — прибирає ASCII-арт (CI-friendly).
+- `trufflehog filesystem .` — сканує робоче дерево як директорію (включно з untracked/gitignored файлами); підкоманда `git file://.` лишається на CI для аудиту історії.
+- `--no-update` — вимикає self-update check (CI-friendly).
+- `--exclude-paths .trufflehog-exclude` — файл з regex-patterns, які треба пропускати (аналог `[allowlist].paths` із gitleaks).
+- `--results=verified,unknown` — показує лише верифіковані секрети + ті, що TruffleHog не зміг перевірити (`unverified` дублікат відсіюється).
+- `--fail` — exit-code `183` за наявності знахідок (потрібно, щоб `bun run lint` падав).
 - Позиція в `lint`: за конвенцією після інших `lint-*` і перед `oxfmt`.
 
-## `.gitleaks.toml` (рекомендована основа)
+## `.trufflehog-exclude` (рекомендована основа)
 
-Канон (допускає розширення в `[allowlist].paths`): [.gitleaks.toml.snippet.toml](./fix/gitleaks/template/.gitleaks.toml.snippet.toml)
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./fix/trufflehog/template/.trufflehog-exclude.snippet.txt)
 
-**Важливо:** `useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+**Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
 
-## GitHub Actions (опційно)
+## CI: `.github/workflows/lint-security.yml`
 
-Окремий workflow не обовʼязковий — `lint-security` уже виконується через агрегований `lint`. Для fast-feedback окремо:
+Workflow обовʼязковий — забезпечує незалежний скан секретів на push/PR (агрегований `lint` локально + окремий fail-fast job на CI).
 
-```yaml title=".github/workflows/lint-security.yml"
-name: Lint Security
+- Канон: [lint-security.yml.snippet.yml](./policy/lint_security_yml/template/lint-security.yml.snippet.yml)
 
-on:
-  push:
-    branches: [dev, main]
-  pull_request:
-    branches: [dev, main]
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  security:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-          fetch-depth: 0
-      - uses: gitleaks/gitleaks-action@v2
-```
-
-Для повного скану git-історії потрібен `fetch-depth: 0`.
+Перевіряється policy `security.lint_security_yml`: серед `uses:` має бути крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.

package/skills/adr-normalize/SKILL.md

@@ -55,11 +55,11 @@ description: >-
    - Відкотити конкретний файл: `git checkout -- docs/adr/<file>` (для `rewrite` цього мало — треба ще `git restore --staged` і `rm` нового).
    - Відкотити весь батч: `git checkout -- docs/adr/ && git clean -f docs/adr/` (видалить і untracked rewrite-результати).
 
-5. **Повторити для наступного батчу**, якщо чернеток ще багато. Кожен запуск обробляє до `ADR_NORMALIZE_BATCH` файлів (default 30, найстарші за часовою позначкою у назві).
+5. **Повторити для наступного батчу**, якщо чернеток ще багато. Кожен запуск обробляє до `ADR_NORMALIZE_BATCH` файлів (default 10, найстарші за часовою позначкою у назві).
 
 ## Tuning через ENV
 
-- `ADR_NORMALIZE_BATCH=10` — менший батч (менше токенів, частіші коміти).
+- `ADR_NORMALIZE_BATCH=30` — більший батч (менше викликів LLM, більше токенів за раз).
 - `ADR_NORMALIZE_MODEL=opus` — інша модель `claude -p`.
 - `ADR_NORMALIZE_CURSOR_MODEL=…` — інша модель для cursor-agent fallback.
 

package/rules/security/fix/gitleaks/check.mjs

@@ -1,25 +0,0 @@
-/**
- * FS-частина правила `security`.
- *
- * Перевіряє:
- *  - наявність `package.json` (структуру валідує Rego);
- *  - контекстне pass-повідомлення для JS-концерну.
- *
- * Наявність і вміст `.gitleaks.toml` (`[extend].useDefault = true`) тепер
- * перевіряє policy `security.gitleaks`.
- */
-import { existsSync } from 'node:fs'
-
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-
-export async function check() {
-  const reporter = createCheckReporter()
-  const { pass, fail } = reporter
-  if (!existsSync('package.json')) {
-    fail('package.json не знайдено в корені — додай (security.mdc)')
-    return reporter.getExitCode()
-  }
-  pass('package.json є (структуру перевіряє Rego)')
-  pass('.gitleaks.toml перевіряє npx @nitra/cursor check → security.gitleaks')
-  return reporter.getExitCode()
-}

package/rules/security/fix/gitleaks/template/.gitleaks.toml.snippet.toml

@@ -1,12 +0,0 @@
-[extend]
-useDefault = true
-
-[allowlist]
-paths = [
-  '''(^|/)node_modules(/|$)''',
-  '''(^|/)\.git(/|$)''',
-  '''(^|/)dist(/|$)''',
-  '''(^|/)build(/|$)''',
-  '''.*\.lock$''',
-  '''.*fixtures?/.*'''
-]

package/rules/security/policy/gitleaks/gitleaks.rego

@@ -1,17 +0,0 @@
-# Перевірка `.gitleaks.toml` для security (security.mdc).
-#
-# Канонічна мінімальна вимога: `[extend].useDefault = true`, щоб локальний
-# конфіг не вимикав стандартні правила gitleaks. Додаткові локальні правила
-# дозволені.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
-package security.gitleaks
-
-import rego.v1
-
-deny contains msg if {
-	object.get(object.get(input, "extend", {}), "useDefault", null) != true
-	msg := ".gitleaks.toml: [extend].useDefault має бути true (security.mdc)"
-}

package/rules/security/policy/gitleaks/target.json

@@ -1,8 +0,0 @@
-{
-  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
-  "files": {
-    "single": ".gitleaks.toml",
-    "required": true
-  },
-  "missingMessage": ".gitleaks.toml не знайдено — створи за каноном security.mdc"
-}