@nitra/cursor 1.13.25 → 1.13.28

package/.claude-template/hooks/normalize-decisions.sh

@@ -78,7 +78,7 @@ if [ -f "$STATE_FILE" ]; then
 fi
 
 THRESHOLD="${ADR_NORMALIZE_THRESHOLD:-30}"
-BATCH_SIZE="${ADR_NORMALIZE_BATCH:-30}"
+BATCH_SIZE="${ADR_NORMALIZE_BATCH:-10}"
 DRY_RUN="${ADR_NORMALIZE_DRY:-0}"
 
 # Detects whether a markdown file is a draft: has YAML frontmatter with `session:` field.

package/CHANGELOG.md

@@ -4,6 +4,38 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.28] - 2026-05-18
+
+### Fixed
+
+- `scripts/utils/template.mjs` (`stripJsonComments`): враховує контекст рядкових літералів. Раніше regex `\/\*[\s\S]*?\*\/` без розрізнення string-літералів агресивно вирізав блоки між `/*` і `*/`, які зустрічаються в glob-патернах JSON-значень (напр. `**/node_modules/**`, `**/k8s/**/*.yaml`), і канонічний `.cspell.json.snippet.json` чи `.oxfmtrc.json.snippet.json` після стрипу стягувався в один склеєний рядок замість 7-елементного масиву. Новий стриппер пропускає вміст `"..."` (з підтримкою backslash-escape) без змін і вирізає лише реальні JSONC-коментарі.
+
+### Changed
+
+- `hasura` rule (`hasura.svc_hl`): іменування Service узгоджено з `k8s.svc_hl_yaml` — headless (`spec.clusterIP: None`) має суфікс `-h-hl` (напр. `db-h` → `db-h-hl`), clusterIP у `svc.yaml` — `-h`. Target розширено на `hasura/k8s/base/svc.yaml` і `svc-hl.yaml`; додано `svc_hl_test.rego`. `hasura.mdc` і `fix/internal_urls` оновлено під headless DNS (`contract-h-hl`). Bump `hasura.mdc` `1.1` → `1.2`.
+
+## [1.13.27] - 2026-05-18
+
+### Fixed
+
+- `text`, `js-lint`, `js-run` rules: додано markdown-посилання на template-файли у канонічні `<id>.mdc` — `findMissingMdcRefs` (викликається з `run-rule.mjs`) раніше падав, бо канонічні `.mdc` не містили `[name](./policy/<concern>/template/<file>)` для власних шаблонів. Bump rule versions: `text.mdc` `1.27` → `1.28`, `js-lint.mdc` `1.22` → `1.23`, `js-run.mdc` `1.8` → `1.9`.
+
+## [1.13.26] - 2026-05-17
+
+### Changed
+
+- `security` rule: міграція з gitleaks на TruffleHog. Канонічний `lint-security` тепер `trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail`; allowlist переїхав із TOML-файлу `.gitleaks.toml` (`[extend].useDefault=true` + `[allowlist].paths`) у plain-text `.trufflehog-exclude` (regex-pattern на рядок). Bump `security.mdc` version `1.1` → `2.0`.
+
+### Added
+
+- `npm/rules/security/fix/trufflehog/check.mjs` + `template/.trufflehog-exclude.snippet.txt` — JS-частина правила перевіряє існування `.trufflehog-exclude` та subset канонічних patterns через `checkTextSubset` (Rego не пасує plain-text-формату).
+- `npm/rules/security/policy/lint_security_yml/` — Rego policy `security.lint_security_yml` із template `lint-security.yml.snippet.yml`; перевіряє, що `.github/workflows/lint-security.yml` містить крок з `uses: trufflesecurity/trufflehog@main`. У `security.mdc` inline-YAML замінено на template-link для single-source-of-truth (патерн із `php`/`style-lint`/`js-lint`). Workflow обовʼязковий (`target.json: required=true` + `missingMessage`), у корені cursor створено `.github/workflows/lint-security.yml` за каноном.
+
+### Removed
+
+- `npm/rules/security/fix/gitleaks/` + `npm/rules/security/policy/gitleaks/` (концерн gitleaks повністю видалено разом з Rego policy `security.gitleaks`).
+- Кореневий `.gitleaks.toml` (замінено на `.trufflehog-exclude`).
+
 ## [1.13.25] - 2026-05-17
 
 ### Added

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.25",
+  "version": "1.13.28",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/adr/adr.mdc

@@ -35,7 +35,7 @@ Stop-hook `normalize-decisions.sh` спрацьовує на тому самом
 
 - Виходить миттєво, якщо чернеток (`session:` у frontmatter) менше ніж **`ADR_NORMALIZE_THRESHOLD`** (default 30).
 - Виходить миттєво, якщо від попередньої спроби пройшло менше **`ADR_NORMALIZE_MIN_INTERVAL_HOURS`** годин (default 6) — щоб не крутитися щоразу, коли поріг постійний.
-- Бере не більше **`ADR_NORMALIZE_BATCH`** чернеток (default 30, найстарші за іменем-timestamp), формує один промпт LLM і чекає JSON-відповідь зі списком операцій.
+- Бере не більше **`ADR_NORMALIZE_BATCH`** чернеток (default 10, найстарші за іменем-timestamp), формує один промпт LLM і чекає JSON-відповідь зі списком операцій.
 - Виходить миттєво, якщо репозиторій у стані `MERGE_HEAD` / `rebase-*` — небезпечно правити файли посеред конфлікту.
 - Виходить миттєво, якщо інший normalize-запуск тримає `flock` на `.claude/hooks/.normalize.lock` (тільки де `flock` доступний).
 
@@ -60,7 +60,7 @@ LLM повертає масив операцій:
 | Змінна | Default | Призначення |
 | --- | --- | --- |
 | `ADR_NORMALIZE_THRESHOLD` | `30` | Поріг чернеток для запуску фази. |
-| `ADR_NORMALIZE_BATCH` | `30` | Максимум чернеток у одному виклику LLM. |
+| `ADR_NORMALIZE_BATCH` | `10` | Максимум чернеток у одному виклику LLM. |
 | `ADR_NORMALIZE_MIN_INTERVAL_HOURS` | `6` | Мінімум між спробами (навіть якщо поріг). |
 | `ADR_NORMALIZE_DRY` | `0` | `1` — лише лог запланованих операцій, без змін на диску. |
 | `ADR_NORMALIZE_MODEL` | `sonnet` | Модель для `claude -p`. |

package/rules/hasura/fix/internal_urls/check.mjs

@@ -9,10 +9,11 @@
  *
  * Очікуваний формат URL — кластерний DNS-суфікс `<cluster>.internal`:
  *  - GKE / GCP: `http://<service>.<namespace>.svc.<cluster>.internal:<port>`
- *    приклад: `http://contract-h.ua-contract.svc.abie-ua.internal:8080`
+ *    приклад: `http://contract-h-hl.ua-contract.svc.abie-ua.internal:8080`
  *
  * Сегменти беруться з `hasura/k8s/base/svc-hl.yaml` (`metadata.name` —
- * має закінчуватись на `-h`, headless-сервіс) і `hasura/k8s/base/namespace.yaml`
+ * headless, має закінчуватись на `-h-hl`; див. `hasura.svc_hl` / k8s.svc_hl_yaml) і
+ * `hasura/k8s/base/namespace.yaml`
  * (`metadata.name` — namespace). Якщо ці YAML є в репозиторії, у URL додатково
  * звіряються конкретні `<service>` і `<namespace>` з ними.
  *

package/rules/hasura/hasura.mdc

@@ -1,6 +1,6 @@
 ---
 description: Правила для директорії з hasura graphql-engine
-version: '1.1'
+version: '1.2'
 globs: "**/hasura/**,**/*.env"
 alwaysApply: false
 ---
@@ -18,10 +18,10 @@ HASURA_GRAPHQL_ENDPOINT=https://vybeerai.com.ua/contract/ql
 Правильне значення:
 
 ```env
-HASURA_GRAPHQL_ENDPOINT=http://contract-h.ua-contract.svc.abie-ua.internal:8080
+HASURA_GRAPHQL_ENDPOINT=http://contract-h-hl.ua-contract.svc.abie-ua.internal:8080
 ```
 
-де `contract-h` — це `metadata.name` сервісу з `hasura/k8s/base/svc-hl.yaml`, а `ua-contract` — `metadata.name` namespace з `hasura/k8s/base/namespace.yaml`.
+де `contract-h-hl` — це `metadata.name` headless Service з `hasura/k8s/base/svc-hl.yaml` (пара з clusterIP `contract-h` у `svc.yaml`, якщо є; узгоджено з k8s: суфікс `-hl` на базі `-h`), а `ua-contract` — `metadata.name` namespace з `hasura/k8s/base/namespace.yaml`.
 
 Правило застосовується для проєктів **nitra** (у кореневому `package.json` `"repository": "https://github.com/nitra/*"`) і **abie** (`"repository": "https://github.com/abinbevefes/*"`); для інших репозиторіїв перевірка пропускається.
 

package/rules/hasura/policy/svc_hl/svc_hl.rego

@@ -1,28 +1,50 @@
-# Порт мінімальної структурної перевірки `hasura/k8s/base/svc-hl.yaml` з
-# `npm/scripts/check-hasura.mjs` (hasura.mdc): для кожного Service у файлі
-# `metadata.name` має закінчуватись на `-h` (headless-сервіс Hasura).
+# Іменування Service у `hasura/k8s/base/svc.yaml` та `svc-hl.yaml`, узгоджене з
+# `k8s.svc_hl_yaml` / `k8s.svc_yaml` (пара clusterIP + headless під `k8s/**/`).
+#
+# Hasura-конвенція: базовий сегмент закінчується на `-h`; headless додає `-hl`
+# → повне ім'я `*-h-hl` (також задовольняє k8s-вимогу суфікса `-hl`).
 #
 # Запуск (локально):
-#   conftest test hasura/k8s/base/svc-hl.yaml -p npm/policy/hasura \
+#   conftest test hasura/k8s/base/svc-hl.yaml -p npm/rules/hasura/policy/svc_hl \
 #     --namespace hasura.svc_hl
 #
-# Решта логіки `check-hasura.mjs` (звірення `HASURA_GRAPHQL_ENDPOINT` в `.env`-файлах
-# з `<service>.<namespace>.svc.<cluster>` через regex по всьому дереву репо, gating
-# на `repository` у кореневому `package.json`) — у JS: вона потребує текстового
-# парсингу `.env`-файлів, обходу дерева й cross-file resolution. JS authoritative;
-# ця Rego — додатковий gate (JS неявно перевіряє суфікс через звірку URL).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Cross-file (`HASURA_GRAPHQL_ENDPOINT` ↔ YAML) — `fix/internal_urls/check.mjs`.
 package hasura.svc_hl
 
 import rego.v1
 
+# Суфікс clusterIP Service у hasura/k8s/base (і база для пари з svc-hl.yaml).
+hasura_cluster_suffix := "-h"
+
+# Headless: `<cluster-name>-hl`, напр. `db-h` → `db-h-hl`.
+hasura_headless_suffix := "-h-hl"
+
+service_is_headless if {
+	input.kind == "Service"
+	spec := object.get(input, "spec", {})
+	is_object(spec)
+	spec.clusterIP == "None"
+}
+
+deny contains msg if {
+	service_is_headless
+	name := object.get(object.get(input, "metadata", {}), "name", "")
+	name != ""
+	not endswith(name, hasura_headless_suffix)
+	msg := sprintf(
+		"hasura svc-hl.yaml: headless Service %q має закінчуватись на `%s` (узгоджено з k8s.svc_hl_yaml `-hl`; hasura.mdc)",
+		[name, hasura_headless_suffix],
+	)
+}
+
 deny contains msg if {
 	input.kind == "Service"
+	not service_is_headless
 	name := object.get(object.get(input, "metadata", {}), "name", "")
 	name != ""
-	not endswith(name, "-h")
-	msg := sprintf("hasura svc-hl.yaml: Service %q має закінчуватись на `-h` (hasura.mdc / k8s.mdc)", [name])
+	not endswith(name, hasura_cluster_suffix)
+	msg := sprintf(
+		"hasura svc.yaml: clusterIP Service %q має закінчуватись на `%s` (hasura.mdc / k8s.mdc)",
+		[name, hasura_cluster_suffix],
+	)
 }

package/rules/hasura/policy/svc_hl/target.json

@@ -1,4 +1,6 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
-  "files": { "single": "hasura/k8s/base/svc-hl.yaml" }
+  "files": {
+    "walkGlob": ["hasura/k8s/base/svc.yaml", "hasura/k8s/base/svc-hl.yaml"]
+  }
 }

package/rules/js-lint/js-lint.mdc

@@ -2,7 +2,7 @@
 description: Перевірка JavaScript коду
 globs: "**/{.oxlintrc.json,eslint.config.js,.jscpd.json,knip.json,package.json},**/*.{js,mjs,cjs,jsx,ts,tsx}"
 alwaysApply: false
-version: '1.22'
+version: '1.23'
 ---
 
 **oxlint**, **ESLint**, **jscpd**, **knip**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`**, **`bunx knip`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd/knip не додавай без потреби монорепо.
@@ -21,6 +21,10 @@ version: '1.22'
 }
 ```
 
+Канон `type` + `scripts.lint-js` (substring requirement): [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+
+У `.vscode/extensions.json` `recommendations` мають містити `dbaeumer.vscode-eslint`, `github.vscode-github-actions`, `oxc.oxc-vscode`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
 У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/scripts/utils/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**). Поле **`ignorePatterns`** працює як **`rules`**: канонічні патерни з **`oxlint-canonical.json`** (наразі **`**/schema.graphql`**, **`**/auto-imports.d.ts`**) мають бути присутні, додаткові локальні glob-и дозволені. Оновити канон можна з репозиторію пакета або скопіювавши файл після **`bun ./scripts/utils/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.8.0**), oxlint підвантажує його з **`node_modules`**.
 
 Мінімум для розуміння структури (реальний корінь конфігу має збігатися з каноном повністю):
@@ -48,6 +52,8 @@ version: '1.22'
 }
 ```
 
+Канон базових ключів `.jscpd.json` (`gitignore`, `exitCode`, `reporters`, `minLines`): [.jscpd.json.snippet.json](./policy/jscpd/template/.jscpd.json.snippet.json)
+
 ```text title=".gitignore (фрагмент)"
 .claude/worktrees/
 ```
@@ -122,6 +128,8 @@ jobs:
           bunx knip --no-config-hints
 ```
 
+Канон workflow `.github/workflows/lint-js.yml`: [lint-js.yml.snippet.yml](./policy/lint_js_yml/template/lint-js.yml.snippet.yml)
+
 Перед **`./.github/actions/setup-bun-deps`** — **`actions/checkout@v6`** (див. **ga.mdc**). Composite: Node 24, Bun, кеш, `bun install --frozen-lockfile`.
 
 Один workflow на лінт JS; зайвий `lint.yml` з тими самими кроками — прибери.

package/rules/js-run/js-run.mdc

@@ -2,7 +2,7 @@
 description: Це правила для backend проектів на JavaScript/Node.js, сюди входять і job і WEB сервери.
 globs: "**/package.json,**/jsconfig.json,**/src/**/*.{js,mjs,cjs,ts,tsx}"
 alwaysApply: false
-version: '1.8'
+version: '1.9'
 ---
 
 ## Область застосування
@@ -46,16 +46,20 @@ readme.md
 }
 ```
 
+Канон: [jsconfig.json.snippet.json](./policy/jsconfig/template/jsconfig.json.snippet.json)
+
 Якщо пакет не слідує структурі з `src/` (наприклад, лише `scripts/` у корені) — ця вимога не застосовується; для типових сервісів із `src/` файл обов’язковий і має збігатися з каноном.
 
 ## Використання @nitra/pino
 
 Проект використовує @nitra/pino для логування.
-Якщо в проекті присутній @nitra/bunyan, то він повинен бути замінений на @nitra/pino — як у `package.json`, так і в коді: усі `import` / `require` / динамічні `import()` з `@nitra/bunyan` (і застарілого `bunyan`) треба замінити на `@nitra/pino` і за потреби адаптувати виклики під його API.
+Якщо в проекті присутній @nitra/bunyan, то він повинен бути замінений на @nitra/pino — як у `package.json`, так і в коді: усі `import` / `require` / динамічні `import()` з `@nitra/bunyan` (і застарілого `bunyan`) треба замінити на `@nitra/pino` і за потреби адаптувати виклики під його API. Канон заборонених `dependencies` / `devDependencies` (`bunyan`, `@nitra/bunyan`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
 
 В **/k8s/base/configmap.yaml повинен бути заданий OTEL_RESOURCE_ATTRIBUTES: 'service.name=<project_name>,service.namespace=<project_namespace>'
 а в директоріях з kustomize повинні бути перевизначені значення OTEL_RESOURCE_ATTRIBUTES і в них service.namespace повинен відповідати namespace, в якому знаходиться дана директорія.
 
+Канон обовʼязкових substring у `data.OTEL_RESOURCE_ATTRIBUTES` (`service.name=`, `service.namespace=`): [configmap.yaml.contains.yml](./policy/configmap/template/configmap.yaml.contains.yml)
+
 ## Внутрішні аліаси
 
 Якщо в проекті є підключення до баз даних, зовнішніх graphql на кшталт:

package/rules/security/fix/trufflehog/check.mjs

@@ -0,0 +1,45 @@
+/**
+ * FS-частина правила `security`.
+ *
+ * Перевіряє:
+ *  - наявність `package.json` (структуру валідує policy security.package_json);
+ *  - наявність `.trufflehog-exclude` у корені та subset канонічних patterns
+ *    (text-subset, бо `.trufflehog-exclude` — plain text, не структурований).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { checkTextSubset } from '../../../../scripts/utils/template.mjs'
+
+const HERE = dirname(fileURLToPath(import.meta.url))
+const SNIPPET_PATH = join(HERE, 'template', '.trufflehog-exclude.snippet.txt')
+
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (security.mdc)')
+    return reporter.getExitCode()
+  }
+  pass('package.json є (структуру перевіряє Rego)')
+
+  if (!existsSync('.trufflehog-exclude')) {
+    fail('.trufflehog-exclude не знайдено в корені — додай за каноном (security.mdc)')
+    return reporter.getExitCode()
+  }
+
+  const actual = await readFile('.trufflehog-exclude', 'utf8')
+  const template = await readFile(SNIPPET_PATH, 'utf8')
+  const errors = checkTextSubset(actual, template, {
+    targetPath: '.trufflehog-exclude',
+    source: 'security.mdc'
+  })
+  for (const msg of errors) fail(msg)
+  if (errors.length === 0) pass('.trufflehog-exclude містить канонічні patterns')
+
+  return reporter.getExitCode()
+}

package/rules/security/fix/trufflehog/template/.trufflehog-exclude.snippet.txt

@@ -0,0 +1,6 @@
+(^|/)node_modules(/|$)
+(^|/)\.git(/|$)
+(^|/)dist(/|$)
+(^|/)build(/|$)
+.*\.lock$
+.*fixtures?/.*

package/rules/security/policy/lint_security_yml/lint_security_yml.rego

@@ -0,0 +1,33 @@
+# Перевірка `.github/workflows/lint-security.yml` (security.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }, побудоване
+# з template/lint-security.yml.snippet.yml. З нього збирається перелік
+# `uses:` action-refs security-job (виключаючи універсальні `actions/*`, які
+# валідує `ga.workflow_common`).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package security.lint_security_yml
+
+import rego.v1
+
+# Очікувані action-uses із template (не-`actions/*`).
+expected_uses_blob := concat("\n", [u |
+	some step in data.template.snippet.jobs.security.steps
+	u := object.get(step, "uses", "")
+	u != ""
+	not startswith(u, "actions/")
+])
+
+# Усі `uses:` із input workflow.
+all_uses_text := concat("\n", [u |
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	u := object.get(step, "uses", "")
+	u != ""
+])
+
+deny contains msg if {
+	expected_uses_blob != ""
+	not contains(all_uses_text, expected_uses_blob)
+	msg := sprintf("lint-security.yml: відсутній крок з uses %q (security.mdc)", [expected_uses_blob])
+}

package/rules/security/policy/lint_security_yml/target.json

@@ -0,0 +1,8 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": {
+    "single": ".github/workflows/lint-security.yml",
+    "required": true
+  },
+  "missingMessage": ".github/workflows/lint-security.yml не знайдено — створи за каноном security.mdc"
+}

package/rules/security/policy/lint_security_yml/template/lint-security.yml.snippet.yml

@@ -0,0 +1,31 @@
+name: Lint Security
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  security:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+          fetch-depth: 0
+
+      - uses: trufflesecurity/trufflehog@main
+        with:
+          extra_args: --results=verified,unknown

package/rules/security/policy/package_json/template/package.json.deny.json

@@ -1,4 +1,4 @@
 {
-  "dependencies": { "gitleaks": "глобальний CLI — не додавай у dependencies" },
-  "devDependencies": { "gitleaks": "глобальний CLI — не додавай у devDependencies" }
+  "dependencies": { "trufflehog": "глобальний CLI — не додавай у dependencies" },
+  "devDependencies": { "trufflehog": "глобальний CLI — не додавай у devDependencies" }
 }

package/rules/security/policy/package_json/template/package.json.snippet.json

@@ -1 +1 @@
-{ "scripts": { "lint-security": "gitleaks detect --no-banner" } }
+{ "scripts": { "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail" } }

package/rules/security/security.mdc

@@ -1,58 +1,37 @@
 ---
-description: Локальний та CI-секюріті-лінт через gitleaks — скрипт `lint-security`, `.gitleaks.toml`, інтеграція в агрегований `lint`
-globs: "**/.gitleaks.toml,**/package.json,**/.github/workflows/**/*.yml"
+description: Локальний та CI-секюріті-лінт через TruffleHog — скрипт `lint-security`, `.trufflehog-exclude`, інтеграція в агрегований `lint`
+globs: "**/.trufflehog-exclude,**/package.json,**/.github/workflows/**/*.yml"
 alwaysApply: false
-version: '1.1'
+version: '2.0'
 ---
 
-[gitleaks](https://github.com/gitleaks/gitleaks) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+[TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
 
 ## Канон `package.json#scripts`
 
 - `lint-security` скрипт: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
 - `lint` агрегатор повинен містити: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
-- Заборонено `gitleaks` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+- Заборонено `trufflehog` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
 
 **Зауваження:**
 
-- `gitleaks detect` — сканує робоче дерево (uncommitted + tracked); швидше і безпечніше для частого `bun run lint`, ніж `gitleaks git`.
-- `--no-banner` — прибирає ASCII-арт (CI-friendly).
+- `trufflehog filesystem .` — сканує робоче дерево як директорію (включно з untracked/gitignored файлами); підкоманда `git file://.` лишається на CI для аудиту історії.
+- `--no-update` — вимикає self-update check (CI-friendly).
+- `--exclude-paths .trufflehog-exclude` — файл з regex-patterns, які треба пропускати (аналог `[allowlist].paths` із gitleaks).
+- `--results=verified,unknown` — показує лише верифіковані секрети + ті, що TruffleHog не зміг перевірити (`unverified` дублікат відсіюється).
+- `--fail` — exit-code `183` за наявності знахідок (потрібно, щоб `bun run lint` падав).
 - Позиція в `lint`: за конвенцією після інших `lint-*` і перед `oxfmt`.
 
-## `.gitleaks.toml` (рекомендована основа)
+## `.trufflehog-exclude` (рекомендована основа)
 
-Канон (допускає розширення в `[allowlist].paths`): [.gitleaks.toml.snippet.toml](./fix/gitleaks/template/.gitleaks.toml.snippet.toml)
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./fix/trufflehog/template/.trufflehog-exclude.snippet.txt)
 
-**Важливо:** `useDefault = true` — НЕ перетирай дефолтний `rules`-масив; реальні винятки лише через `[allowlist]`.
+**Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
 
-## GitHub Actions (опційно)
+## CI: `.github/workflows/lint-security.yml`
 
-Окремий workflow не обовʼязковий — `lint-security` уже виконується через агрегований `lint`. Для fast-feedback окремо:
+Workflow обовʼязковий — забезпечує незалежний скан секретів на push/PR (агрегований `lint` локально + окремий fail-fast job на CI).
 
-```yaml title=".github/workflows/lint-security.yml"
-name: Lint Security
+- Канон: [lint-security.yml.snippet.yml](./policy/lint_security_yml/template/lint-security.yml.snippet.yml)
 
-on:
-  push:
-    branches: [dev, main]
-  pull_request:
-    branches: [dev, main]
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  security:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-          fetch-depth: 0
-      - uses: gitleaks/gitleaks-action@v2
-```
-
-Для повного скану git-історії потрібен `fetch-depth: 0`.
+Перевіряється policy `security.lint_security_yml`: серед `uses:` має бути крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.

package/rules/text/text.mdc

@@ -1,7 +1,7 @@
 ---
 description: Обробка та перевірка текстових файлів, oxfmt, cspell, shellcheck (sh), dotenv-linter (.env*), markdownlint-cli2, v8r, CI
 alwaysApply: true
-version: '1.27'
+version: '1.28'
 ---
 
 **oxfmt** (`.oxfmtrc.json`, редактор), **cspell**, **shellcheck** (tracked `*.sh` у `lint-text`), **[dotenv-linter](https://dotenv-linter.github.io/)** (`.env*` у `lint-text`), **markdownlint-cli2**, **[v8r](https://chris48s.github.io/v8r/)** ([Schema Store](https://www.schemastore.org/)), розширення **DavidAnson.vscode-markdownlint** / **timonwong.shellcheck**, workflow **`lint-text`**.
@@ -20,6 +20,8 @@ version: '1.27'
 }
 ```
 
+Канон `recommendations` (substring requirement): [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
 ```json title=".vscode/settings.json"
 {
   "files.associations": {
@@ -79,6 +81,8 @@ version: '1.27'
 }
 ```
 
+Канон `editor.formatOnSave` + `editor.defaultFormatter` для основних мов: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+
 У корені проєкту має бути файл з правилами форматування для **oxfmt**:
 
 ```json title=".oxfmtrc.json"
@@ -105,9 +109,11 @@ version: '1.27'
 }
 ```
 
+Канон мінімального набору ключів і `ignorePatterns`: [.oxfmtrc.json.snippet.json](./policy/oxfmtrc/template/.oxfmtrc.json.snippet.json)
+
 Поле **`ignorePatterns`** обовʼязкове: у масиві мають бути **`**/hasura/metadata/**`**, **`**/schema.graphql`** і **`**/auto-imports.d.ts`**; інші glob-и додавай за потреби (згенеровані каталоги тощо) — канон задає мінімум, локальні розширення дозволені.
 
-Також потрібно прибрати, якщо є в проєкті, модуль **`@nitra/prettier-config`**, **prettier** та всі виклики prettier і налаштування для нього.
+Також потрібно прибрати, якщо є в проєкті, модуль **`@nitra/prettier-config`**, **prettier** та всі виклики prettier і налаштування для нього. Канон заборонених top-level/`dependencies`/`devDependencies` (prettier, `@nitra/prettier-config`, `markdownlint-cli2`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
 
 Завжди пиши **JSDoc** до функцій та методів.
 
@@ -156,6 +162,8 @@ version: '1.27'
 }
 ```
 
+Канон: [.markdownlint-cli2.jsonc.snippet.jsonc](./policy/markdownlint/template/.markdownlint-cli2.jsonc.snippet.jsonc)
+
 **MD041** off навмисно (`.mdc` з frontmatter). Деталі — [markdownlint-cli2](https://github.com/DavidAnson/markdownlint-cli2).
 
 ## Cspell
@@ -238,6 +246,8 @@ jobs:
 }
 ```
 
+Канон базових ключів `.cspell.json` (`version`, `ignorePaths`): [.cspell.json.snippet.json](./policy/cspell/template/.cspell.json.snippet.json). Обовʼязковий запис у `import`: [.cspell.json.contains.json](./policy/cspell/template/.cspell.json.contains.json). Заборонено імпортувати окремі `@cspell/dict-*` у `.cspell.json`: [.cspell.json.deny.json](./policy/cspell/template/.cspell.json.deny.json).
+
 ```json title="package.json"
 {
   "scripts": {

package/scripts/utils/template.mjs

@@ -28,8 +28,9 @@ async function parseByExt(path) {
 }
 
 function stripJsonComments(s) {
-  // Minimal: strip // line comments and /* */ block comments. JSON-with-comments format.
-  return s.replace(/\/\*[\s\S]*?\*\//g, '').replace(/^\s*\/\/.*$/gm, '')
+  // Match string literals OR comments. Strings are returned unchanged so we never
+  // strip `/*` / `//` / `*/` that appear inside values (e.g. glob `**/node_modules/**`).
+  return s.replace(/"(?:\\.|[^"\\])*"|\/\*[\s\S]*?\*\/|\/\/[^\n]*/g, m => (m.startsWith('"') ? m : ''))
 }
 
 async function walk(dir, base = dir) {

package/skills/adr-normalize/SKILL.md

@@ -55,11 +55,11 @@ description: >-
    - Відкотити конкретний файл: `git checkout -- docs/adr/<file>` (для `rewrite` цього мало — треба ще `git restore --staged` і `rm` нового).
    - Відкотити весь батч: `git checkout -- docs/adr/ && git clean -f docs/adr/` (видалить і untracked rewrite-результати).
 
-5. **Повторити для наступного батчу**, якщо чернеток ще багато. Кожен запуск обробляє до `ADR_NORMALIZE_BATCH` файлів (default 30, найстарші за часовою позначкою у назві).
+5. **Повторити для наступного батчу**, якщо чернеток ще багато. Кожен запуск обробляє до `ADR_NORMALIZE_BATCH` файлів (default 10, найстарші за часовою позначкою у назві).
 
 ## Tuning через ENV
 
-- `ADR_NORMALIZE_BATCH=10` — менший батч (менше токенів, частіші коміти).
+- `ADR_NORMALIZE_BATCH=30` — більший батч (менше викликів LLM, більше токенів за раз).
 - `ADR_NORMALIZE_MODEL=opus` — інша модель `claude -p`.
 - `ADR_NORMALIZE_CURSOR_MODEL=…` — інша модель для cursor-agent fallback.
 

package/rules/security/fix/gitleaks/check.mjs

@@ -1,25 +0,0 @@
-/**
- * FS-частина правила `security`.
- *
- * Перевіряє:
- *  - наявність `package.json` (структуру валідує Rego);
- *  - контекстне pass-повідомлення для JS-концерну.
- *
- * Наявність і вміст `.gitleaks.toml` (`[extend].useDefault = true`) тепер
- * перевіряє policy `security.gitleaks`.
- */
-import { existsSync } from 'node:fs'
-
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-
-export async function check() {
-  const reporter = createCheckReporter()
-  const { pass, fail } = reporter
-  if (!existsSync('package.json')) {
-    fail('package.json не знайдено в корені — додай (security.mdc)')
-    return reporter.getExitCode()
-  }
-  pass('package.json є (структуру перевіряє Rego)')
-  pass('.gitleaks.toml перевіряє npx @nitra/cursor check → security.gitleaks')
-  return reporter.getExitCode()
-}

package/rules/security/fix/gitleaks/template/.gitleaks.toml.snippet.toml

@@ -1,12 +0,0 @@
-[extend]
-useDefault = true
-
-[allowlist]
-paths = [
-  '''(^|/)node_modules(/|$)''',
-  '''(^|/)\.git(/|$)''',
-  '''(^|/)dist(/|$)''',
-  '''(^|/)build(/|$)''',
-  '''.*\.lock$''',
-  '''.*fixtures?/.*'''
-]

package/rules/security/policy/gitleaks/gitleaks.rego

@@ -1,17 +0,0 @@
-# Перевірка `.gitleaks.toml` для security (security.mdc).
-#
-# Канонічна мінімальна вимога: `[extend].useDefault = true`, щоб локальний
-# конфіг не вимикав стандартні правила gitleaks. Додаткові локальні правила
-# дозволені.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
-package security.gitleaks
-
-import rego.v1
-
-deny contains msg if {
-	object.get(object.get(input, "extend", {}), "useDefault", null) != true
-	msg := ".gitleaks.toml: [extend].useDefault має бути true (security.mdc)"
-}

package/rules/security/policy/gitleaks/target.json

@@ -1,8 +0,0 @@
-{
-  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
-  "files": {
-    "single": ".gitleaks.toml",
-    "required": true
-  },
-  "missingMessage": ".gitleaks.toml не знайдено — створи за каноном security.mdc"
-}