@nitra/cursor 1.13.31 → 1.13.38

package/CHANGELOG.md

@@ -4,6 +4,52 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.38] - 2026-05-18
+
+### Added
+
+- `js-run` rule: у backend `package.json#scripts` заборонено `env $(cat …) bun` — заміна на `bun --env-file=…` (по файлу з `cat`); Rego `scriptsForbidden` `env-cat-bun`. Bump `js-run.mdc` `1.10` → `1.11`.
+
+## [1.13.37] - 2026-05-18
+
+### Added
+
+- `js-run` rule: у backend `package.json#scripts` заборонено запуск через `node` — один runtime **Bun** у dev і prod; Rego `js_run.package_json` (`scriptsForbidden` у `package.json.deny.json`), frontend з `vite` у `devDependencies` пропускається. Bump `js-run.mdc` `1.9` → `1.10`.
+
+### Changed
+
+- `k8s` rule: канон **NetworkPolicy** egress для всіх workload-ів — kube-dns; **TCP 80/443** на `0.0.0.0/0`; інші порти лише in-cluster (`namespaceSelector: {}`, `*.svc`). Заборонено `egress: [{}]`. Оновлено `buildNetworkPolicyYaml`, rego `k8s.network_policy`, template. Bump `k8s.mdc` `1.33` → `1.34`.
+
+## [1.13.36] - 2026-05-18
+
+### Changed
+
+- `k8s` rule: **NetworkPolicy** обов'язковий не лише для **Deployment**, а й для **StatefulSet**, **DaemonSet**, **Job**, **CronJob** (`workloadAppLabel`, multi-doc `networkpolicy.yaml`, autofix/validate для всіх шарів `k8s`). HPA/PDB лишаються прив'язаними до Deployment. Bump `k8s.mdc` `1.32` → `1.33`.
+
+## [1.13.35] - 2026-05-18
+
+### Added
+
+- `k8s` rule: для кожного **Deployment** під `k8s` обов'язковий **NetworkPolicy** — у `components/networkpolicy.yaml` для base (разом із HPA/PDB) або `networkpolicy.yaml` поруч у не-base оверлеях. Rego-пакет `k8s.network_policy`, перевірка прив'язки за `metadata.name` / міткою `app` у JS. **`check k8s`** автоматично створює відсутній `networkpolicy.yaml` і додає його в `components/kustomization.yaml` (`resources`). Bump `k8s.mdc` `1.31` → `1.32`.
+
+## [1.13.34] - 2026-05-18
+
+### Changed
+
+- `k8s` rule: винесено канонічний приклад `.kubescape-exceptions.json` з inline-fenced-блоку в `k8s.mdc` у `fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json`; `.mdc` тепер посилається на template markdown-лінком, `inlineTemplateLinks` підставить вміст у `.cursor/rules/n-k8s.mdc` під час sync. Dogfood новій клаузі `scripts.mdc` ("Принцип поширюється і на pure-doc канони"). Bump `k8s.mdc` `1.30` → `1.31`.
+
+## [1.13.33] - 2026-05-18
+
+### Fixed
+
+- `style-lint`, `image-avif` rules: markdown-посилання на `policy/*/template/*` у канонічних `<id>.mdc` — `findMissingMdcRefs` (викликається з `run-rule.mjs`) падав, бо шаблони не були згадані в `npm/rules/<id>/<id>.mdc`. Bump: `style-lint.mdc` `1.3` → `1.4`, `image-avif.mdc` `1.2` → `1.3`.
+
+## [1.13.32] - 2026-05-18
+
+### Added
+
+- `k8s` rule (`lint-k8s`): підтримка per-project винятків kubescape — якщо в корені проєкту є `.kubescape-exceptions.json`, `runKubescape` автоматично передає його через `--exceptions <file>`. Канонічний приклад — control **C-0012** (`Applications credentials in configuration files`) на ConfigMap з публічним JWT-конфігом (`HASURA_GRAPHQL_JWT_SECRET={"jwk_url": "https://…"}`): control тригериться лише на імʼя env, не на значення, тому точкове `postureExceptionPolicy` з `kind: ConfigMap` + `attributes.name` знімає false-positive без глобального вимкнення контролю. Bump `k8s.mdc` `1.29` → `1.30`. Документація — секція "Винятки kubescape" в `k8s.mdc`.
+
 ## [1.13.31] - 2026-05-18
 
 ### Changed
@@ -174,7 +220,7 @@
 
 - `ga.mdc` — 4 inline YAML-блоки повних workflow канонів замінено на markdown-посилання до `template/<workflow>.yml.snippet.yml`. Файл скоротився суттєво — канон тепер живе як data, а не як прозовий приклад.
 - `template/clean-merged-branch.yml.snippet.yml`: `dry_run: false` (явний bool) замість `dry_run: no` — `yaml` npm (YAML 1.2) лишає `no` рядком, а Go-yaml у conftest нормалізує до `false`; пишемо канонізовану форму під runtime conftest-парсингу.
-- `docs/adr/template-dir-concern-inventory.md` — додано 4 нові full-canon ga.* концерни з ✓; оновлено summary (89 концернів, 43 з template — мігровано 13/43 = 30%).
+- `docs/adr/template-dir-concern-inventory.md` — додано 4 нові full-canon ga.\* концерни з ✓; оновлено summary (89 концернів, 43 з template — мігровано 13/43 = 30%).
 
 ### TODO
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.31",
+  "version": "1.13.38",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/changelog/fix/consistency/check.mjs

@@ -26,7 +26,7 @@ import {
   getMonorepoProjectRootDirs,
   manifestFilePath,
   parsePyprojectFields,
-  readPackageManifest,
+  readPackageManifest
 } from '../../../../scripts/utils/package-manifest.mjs'
 
 const execFileAsync = promisify(execFile)
@@ -46,10 +46,12 @@ const CHANGELOG_IGNORE_PATH_EXACT = Object.freeze(['docs', 'doc'])
 /** Таймаут на `npm view` / PyPI (мс) */
 const REGISTRY_TIMEOUT_MS = 10_000
 
+const LEADING_DOTSLASH_RE = /^\.\//
+
 /**
  * Тихо запускає `git` і повертає stdout або `null` при будь-якій помилці.
  * @param {string[]} args аргументи `git`
- * @returns {Promise<string | null>}
+ * @returns {Promise<string | null>} результат
  */
 async function gitOrNull(args) {
   try {
@@ -61,7 +63,7 @@ async function gitOrNull(args) {
 }
 
 /**
- * @returns {Promise<boolean>}
+ * @returns {Promise<boolean>} результат
  */
 async function isInsideGitRepo() {
   const out = await gitOrNull(['rev-parse', '--is-inside-work-tree'])
@@ -69,7 +71,7 @@ async function isInsideGitRepo() {
 }
 
 /**
- * @returns {Promise<string | null>}
+ * @returns {Promise<string | null>} результат
  */
 async function currentBranchName() {
   const out = await gitOrNull(['rev-parse', '--abbrev-ref', 'HEAD'])
@@ -77,27 +79,27 @@ async function currentBranchName() {
 }
 
 /**
- * @param {string | null} branch
- * @returns {boolean}
+ * @param {string | null} branch параметр
+ * @returns {boolean} результат
  */
 function isIntegrationBranch(branch) {
   return branch !== null && INTEGRATION_BRANCHES.includes(branch)
 }
 
 /**
- * @param {string} ref
- * @returns {string}
+ * @param {string} ref параметр
+ * @returns {string} результат
  */
 function baseRefLabel(ref) {
   return ref.startsWith('origin/') ? ref.slice('origin/'.length) : ref
 }
 
 /**
- * @param {string} relPath
- * @returns {boolean}
+ * @param {string} relPath параметр
+ * @returns {boolean} результат
  */
 function isChangelogIgnoredPath(relPath) {
-  const p = relPath.replace(/\\/g, '/').replace(/^\.\//, '')
+  const p = relPath.replaceAll('\\', '/').replace(LEADING_DOTSLASH_RE, '')
   if (CHANGELOG_IGNORE_PATH_EXACT.includes(p)) {
     return true
   }
@@ -105,8 +107,8 @@ function isChangelogIgnoredPath(relPath) {
 }
 
 /**
- * @param {string} relPath
- * @returns {Promise<boolean>}
+ * @param {string} relPath параметр
+ * @returns {Promise<boolean>} результат
  */
 async function isPathGitIgnored(relPath) {
   try {
@@ -118,7 +120,7 @@ async function isPathGitIgnored(relPath) {
 }
 
 /**
- * @returns {Promise<string | null>}
+ * @returns {Promise<string | null>} результат
  */
 async function resolveBaseRef() {
   for (const name of BASE_BRANCH_CANDIDATES) {
@@ -133,8 +135,8 @@ async function resolveBaseRef() {
 }
 
 /**
- * @param {string} baseRef
- * @returns {Promise<string | null>}
+ * @param {string} baseRef параметр
+ * @returns {Promise<string | null>} результат
  */
 async function resolveMergeBase(baseRef) {
   const out = await gitOrNull(['merge-base', baseRef, 'HEAD'])
@@ -144,9 +146,9 @@ async function resolveMergeBase(baseRef) {
 }
 
 /**
- * @param {string} ws
- * @param {string[]} subWorkspaces
- * @returns {string[]}
+ * @param {string} ws параметр
+ * @param {string[]} subWorkspaces параметр
+ * @returns {string[]} результат
  */
 function pathspecForWorkspace(ws, subWorkspaces) {
   if (ws !== '.') return [`${ws}/`]
@@ -154,12 +156,14 @@ function pathspecForWorkspace(ws, subWorkspaces) {
 }
 
 /**
- * @param {string} baseRef
- * @param {string[]} pathspec
- * @returns {Promise<string[]>}
+ * @param {string} baseRef параметр
+ * @param {string[]} pathspec параметр
+ * @returns {Promise<string[]>} результат
  */
 async function listChangedPathsAgainstBase(baseRef, pathspec) {
-  /** @type {string[]} */
+  /**
+  @type {string[]}
+   */
   const out = []
   const diffArgs =
     baseRef === 'HEAD'
@@ -177,10 +181,10 @@ async function listChangedPathsAgainstBase(baseRef, pathspec) {
 }
 
 /**
- * @param {string} baseRef
- * @param {string} ws
- * @param {string[]} subWorkspaces
- * @returns {Promise<boolean>}
+ * @param {string} baseRef параметр
+ * @param {string} ws параметр
+ * @param {string[]} subWorkspaces параметр
+ * @returns {Promise<boolean>} результат
  */
 async function workspaceHasRelevantChangesAgainstBase(baseRef, ws, subWorkspaces) {
   const pathspec = pathspecForWorkspace(ws, subWorkspaces)
@@ -199,9 +203,9 @@ async function workspaceHasRelevantChangesAgainstBase(baseRef, ws, subWorkspaces
 
 /**
  * Версія з маніфесту на `baseRef`.
- * @param {string} baseRef
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @returns {Promise<string | null>}
+ * @param {string} baseRef параметр
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @returns {Promise<string | null>} результат
  */
 async function readBaseVersion(baseRef, manifest) {
   const wsPath = manifest.ws === '.' ? manifest.manifestRel : `${manifest.ws}/${manifest.manifestRel}`
@@ -219,9 +223,9 @@ async function readBaseVersion(baseRef, manifest) {
 }
 
 /**
- * @param {string} text
- * @param {string} version
- * @returns {boolean}
+ * @param {string} text параметр
+ * @param {string} version параметр
+ * @returns {boolean} результат
  */
 function changelogHasVersionEntry(text, version) {
   const needle = `## [${version}]`
@@ -229,8 +233,8 @@ function changelogHasVersionEntry(text, version) {
 }
 
 /**
- * @param {string} name
- * @returns {Promise<string | null>}
+ * @param {string} name параметр
+ * @returns {Promise<string | null>} результат
  */
 async function defaultGetPublishedNpmVersion(name) {
   try {
@@ -243,13 +247,13 @@ async function defaultGetPublishedNpmVersion(name) {
 }
 
 /**
- * @param {string} name
- * @returns {Promise<string | null>}
+ * @param {string} name параметр
+ * @returns {Promise<string | null>} результат
  */
 async function defaultGetPublishedPyPiVersion(name) {
   try {
     const res = await fetch(`https://pypi.org/pypi/${encodeURIComponent(name)}/json`, {
-      signal: AbortSignal.timeout(REGISTRY_TIMEOUT_MS),
+      signal: AbortSignal.timeout(REGISTRY_TIMEOUT_MS)
     })
     if (!res.ok) return null
     const data = await res.json()
@@ -261,31 +265,38 @@ async function defaultGetPublishedPyPiVersion(name) {
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion
- * @returns {Promise<string | null>}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @returns {Promise<string | null>} результат
  */
-async function resolvePublishedVersion(manifest, getPublishedVersion) {
-  if (!manifest.name) return null
+function resolvePublishedVersion(manifest, getPublishedVersion) {
+  if (!manifest.name) return Promise.resolve(null)
   return getPublishedVersion(manifest.name, manifest.kind)
 }
 
 /**
- * @returns {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>}
+ * @param {string} name пакет
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageKind} [kind] тип пакета
+ * @returns {Promise<string | null>} опублікована версія або null
  */
-function createDefaultGetPublishedVersion() {
-  return async (name, kind = 'npm') => {
-    if (kind === 'python') {
-      return defaultGetPublishedPyPiVersion(name)
-    }
-    return defaultGetPublishedNpmVersion(name)
+function defaultGetPublishedVersion(name, kind = 'npm') {
+  if (kind === 'python') {
+    return defaultGetPublishedPyPiVersion(name)
   }
+  return defaultGetPublishedNpmVersion(name)
+}
+
+/**
+ * @returns {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} стандартний резолвер
+ */
+function createDefaultGetPublishedVersion() {
+  return defaultGetPublishedVersion
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
  */
 function checkNpmFilesArrayContainsChangelog(manifest, pass, fail) {
   if (manifest.kind !== 'npm' || !manifest.npmFiles) return
@@ -298,11 +309,11 @@ function checkNpmFilesArrayContainsChangelog(manifest, pass, fail) {
 }
 
 /**
- * @param {string} ws
- * @param {string} version
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
- * @returns {Promise<boolean>}
+ * @param {string} ws параметр
+ * @param {string} version параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
+ * @returns {Promise<boolean>} результат
  */
 async function verifyChangelogEntry(ws, version, pass, fail) {
   const label = ws === '.' ? '<root>' : ws
@@ -321,20 +332,20 @@ async function verifyChangelogEntry(ws, version, pass, fail) {
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @returns {string}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @returns {string} результат
  */
 function workspaceLabel(manifest) {
   return manifest.ws === '.' ? '<root>' : manifest.ws
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {string} Vcurrent
- * @param {string[]} subWorkspaces
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
- * @returns {Promise<void>}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {string} Vcurrent параметр
+ * @param {string[]} subWorkspaces параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
+ * @returns {Promise<void>} результат
  */
 async function checkPublishedWorkspacePendingGitChanges(manifest, Vcurrent, subWorkspaces, pass, fail) {
   const label = workspaceLabel(manifest)
@@ -379,12 +390,12 @@ async function checkPublishedWorkspacePendingGitChanges(manifest, Vcurrent, subW
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {string[]} subWorkspaces
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
- * @returns {Promise<void>}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {string[]} subWorkspaces параметр
+ * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
+ * @returns {Promise<void>} результат
  */
 async function checkPublishedWorkspace(manifest, subWorkspaces, getPublishedVersion, pass, fail) {
   const label = workspaceLabel(manifest)
@@ -415,11 +426,11 @@ async function checkPublishedWorkspace(manifest, subWorkspaces, getPublishedVers
 }
 
 /**
- * @param {string} mergeBase
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {string} baseLabel
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
+ * @param {string} mergeBase параметр
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {string} baseLabel параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
  */
 async function checkLocalOnlyChangedWorkspace(mergeBase, manifest, baseLabel, pass, fail) {
   const label = workspaceLabel(manifest)
@@ -442,10 +453,10 @@ async function checkLocalOnlyChangedWorkspace(mergeBase, manifest, baseLabel, pa
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} localOnly
- * @param {string[]} subWorkspaces
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} localOnly параметр
+ * @param {string[]} subWorkspaces параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
  */
 async function runLocalOnlyChecks(localOnly, subWorkspaces, pass, fail) {
   if (localOnly.length === 0) return
@@ -483,9 +494,9 @@ async function runLocalOnlyChecks(localOnly, subWorkspaces, pass, fail) {
 }
 
 /**
- * @param {object} [opts]
+ * @param {object} [opts] опції перевірки
  * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} [opts.getPublishedVersion] перевизначення npm/PyPI у тестах
- * @returns {Promise<number>}
+ * @returns {Promise<number>} exit-код перевірки
  */
 export async function check(opts = {}) {
   const reporter = createCheckReporter()
@@ -495,9 +506,13 @@ export async function check(opts = {}) {
   const workspaces = await getMonorepoProjectRootDirs(process.cwd())
   const subWorkspaces = workspaces.filter(w => w !== '.')
 
-  /** @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} */
+  /**
+  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+   */
   const published = []
-  /** @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} */
+  /**
+  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+   */
   const localOnly = []
 
   for (const ws of workspaces) {

package/rules/ci4/ci4.mdc

@@ -95,7 +95,7 @@ docs/
 - **Date** — рядок `**Date:** YYYY-MM-DD`, для впорядкування і відображення у проекції.
 - **Heading H1** — перший `#`-заголовок, як назва рішення.
 - **Розділи MADR** — `## Context and Problem Statement`, `## Considered Options`, `## Decision Outcome`, `### Consequences`, `## More Information`. Для проекції зазвичай беруться Decision Outcome + Consequences.
-- **`## Update YYYY-MM-DD`** — apended-секції у тому ж файлі. Враховуються як еволюція рішення в хронологічному порядку.
+- **`## Update YYYY-MM-DD`** — appended-секції у тому ж файлі. Враховуються як еволюція рішення в хронологічному порядку.
 
 **Маршрутизація ADR → зони** робиться двома способами:
 
@@ -278,13 +278,13 @@ User Service автентифікує користувачів і керує п
 
 ## Типові поломки LLM і захист
 
-| Проблема                     | Захист                                                                            |
-| ---------------------------- | --------------------------------------------------------------------------------- |
+| Проблема                     | Захист                                                                                    |
+| ---------------------------- | ----------------------------------------------------------------------------------------- |
 | Галюцинація деталей          | Правило `[<slug>]` маркера + post-gen linter, що перевіряє існування `docs/adr/<slug>.md` |
-| Втрата `## Update`-еволюції  | Pre-process: збирати всі `## Update YYYY-MM-DD` у ADR, передавати у промпт як патчі |
-| Дрейф термінології           | `docs/glossary.md` як перший вхід у кожен промпт                                  |
-| Перенасичення контексту      | Двостадійна генерація: спочатку summary кожного ADR (кеш), потім проекція         |
-| Inconsistency між проекціями | Cross-projection validator порівнює факти між документами                         |
+| Втрата `## Update`-еволюції  | Pre-process: збирати всі `## Update YYYY-MM-DD` у ADR, передавати у промпт як патчі       |
+| Дрейф термінології           | `docs/glossary.md` як перший вхід у кожен промпт                                          |
+| Перенасичення контексту      | Двостадійна генерація: спочатку summary кожного ADR (кеш), потім проекція                 |
+| Inconsistency між проекціями | Cross-projection validator порівнює факти між документами                                 |
 
 ## Валідатор (обов'язково)
 

package/rules/image-avif/image-avif.mdc

@@ -1,6 +1,6 @@
 ---
 description: AVIF-двійники для raster-зображень з ув'язуванням у .vue/.html
-version: '1.2'
+version: '1.3'
 globs: "**/*.{png,jpg,jpeg,gif,avif,vue,html}"
 alwaysApply: false
 ---
@@ -31,7 +31,7 @@ AVIF-двійники **зберігаємо в git** — це готові ар
 
 ## Опт-аут для конкретного пакета
 
-У workspace-пакеті, де AVIF-імпорти небажані (наприклад, мобільний бандл або публічний сайт без гарантованої AVIF-підтримки), додай у `package.json` цього пакета:
+У workspace-пакеті, де AVIF-імпорти небажані (наприклад, мобільний бандл або публічний сайт без гарантованої AVIF-підтримки), додай у `package.json` цього пакета. Заборонений typo `disabled-avif` (канон — `disable-avif`): [package.json.deny.json](./policy/package_json/template/package.json.deny.json).
 
 ```json title="apps/site/package.json"
 {

package/rules/js-lint/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -1,7 +1,3 @@
 {
-  "recommendations": [
-    "dbaeumer.vscode-eslint",
-    "github.vscode-github-actions",
-    "oxc.oxc-vscode"
-  ]
+  "recommendations": ["dbaeumer.vscode-eslint", "github.vscode-github-actions", "oxc.oxc-vscode"]
 }

package/rules/js-run/fix/runtime/check.mjs

@@ -28,6 +28,9 @@
  *    (див. `utils/promise-settimeout-scan.mjs`);
  *  - «jsconfig.json»: у backend-пакеті з каталогом `src/` у корені має бути `jsconfig.json`,
  *    вміст якого збігається з каноном js-run.mdc (NodeNext і include на дерево `src`).
+ *
+ * Per-document валідація `package.json` (bunyan, `node` у `scripts`) делегована rego-пакету
+ * `js_run.package_json` у `npm/rules/js-run/policy/package_json/`; JS — cross-file (AST, FS).
  */
 import { existsSync, statSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'

package/rules/js-run/js-run.mdc

@@ -2,7 +2,7 @@
 description: Це правила для backend проектів на JavaScript/Node.js, сюди входять і job і WEB сервери.
 globs: "**/package.json,**/jsconfig.json,**/src/**/*.{js,mjs,cjs,ts,tsx}"
 alwaysApply: false
-version: '1.9'
+version: '1.11'
 ---
 
 ## Область застосування
@@ -17,6 +17,21 @@ version: '1.9'
 
 Тому **у frontend-пакетах не торкайся `process.env.*`** і **не додавай** `import { env } from 'node:process'`. Якщо натрапив на `process.env.NODE_ENV` у frontend-коді — заміна, якщо взагалі потрібна, лише на `import.meta.env.MODE`.
 
+## Runtime у `package.json#scripts`
+
+У **backend**-пакетах (без `vite` у `devDependencies`) код запускають через **Bun**, не через бінарник **`node`** у значеннях `scripts`:
+
+- `"start": "node src/index.js"` → `"start": "bun src/index.js"` (або `bun run …`, якщо так прийнято в репо);
+- `node --watch app.js` → `bun --watch app.js`;
+- `NODE_OPTIONS=… node app.js` → `NODE_OPTIONS=… bun app.js`.
+- `env $(cat .env .env.local) bun src/index.js` → `bun --env-file=.env --env-file=.env.local src/index.js` (нативне завантаження env у Bun, без `env`/`cat`).
+
+Заборонено викликати **`node`** у ланцюжках (`&&`, `;`, `|`). Заборонено обгортку **`env $(cat …) bun`** — файли з `cat` перелічуй у **`--env-file=`** (по одному прапорцю на файл, порядок як у `cat`). Допустимо: `bun`, `bunx`, `npx` (див. **bun.mdc**), інші CLI, якщо вони не підміняють рантайм на `node`.
+
+Це **не** стосується поля `engines.node` (мінімальна версія Node для сумісності інструментів) і **не** стосується frontend-пакетів з `vite` у `devDependencies`.
+
+Канон заборонених патернів у `scripts`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json) (`scriptsForbidden`).
+
 ## Структура проекту
 
 Рекомендується використовувати таку структуру проекту:

package/rules/js-run/policy/package_json/package_json.rego

@@ -18,3 +18,20 @@ deny contains msg if {
 	pkg in object.keys(object.get(input, "devDependencies", {}))
 	msg := sprintf("devDependencies.%s — %s", [pkg, reason])
 }
+
+# ── deny: `node` як рантайм у `scripts` (backend-пакети без vite) ─────────
+
+deny contains msg if {
+	js_run_backend_package
+	is_object(input.scripts)
+	some script_name, script_value in input.scripts
+	is_string(script_value)
+	some rule in object.get(data.template.deny, "scriptsForbidden", [])
+	regex.match(rule.pattern, script_value)
+	msg := sprintf("package.json: scripts.%s — %s", [script_name, rule.message])
+}
+
+# Frontend-пакети (`vite` у devDependencies) — поза js-run (див. js-run.mdc).
+js_run_backend_package if {
+	not "vite" in object.keys(object.get(input, "devDependencies", {}))
+}

package/rules/js-run/policy/package_json/template/package.json.deny.json

@@ -6,5 +6,17 @@
   "devDependencies": {
     "bunyan": "використовуй стандартні логери (js-run.mdc)",
     "@nitra/bunyan": "використовуй стандартні логери (js-run.mdc)"
-  }
+  },
+  "scriptsForbidden": [
+    {
+      "id": "node-runner",
+      "pattern": "\\bnode(\\s|$)",
+      "message": "заміни `node` на `bun` у scripts — один runtime у dev і prod (js-run.mdc)"
+    },
+    {
+      "id": "env-cat-bun",
+      "pattern": "\\benv\\s+\\$\\(cat\\s+[^)]+\\)\\s+bun\\b",
+      "message": "заміни `env $(cat A B) bun` на `bun --env-file=A --env-file=B` (нативний Bun, js-run.mdc)"
+    }
+  ]
 }

package/rules/k8s/fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json

@@ -0,0 +1,21 @@
+[
+  {
+    "name": "hasura-jwt-public-config",
+    "policyType": "postureExceptionPolicy",
+    "actions": ["alertOnly"],
+    "resources": [
+      {
+        "designatorType": "Attributes",
+        "attributes": {
+          "kind": "ConfigMap",
+          "name": "hasura-config"
+        }
+      }
+    ],
+    "posturePolicies": [
+      {
+        "controlID": "C-0012"
+      }
+    ]
+  }
+]