@nitra/cursor 1.13.34 → 1.13.38

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.31'
+version: '1.34'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -118,7 +118,7 @@ resources:
     memory: '128Mi'
 ```
 
-**HPA і PDB у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` поруч із `Deployment`, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/` (див. розділ нижче).
+**HPA, PDB і NetworkPolicy у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` / `networkpolicy.yaml` поруч із workload-маніфестами, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/` (див. розділ нижче).
 
 ### Поза base (оверлеї, окремі каталоги)
 
@@ -380,12 +380,15 @@ images:
 
 ## Deployment: `topologySpreadConstraints`, HPA / PDB через `components/`
 
-Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB також **не дозволені** через `resources` / `components` / `bases`.
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB / NetworkPolicy також **не дозволені** через `resources` / `components` / `bases`.
+
+Для **кожного** з **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s` обов'язковий **NetworkPolicy**: у **`…/k8s/…/base/`** — у **`components/networkpolicy.yaml`** (multi-doc, якщо workload-ів кілька); у **не-base** — **`networkpolicy.yaml`** поруч із маніфестом workload у тому ж каталозі. `metadata.name` NetworkPolicy **= `metadata.name`** workload; `spec.podSelector.matchLabels.app` **= мітка `app`** з `spec.selector.matchLabels` (для **CronJob** — з `spec.jobTemplate.spec.selector.matchLabels`). Відсутні документи **`check k8s`** створює автоматично.
 
 **Канонічна структура `<pkg>/k8s/components/`** (sibling до `base/`):
 
-- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, pdb.yaml]`.
+- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, networkpolicy.yaml, pdb.yaml]` (відсортовано за алфавітом).
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
+- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **інші порти** — лише in-cluster через `to.namespaceSelector: {}` (трафік на `*.svc` / Pod-и в кластері; Postgres лише `*.svc`, без Cloud SQL). Заборонено `egress: [{}]`. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
@@ -394,13 +397,14 @@ images:
 
 **`<pkg>/k8s/components/kustomization.yaml`** має `kind: Component` (не `kind: Kustomization`) — це **джерело** канонічних HPA/PDB для всіх overlays, а не overlay сам по собі. Прод-перезаписи (`/spec/minReplicas`, `/spec/maxReplicas`, `/spec/minAvailable`) живуть у `<env>/kustomization.yaml`, що підключає Component через `components:`. У самому Component patches не потрібні — він env-неутральний; **`check k8s`** не вимагає прод-патчів від `components/kustomization.yaml`.
 
-У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремий **`hpa.yaml`** / **`pdb.yaml`**, якщо такі потрібні для цього середовища. **`check k8s`** звіряє прив'язку за іменами:
+У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремі **`hpa.yaml`**, **`networkpolicy.yaml`** і **`pdb.yaml`**, якщо такі потрібні для цього середовища. Для **StatefulSet**, **DaemonSet**, **Job**, **CronJob** у не-base — обов'язковий лише **`networkpolicy.yaml`** (HPA/PDB лишаються прив'язаними до **Deployment**, якщо є). **`check k8s`** звіряє прив'язку за іменами (і **дописує** відсутні NetworkPolicy-документи автоматично):
 
 - **`hpa.yaml`** (поза **`…/base/`**) — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
+- **`networkpolicy.yaml`** — той самий канон egress/ingress, що в `components/` (multi-doc, якщо у каталозі кілька workload-ів).
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
+**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 
@@ -462,9 +466,51 @@ apiVersion: kustomize.config.k8s.io/v1alpha1
 kind: Component
 resources:
   - hpa.yaml
+  - networkpolicy.yaml
   - pdb.yaml
 ```
 
+```yaml title="k8s/components/networkpolicy.yaml"
+# yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/networkpolicy-networking-k8s-io-v1.json
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: backend-api
+spec:
+  podSelector:
+    matchLabels:
+      app: backend-api
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+  egress:
+    - to:
+        - namespaceSelector:
+            matchLabels:
+              kubernetes.io/metadata.name: kube-system
+          podSelector:
+            matchLabels:
+              k8s-app: kube-dns
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 0.0.0.0/0
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+    - to:
+        - namespaceSelector: {}
+```
+
 ```yaml title="k8s/components/hpa.yaml"
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2

package/rules/k8s/policy/base_kustomization/base_kustomization.rego

@@ -41,16 +41,16 @@ deny contains base_namespace_required_msg if {
 # (із зануренням у вкладені kustomization.yaml) — JS-оркестратор
 # `verifyK8sBaseKustomizeHasNoHpaPdb` у `check-k8s.mjs` (потребує fs-доступу). Цей
 # rego-deny — defense-in-depth: спрацює навіть якщо JS-крок упаде з винятку раніше.
-deny contains hpa_pdb_in_base_resources_msg(r) if {
+deny contains hpa_pdb_np_in_base_resources_msg(r) if {
 	is_kustomization
 	some r in object.get(input, "resources", [])
 	is_string(r)
-	is_hpa_or_pdb_filename(r)
+	is_hpa_pdb_or_np_filename(r)
 }
 
-hpa_pdb_in_base_resources_msg(file) := sprintf(
+hpa_pdb_np_in_base_resources_msg(file) := sprintf(
 	concat("", [
-		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB заборонені у base, ",
+		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB/NetworkPolicy заборонені у base, ",
 		"перенесіть у sibling каталог components/ і підключайте з overlay (k8s.mdc)",
 	]),
 	[file],
@@ -61,8 +61,15 @@ is_kustomization if {
 	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
 }
 
-is_hpa_or_pdb_filename(p) if {
-	basename(p) in {"hpa.yaml", "pdb.yaml", "hpa.yml", "pdb.yml"}
+is_hpa_pdb_or_np_filename(p) if {
+	basename(p) in {
+		"hpa.yaml",
+		"pdb.yaml",
+		"networkpolicy.yaml",
+		"hpa.yml",
+		"pdb.yml",
+		"networkpolicy.yml",
+	}
 }
 
 basename(p) := parts[count(parts) - 1] if {

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -0,0 +1,158 @@
+# Пер-документна структурна перевірка NetworkPolicy (k8s.mdc).
+# Cross-file (metadata.name = workload, podSelector.app = мітка app) — JS
+# (`networkPolicyManifestViolations`, `validateNetworkPolicyForWorkload`).
+#
+# Канон egress: kube-dns; TCP 80/443 на 0.0.0.0/0; інші порти — namespaceSelector: {}
+# (in-cluster, зокрема *.svc). Заборонено egress: [{}] (allow-all).
+#
+# Запуск:
+#   conftest test path/to/networkpolicy.yaml -p npm/policy/k8s/network_policy \
+#     --namespace k8s.network_policy
+package k8s.network_policy
+
+import rego.v1
+
+np_kind_template := "kind має бути NetworkPolicy (зараз: %v) (k8s.mdc)"
+
+np_api_template := "apiVersion має бути networking.k8s.io/v1 (зараз: %v) (k8s.mdc)"
+
+deny contains msg if {
+	is_np_doc
+	input.kind != "NetworkPolicy"
+	msg := sprintf(np_kind_template, [input.kind])
+}
+
+deny contains msg if {
+	is_np_doc
+	input.apiVersion != "networking.k8s.io/v1"
+	msg := sprintf(np_api_template, [input.apiVersion])
+}
+
+deny contains "spec відсутній або некоректний (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	not is_object(object.get(input, "spec", null))
+}
+
+deny contains "spec.podSelector.matchLabels відсутній (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	selector := object.get(spec, "podSelector", null)
+	is_object(selector)
+	not is_object(object.get(selector, "matchLabels", null))
+}
+
+deny contains "spec.policyTypes має містити Ingress і Egress (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	types := object.get(spec, "policyTypes", [])
+	not policy_types_has_ingress_and_egress(types)
+}
+
+deny contains "spec.ingress має містити from.podSelector (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not ingress_has_pod_selector_rule(spec)
+}
+
+deny contains "spec.egress має бути непорожнім масивом (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not is_non_empty_array(object.get(spec, "egress", null))
+}
+
+deny contains "spec.egress: заборонено allow-all {} — канон k8s.mdc (80/443 назовні, інше — in-cluster)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	egress_allows_all(object.get(spec, "egress", null))
+}
+
+deny contains "spec.egress: потрібен ipBlock 0.0.0.0/0 з ports 80 і 443 (HTTP/HTTPS назовні; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not egress_has_internet_http_https(spec)
+}
+
+deny contains "spec.egress: потрібен to.namespaceSelector: {} (інші порти лише in-cluster / *.svc; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not egress_has_cluster_namespace_selector(spec)
+}
+
+is_np_doc if input.kind == "NetworkPolicy"
+
+is_np_doc if startswith(object.get(input, "apiVersion", ""), "networking.k8s.io/")
+
+policy_types_has_ingress_and_egress(types) if {
+	is_array(types)
+	"Ingress" in types
+	"Egress" in types
+}
+
+ingress_has_pod_selector_rule(spec) if {
+	ingress := object.get(spec, "ingress", null)
+	is_array(ingress)
+	some rule in ingress
+	is_object(rule)
+	from_list := object.get(rule, "from", null)
+	is_array(from_list)
+	some peer in from_list
+	is_object(peer)
+	object.get(peer, "podSelector", null) != null
+}
+
+is_non_empty_array(x) if {
+	is_array(x)
+	count(x) > 0
+}
+
+egress_allows_all(egress) if {
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	count(object.keys(rule)) == 0
+}
+
+egress_has_internet_http_https(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ipb := object.get(peer, "ipBlock", null)
+	is_object(ipb)
+	object.get(ipb, "cidr", "") == "0.0.0.0/0"
+	ports := object.get(rule, "ports", null)
+	is_array(ports)
+	egress_ports_include(ports, 80)
+	egress_ports_include(ports, 443)
+}
+
+egress_ports_include(ports, want) if {
+	some p in ports
+	is_object(p)
+	object.get(p, "port", null) == want
+}
+
+egress_has_cluster_namespace_selector(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ns := object.get(peer, "namespaceSelector", null)
+	is_object(ns)
+	count(ns) == 0
+}

package/rules/k8s/policy/network_policy/template/networkpolicy.snippet.yaml

@@ -0,0 +1,32 @@
+spec:
+  podSelector:
+    matchLabels: {}
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+  egress:
+    - to:
+        - namespaceSelector:
+            matchLabels:
+              kubernetes.io/metadata.name: kube-system
+          podSelector:
+            matchLabels:
+              k8s-app: kube-dns
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 0.0.0.0/0
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+    - to:
+        - namespaceSelector: {}

package/rules/security/fix/trufflehog/check.mjs

@@ -17,6 +17,9 @@ import { checkTextSubset } from '../../../../scripts/utils/template.mjs'
 const HERE = dirname(fileURLToPath(import.meta.url))
 const SNIPPET_PATH = join(HERE, 'template', '.trufflehog-exclude.snippet.txt')
 
+/**
+ * @returns {Promise<number>} exit-код перевірки
+ */
 export async function check() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter

package/rules/security/policy/package_json/template/package.json.snippet.json

@@ -1 +1,5 @@
-{ "scripts": { "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail" } }
+{
+  "scripts": {
+    "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail"
+  }
+}

package/rules/text/policy/cspell/cspell.rego

@@ -53,9 +53,9 @@ deny contains msg if {
 # ── deny: import substrings forbidden ────────────────────────────────────
 
 deny contains msg if {
-	some forbidden, reason in data.template.deny["import-substrings"]
 	imports := object.get(input, "import", [])
 	is_array(imports)
+	some forbidden, reason in data.template.deny["import-substrings"]
 	some imp in imports
 	is_string(imp)
 	contains(imp, forbidden)

package/rules/text/policy/markdownlint/markdownlint.rego

@@ -47,7 +47,7 @@ deny contains msg if {
 	msg := sprintf(".markdownlint-cli2.jsonc: %s.%s.%s має бути %v (text.mdc)", [section, inner_key, leaf, expected])
 }
 
-# ── deny: vкладеного обʼєкта взагалі немає ──────────────────────────────
+# ── deny: вкладеного обʼєкта взагалі немає ──────────────────────────────
 
 deny contains msg if {
 	some section, expected_inner in data.template.snippet

package/rules/text/policy/oxfmtrc/template/.oxfmtrc.json.snippet.json

@@ -4,9 +4,5 @@
   "tabWidth": 2,
   "useTabs": false,
   "printWidth": 120,
-  "ignorePatterns": [
-    "**/hasura/metadata/**",
-    "**/schema.graphql",
-    "**/auto-imports.d.ts"
-  ]
+  "ignorePatterns": ["**/hasura/metadata/**", "**/schema.graphql", "**/auto-imports.d.ts"]
 }

package/rules/text/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -1,7 +1,3 @@
 {
-  "recommendations": [
-    "DavidAnson.vscode-markdownlint",
-    "oxc.oxc-vscode",
-    "timonwong.shellcheck"
-  ]
+  "recommendations": ["DavidAnson.vscode-markdownlint", "oxc.oxc-vscode", "timonwong.shellcheck"]
 }

package/rules/vue/vue.mdc

@@ -118,6 +118,7 @@ GlobalRegistrator.register()
 ```
 
 `jsdom` не використовуй — happy-dom швидший і достатній для типових Vue-компонентних тестів.
+
 - **E2E:** **Playwright** змістовні сценарії користувацьких потоків.
 
 ### Інструменти (узгоджено з Vite і цим правилом)

package/scripts/sync-claude-config.mjs

@@ -84,7 +84,7 @@ const ADR_NORMALIZE_STOP_HOOK_GROUP = Object.freeze({
 /** Канонічний Cursor stop-hook для ADR capture. Cursor передає payload через stdin JSON. */
 const CURSOR_ADR_STOP_HOOK = Object.freeze({
   command: [
-    "bash -lc 'root=\"$PWD\";",
+    'bash -lc \'root="$PWD";',
     `if [ ! -f "$root/${CURSOR_ADR_HOOK_COMMAND_MARKER}" ] && [ -f "$root/../${CURSOR_ADR_HOOK_COMMAND_MARKER}" ]; then root="$root/.."; fi;`,
     `bash "$root/${CURSOR_ADR_HOOK_COMMAND_MARKER}"'`
   ].join(' '),
@@ -94,7 +94,7 @@ const CURSOR_ADR_STOP_HOOK = Object.freeze({
 /** Канонічний Cursor stop-hook для ADR normalize. */
 const CURSOR_ADR_NORMALIZE_STOP_HOOK = Object.freeze({
   command: [
-    "bash -lc 'root=\"$PWD\";",
+    'bash -lc \'root="$PWD";',
     `if [ ! -f "$root/${CURSOR_ADR_NORMALIZE_HOOK_COMMAND_MARKER}" ] && [ -f "$root/../${CURSOR_ADR_NORMALIZE_HOOK_COMMAND_MARKER}" ]; then root="$root/.."; fi;`,
     `bash "$root/${CURSOR_ADR_NORMALIZE_HOOK_COMMAND_MARKER}"'`
   ].join(' '),

package/scripts/utils/check-mdc-template-refs.mjs

@@ -1,15 +1,15 @@
 /**
  * Returns list of template/ files that are NOT referenced in <id>.mdc as
  * markdown link targets. Paths returned are relative to ruleDir.
- *
- * @param {string} ruleDir absolute path to npm/rules/<id>/
- * @param {string} ruleId basename (e.g. "security")
- * @returns {Promise<string[]>}
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile, stat } from 'node:fs/promises'
 import { join, relative } from 'node:path'
 
+/**
+ * @param {string} ruleDir абсолютний шлях до каталогу правила
+ * @returns {Promise<string[]>} абсолютні шляхи всіх файлів у template/
+ */
 async function walkTemplateDirs(ruleDir) {
   const out = []
   for (const kind of ['fix', 'policy']) {
@@ -18,13 +18,18 @@ async function walkTemplateDirs(ruleDir) {
     for (const concern of await readdir(kindDir)) {
       const tpl = join(kindDir, concern, 'template')
       if (!existsSync(tpl)) continue
-      if (!(await stat(tpl)).isDirectory()) continue
+      const tplStat = await stat(tpl)
+      if (!tplStat.isDirectory()) continue
       out.push(...(await collectFiles(tpl)))
     }
   }
   return out.map(p => relative(ruleDir, p))
 }
 
+/**
+ * @param {string} dir каталог для обходу
+ * @returns {Promise<string[]>} абсолютні шляхи знайдених файлів
+ */
 async function collectFiles(dir) {
   const out = []
   for (const entry of await readdir(dir, { withFileTypes: true })) {
@@ -35,6 +40,11 @@ async function collectFiles(dir) {
   return out
 }
 
+/**
+ * @param {string} ruleDir абсолютний шлях до npm/rules/<id>/
+ * @param {string} ruleId basename правила (напр. "security")
+ * @returns {Promise<string[]>} відносні шляхи template-файлів без посилань у .mdc
+ */
 export async function findMissingMdcRefs(ruleDir, ruleId) {
   const mdcPath = join(ruleDir, `${ruleId}.mdc`)
   if (!existsSync(mdcPath)) return []

package/scripts/utils/inline-template-links.mjs

@@ -2,10 +2,14 @@ import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
 import { basename, extname, join } from 'node:path'
 
-const TEMPLATE_LINK_RE = /\[([^\]]+)\]\((\.\/[^)]*\/template\/[^)]+)\)/g
+const MD_LINK_RE = /\[([^\]]{1,200})\]\((\.\/[^)]{1,500})\)/g
+const TEMPLATE_SEGMENT_RE = /\/template\//
 const SLOTS = ['snippet', 'deny', 'contains']
 
-/** @param {string} filePath */
+/**
+ * @param {string} filePath шлях до файлу
+ * @returns {string} назва мови для fenced-блока
+ */
 function langFromExt(filePath) {
   const ext = extname(filePath)
   if (ext === '.json') return 'json'
@@ -16,10 +20,13 @@ function langFromExt(filePath) {
 
 // Strip `.<slot>.<ext>` suffix (slot ∈ snippet/deny/contains) to recover the
 // real target file name (e.g. `package.json.snippet.json` → `package.json`).
-/** @param {string} fileBasename */
+/**
+ * @param {string} fileBasename базове ім'я template-файлу
+ * @returns {string} ім'я реального target-файлу
+ */
 function normalizeTargetName(fileBasename) {
   for (const slot of SLOTS) {
-    const m = fileBasename.match(new RegExp(`^(.+)\\.${slot}\\.[^.]+$`))
+    const m = fileBasename.match(new RegExp(String.raw`^(.+)\.${slot}\.[^.]+$`))
     if (m) return m[1]
   }
   return fileBasename
@@ -29,19 +36,18 @@ function normalizeTargetName(fileBasename) {
  * Finds markdown links whose path contains /template/ and replaces them with
  * inline fenced blocks. Reads file from join(ruleDir, rel-path).
  * Throws Error if a matched link target doesn't exist (fail loud — user must know).
- *
  * @param {string} text .mdc file contents
  * @param {string} ruleDir absolute path to the rule directory (e.g. .../npm/rules/security/)
  * @returns {Promise<string>} transformed text
  */
 export async function inlineTemplateLinks(text, ruleDir) {
-  const matches = [...text.matchAll(TEMPLATE_LINK_RE)]
+  const matches = [...text.matchAll(MD_LINK_RE)].filter(m => TEMPLATE_SEGMENT_RE.test(m[2]))
   if (matches.length === 0) return text
 
   let result = text
   for (const match of matches) {
     const [fullMatch, , href] = match
-    // href starts with ./ and contains /template/ — already guaranteed by regex
+    // href starts with ./ (regex) and contains /template/ (filter above)
     const relPath = href.slice(2) // strip leading ./
     const absPath = join(ruleDir, relPath)
 
@@ -49,7 +55,8 @@ export async function inlineTemplateLinks(text, ruleDir) {
       throw new Error(`inlineTemplateLinks: file not found: ${absPath} (referenced from .mdc)`)
     }
 
-    const contents = (await readFile(absPath, 'utf8')).trim()
+    const raw = await readFile(absPath, 'utf8')
+    const contents = raw.trim()
     const lang = langFromExt(absPath)
     const targetName = normalizeTargetName(basename(absPath))
     const replacement = `\`${targetName}\`:\n\n\`\`\`${lang}\n${contents}\n\`\`\``