@nitra/cursor 1.13.34 → 1.13.40

package/CHANGELOG.md

@@ -4,6 +4,46 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.40] - 2026-05-18
+
+### Fixed
+
+- `lint-text` CLI: preflight на `shellcheck`, `patch` і `dotenv-linter` до ланцюжка cspell/shellcheck/dotenv. Канон `lint-text.yml.snippet.yml` — кроки `Install shellcheck` (apt) і `Install dotenv-linter` (curl); rego `text.lint_text`. Bump `text.mdc` `1.28` → `1.29`.
+
+## [1.13.39] - 2026-05-18
+
+### Fixed
+
+- `lint-ga` CLI: preflight на `conftest` (поряд із `shellcheck`/`uv`) з install-hint; глобальний `catch` у `bin/n-cursor.js` більше не ковтає повідомлення `failConftestMissing()`. Канон `lint-ga.yml.snippet.yml` — крок `Install conftest` для CI; rego `ga.lint_ga` вимагає curl на release conftest.
+
+## [1.13.38] - 2026-05-18
+
+### Added
+
+- `js-run` rule: у backend `package.json#scripts` заборонено `env $(cat …) bun` — заміна на `bun --env-file=…` (по файлу з `cat`); Rego `scriptsForbidden` `env-cat-bun`. Bump `js-run.mdc` `1.10` → `1.11`.
+
+## [1.13.37] - 2026-05-18
+
+### Added
+
+- `js-run` rule: у backend `package.json#scripts` заборонено запуск через `node` — один runtime **Bun** у dev і prod; Rego `js_run.package_json` (`scriptsForbidden` у `package.json.deny.json`), frontend з `vite` у `devDependencies` пропускається. Bump `js-run.mdc` `1.9` → `1.10`.
+
+### Changed
+
+- `k8s` rule: канон **NetworkPolicy** egress для всіх workload-ів — kube-dns; **TCP 80/443** на `0.0.0.0/0`; інші порти лише in-cluster (`namespaceSelector: {}`, `*.svc`). Заборонено `egress: [{}]`. Оновлено `buildNetworkPolicyYaml`, rego `k8s.network_policy`, template. Bump `k8s.mdc` `1.33` → `1.34`.
+
+## [1.13.36] - 2026-05-18
+
+### Changed
+
+- `k8s` rule: **NetworkPolicy** обов'язковий не лише для **Deployment**, а й для **StatefulSet**, **DaemonSet**, **Job**, **CronJob** (`workloadAppLabel`, multi-doc `networkpolicy.yaml`, autofix/validate для всіх шарів `k8s`). HPA/PDB лишаються прив'язаними до Deployment. Bump `k8s.mdc` `1.32` → `1.33`.
+
+## [1.13.35] - 2026-05-18
+
+### Added
+
+- `k8s` rule: для кожного **Deployment** під `k8s` обов'язковий **NetworkPolicy** — у `components/networkpolicy.yaml` для base (разом із HPA/PDB) або `networkpolicy.yaml` поруч у не-base оверлеях. Rego-пакет `k8s.network_policy`, перевірка прив'язки за `metadata.name` / міткою `app` у JS. **`check k8s`** автоматично створює відсутній `networkpolicy.yaml` і додає його в `components/kustomization.yaml` (`resources`). Bump `k8s.mdc` `1.31` → `1.32`.
+
 ## [1.13.34] - 2026-05-18
 
 ### Changed
@@ -192,7 +232,7 @@
 
 - `ga.mdc` — 4 inline YAML-блоки повних workflow канонів замінено на markdown-посилання до `template/<workflow>.yml.snippet.yml`. Файл скоротився суттєво — канон тепер живе як data, а не як прозовий приклад.
 - `template/clean-merged-branch.yml.snippet.yml`: `dry_run: false` (явний bool) замість `dry_run: no` — `yaml` npm (YAML 1.2) лишає `no` рядком, а Go-yaml у conftest нормалізує до `false`; пишемо канонізовану форму під runtime conftest-парсингу.
-- `docs/adr/template-dir-concern-inventory.md` — додано 4 нові full-canon ga.* концерни з ✓; оновлено summary (89 концернів, 43 з template — мігровано 13/43 = 30%).
+- `docs/adr/template-dir-concern-inventory.md` — додано 4 нові full-canon ga.\* концерни з ✓; оновлено summary (89 концернів, 43 з template — мігровано 13/43 = 30%).
 
 ### TODO
 

package/bin/n-cursor.js

@@ -1405,7 +1405,11 @@ try {
 } catch (error) {
   if (error instanceof ReexecHandoff) {
     process.exitCode = error.code
+  } else if (error instanceof Error && error.message) {
+    console.error(error.message)
+    process.exitCode = 1
   } else {
+    console.error(error)
     process.exitCode = 1
   }
 }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.34",
+  "version": "1.13.40",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/changelog/fix/consistency/check.mjs

@@ -26,7 +26,7 @@ import {
   getMonorepoProjectRootDirs,
   manifestFilePath,
   parsePyprojectFields,
-  readPackageManifest,
+  readPackageManifest
 } from '../../../../scripts/utils/package-manifest.mjs'
 
 const execFileAsync = promisify(execFile)
@@ -46,10 +46,12 @@ const CHANGELOG_IGNORE_PATH_EXACT = Object.freeze(['docs', 'doc'])
 /** Таймаут на `npm view` / PyPI (мс) */
 const REGISTRY_TIMEOUT_MS = 10_000
 
+const LEADING_DOTSLASH_RE = /^\.\//
+
 /**
  * Тихо запускає `git` і повертає stdout або `null` при будь-якій помилці.
  * @param {string[]} args аргументи `git`
- * @returns {Promise<string | null>}
+ * @returns {Promise<string | null>} результат
  */
 async function gitOrNull(args) {
   try {
@@ -61,7 +63,7 @@ async function gitOrNull(args) {
 }
 
 /**
- * @returns {Promise<boolean>}
+ * @returns {Promise<boolean>} результат
  */
 async function isInsideGitRepo() {
   const out = await gitOrNull(['rev-parse', '--is-inside-work-tree'])
@@ -69,7 +71,7 @@ async function isInsideGitRepo() {
 }
 
 /**
- * @returns {Promise<string | null>}
+ * @returns {Promise<string | null>} результат
  */
 async function currentBranchName() {
   const out = await gitOrNull(['rev-parse', '--abbrev-ref', 'HEAD'])
@@ -77,27 +79,27 @@ async function currentBranchName() {
 }
 
 /**
- * @param {string | null} branch
- * @returns {boolean}
+ * @param {string | null} branch параметр
+ * @returns {boolean} результат
  */
 function isIntegrationBranch(branch) {
   return branch !== null && INTEGRATION_BRANCHES.includes(branch)
 }
 
 /**
- * @param {string} ref
- * @returns {string}
+ * @param {string} ref параметр
+ * @returns {string} результат
  */
 function baseRefLabel(ref) {
   return ref.startsWith('origin/') ? ref.slice('origin/'.length) : ref
 }
 
 /**
- * @param {string} relPath
- * @returns {boolean}
+ * @param {string} relPath параметр
+ * @returns {boolean} результат
  */
 function isChangelogIgnoredPath(relPath) {
-  const p = relPath.replace(/\\/g, '/').replace(/^\.\//, '')
+  const p = relPath.replaceAll('\\', '/').replace(LEADING_DOTSLASH_RE, '')
   if (CHANGELOG_IGNORE_PATH_EXACT.includes(p)) {
     return true
   }
@@ -105,8 +107,8 @@ function isChangelogIgnoredPath(relPath) {
 }
 
 /**
- * @param {string} relPath
- * @returns {Promise<boolean>}
+ * @param {string} relPath параметр
+ * @returns {Promise<boolean>} результат
  */
 async function isPathGitIgnored(relPath) {
   try {
@@ -118,7 +120,7 @@ async function isPathGitIgnored(relPath) {
 }
 
 /**
- * @returns {Promise<string | null>}
+ * @returns {Promise<string | null>} результат
  */
 async function resolveBaseRef() {
   for (const name of BASE_BRANCH_CANDIDATES) {
@@ -133,8 +135,8 @@ async function resolveBaseRef() {
 }
 
 /**
- * @param {string} baseRef
- * @returns {Promise<string | null>}
+ * @param {string} baseRef параметр
+ * @returns {Promise<string | null>} результат
  */
 async function resolveMergeBase(baseRef) {
   const out = await gitOrNull(['merge-base', baseRef, 'HEAD'])
@@ -144,9 +146,9 @@ async function resolveMergeBase(baseRef) {
 }
 
 /**
- * @param {string} ws
- * @param {string[]} subWorkspaces
- * @returns {string[]}
+ * @param {string} ws параметр
+ * @param {string[]} subWorkspaces параметр
+ * @returns {string[]} результат
  */
 function pathspecForWorkspace(ws, subWorkspaces) {
   if (ws !== '.') return [`${ws}/`]
@@ -154,12 +156,14 @@ function pathspecForWorkspace(ws, subWorkspaces) {
 }
 
 /**
- * @param {string} baseRef
- * @param {string[]} pathspec
- * @returns {Promise<string[]>}
+ * @param {string} baseRef параметр
+ * @param {string[]} pathspec параметр
+ * @returns {Promise<string[]>} результат
  */
 async function listChangedPathsAgainstBase(baseRef, pathspec) {
-  /** @type {string[]} */
+  /**
+  @type {string[]}
+   */
   const out = []
   const diffArgs =
     baseRef === 'HEAD'
@@ -177,10 +181,10 @@ async function listChangedPathsAgainstBase(baseRef, pathspec) {
 }
 
 /**
- * @param {string} baseRef
- * @param {string} ws
- * @param {string[]} subWorkspaces
- * @returns {Promise<boolean>}
+ * @param {string} baseRef параметр
+ * @param {string} ws параметр
+ * @param {string[]} subWorkspaces параметр
+ * @returns {Promise<boolean>} результат
  */
 async function workspaceHasRelevantChangesAgainstBase(baseRef, ws, subWorkspaces) {
   const pathspec = pathspecForWorkspace(ws, subWorkspaces)
@@ -199,9 +203,9 @@ async function workspaceHasRelevantChangesAgainstBase(baseRef, ws, subWorkspaces
 
 /**
  * Версія з маніфесту на `baseRef`.
- * @param {string} baseRef
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @returns {Promise<string | null>}
+ * @param {string} baseRef параметр
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @returns {Promise<string | null>} результат
  */
 async function readBaseVersion(baseRef, manifest) {
   const wsPath = manifest.ws === '.' ? manifest.manifestRel : `${manifest.ws}/${manifest.manifestRel}`
@@ -219,9 +223,9 @@ async function readBaseVersion(baseRef, manifest) {
 }
 
 /**
- * @param {string} text
- * @param {string} version
- * @returns {boolean}
+ * @param {string} text параметр
+ * @param {string} version параметр
+ * @returns {boolean} результат
  */
 function changelogHasVersionEntry(text, version) {
   const needle = `## [${version}]`
@@ -229,8 +233,8 @@ function changelogHasVersionEntry(text, version) {
 }
 
 /**
- * @param {string} name
- * @returns {Promise<string | null>}
+ * @param {string} name параметр
+ * @returns {Promise<string | null>} результат
  */
 async function defaultGetPublishedNpmVersion(name) {
   try {
@@ -243,13 +247,13 @@ async function defaultGetPublishedNpmVersion(name) {
 }
 
 /**
- * @param {string} name
- * @returns {Promise<string | null>}
+ * @param {string} name параметр
+ * @returns {Promise<string | null>} результат
  */
 async function defaultGetPublishedPyPiVersion(name) {
   try {
     const res = await fetch(`https://pypi.org/pypi/${encodeURIComponent(name)}/json`, {
-      signal: AbortSignal.timeout(REGISTRY_TIMEOUT_MS),
+      signal: AbortSignal.timeout(REGISTRY_TIMEOUT_MS)
     })
     if (!res.ok) return null
     const data = await res.json()
@@ -261,31 +265,38 @@ async function defaultGetPublishedPyPiVersion(name) {
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion
- * @returns {Promise<string | null>}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @returns {Promise<string | null>} результат
  */
-async function resolvePublishedVersion(manifest, getPublishedVersion) {
-  if (!manifest.name) return null
+function resolvePublishedVersion(manifest, getPublishedVersion) {
+  if (!manifest.name) return Promise.resolve(null)
   return getPublishedVersion(manifest.name, manifest.kind)
 }
 
 /**
- * @returns {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>}
+ * @param {string} name пакет
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageKind} [kind] тип пакета
+ * @returns {Promise<string | null>} опублікована версія або null
  */
-function createDefaultGetPublishedVersion() {
-  return async (name, kind = 'npm') => {
-    if (kind === 'python') {
-      return defaultGetPublishedPyPiVersion(name)
-    }
-    return defaultGetPublishedNpmVersion(name)
+function defaultGetPublishedVersion(name, kind = 'npm') {
+  if (kind === 'python') {
+    return defaultGetPublishedPyPiVersion(name)
   }
+  return defaultGetPublishedNpmVersion(name)
+}
+
+/**
+ * @returns {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} стандартний резолвер
+ */
+function createDefaultGetPublishedVersion() {
+  return defaultGetPublishedVersion
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
  */
 function checkNpmFilesArrayContainsChangelog(manifest, pass, fail) {
   if (manifest.kind !== 'npm' || !manifest.npmFiles) return
@@ -298,11 +309,11 @@ function checkNpmFilesArrayContainsChangelog(manifest, pass, fail) {
 }
 
 /**
- * @param {string} ws
- * @param {string} version
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
- * @returns {Promise<boolean>}
+ * @param {string} ws параметр
+ * @param {string} version параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
+ * @returns {Promise<boolean>} результат
  */
 async function verifyChangelogEntry(ws, version, pass, fail) {
   const label = ws === '.' ? '<root>' : ws
@@ -321,20 +332,20 @@ async function verifyChangelogEntry(ws, version, pass, fail) {
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @returns {string}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @returns {string} результат
  */
 function workspaceLabel(manifest) {
   return manifest.ws === '.' ? '<root>' : manifest.ws
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {string} Vcurrent
- * @param {string[]} subWorkspaces
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
- * @returns {Promise<void>}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {string} Vcurrent параметр
+ * @param {string[]} subWorkspaces параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
+ * @returns {Promise<void>} результат
  */
 async function checkPublishedWorkspacePendingGitChanges(manifest, Vcurrent, subWorkspaces, pass, fail) {
   const label = workspaceLabel(manifest)
@@ -379,12 +390,12 @@ async function checkPublishedWorkspacePendingGitChanges(manifest, Vcurrent, subW
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {string[]} subWorkspaces
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
- * @returns {Promise<void>}
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {string[]} subWorkspaces параметр
+ * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
+ * @returns {Promise<void>} результат
  */
 async function checkPublishedWorkspace(manifest, subWorkspaces, getPublishedVersion, pass, fail) {
   const label = workspaceLabel(manifest)
@@ -415,11 +426,11 @@ async function checkPublishedWorkspace(manifest, subWorkspaces, getPublishedVers
 }
 
 /**
- * @param {string} mergeBase
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest
- * @param {string} baseLabel
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
+ * @param {string} mergeBase параметр
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {string} baseLabel параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
  */
 async function checkLocalOnlyChangedWorkspace(mergeBase, manifest, baseLabel, pass, fail) {
   const label = workspaceLabel(manifest)
@@ -442,10 +453,10 @@ async function checkLocalOnlyChangedWorkspace(mergeBase, manifest, baseLabel, pa
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} localOnly
- * @param {string[]} subWorkspaces
- * @param {(msg: string) => void} pass
- * @param {(msg: string) => void} fail
+ * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} localOnly параметр
+ * @param {string[]} subWorkspaces параметр
+ * @param {(msg: string) => void} pass параметр
+ * @param {(msg: string) => void} fail параметр
  */
 async function runLocalOnlyChecks(localOnly, subWorkspaces, pass, fail) {
   if (localOnly.length === 0) return
@@ -483,9 +494,9 @@ async function runLocalOnlyChecks(localOnly, subWorkspaces, pass, fail) {
 }
 
 /**
- * @param {object} [opts]
+ * @param {object} [opts] опції перевірки
  * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} [opts.getPublishedVersion] перевизначення npm/PyPI у тестах
- * @returns {Promise<number>}
+ * @returns {Promise<number>} exit-код перевірки
  */
 export async function check(opts = {}) {
   const reporter = createCheckReporter()
@@ -495,9 +506,13 @@ export async function check(opts = {}) {
   const workspaces = await getMonorepoProjectRootDirs(process.cwd())
   const subWorkspaces = workspaces.filter(w => w !== '.')
 
-  /** @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} */
+  /**
+  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+   */
   const published = []
-  /** @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} */
+  /**
+  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+   */
   const localOnly = []
 
   for (const ws of workspaces) {

package/rules/ci4/ci4.mdc

@@ -95,7 +95,7 @@ docs/
 - **Date** — рядок `**Date:** YYYY-MM-DD`, для впорядкування і відображення у проекції.
 - **Heading H1** — перший `#`-заголовок, як назва рішення.
 - **Розділи MADR** — `## Context and Problem Statement`, `## Considered Options`, `## Decision Outcome`, `### Consequences`, `## More Information`. Для проекції зазвичай беруться Decision Outcome + Consequences.
-- **`## Update YYYY-MM-DD`** — apended-секції у тому ж файлі. Враховуються як еволюція рішення в хронологічному порядку.
+- **`## Update YYYY-MM-DD`** — appended-секції у тому ж файлі. Враховуються як еволюція рішення в хронологічному порядку.
 
 **Маршрутизація ADR → зони** робиться двома способами:
 
@@ -278,13 +278,13 @@ User Service автентифікує користувачів і керує п
 
 ## Типові поломки LLM і захист
 
-| Проблема                     | Захист                                                                            |
-| ---------------------------- | --------------------------------------------------------------------------------- |
+| Проблема                     | Захист                                                                                    |
+| ---------------------------- | ----------------------------------------------------------------------------------------- |
 | Галюцинація деталей          | Правило `[<slug>]` маркера + post-gen linter, що перевіряє існування `docs/adr/<slug>.md` |
-| Втрата `## Update`-еволюції  | Pre-process: збирати всі `## Update YYYY-MM-DD` у ADR, передавати у промпт як патчі |
-| Дрейф термінології           | `docs/glossary.md` як перший вхід у кожен промпт                                  |
-| Перенасичення контексту      | Двостадійна генерація: спочатку summary кожного ADR (кеш), потім проекція         |
-| Inconsistency між проекціями | Cross-projection validator порівнює факти між документами                         |
+| Втрата `## Update`-еволюції  | Pre-process: збирати всі `## Update YYYY-MM-DD` у ADR, передавати у промпт як патчі       |
+| Дрейф термінології           | `docs/glossary.md` як перший вхід у кожен промпт                                          |
+| Перенасичення контексту      | Двостадійна генерація: спочатку summary кожного ADR (кеш), потім проекція                 |
+| Inconsistency між проекціями | Cross-projection validator порівнює факти між документами                                 |
 
 ## Валідатор (обов'язково)
 

package/rules/ga/lint/lint.mjs

@@ -1,5 +1,6 @@
 /**
- * CLI-обгортка над канонічним `lint-ga` (ga.mdc): робить preflight на `shellcheck` і `uv` (для `uvx`),
+ * CLI-обгортка над канонічним `lint-ga` (ga.mdc): робить preflight на `shellcheck`, `uv` (для `uvx`)
+ * і `conftest` (для rego-полісі у `check-ga`),
  * тоді послідовно виконує `bunx github-actionlint`, `uvx zizmor --offline --collect=workflows .` і
  * делегує до `check-ga.mjs::check()` — там і Rego-частина (через `runConftestBatch`),
  * і JS cross-file перевірки правил `ga.mdc`.
@@ -17,6 +18,10 @@
  * `uv` потрібен для `uvx zizmor`. Якщо його нема — `uvx zizmor` падає неінформативно («command not
  * found»); підказка з командою встановлення коротша й корисніша.
  *
+ * `conftest` потрібен для `check-ga.mjs::runAllGaRego` (`runConftestBatch`). Без preflight крок
+ * check-ga кидає виняток, який глобальний `catch` у `bin/n-cursor.js` раніше ковтав без логу —
+ * локально це виглядало як мовчазний exit 1.
+ *
  * Експортовано окремо `runLintGaCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-ga`.
  */
 import { platform } from 'node:process'
@@ -68,6 +73,21 @@ const UV_PREFLIGHT = {
   successMsg: '✅ uv знайдено в PATH — uvx zizmor запуститься'
 }
 
+/** @type {PreflightDep} */
+const CONFTEST_PREFLIGHT = {
+  bin: 'conftest',
+  winBins: ['conftest.exe'],
+  explanation: [
+    'Без нього не запускається пер-документна валідація через rego-полісі (npm/rules/*/policy/)',
+    'у кроці check-ga — `runConftestBatch` завершується hard-fail.'
+  ].join('\n   '),
+  install: [
+    'macOS:     brew install conftest',
+    'Universal: https://www.conftest.dev/install/'
+  ],
+  successMsg: '✅ conftest знайдено в PATH — check-ga виконає rego-полісі через runConftestBatch'
+}
+
 /**
  * Шукає бінарник у PATH з урахуванням Windows: спершу `winBins`, потім `bin`.
  * @param {PreflightDep} dep опис залежності
@@ -116,7 +136,7 @@ function preflight(dep) {
  * Виконує канонічний `lint-ga` з preflight-перевірками і делегує до `check-ga.check()`.
  *
  * Послідовність:
- * 1) preflight: `shellcheck` (для actionlint SC-правил) і `uv` (для `uvx zizmor`); відсутній → exit 1;
+ * 1) preflight: `shellcheck`, `uv` (для `uvx zizmor`) і `conftest` (для check-ga); відсутній → exit 1;
  * 2) `bunx github-actionlint`;
  * 3) `uvx zizmor --offline --collect=workflows .`;
  * 4) `check-ga.mjs::check()` — Rego-полісі (батч conftest з `npm/policy/ga/`) + JS cross-file
@@ -132,7 +152,7 @@ function preflight(dep) {
  */
 export async function runLintGaCli() {
   let preflightOk = true
-  for (const dep of [SHELLCHECK_PREFLIGHT, UV_PREFLIGHT]) {
+  for (const dep of [SHELLCHECK_PREFLIGHT, UV_PREFLIGHT, CONFTEST_PREFLIGHT]) {
     if (!preflight(dep)) preflightOk = false
   }
   if (!preflightOk) return 1

package/rules/ga/policy/lint_ga/lint_ga.rego

@@ -92,6 +92,12 @@ deny contains msg if {
 	msg := sprintf("lint-ga.yml: має бути uses: %s (ga.mdc)", [required_use])
 }
 
+deny contains msg if {
+	expected_run_blob != ""
+	not contains(job_run_blob, "open-policy-agent/conftest")
+	msg := "lint-ga.yml: має бути крок Install conftest (ga.mdc)"
+}
+
 deny contains msg if {
 	expected_run_blob != ""
 	not contains(job_run_blob, "bun run lint-ga")

package/rules/ga/policy/lint_ga/template/lint-ga.yml.snippet.yml

@@ -31,5 +31,11 @@ jobs:
 
       - uses: astral-sh/setup-uv@v8.0.0
 
+      - name: Install conftest
+        run: >-
+          curl -fsSL
+          https://github.com/open-policy-agent/conftest/releases/download/v0.62.0/conftest_0.62.0_Linux_x86_64.tar.gz
+          | sudo tar -xz -C /usr/local/bin conftest
+
       - name: Lint GA
         run: bun run lint-ga

package/rules/js-lint/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -1,7 +1,3 @@
 {
-  "recommendations": [
-    "dbaeumer.vscode-eslint",
-    "github.vscode-github-actions",
-    "oxc.oxc-vscode"
-  ]
+  "recommendations": ["dbaeumer.vscode-eslint", "github.vscode-github-actions", "oxc.oxc-vscode"]
 }

package/rules/js-run/fix/runtime/check.mjs

@@ -28,6 +28,9 @@
  *    (див. `utils/promise-settimeout-scan.mjs`);
  *  - «jsconfig.json»: у backend-пакеті з каталогом `src/` у корені має бути `jsconfig.json`,
  *    вміст якого збігається з каноном js-run.mdc (NodeNext і include на дерево `src`).
+ *
+ * Per-document валідація `package.json` (bunyan, `node` у `scripts`) делегована rego-пакету
+ * `js_run.package_json` у `npm/rules/js-run/policy/package_json/`; JS — cross-file (AST, FS).
  */
 import { existsSync, statSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'

package/rules/js-run/js-run.mdc

@@ -2,7 +2,7 @@
 description: Це правила для backend проектів на JavaScript/Node.js, сюди входять і job і WEB сервери.
 globs: "**/package.json,**/jsconfig.json,**/src/**/*.{js,mjs,cjs,ts,tsx}"
 alwaysApply: false
-version: '1.9'
+version: '1.11'
 ---
 
 ## Область застосування
@@ -17,6 +17,21 @@ version: '1.9'
 
 Тому **у frontend-пакетах не торкайся `process.env.*`** і **не додавай** `import { env } from 'node:process'`. Якщо натрапив на `process.env.NODE_ENV` у frontend-коді — заміна, якщо взагалі потрібна, лише на `import.meta.env.MODE`.
 
+## Runtime у `package.json#scripts`
+
+У **backend**-пакетах (без `vite` у `devDependencies`) код запускають через **Bun**, не через бінарник **`node`** у значеннях `scripts`:
+
+- `"start": "node src/index.js"` → `"start": "bun src/index.js"` (або `bun run …`, якщо так прийнято в репо);
+- `node --watch app.js` → `bun --watch app.js`;
+- `NODE_OPTIONS=… node app.js` → `NODE_OPTIONS=… bun app.js`.
+- `env $(cat .env .env.local) bun src/index.js` → `bun --env-file=.env --env-file=.env.local src/index.js` (нативне завантаження env у Bun, без `env`/`cat`).
+
+Заборонено викликати **`node`** у ланцюжках (`&&`, `;`, `|`). Заборонено обгортку **`env $(cat …) bun`** — файли з `cat` перелічуй у **`--env-file=`** (по одному прапорцю на файл, порядок як у `cat`). Допустимо: `bun`, `bunx`, `npx` (див. **bun.mdc**), інші CLI, якщо вони не підміняють рантайм на `node`.
+
+Це **не** стосується поля `engines.node` (мінімальна версія Node для сумісності інструментів) і **не** стосується frontend-пакетів з `vite` у `devDependencies`.
+
+Канон заборонених патернів у `scripts`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json) (`scriptsForbidden`).
+
 ## Структура проекту
 
 Рекомендується використовувати таку структуру проекту:

package/rules/js-run/policy/package_json/package_json.rego

@@ -18,3 +18,20 @@ deny contains msg if {
 	pkg in object.keys(object.get(input, "devDependencies", {}))
 	msg := sprintf("devDependencies.%s — %s", [pkg, reason])
 }
+
+# ── deny: `node` як рантайм у `scripts` (backend-пакети без vite) ─────────
+
+deny contains msg if {
+	js_run_backend_package
+	is_object(input.scripts)
+	some script_name, script_value in input.scripts
+	is_string(script_value)
+	some rule in object.get(data.template.deny, "scriptsForbidden", [])
+	regex.match(rule.pattern, script_value)
+	msg := sprintf("package.json: scripts.%s — %s", [script_name, rule.message])
+}
+
+# Frontend-пакети (`vite` у devDependencies) — поза js-run (див. js-run.mdc).
+js_run_backend_package if {
+	not "vite" in object.keys(object.get(input, "devDependencies", {}))
+}