@nitra/cursor 1.13.34 → 1.13.40

package/rules/k8s/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.31'
+version: '1.34'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -118,7 +118,7 @@ resources:
     memory: '128Mi'
 ```
 
-**HPA і PDB у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` поруч із `Deployment`, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/` (див. розділ нижче).
+**HPA, PDB і NetworkPolicy у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` / `networkpolicy.yaml` поруч із workload-маніфестами, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/` (див. розділ нижче).
 
 ### Поза base (оверлеї, окремі каталоги)
 
@@ -380,12 +380,15 @@ images:
 
 ## Deployment: `topologySpreadConstraints`, HPA / PDB через `components/`
 
-Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB також **не дозволені** через `resources` / `components` / `bases`.
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) сам Deployment має канонічні **`spec.template.spec.topologySpreadConstraints`**, а **HPA і PDB** живуть у **sibling каталозі** **`…/k8s/…/components/`** (Kustomize Component, фіксована назва каталогу — `components`). У `base/` локальні `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` **заборонені** (file-existence error). У дереві base-kustomize HPA / PDB / NetworkPolicy також **не дозволені** через `resources` / `components` / `bases`.
+
+Для **кожного** з **`Deployment`**, **`StatefulSet`**, **`DaemonSet`**, **`Job`**, **`CronJob`** під `k8s` обов'язковий **NetworkPolicy**: у **`…/k8s/…/base/`** — у **`components/networkpolicy.yaml`** (multi-doc, якщо workload-ів кілька); у **не-base** — **`networkpolicy.yaml`** поруч із маніфестом workload у тому ж каталозі. `metadata.name` NetworkPolicy **= `metadata.name`** workload; `spec.podSelector.matchLabels.app` **= мітка `app`** з `spec.selector.matchLabels` (для **CronJob** — з `spec.jobTemplate.spec.selector.matchLabels`). Відсутні документи **`check k8s`** створює автоматично.
 
 **Канонічна структура `<pkg>/k8s/components/`** (sibling до `base/`):
 
-- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, pdb.yaml]`.
+- **`kustomization.yaml`** — `apiVersion: kustomize.config.k8s.io/v1alpha1`, `kind: Component`, `resources: [hpa.yaml, networkpolicy.yaml, pdb.yaml]` (відсортовано за алфавітом).
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
+- **`networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace`; один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у sibling `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **інші порти** — лише in-cluster через `to.namespaceSelector: {}` (трафік на `*.svc` / Pod-и в кластері; Postgres лише `*.svc`, без Cloud SQL). Заборонено `egress: [{}]`. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
@@ -394,13 +397,14 @@ images:
 
 **`<pkg>/k8s/components/kustomization.yaml`** має `kind: Component` (не `kind: Kustomization`) — це **джерело** канонічних HPA/PDB для всіх overlays, а не overlay сам по собі. Прод-перезаписи (`/spec/minReplicas`, `/spec/maxReplicas`, `/spec/minAvailable`) живуть у `<env>/kustomization.yaml`, що підключає Component через `components:`. У самому Component patches не потрібні — він env-неутральний; **`check k8s`** не вимагає прод-патчів від `components/kustomization.yaml`.
 
-У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремий **`hpa.yaml`** / **`pdb.yaml`**, якщо такі потрібні для цього середовища. **`check k8s`** звіряє прив'язку за іменами:
+У **не-base** оверлеях (без `components/`) поруч із `Deployment` лишається звична схема: окремі **`hpa.yaml`**, **`networkpolicy.yaml`** і **`pdb.yaml`**, якщо такі потрібні для цього середовища. Для **StatefulSet**, **DaemonSet**, **Job**, **CronJob** у не-base — обов'язковий лише **`networkpolicy.yaml`** (HPA/PDB лишаються прив'язаними до **Deployment**, якщо є). **`check k8s`** звіряє прив'язку за іменами (і **дописує** відсутні NetworkPolicy-документи автоматично):
 
 - **`hpa.yaml`** (поза **`…/base/`**) — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
+- **`networkpolicy.yaml`** — той самий канон egress/ingress, що в `components/` (multi-doc, якщо у каталозі кілька workload-ів).
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
+**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml`, `networkpolicy.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 
@@ -462,9 +466,51 @@ apiVersion: kustomize.config.k8s.io/v1alpha1
 kind: Component
 resources:
   - hpa.yaml
+  - networkpolicy.yaml
   - pdb.yaml
 ```
 
+```yaml title="k8s/components/networkpolicy.yaml"
+# yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/networkpolicy-networking-k8s-io-v1.json
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: backend-api
+spec:
+  podSelector:
+    matchLabels:
+      app: backend-api
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+  egress:
+    - to:
+        - namespaceSelector:
+            matchLabels:
+              kubernetes.io/metadata.name: kube-system
+          podSelector:
+            matchLabels:
+              k8s-app: kube-dns
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 0.0.0.0/0
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+    - to:
+        - namespaceSelector: {}
+```
+
 ```yaml title="k8s/components/hpa.yaml"
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2

package/rules/k8s/policy/base_kustomization/base_kustomization.rego

@@ -41,16 +41,16 @@ deny contains base_namespace_required_msg if {
 # (із зануренням у вкладені kustomization.yaml) — JS-оркестратор
 # `verifyK8sBaseKustomizeHasNoHpaPdb` у `check-k8s.mjs` (потребує fs-доступу). Цей
 # rego-deny — defense-in-depth: спрацює навіть якщо JS-крок упаде з винятку раніше.
-deny contains hpa_pdb_in_base_resources_msg(r) if {
+deny contains hpa_pdb_np_in_base_resources_msg(r) if {
 	is_kustomization
 	some r in object.get(input, "resources", [])
 	is_string(r)
-	is_hpa_or_pdb_filename(r)
+	is_hpa_pdb_or_np_filename(r)
 }
 
-hpa_pdb_in_base_resources_msg(file) := sprintf(
+hpa_pdb_np_in_base_resources_msg(file) := sprintf(
 	concat("", [
-		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB заборонені у base, ",
+		"у base/kustomization.yaml `resources:` містить '%v' — HPA/PDB/NetworkPolicy заборонені у base, ",
 		"перенесіть у sibling каталог components/ і підключайте з overlay (k8s.mdc)",
 	]),
 	[file],
@@ -61,8 +61,15 @@ is_kustomization if {
 	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
 }
 
-is_hpa_or_pdb_filename(p) if {
-	basename(p) in {"hpa.yaml", "pdb.yaml", "hpa.yml", "pdb.yml"}
+is_hpa_pdb_or_np_filename(p) if {
+	basename(p) in {
+		"hpa.yaml",
+		"pdb.yaml",
+		"networkpolicy.yaml",
+		"hpa.yml",
+		"pdb.yml",
+		"networkpolicy.yml",
+	}
 }
 
 basename(p) := parts[count(parts) - 1] if {

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -0,0 +1,158 @@
+# Пер-документна структурна перевірка NetworkPolicy (k8s.mdc).
+# Cross-file (metadata.name = workload, podSelector.app = мітка app) — JS
+# (`networkPolicyManifestViolations`, `validateNetworkPolicyForWorkload`).
+#
+# Канон egress: kube-dns; TCP 80/443 на 0.0.0.0/0; інші порти — namespaceSelector: {}
+# (in-cluster, зокрема *.svc). Заборонено egress: [{}] (allow-all).
+#
+# Запуск:
+#   conftest test path/to/networkpolicy.yaml -p npm/policy/k8s/network_policy \
+#     --namespace k8s.network_policy
+package k8s.network_policy
+
+import rego.v1
+
+np_kind_template := "kind має бути NetworkPolicy (зараз: %v) (k8s.mdc)"
+
+np_api_template := "apiVersion має бути networking.k8s.io/v1 (зараз: %v) (k8s.mdc)"
+
+deny contains msg if {
+	is_np_doc
+	input.kind != "NetworkPolicy"
+	msg := sprintf(np_kind_template, [input.kind])
+}
+
+deny contains msg if {
+	is_np_doc
+	input.apiVersion != "networking.k8s.io/v1"
+	msg := sprintf(np_api_template, [input.apiVersion])
+}
+
+deny contains "spec відсутній або некоректний (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	not is_object(object.get(input, "spec", null))
+}
+
+deny contains "spec.podSelector.matchLabels відсутній (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	selector := object.get(spec, "podSelector", null)
+	is_object(selector)
+	not is_object(object.get(selector, "matchLabels", null))
+}
+
+deny contains "spec.policyTypes має містити Ingress і Egress (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	types := object.get(spec, "policyTypes", [])
+	not policy_types_has_ingress_and_egress(types)
+}
+
+deny contains "spec.ingress має містити from.podSelector (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not ingress_has_pod_selector_rule(spec)
+}
+
+deny contains "spec.egress має бути непорожнім масивом (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not is_non_empty_array(object.get(spec, "egress", null))
+}
+
+deny contains "spec.egress: заборонено allow-all {} — канон k8s.mdc (80/443 назовні, інше — in-cluster)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	egress_allows_all(object.get(spec, "egress", null))
+}
+
+deny contains "spec.egress: потрібен ipBlock 0.0.0.0/0 з ports 80 і 443 (HTTP/HTTPS назовні; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not egress_has_internet_http_https(spec)
+}
+
+deny contains "spec.egress: потрібен to.namespaceSelector: {} (інші порти лише in-cluster / *.svc; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	not egress_has_cluster_namespace_selector(spec)
+}
+
+is_np_doc if input.kind == "NetworkPolicy"
+
+is_np_doc if startswith(object.get(input, "apiVersion", ""), "networking.k8s.io/")
+
+policy_types_has_ingress_and_egress(types) if {
+	is_array(types)
+	"Ingress" in types
+	"Egress" in types
+}
+
+ingress_has_pod_selector_rule(spec) if {
+	ingress := object.get(spec, "ingress", null)
+	is_array(ingress)
+	some rule in ingress
+	is_object(rule)
+	from_list := object.get(rule, "from", null)
+	is_array(from_list)
+	some peer in from_list
+	is_object(peer)
+	object.get(peer, "podSelector", null) != null
+}
+
+is_non_empty_array(x) if {
+	is_array(x)
+	count(x) > 0
+}
+
+egress_allows_all(egress) if {
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	count(object.keys(rule)) == 0
+}
+
+egress_has_internet_http_https(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ipb := object.get(peer, "ipBlock", null)
+	is_object(ipb)
+	object.get(ipb, "cidr", "") == "0.0.0.0/0"
+	ports := object.get(rule, "ports", null)
+	is_array(ports)
+	egress_ports_include(ports, 80)
+	egress_ports_include(ports, 443)
+}
+
+egress_ports_include(ports, want) if {
+	some p in ports
+	is_object(p)
+	object.get(p, "port", null) == want
+}
+
+egress_has_cluster_namespace_selector(spec) if {
+	egress := object.get(spec, "egress", null)
+	is_array(egress)
+	some rule in egress
+	is_object(rule)
+	to_list := object.get(rule, "to", null)
+	is_array(to_list)
+	some peer in to_list
+	is_object(peer)
+	ns := object.get(peer, "namespaceSelector", null)
+	is_object(ns)
+	count(ns) == 0
+}

package/rules/k8s/policy/network_policy/template/networkpolicy.snippet.yaml

@@ -0,0 +1,32 @@
+spec:
+  podSelector:
+    matchLabels: {}
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+  egress:
+    - to:
+        - namespaceSelector:
+            matchLabels:
+              kubernetes.io/metadata.name: kube-system
+          podSelector:
+            matchLabels:
+              k8s-app: kube-dns
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 0.0.0.0/0
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+    - to:
+        - namespaceSelector: {}

package/rules/security/fix/trufflehog/check.mjs

@@ -17,6 +17,9 @@ import { checkTextSubset } from '../../../../scripts/utils/template.mjs'
 const HERE = dirname(fileURLToPath(import.meta.url))
 const SNIPPET_PATH = join(HERE, 'template', '.trufflehog-exclude.snippet.txt')
 
+/**
+ * @returns {Promise<number>} exit-код перевірки
+ */
 export async function check() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter

package/rules/security/policy/package_json/template/package.json.snippet.json

@@ -1 +1,5 @@
-{ "scripts": { "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail" } }
+{
+  "scripts": {
+    "lint-security": "trufflehog filesystem . --no-update --exclude-paths .trufflehog-exclude --results=verified,unknown --fail"
+  }
+}

package/rules/text/fix/formatting/check.mjs

@@ -12,7 +12,7 @@
  *    `npm/mdc/text.mdc` (markdown-текст, не JSON/YAML);
  *  - складна валідація скрипта `lint-text` (cspell, markdownlint, v8r у трьох
  *    варіантах, run-shellcheck-text.mjs, обовʼязкові glob-и);
- *  - workflow `lint-text.yml` має крок `bun run lint-text`.
+ *  - workflow `lint-text.yml` має крок `bun run lint-text` (структура — rego `text.lint_text`).
  *
  * **Що покрила Rego** (`npx \@nitra/cursor check`):
  *  - `npm/policy/text/oxfmtrc/` — обовʼязкові ключі `.oxfmtrc.json` і канонічні

package/rules/text/lint/lint.mjs

@@ -1,26 +1,134 @@
 /**
- * CLI-обгортка над канонічним `lint-text` (text.mdc): послідовно
+ * CLI-обгортка над канонічним `lint-text` (text.mdc): preflight на `shellcheck`, `patch`
+ * (для авто-фіксу shellcheck) і `dotenv-linter`; далі послідовно
  *   1) `cspell .` — перевірка правопису з `@nitra/cspell-dict`;
  *   2) `runShellcheckText()` — авто-фікс і фінальна перевірка `*.sh` через `shellcheck`;
  *   3) `runDotenvLinter()` — авто-фікс і фінальна перевірка `.env*` через `dotenv-linter`;
  *   4) `bunx markdownlint-cli2 --fix "**\/*.md" "**\/*.mdc"` — авто-фікс Markdown;
- *   5) `runV8rWithGlobs()` — schema-валідація json/json5/yaml/yml/toml через v8r з каталогом `@nitra/cursor`.
+ *   5) `runV8rWithGlobs()` — schema-валідація json/json5/yaml/yml/toml через v8r.
+ *
+ * Без preflight локальний прогін може пройти cspell/markdownlint, а CI на ubuntu-latest
+ * (де shellcheck передвстановлений, але dotenv-linter — ні) падає на кроці dotenv-linter
+ * з неінформативним повідомленням. Preflight збирає всі відсутні бінарники до першого кроку.
  *
  * Перший ненульовий код з ланцюжка повертається як код виходу; наступні кроки не запускаються.
  * Експортовано як `runLintTextCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-text`.
  */
+import { platform } from 'node:process'
+
 import { runLintStep } from '../../../scripts/utils/run-lint-step.mjs'
+import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { runDotenvLinter } from './run-dotenv-linter.mjs'
 import { runShellcheckText } from './run-shellcheck.mjs'
 import { runV8rWithGlobs } from './run-v8r.mjs'
 
 /**
- * Виконує канонічний `lint-text`: cspell → run-shellcheck → run-dotenv-linter → markdownlint-cli2 → run-v8r.
- * Першу помилку повертаємо як код виходу; наступні кроки не запускаються.
- * Усі кроки синхронні (`spawnSync` + sync-ентрі з пакета), тому функція не async.
+ * Опис залежності preflight-ом.
+ * @typedef {object} PreflightDep
+ * @property {string} bin ім'я виконуваного файлу
+ * @property {string[]} [winBins] альтернативні імена на Windows
+ * @property {string} explanation наслідки відсутності
+ * @property {string[]} install команди встановлення
+ * @property {string} successMsg повідомлення на pass-шлях
+ */
+
+/** @type {PreflightDep} */
+const SHELLCHECK_PREFLIGHT = {
+  bin: 'shellcheck',
+  winBins: ['shellcheck.exe'],
+  explanation: [
+    'Без нього `runShellcheckText()` пропускає перевірку tracked `*.sh` — локально lint-text',
+    'може бути зеленим, а CI (shellcheck + patch) падає на тих самих скриптах.'
+  ].join('\n   '),
+  install: [
+    'macOS:         brew install shellcheck',
+    'Debian/Ubuntu: sudo apt-get install -y shellcheck',
+    'Arch:          sudo pacman -S shellcheck'
+  ],
+  successMsg: '✅ shellcheck знайдено в PATH — lint-text перевірить *.sh'
+}
+
+/** @type {PreflightDep} */
+const PATCH_PREFLIGHT = {
+  bin: 'patch',
+  explanation: [
+    'Без `patch` не застосуються авто-виправлення shellcheck (`shellcheck -f diff` + `patch -p1`).'
+  ].join('\n   '),
+  install: [
+    'macOS:         зазвичай уже є в системі',
+    'Debian/Ubuntu: sudo apt-get install -y patch'
+  ],
+  successMsg: '✅ patch знайдено в PATH — shellcheck auto-fix працюватиме'
+}
+
+/** @type {PreflightDep} */
+const DOTENV_LINTER_PREFLIGHT = {
+  bin: 'dotenv-linter',
+  winBins: ['dotenv-linter.exe'],
+  explanation: [
+    'Без нього не виконається крок `.env*` у lint-text — локально cspell/markdownlint',
+    'пройдуть, а CI без Install dotenv-linter впаде неінформативно.'
+  ].join('\n   '),
+  install: [
+    'macOS:     brew install dotenv-linter',
+    'Linux:     curl -sSfL https://git.io/JLbXn | sh -s -- -b /usr/local/bin',
+    'cargo:     cargo install dotenv-linter'
+  ],
+  successMsg: '✅ dotenv-linter знайдено в PATH — lint-text перевірить .env*'
+}
+
+/**
+ * @param {PreflightDep} dep
+ * @returns {string | null}
+ */
+function resolvePreflightBin(dep) {
+  if (platform === 'win32' && dep.winBins) {
+    for (const name of dep.winBins) {
+      const r = resolveCmd(name)
+      if (r) return r
+    }
+  }
+  return resolveCmd(dep.bin)
+}
+
+/**
+ * @param {PreflightDep} dep
+ * @returns {void}
+ */
+function printPreflightMissingMessage(dep) {
+  console.error(`❌ ${dep.bin} не знайдено в PATH.`)
+  console.error(`   ${dep.explanation}`)
+  console.error('   Встанови:')
+  for (const line of dep.install) {
+    console.error(`     ${line}`)
+  }
+  console.error('   Деталі: text.mdc → секція про lint-text.')
+}
+
+/**
+ * @param {PreflightDep} dep
+ * @returns {boolean}
+ */
+function preflight(dep) {
+  if (resolvePreflightBin(dep)) {
+    console.log(dep.successMsg)
+    return true
+  }
+  printPreflightMissingMessage(dep)
+  return false
+}
+
+/**
+ * Виконує канонічний `lint-text` з preflight і ланцюжком cspell → shellcheck → dotenv → markdownlint → v8r.
  * @returns {number} 0 — все OK, інакше — код першого кроку, що впав
  */
 export function runLintTextCli() {
+  let preflightOk = true
+  for (const dep of [SHELLCHECK_PREFLIGHT, PATCH_PREFLIGHT, DOTENV_LINTER_PREFLIGHT]) {
+    if (!preflight(dep)) preflightOk = false
+  }
+  if (!preflightOk) return 1
+
   const cspellCode = runLintStep('cspell', 'npx', ['cspell', '.'])
   if (cspellCode !== 0) return cspellCode
 

package/rules/text/policy/cspell/cspell.rego

@@ -53,9 +53,9 @@ deny contains msg if {
 # ── deny: import substrings forbidden ────────────────────────────────────
 
 deny contains msg if {
-	some forbidden, reason in data.template.deny["import-substrings"]
 	imports := object.get(input, "import", [])
 	is_array(imports)
+	some forbidden, reason in data.template.deny["import-substrings"]
 	some imp in imports
 	is_string(imp)
 	contains(imp, forbidden)

package/rules/text/policy/lint_text/lint_text.rego

@@ -0,0 +1,100 @@
+# Перевірка `.github/workflows/lint-text.yml` (text.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-text.yml.snippet.yml.
+# Універсальні workflow-перевірки (checkout, permissions) — у `ga.workflow_common`.
+package text.lint_text
+
+import rego.v1
+
+expected_name := data.template.snippet.name
+
+expected_push_branches := {b | some b in data.template.snippet.on.push.branches}
+
+expected_pr_branches := {b | some b in data.template.snippet.on.pull_request.branches}
+
+expected_push_paths := {p | some p in data.template.snippet.on.push.paths}
+
+expected_runs_on := data.template.snippet.jobs.text["runs-on"]
+
+expected_perms := data.template.snippet.jobs.text.permissions
+
+job := input.jobs.text
+
+job_uses_set contains job.steps[_].uses
+
+job_run_blob := concat("\n", [run |
+	run := job.steps[_].run
+])
+
+expected_uses_set contains u if {
+	some step in data.template.snippet.jobs.text.steps
+	u := object.get(step, "uses", "")
+	u != ""
+}
+
+expected_run_substrings contains r if {
+	some step in data.template.snippet.jobs.text.steps
+	r := object.get(step, "run", "")
+	r != ""
+}
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("lint-text.yml: name має бути %q (text.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not branches_superset_of(input.on.push.branches, expected_push_branches)
+	msg := "lint-text.yml: on.push.branches має містити dev і main (text.mdc)"
+}
+
+deny contains msg if {
+	not branches_superset_of(input.on.pull_request.branches, expected_pr_branches)
+	msg := "lint-text.yml: on.pull_request.branches має містити dev і main (text.mdc)"
+}
+
+deny contains msg if {
+	not paths_superset_of(input.on.push.paths, expected_push_paths)
+	msg := "lint-text.yml: on.push.paths має містити очікувані glob-и (text.mdc)"
+}
+
+deny contains msg if {
+	not job
+	msg := "lint-text.yml: jobs.text відсутній (text.mdc)"
+}
+
+deny contains msg if {
+	job["runs-on"] != expected_runs_on
+	msg := sprintf("lint-text.yml: runs-on має бути %s (text.mdc)", [expected_runs_on])
+}
+
+deny contains msg if {
+	job.permissions.contents != expected_perms.contents
+	msg := sprintf("lint-text.yml: permissions.contents має бути %s (text.mdc)", [expected_perms.contents])
+}
+
+deny contains msg if {
+	count(job.steps) == 0
+	msg := "lint-text.yml: jobs.text.steps відсутні (text.mdc)"
+}
+
+deny contains msg if {
+	some required_use in expected_uses_set
+	not required_use in job_uses_set
+	msg := sprintf("lint-text.yml: має бути uses: %s (text.mdc)", [required_use])
+}
+
+deny contains msg if {
+	some required_run in expected_run_substrings
+	not contains(job_run_blob, required_run)
+	msg := sprintf("lint-text.yml: жоден крок run не містить %q (text.mdc)", [required_run])
+}
+
+branches_superset_of(actual, expected) if {
+	expected & {b | some b in actual} == expected
+}
+
+paths_superset_of(actual, expected) if {
+	expected & {p | some p in actual} == expected
+}

package/rules/text/policy/lint_text/target.json

@@ -0,0 +1,4 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": ".github/workflows/lint-text.yml" }
+}