@nitra/cursor 1.13.42 → 1.13.44

package/CHANGELOG.md

@@ -4,11 +4,24 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.44] - 2026-05-18
+
+### Added
+
+- `abie` rule: новий policy-концерн `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). Реалізація: `npm/rules/abie/policy/package_json_docs/` (target.json + .rego + _test.rego). Bump `abie.mdc` `1.20` → `1.21`.
+- `efes` rule: перший policy-концерн `efes.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/efes-docs` (узгоджено з `graphql.mdc`, де схема береться з `node_modules/@nitra/efes-docs/schema/maya.graphql`). Реалізація: `npm/rules/efes/policy/package_json_docs/`. Bump `efes.mdc` `1.0` → `1.1`.
+
+## [1.13.43] - 2026-05-18
+
+### Removed
+
+- `npm/CLAUDE.md` як path-scoped нагадування для роботи в `npm/` повністю прибрано — фінальне завершення міграції з `1.13.42` (де вже прибрали `syncNpmClaudeMd` + Rego-first STOP перенесли у `scripts.mdc`): видалено сам `npm/CLAUDE.md`, темплейт `npm/.claude-template/npm-CLAUDE.md`, останні згадки в `bin/n-cursor.js` (повідомлення про `npm/CLAUDE.md` після sync; JSDoc) і опис у `schemas/n-cursor.json` `claude-config`. Реліз-правила (PR-bump + CHANGELOG) і так живуть у `n-changelog.mdc`/`n-npm-module.mdc` (alwaysApply).
+
 ## [1.13.42] - 2026-05-18
 
 ### Added
 
-- `efes` rule: новий (поки що порожній) пакет правил для проєктів **github.com/efes-cloud/***. Автодетект у `auto-rules.mjs` через `EFES_REPOSITORY_URL_MARKER` (`https://github.com/efes-cloud/`) — аналогічно до `abie`. Додано `npm/rules/efes/efes.mdc` + `auto.md`, прописано порядок в `AUTO_RULE_ORDER` і покрито тестами в `auto-rules.test.mjs`.
+- `efes` rule: новий (поки що порожній) пакет правил для проєктів **github.com/efes-cloud/\***. Автодетект у `auto-rules.mjs` через `EFES_REPOSITORY_URL_MARKER` (`https://github.com/efes-cloud/`) — аналогічно до `abie`. Додано `npm/rules/efes/efes.mdc` + `auto.md`, прописано порядок в `AUTO_RULE_ORDER` і покрито тестами в `auto-rules.test.mjs`.
 - `efes-create-env` skill: повʼязано з правилом `efes` через `skills/efes-create-env/auto.md` (`[efes]`) — активується автоматично, коли репозиторій відповідає efes-маркеру. Тести в `auto-skills.test.mjs` фіксують позитивний і негативний випадки.
 
 ## [1.13.41] - 2026-05-18

package/bin/n-cursor.js

@@ -23,7 +23,7 @@
  * Agent інтеграція: під час синку, окрім `.cursor/rules` і `.claude/commands` (з skills), CLI ще раз
  * синхронізує `.claude/settings.json` (hooks + permissions; merge — користувацькі поля зберігаються),
  * `.cursor/hooks.json` (Cursor Agent hooks; merge — користувацькі hooks зберігаються),
- * `npm/CLAUDE.md` (path-scoped нагадування для роботи в `npm/`) і slash-команди checks (`/n-check`).
+ * і slash-команди checks (`/n-check`).
  * Опт-аут — поле `claude-config: false` у `.n-cursor.json`.
  *
  * Якщо у корені репозиторію немає .n-cursor.json, спочатку перейменовується за наявності nitra-cursor.json;
@@ -1315,7 +1315,6 @@ async function runSync() {
     const parts = []
     if (result.settings) parts.push('.claude/settings.json')
     if (result.cursorHooks) parts.push('.cursor/hooks.json')
-    if (result.npmClaudeMd) parts.push('npm/CLAUDE.md')
     if (result.commands.length > 0) parts.push(`${result.commands.length} slash-commands`)
     if (result.adrHook) parts.push('.claude/hooks/capture-decisions.sh')
     if (result.adrNormalizeHook) parts.push('.claude/hooks/normalize-decisions.sh')

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.42",
+  "version": "1.13.44",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/abie.mdc

@@ -1,7 +1,7 @@
 ---
 description: Правила для проєктів AbInBev Efes
 alwaysApply: true
-version: '1.20'
+version: '1.21'
 ---
 
 Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`file-link-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua**)), гілки **dev**, **ua** у **clean-merged-branch**, а також заборона тримати артефакти **Firebase Hosting** у **підкаталогах першого рівня** (безпосередні діти кореня репозиторію; у самому корені ці імена не вимагаються до видалення).
@@ -140,6 +140,14 @@ KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
 
 Загальне правило про **внутрішній** URL (не публічний домен) для `HASURA_GRAPHQL_ENDPOINT` лишається у **`hasura.mdc`** (для nitra і abie) — `check-hasura.mjs` приймає кластерний DNS-формат `<cluster>.internal`.
 
+## `@nitra/abie-docs` у `devDependencies`
+
+У кореневому **`package.json`** abie-проєкту в **`devDependencies`** має бути **`@nitra/abie-docs`** — пакет з канонічними контрактами/схемами abie-сервісів (наприклад, шляхи `node_modules/@nitra/abie-docs/...` для імпорту схем). Версію правило не фіксує — лише presence. Додати:
+
+```bash
+bun add -d @nitra/abie-docs
+```
+
 ## Firebase Hosting
 
 У **кожному** підкаталозі, що лежить **безпосередньо** в корені репозиторію, не тримати конфіг і кеш **Firebase Hosting**: у таких каталогах не повинно бути **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`** (у **самому** корені репозиторію ці імена перевіркою abie **не** розглядаються; `node_modules` / `.git` зі скану вилучаються).
@@ -160,5 +168,6 @@ KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
 - **`health_check_policy/`** → `abie.health_check_policy` — структура HealthCheckPolicy: `apiVersion: networking.gke.io/v1`, `metadata.name`, `spec.default.config.type: HTTP`, `httpHealthCheck.requestPath` починається з `/`, `port: 8080`, `targetRef.kind: Service`, `targetRef.name` має суфікс `-hl`. **Цільові файли:** `…/k8s/.../hc.yaml`.
 - **`base_deployment_preem/`** → `abie.base_deployment_preem` — Deployment у base/ має `spec.template.spec.nodeSelector.preem` зі значенням `true` (boolean або рядок). **Цільові файли:** ресурсні YAML під `…/k8s/.../base/...`.
 - **`clean_merged_ignore_branches/`** → `abie.clean_merged_ignore_branches` — у workflow `.github/workflows/clean-merged-branch.yml` крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches`, що містить токени `dev,ua` (case-insensitive). **Цільові файли:** `.github/workflows/clean-merged-branch.yml`.
+- **`package_json_docs/`** → `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). **Цільові файли:** `package.json`.
 
 Cross-file логіка (парність HCP↔Deployment у каталозі, обчислений `<deployment.name>-hl` для `targetRef.name`, валідація ua-overlay JSON6902 patches на HTTPRoute, env→cluster DNS, аналіз cross-namespace backendRefs у пакетах) лишається у **`check-abie.mjs`** — Rego не читає файлову систему й не робить cross-document резолюцію.

package/rules/abie/policy/package_json_docs/package_json_docs.rego

@@ -0,0 +1,16 @@
+# Перевірка кореневого `package.json` abie-проєкту: у `devDependencies` має бути
+# `@nitra/abie-docs` (контракти/схеми abie-сервісів — наприклад
+# `node_modules/@nitra/abie-docs/...`). Версію не фіксуємо — лише presence.
+#
+# Inverse-presence перевірка — лишається inline у rego (як `@nitra/cspell-dict`
+# у `text.package_json`), бо у template/ зберігаємо позитивні snippet/deny канони,
+# а не одиничний required-ключ.
+package abie.package_json_docs
+
+import rego.v1
+
+deny contains msg if {
+	dev := object.get(input, "devDependencies", {})
+	not "@nitra/abie-docs" in object.keys(dev)
+	msg := "package.json: devDependencies має містити @nitra/abie-docs — bun add -d @nitra/abie-docs (abie.mdc)"
+}

package/rules/abie/policy/package_json_docs/target.json

@@ -0,0 +1,5 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": "package.json", "required": true },
+  "missingMessage": "package.json не існує — створи його, додай devDependencies['@nitra/abie-docs'] (abie.mdc)"
+}

package/rules/efes/efes.mdc

@@ -1,7 +1,23 @@
 ---
 description: Правила для проєктів Efes (репозиторії під github.com/efes-cloud)
 alwaysApply: true
-version: '1.0'
+version: '1.1'
 ---
 
-Правило **efes** для споживачів **@nitra/cursor** у репозиторіях під **`github.com/efes-cloud/*`**. Поки що зміст правила порожній — додавайте сюди вимоги, специфічні для efes-проєктів, у міру їх появи.
+Правило **efes** для споживачів **@nitra/cursor** у репозиторіях під **`github.com/efes-cloud/*`**.
+
+## `@nitra/efes-docs` у `devDependencies`
+
+У кореневому **`package.json`** efes-проєкту в **`devDependencies`** має бути **`@nitra/efes-docs`** — пакет з канонічними контрактами/схемами efes-сервісів (зокрема використовується у `graphql.mdc` як `node_modules/@nitra/efes-docs/schema/maya.graphql`). Версію правило не фіксує — лише presence. Додати:
+
+```bash
+bun add -d @nitra/efes-docs
+```
+
+## Швидкий gate через conftest (Rego)
+
+Пер-документні перевірки efes — rego-полісі у **`npm/rules/efes/policy/`** (запускається через **`npx @nitra/cursor check efes`**; синтаксичний lint — через **`bun run lint-rego`**). Деталі шаблону — у **conftest.mdc** / **n-rego.mdc**.
+
+Пакети (директорія в **`npm/rules/efes/policy/`** → namespace → що перевіряє):
+
+- **`package_json_docs/`** → `efes.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/efes-docs` (presence-only, версію не фіксуємо). **Цільові файли:** `package.json`.

package/rules/efes/policy/package_json_docs/package_json_docs.rego

@@ -0,0 +1,16 @@
+# Перевірка кореневого `package.json` efes-проєкту: у `devDependencies` має бути
+# `@nitra/efes-docs` (контракти/схеми efes-сервісів — використовується, зокрема,
+# у `graphql.mdc` як `node_modules/@nitra/efes-docs/schema/maya.graphql`). Версію
+# не фіксуємо — лише presence.
+#
+# Inverse-presence перевірка лишається inline у rego (як `@nitra/cspell-dict`
+# у `text.package_json`).
+package efes.package_json_docs
+
+import rego.v1
+
+deny contains msg if {
+	dev := object.get(input, "devDependencies", {})
+	not "@nitra/efes-docs" in object.keys(dev)
+	msg := "package.json: devDependencies має містити @nitra/efes-docs — bun add -d @nitra/efes-docs (efes.mdc)"
+}

package/rules/efes/policy/package_json_docs/target.json

@@ -0,0 +1,5 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": "package.json", "required": true },
+  "missingMessage": "package.json не існує — створи його, додай devDependencies['@nitra/efes-docs'] (efes.mdc)"
+}

package/rules/ga/lint/lint.mjs

@@ -81,10 +81,7 @@ const CONFTEST_PREFLIGHT = {
     'Без нього не запускається пер-документна валідація через rego-полісі (npm/rules/*/policy/)',
     'у кроці check-ga — `runConftestBatch` завершується hard-fail.'
   ].join('\n   '),
-  install: [
-    'macOS:     brew install conftest',
-    'Universal: https://www.conftest.dev/install/'
-  ],
+  install: ['macOS:     brew install conftest', 'Universal: https://www.conftest.dev/install/'],
   successMsg: '✅ conftest знайдено в PATH — check-ga виконає rego-полісі через runConftestBatch'
 }
 

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -130,7 +130,7 @@ egress_has_internet_http_https(spec) if {
 	is_object(peer)
 	ipb := object.get(peer, "ipBlock", null)
 	is_object(ipb)
-	object.get(ipb, "cidr", "") == "0.0.0.0/0"
+	ipb.cidr == "0.0.0.0/0"
 	ports := object.get(rule, "ports", null)
 	is_array(ports)
 	egress_ports_include(ports, 80)
@@ -140,7 +140,7 @@ egress_has_internet_http_https(spec) if {
 egress_ports_include(ports, want) if {
 	some p in ports
 	is_object(p)
-	object.get(p, "port", null) == want
+	p.port == want
 }
 
 egress_has_cluster_namespace_selector(spec) if {

package/rules/text/lint/lint.mjs

@@ -51,13 +51,10 @@ const SHELLCHECK_PREFLIGHT = {
 /** @type {PreflightDep} */
 const PATCH_PREFLIGHT = {
   bin: 'patch',
-  explanation: [
-    'Без `patch` не застосуються авто-виправлення shellcheck (`shellcheck -f diff` + `patch -p1`).'
-  ].join('\n   '),
-  install: [
-    'macOS:         зазвичай уже є в системі',
-    'Debian/Ubuntu: sudo apt-get install -y patch'
-  ],
+  explanation: ['Без `patch` не застосуються авто-виправлення shellcheck (`shellcheck -f diff` + `patch -p1`).'].join(
+    '\n   '
+  ),
+  install: ['macOS:         зазвичай уже є в системі', 'Debian/Ubuntu: sudo apt-get install -y patch'],
   successMsg: '✅ patch знайдено в PATH — shellcheck auto-fix працюватиме'
 }
 
@@ -78,8 +75,9 @@ const DOTENV_LINTER_PREFLIGHT = {
 }
 
 /**
- * @param {PreflightDep} dep
- * @returns {string | null}
+ * Шукає шлях до бінарника `dep.bin` у `PATH`; на Windows додатково перебирає `dep.winBins`.
+ * @param {PreflightDep} dep опис залежності з canon-списку preflight-перевірок
+ * @returns {string | null} абсолютний шлях до знайденого бінарника або `null`, якщо не знайдено
  */
 function resolvePreflightBin(dep) {
   if (platform === 'win32' && dep.winBins) {
@@ -92,8 +90,9 @@ function resolvePreflightBin(dep) {
 }
 
 /**
- * @param {PreflightDep} dep
- * @returns {void}
+ * Друкує stderr-повідомлення про відсутній бінарник з install-hint'ами і посиланням на правило.
+ * @param {PreflightDep} dep опис залежності — джерело пояснення й install-команд
+ * @returns {void} нічого не повертає; виводить рядки в `console.error`
  */
 function printPreflightMissingMessage(dep) {
   console.error(`❌ ${dep.bin} не знайдено в PATH.`)
@@ -106,8 +105,10 @@ function printPreflightMissingMessage(dep) {
 }
 
 /**
- * @param {PreflightDep} dep
- * @returns {boolean}
+ * Виконує preflight-перевірку: повертає `true` і друкує `successMsg`, якщо бінарник знайдено,
+ * інакше друкує install-hint у stderr і повертає `false`.
+ * @param {PreflightDep} dep опис залежності для перевірки наявності в `PATH`
+ * @returns {boolean} `true` — бінарник знайдено, `false` — відсутній
  */
 function preflight(dep) {
   if (resolvePreflightBin(dep)) {

package/schemas/n-cursor.json

@@ -57,7 +57,7 @@
     },
     "claude-config": {
       "type": "boolean",
-      "description": "Чи синхронізувати `.claude/settings.json` (hooks + permissions, merge зі збереженням користувацьких полів), `npm/CLAUDE.md` (path-scoped нагадування для роботи в `npm/`) і slash-команди checks. За замовчуванням true.",
+      "description": "Чи синхронізувати `.claude/settings.json` (hooks + permissions, merge зі збереженням користувацьких полів) і slash-команди checks. За замовчуванням true.",
       "default": true
     }
   },

package/skills/efes-create-env/SKILL.md

@@ -136,7 +136,7 @@ cp site/k8s/$BASE/kustomization.yaml site/k8s/$ENV/kustomization.yaml
 У секцію `"scripts"` додай рядок (зберігай порядок поряд із сусідніми `start-remote-*`):
 
 ```json
-"start-remote-$ENV": "vite dev --mode remote-$ENV",
+{ "scripts": { "start-remote-$ENV": "vite dev --mode remote-$ENV" } }
 ```
 
 ### 4. Зареєструвати `$ENV` у CI/CD branch-списках

package/.claude-template/npm-CLAUDE.md

@@ -1,40 +0,0 @@
-<!-- Файл генерується автоматично через `npx @nitra/cursor`. Не редагуй вручну. -->
-
-# Робота в `npm/`
-
-Path-scoped нагадування для агента: підвантажується автоматично, коли редагуємо файли під `npm/`.
-
-## Перед PR з коміт-релевантними змінами в `npm/`
-
-1. Підвищ `version` у `npm/package.json` (build-bump, не більше одного кроку відносно `HEAD`).
-2. Додай запис у `npm/CHANGELOG.md` форматом Keep a Changelog: `## [версія] - YYYY-MM-DD` + секції `### Added/Changed/Fixed/Removed`.
-3. Переконайся, що `"CHANGELOG.md"` є в масиві `files` у `npm/package.json` (правило `changelog`).
-
-Логіка PR-scoped: bump і запис достатньо зробити **один раз — як суму по всьому PR** (порівняння йде з гілкою `dev`), а не на кожен коміт.
-
-Без оновленого CHANGELOG `npx @nitra/cursor check changelog` падає, а `Stop` hook блокує завершення ходу.
-
-## Перевірка локально
-
-```bash
-npx @nitra/cursor check changelog
-npx @nitra/cursor check npm-module
-```
-
-## Перш ніж писати / розширювати `check-*.mjs`
-
-**STOP — спершу пройди алгоритм Rego-first** (`.cursor/rules/conftest.mdc`, alwaysApply). Це стосується **і нової** перевірки, **і додавання нового deny у вже існуючий** `check-<rule>.mjs`: подивись `npm/policy/<rule>/`, чи задача не лягає у вже існуючий rego-пакет як ще одне `deny contains`.
-
-Швидкий self-check для нової перевірки (порядок важливий):
-
-1. **Це пер-документна перевірка одного JSON/YAML?** (наявність / форма поля, regex по значенню, перелік дозволених літералів). → **Rego, без JS-коду.** Пиши у `npm/policy/<rule>/<name>/<name>.rego` + `<name>_test.rego`.
-2. Потрібен `readdir`, `stat`, парність файлів, AST-парсинг JS/TS, autofix, modeline до YAML-body? → **JS** у `check-<rule>.mjs`. Per-document частина (якщо є) усе одно лишається у rego — JS викликає її через `runConftestBatch`.
-3. Не впевнений? Подивись референс **`npm/policy/k8s/*`** ↔ **`npm/scripts/check-k8s.mjs`** (Plan B: Rego-authoritative + JS-orchestrator) і список «що Rego об'єктивно не вміє» у `conftest.mdc`.
-
-**Червоний прапор:** дописуєш `if (pkg.<field>) fail(…)` у JS — майже завжди це варто було робити як `deny contains msg if { … }` у відповідному rego-пакеті. Перевір `npm/policy/<rule>/` **перед** редагуванням `check-<rule>.mjs`.
-
-## Джерело правил
-
-- `.cursor/rules/n-changelog.mdc` — правило про CHANGELOG (PR-scoped, для всіх воркспейсів)
-- `.cursor/rules/n-npm-module.mdc` — правило публікації пакета (типи, hk, npm-publish workflow)
-- `npm/scripts/check-changelog.mjs`, `npm/scripts/check-npm-module.mjs` — алгоритми перевірки