@nitra/cursor 1.13.57 → 1.13.58

package/CHANGELOG.md

@@ -4,11 +4,17 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.58] - 2026-05-20
+
+### Added
+
+- `check security`: новий concern **`security.sample_secret`** — placeholder фейкових credential-значень у прикладних файлах має бути `sample-secret`, а не bare `secret`. Причина: `sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog і відсіюється сканером гарантовано та незалежно від версії; bare `secret` наразі ігнорується лише тому, що випадково присутнє у словнику `fp_words.txt` — крихка, версієзалежна поведінка. [check.mjs](rules/security/fix/sample_secret/check.mjs) обходить дерево, відбирає прикладні файли (basename із суфіксом `.example`/`.sample`/`.template`/`.dist` чи infix `.example.`/`.sample.`/`.template.`, а також усе всередині каталогів `fixtures`/`fixture`/`__fixtures__`) і порядково шукає `secret` у позиції значення — одразу після `=`, `:` або `=>` з опційними лапками; імена ключів (`client_secret`, `JWT_SECRET`) не чіпаються, бо матч прив'язаний до значення. Решта файлів не сканується — там `secret` майже завжди частина реального коду. Скан текстовий (regex, не AST/Rego): прикладні файли — різнорідні конфіги (`.env`, YAML, JSON, TOML, plain `.dist`) без єдиного AST, а відбір файлів потребує обходу дерева. Зачеплено: [check.mjs](rules/security/fix/sample_secret/check.mjs) і [check.test.mjs](rules/security/fix/sample_secret/check.test.mjs) (новий concern + 9 тестів), [security.mdc](rules/security/security.mdc) (нова секція «Placeholder для секретів — `sample-secret`» та секція «Перевірка»). Bump `security.mdc` `2.0` → `2.1`.
+
 ## [1.13.57] - 2026-05-19
 
 ### Changed
 
-- `check js-bun-db`: новий **hard fail** на `sql.unsafe(template_literal_with_interpolation)` — будь-який виклик з template-літералом, що містить `${...}`-інтерполяцію, тепер падає **навіть з маркером** `// allow-unsafe`. Причина: шаблонна підстановка `${name}` у `sql.unsafe`-рядок не екранує identifier'ів (reserved words, спецсимволи, пробіли в імені) і не біндить значень; такий код виглядає звично через знайому tagged-template-форму, але насправді робить просту строкову конкатенацію без жодних гарантій. Канон — зібрати `text` окремо: identifiers через `@scaleleap/pg-format` `format('%I', name)`, values як позиційні `$N` + другий аргумент `sql.unsafe(text, [params])`. Раніше дозволений приклад `sql.unsafe(\\\`CREATE TABLE \\\${TABLE} (id int)\\\`)` з marker'ом тепер fail — переписати через `format('CREATE TABLE %I (id int)', TABLE)`. Не зачепило: `sql.unsafe('SELECT 1')` (статичний рядок), `sql.unsafe(\\\`SELECT 1\\\`)` (template без інтерполяції), `sql.unsafe(text, [params])` зі змінною `text`. Зачеплено: [bun-sql-scan.mjs](scripts/utils/bun-sql-scan.mjs) (новий експорт `findBunSqlUnsafeWithInterpolatedTemplateInText`, що флагає лише `<obj>.unsafe(TemplateLiteral)` з `expressions.length > 0`), [check.mjs](rules/js-bun-db/fix/safety/check.mjs) (новий лічильник `unsafeTemplateInterp` + окреме повідомлення з порадою на `@scaleleap/pg-format`), [check.test.mjs](rules/js-bun-db/fix/safety/check.test.mjs) (попередній DDL-тест переписано на безпечний `format('%I', ...)`-варіант, додано **негативний** тест на template-interp + marker і **позитивний** тест на статичний template без інтерполяції), [js-bun-db.mdc](rules/js-bun-db/js-bun-db.mdc) (нова підсекція «sql.unsafe з template-літералом і ${...}-інтерполяцією — заборонено навіть з маркером» зі зразками поганого/гарного коду; основний приклад DDL у секції unsafe-allowlist переписано на `format` + готовий `text`). Bump `js-bun-db.mdc` `1.10` → `1.11`.
+- `check js-bun-db`: новий **hard fail** на `sql.unsafe(template_literal_with_interpolation)` — будь-який виклик з template-літералом, що містить `${...}`-інтерполяцію, тепер падає **навіть з маркером** `// allow-unsafe`. Причина: шаблонна підстановка `${name}` у `sql.unsafe`-рядок не екранує identifier'ів (reserved words, спецсимволи, пробіли в імені) і не біндить значень; такий код виглядає звично через знайому tagged-template-форму, але насправді робить просту строкову конкатенацію без жодних гарантій. Канон — зібрати `text` окремо: identifiers через `@scaleleap/pg-format` `format('%I', name)`, values як позиційні `$N` + другий аргумент `sql.unsafe(text, [params])`. Раніше дозволений приклад `sql.unsafe(\\\`CREATE TABLE \\\${TABLE} (id int)\\\`)`з marker'ом тепер fail — переписати через`format('CREATE TABLE %I (id int)', TABLE)`. Не зачепило:`sql.unsafe('SELECT 1')`(статичний рядок),`sql.unsafe(\\\`SELECT 1\\\`)`(template без інтерполяції),`sql.unsafe(text, [params])`зі змінною`text`. Зачеплено: [bun-sql-scan.mjs](scripts/utils/bun-sql-scan.mjs) (новий експорт`findBunSqlUnsafeWithInterpolatedTemplateInText`, що флагає лише`obj.unsafe(TemplateLiteral)`з`expressions.length > 0`), [check.mjs](rules/js-bun-db/fix/safety/check.mjs) (новий лічильник`unsafeTemplateInterp`+ окреме повідомлення з порадою на`@scaleleap/pg-format`), [check.test.mjs](rules/js-bun-db/fix/safety/check.test.mjs) (попередній DDL-тест переписано на безпечний`format('%I', ...)`-варіант, додано **негативний** тест на template-interp + marker і **позитивний** тест на статичний template без інтерполяції), [js-bun-db.mdc](rules/js-bun-db/js-bun-db.mdc) (нова підсекція «sql.unsafe з template-літералом і ${...}-інтерполяцією — заборонено навіть з маркером» зі зразками поганого/гарного коду; основний приклад DDL у секції unsafe-allowlist переписано на`format`+ готовий`text`). Bump`js-bun-db.mdc` `1.10`→`1.11`.
 
 ## [1.13.56] - 2026-05-19
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.57",
+  "version": "1.13.58",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/bun/fix/layout/check.mjs

@@ -53,8 +53,8 @@ async function loadNCursorRules() {
  */
 function lintChainHasScript(lintScript, target) {
   if (!lintScript) return false
-  const escaped = target.replaceAll(/[.*+?^${}()|[\]\\]/gu, '\\$&')
-  return new RegExp(`(?:^|\\s)bun\\s+run\\s+${escaped}(?:$|\\s)`, 'u').test(lintScript)
+  const escaped = target.replaceAll(/[.*+?^${}()|[\]\\]/gu, String.raw`\$&`)
+  return new RegExp(String.raw`(?:^|\s)bun\s+run\s+${escaped}(?:$|\s)`, 'u').test(lintScript)
 }
 
 /**
@@ -74,6 +74,17 @@ const RULE_SCRIPTS = [
   { rules: ['image-avif', 'image-compress'], script: 'lint-image', doc: 'image-avif.mdc / image-compress.mdc' }
 ]
 
+/**
+ * Загортає кожен ідентифікатор у backticks та зʼєднує через роздільник. Винесено
+ * окремою функцією, щоб не нестити template literals у `pass`/`fail`-повідомленнях.
+ * @param {string[]} items ідентифікатори правил
+ * @param {string} sep роздільник (наприклад `, ` або `/`)
+ * @returns {string} рядок виду "`a`, `b`"
+ */
+function backtickJoin(items, sep) {
+  return items.map(r => '`' + r + '`').join(sep)
+}
+
 /**
  * Описує стан правил-власників скрипта для повідомлень про reason. Повертає або список увімкнених
  * правил (для passing-кейсу «правило є»), або компактний опис, чому всі вимкнені (для inverse-fail).
@@ -84,7 +95,7 @@ const RULE_SCRIPTS = [
 function ownerStatus(owners, cursorRules) {
   const enabled = owners.filter(r => cursorRules.rules.has(r))
   if (enabled.length > 0) {
-    return { enabled, reason: `правил${enabled.length === 1 ? 'о' : 'а'} ${enabled.map(r => `\`${r}\``).join(', ')}` }
+    return { enabled, reason: `правил${enabled.length === 1 ? 'о' : 'а'} ${backtickJoin(enabled, ', ')}` }
   }
   if (owners.length === 1) {
     const [only] = owners
@@ -93,7 +104,7 @@ function ownerStatus(owners, cursorRules) {
   }
   const disabledCount = owners.filter(r => cursorRules.disabled.has(r)).length
   const note = disabledCount === owners.length ? 'усі власники в disable-rules' : 'жоден власник не активний у rules'
-  return { enabled, reason: `${owners.map(r => `\`${r}\``).join('/')} — ${note}` }
+  return { enabled, reason: `${backtickJoin(owners, '/')} — ${note}` }
 }
 
 /**
@@ -104,7 +115,7 @@ function ownerStatus(owners, cursorRules) {
  * вимкненому правилі: `n-cursor lint-<id>` ігнорує `.n-cursor.json` і обходить дерево
  * незалежно від конфігу (як було в cursor-репо: `disable-rules: ["k8s"]` + залишений `lint-k8s`
  * ламав chain на template-сорцях власного правила).
- * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter
+ * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter callback-и `pass`/`fail` для звіту
  * @param {Record<string, string>} scripts scripts з package.json
  * @param {{ rules: Set<string>, disabled: Set<string> }} cursorRules `rules` та `disable-rules`
  */
@@ -127,7 +138,7 @@ function checkCursorRuleScripts(reporter, scripts, cursorRules) {
     }
     if (present) {
       fail(
-        `У .n-cursor.json немає активних власників ${owners.map(r => `\`${r}\``).join('/')} — прибери скрипт \`${script}\` з кореневого package.json (див. ${doc})`
+        `У .n-cursor.json немає активних власників ${backtickJoin(owners, '/')} — прибери скрипт \`${script}\` з кореневого package.json (див. ${doc})`
       )
     }
     if (inChain) {

package/rules/js-bun-db/fix/safety/check.mjs

@@ -53,6 +53,12 @@ import { findAllPackageJsonPaths } from '../../../../scripts/utils/find-package-
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 
+// Дешеві pre-filter regex'и для AST-сканера LISTEN/NOTIFY: уникаємо парсингу
+// файлів, у яких ніяких сигналів немає. Винесено в модульний скоуп, щоб не
+// перекомпілювати RegExp на кожному виклику `collectPgUsageForFile`.
+const LISTEN_NOTIFY_KEYWORD_RE = /\b(LISTEN|UNLISTEN|NOTIFY)\b/iu
+const NOTIFICATION_LITERAL_RE = /['"`]notification['"`]/u
+
 /**
  * Збирає абсолютні шляхи JS/TS джерел у репозиторії для скану Bun SQL патернів.
  * @param {string} repoRoot абсолютний шлях до кореня репозиторію
@@ -138,7 +144,7 @@ function collectPgUsageForFile(content, rel, pgUsage) {
   // Дешевий pre-filter за текстом: AST-парсинг тільки коли файл містить
   // або імпорт `'pg'`, або хоча б одне зі слів LISTEN / NOTIFY / UNLISTEN /
   // 'notification' — інакше LISTEN/NOTIFY у ньому точно немає.
-  const mayHaveListenNotify = /\b(LISTEN|UNLISTEN|NOTIFY)\b/iu.test(content) || /['"`]notification['"`]/u.test(content)
+  const mayHaveListenNotify = LISTEN_NOTIFY_KEYWORD_RE.test(content) || NOTIFICATION_LITERAL_RE.test(content)
   if (!textHasPgLibImport(content) && !mayHaveListenNotify) return
   const imports = findPgLibImportInText(content, rel)
   const listenNotify = findPgListenNotifyUsageInText(content, rel)
@@ -263,7 +269,7 @@ async function checkPgDependencyAndUsage(pkgJsonPaths, repoRoot, pgUsage, report
     }
     if (!pkg || typeof pkg !== 'object') continue
     const deps = pkg.dependencies
-    if (!deps || typeof deps !== 'object' || !Object.prototype.hasOwnProperty.call(deps, 'pg')) continue
+    if (!deps || typeof deps !== 'object' || !Object.hasOwn(deps, 'pg')) continue
     pgDepsFound++
     if (!hasAnyListenNotify) {
       pgDepFails++
@@ -397,7 +403,7 @@ export async function check() {
   }
   if (unsafeTemplateInterp === 0) {
     pass(
-      'js-bun-db: немає sql.unsafe(`...${x}...`) з template-інтерполяцією ' +
+      'js-bun-db: немає sql.unsafe(template literal з інтерполяцією) ' +
         '(identifiers через @scaleleap/pg-format %I, values — позиційні $N)'
     )
   }

package/rules/js-bun-db/js-bun-db.mdc

@@ -355,7 +355,7 @@ await sql.unsafe('SELECT pg_advisory_lock($1)', [lockId]) // allow-unsafe: pg_ad
 
 ### `sql.unsafe` з template-літералом і `${...}`-інтерполяцією — заборонено навіть з маркером
 
-`sql.unsafe(\`...\${x}...\`)` — окремий **hard fail**, який не знімається маркером `// allow-unsafe`. Шаблонна підстановка `${x}` у `sql.unsafe`-рядок:
+`sql.unsafe(\`...\${x}...\`)` — окремий **hard fail**, який не знімається маркером `// allow-unsafe`. Шаблонна підстановка`${x}` у `sql.unsafe`-рядок:
 
 - **не екранує** identifier'ів (reserved words, спецсимволи, пробіли в імені);
 - **не біндить** значень (вони потрапляють у запит сирим текстом, як injection-вектор);
@@ -379,7 +379,7 @@ const query = format('CREATE TABLE %I (id int)', tableName)
 await sql.unsafe(query)
 ```
 
-Статичні `sql.unsafe(\`SELECT 1\`)` (без `${...}`) і `sql.unsafe(text, [params])` зі змінною `text`, зібраною заздалегідь, — допустимі (за наявності `// allow-unsafe`-маркера).
+Статичні `sql.unsafe(\`SELECT 1\`)` (без `${...}`) і`sql.unsafe(text, [params])` зі змінною `text`, зібраною заздалегідь, — допустимі (за наявності`// allow-unsafe`-маркера).
 
 ❌ Заборонені кейси (треба переробити на tagged template):
 

package/rules/security/fix/sample_secret/check.mjs

@@ -0,0 +1,105 @@
+/**
+ * FS-частина правила `security`: concern `sample_secret`.
+ *
+ * Перевіряє, що фейкові credential-значення у *прикладних* файлах записані як
+ * канонічний placeholder `sample-secret`, а не як bare `secret`.
+ *
+ * `sample-secret` містить підрядок `sample`, який є у вшитому списку
+ * `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює
+ * гарантовано й незалежно від версії. Bare `secret` наразі не репортиться
+ * лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка,
+ * версієзалежна поведінка, на яку не варто покладатися.
+ *
+ * Прикладними вважаються файли, чий basename має суфікс `.example` / `.sample`
+ * / `.template` / `.dist` або infix `.example.` / `.sample.` / `.template.`, а
+ * також будь-які файли всередині каталогів `fixtures` / `fixture` /
+ * `__fixtures__`. Решта файлів не сканується — там `secret` майже завжди
+ * частина реального коду, а не placeholder.
+ *
+ * Порушенням є лише `secret` у *позиції значення* — одразу після `=`, `:` чи
+ * `=>` (з опційними лапками). Імена ключів (`client_secret`, `JWT_SECRET`) не
+ * чіпаються: матч прив'язаний до значення, не до ключа.
+ *
+ * Чому regex, а не AST: прикладні файли — різнорідні конфіги (`.env`, YAML,
+ * JSON, TOML, plain `.dist`), єдиного AST для них немає, тож скан порядковий.
+ * Чому JS, а не Rego: щоб знайти прикладні файли, треба обійти дерево
+ * (`readdir`), а вміст — неструктурований текст (conftest парсить лише
+ * структуровані документи).
+ */
+import { readFile } from 'node:fs/promises'
+import { relative, sep } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+
+/** Суфікс basename'а прикладного файлу (`config.example`, `.env.dist`). */
+const EXAMPLE_SUFFIX_RE = /\.(?:example|sample|template|dist)$/iu
+
+/** Infix у basename'і (`docker-compose.example.yml`, `app.config.sample.json`). */
+const EXAMPLE_INFIX_RE = /\.(?:example|sample|template)\./iu
+
+/** Сегмент шляху з фікстурами (`fixtures/`, `fixture/`, `__fixtures__/`). */
+const FIXTURE_DIR_RE = /(?:^|\/)(?:__fixtures__|fixtures?)(?:\/|$)/u
+
+/**
+ * Bare-`secret` у позиції значення: після `=`, `:` або `=>` (опційні лапки), а
+ * далі лише пробіли / завершальна пунктуація / коментар до кінця рядка. Прив'язка
+ * до `$` гарантує, що `secret` — увесь токен значення (`secret-key`, `secretValue`
+ * не матчаться); прив'язка до `[:=]` відсікає імена ключів (`client_secret`).
+ * Регістронезалежно.
+ */
+const VALUE_SECRET_RE = /[:=]>?\s*(['"]?)secret\1[\s,;}\])]*(?:(?:#|\/\/).*)?$/iu
+
+/**
+ * Чи є файл «прикладним» — таким, де `secret` очікувано є placeholder'ом.
+ * @param {string} relPosix відносний шлях від cwd у posix-форматі
+ * @returns {boolean} `true`, якщо файл треба сканувати
+ */
+function isExampleFile(relPosix) {
+  const base = relPosix.slice(relPosix.lastIndexOf('/') + 1)
+  return EXAMPLE_SUFFIX_RE.test(base) || EXAMPLE_INFIX_RE.test(base) || FIXTURE_DIR_RE.test(relPosix)
+}
+
+/**
+ * @returns {Promise<number>} exit-код перевірки (0 — OK, 1 — є bare `secret`)
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const cwd = process.cwd()
+
+  /** @type {Array<{ abs: string, rel: string }>} */
+  const examples = []
+  await walkDir(cwd, abs => {
+    const rel = relative(cwd, abs).split(sep).join('/')
+    if (isExampleFile(rel)) examples.push({ abs, rel })
+  })
+  examples.sort((a, b) => a.rel.localeCompare(b.rel))
+
+  if (examples.length === 0) {
+    pass('прикладних файлів не знайдено — placeholder перевіряти нема де')
+    return reporter.getExitCode()
+  }
+
+  let violations = 0
+  for (const { abs, rel } of examples) {
+    let content
+    try {
+      content = await readFile(abs, 'utf8')
+    } catch {
+      continue
+    }
+    const lines = content.split('\n')
+    for (let i = 0; i < lines.length; i++) {
+      const line = lines[i].endsWith('\r') ? lines[i].slice(0, -1) : lines[i]
+      if (!VALUE_SECRET_RE.test(line)) continue
+      violations++
+      fail(`${rel}:${i + 1}: \`${line.trim()}\` — заміни placeholder \`secret\` на \`sample-secret\` (security.mdc)`)
+    }
+  }
+
+  if (violations === 0) {
+    pass(`прикладні файли (${examples.length}) не містять bare \`secret\``)
+  }
+  return reporter.getExitCode()
+}

package/rules/security/security.mdc

@@ -1,8 +1,8 @@
 ---
-description: Локальний та CI-секюріті-лінт через TruffleHog — скрипт `lint-security`, `.trufflehog-exclude`, інтеграція в агрегований `lint`
+description: Локальний та CI-секюріті-лінт через TruffleHog — скрипт `lint-security`, `.trufflehog-exclude`, інтеграція в агрегований `lint`; канонічний placeholder `sample-secret` у прикладних файлах
 globs: "**/.trufflehog-exclude,**/package.json,**/.github/workflows/**/*.yml"
 alwaysApply: false
-version: '2.0'
+version: '2.1'
 ---
 
 [TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
@@ -35,3 +35,18 @@ Workflow обовʼязковий — забезпечує незалежний
 - Канон: [lint-security.yml.snippet.yml](./policy/lint_security_yml/template/lint-security.yml.snippet.yml)
 
 Перевіряється policy `security.lint_security_yml`: серед `uses:` має бути крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.
+
+## Placeholder для секретів — `sample-secret`
+
+Фейкові credential-значення у **прикладних файлах** (`.env.example`, `.env.dist`, `*.example`, `*.sample`, `*.template`, вміст каталогів `fixtures/`) пиши як `sample-secret`, а не як bare `secret`.
+
+`sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює **гарантовано** й незалежно від версії. Bare `secret` наразі не репортиться лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка, версієзалежна поведінка.
+
+- Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
+- Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
+
+Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `fix/sample_secret/check.mjs`.
+
+## Перевірка
+
+`npx @nitra/cursor check security`

package/scripts/utils/bun-sql-scan.mjs

@@ -784,9 +784,10 @@ export function findPgLibImportInText(content, virtualPath = 'scan.ts') {
  *   `LISTEN ` / `UNLISTEN ` / `NOTIFY ` (case-insensitive);
  * - `<obj>.on('notification', ...)` — pg-listener notification-подій (другий
  *   аргумент — функція; перший — точно рядок `'notification'`);
- * - TaggedTemplateExpression виду `sql\`LISTEN ...\`` — на випадок, якщо хтось
- *   використовує Bun SQL-tagged-template, а LISTEN/NOTIFY все одно лишається у
- *   тексті запиту (це не запрацює у Bun SQL, але як сигнал — приймаємо).
+ * - TaggedTemplateExpression виду sql tagged template з LISTEN/UNLISTEN/NOTIFY
+ *   на початку першого quasi — на випадок, якщо хтось використовує Bun
+ *   SQL-tagged-template, а LISTEN/NOTIFY все одно лишається у тексті запиту
+ *   (це не запрацює у Bun SQL, але як сигнал — приймаємо).
  *
  * Регістр SQL-слів не важливий, провідні пробіли допускаються.
  * @param {string} content вихідний код
@@ -873,8 +874,8 @@ function listenNotifyFromCallExpression(node) {
 }
 
 /**
- * Аналізує TaggedTemplateExpression `<tag>\`LISTEN ...\``: якщо перший quasi
- * починається з LISTEN/UNLISTEN/NOTIFY — повертає відповідний kind.
+ * Аналізує TaggedTemplateExpression: якщо перший quasi починається з
+ * LISTEN/UNLISTEN/NOTIFY — повертає відповідний kind.
  * @param {Record<string, unknown>} node AST node
  * @returns {'listen_sql' | 'notify_sql' | 'unlisten_sql' | null} kind знахідки
  */