@nitra/cursor 1.13.57 → 1.13.60

package/.claude-template/hooks/capture-decisions.sh

@@ -44,9 +44,12 @@ fi
 # Extract role + text + thinking + tool_use names from JSONL transcript.
 # We keep reasoning/decisions visible to the analyzer but drop large tool outputs.
 TRANSCRIPT=$(jq -r '
-  select(.type == "user" or .type == "assistant")
+  select(
+    .type == "user" or .type == "assistant"
+    or .role == "user" or .role == "assistant"
+  )
   | .message as $m
-  | ($m.role // .type) as $role
+  | ($m.role // .role // .type) as $role
   | ($m.content
       | if type == "string" then .
         else (
@@ -79,6 +82,7 @@ if (( ${#TRANSCRIPT} > MAX_CHARS )); then
 fi
 
 if [[ -z "$TRANSCRIPT" ]]; then
+  log "  → empty transcript after jq (Claude Code: .type; Cursor Agent: .role)"
   exit 0
 fi
 

package/CHANGELOG.md

@@ -4,11 +4,24 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.60] - 2026-05-20
+
+### Fixed
+
+- Генерація **`AGENTS.md`** і **`CLAUDE.md`** при `npx @nitra/cursor`: Mustache-секції більше не вставляють порожній рядок між кожним пунктом списку (MD012), а фінальний markdown згортає зайві `\n\n\n` на стиках секцій — не потрібен окремий `lint-text` лише заради зачистки згенерованих файлів. Зачеплено: [generated-markdown.mjs](scripts/utils/generated-markdown.mjs) (`expandMustacheSection` — trim inner + `join('\n')`, `collapseMultipleBlankLines`, `formatGeneratedMarkdownLines`), [n-cursor.js](bin/n-cursor.js) (імпорт утиліт замість inline-логіки), [generated-markdown.test.mjs](scripts/utils/generated-markdown.test.mjs).
+
+## [1.13.59] - 2026-05-20
+
+### Added
+
+- Нове `alwaysApply`-правило **`feedback`** ([feedback.mdc](rules/feedback/feedback.mdc)) — ефемерний канал зворотного звʼязку до пакета `@nitra/cursor`. Виконуючи будь-який скіл пакета (`n-lint`, `n-fix`, `n-taze`, `n-adr-normalize`, `n-llm-patch`, `n-publish-telegram`, `mdc-check`), агент проходить крізь `.cursor/rules/`, `SKILL.md` і `npx @nitra/cursor check` — і бачить «тертя»: неоднозначні інструкції, відсутні `check-*.mjs`, false positive, порушення без автофіксу, повторювані патерни. Правило вимагає наприкінці скілу, **після** основного резюме, додати у відповідь чату секцію `## 🔧 Покращення @nitra/cursor` з пунктами за схемою `target` (`rule`/`skill`/`check`) · `id` · `kind` (`ambiguous-doc`/`missing-check`/`false-positive`/`no-autofix`/`recurring-pattern`) · `evidence` · `suggestion`. Резюме **навмисно ефемерне** — живе лише у відповіді чату: правило забороняє запис файлів/чернеток, GitHub issue/PR і редагування самого пакета; розробник, читаючи відповідь, сам вирішує, чи переносити пункт у пакет. Якщо тертя не було — секція повністю пропускається. Правило чисто документаційне (як `ci4`), `check-*.mjs` не має, бо поведінка агента програмно не верифікується. Зачеплено: новий каталог [rules/feedback/](rules/feedback/) з `feedback.mdc` (`version: '1.0'`), додано `"feedback"` у `rules` кореневого `.n-cursor.json` — після синку правило копіюється як `.cursor/rules/n-feedback.mdc` і потрапляє в `AGENTS.md`.
+- `check security`: новий concern **`security.sample_secret`** — placeholder фейкових credential-значень у прикладних файлах має бути `sample-secret`, а не bare `secret`. Причина: `sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog і відсіюється сканером гарантовано та незалежно від версії; bare `secret` наразі ігнорується лише тому, що випадково присутнє у словнику `fp_words.txt` — крихка поведінка, що залежить від версії інструмента. [check.mjs](rules/security/fix/sample_secret/check.mjs) обходить дерево, відбирає прикладні файли (basename із суфіксом `.example`/`.sample`/`.template`/`.dist` чи infix `.example.`/`.sample.`/`.template.`, а також усе всередині каталогів `fixtures`/`fixture`/`__fixtures__`) і порядково шукає `secret` у позиції значення — одразу після `=`, `:` або `=>` з опційними лапками; імена ключів (`client_secret`, `JWT_SECRET`) не чіпаються, бо матч прив'язаний до значення. Решта файлів не сканується — там `secret` майже завжди частина реального коду. Скан текстовий (regex, не AST/Rego): прикладні файли — різнорідні конфіги (`.env`, YAML, JSON, TOML, plain `.dist`) без єдиного AST, а відбір файлів потребує обходу дерева. Зачеплено: [check.mjs](rules/security/fix/sample_secret/check.mjs) і [check.test.mjs](rules/security/fix/sample_secret/check.test.mjs) (новий concern + 9 тестів), [security.mdc](rules/security/security.mdc) (нова секція «Placeholder для секретів — `sample-secret`» та секція «Перевірка»). Bump `security.mdc` `2.0` → `2.1`.
+
 ## [1.13.57] - 2026-05-19
 
 ### Changed
 
-- `check js-bun-db`: новий **hard fail** на `sql.unsafe(template_literal_with_interpolation)` — будь-який виклик з template-літералом, що містить `${...}`-інтерполяцію, тепер падає **навіть з маркером** `// allow-unsafe`. Причина: шаблонна підстановка `${name}` у `sql.unsafe`-рядок не екранує identifier'ів (reserved words, спецсимволи, пробіли в імені) і не біндить значень; такий код виглядає звично через знайому tagged-template-форму, але насправді робить просту строкову конкатенацію без жодних гарантій. Канон — зібрати `text` окремо: identifiers через `@scaleleap/pg-format` `format('%I', name)`, values як позиційні `$N` + другий аргумент `sql.unsafe(text, [params])`. Раніше дозволений приклад `sql.unsafe(\\\`CREATE TABLE \\\${TABLE} (id int)\\\`)` з marker'ом тепер fail — переписати через `format('CREATE TABLE %I (id int)', TABLE)`. Не зачепило: `sql.unsafe('SELECT 1')` (статичний рядок), `sql.unsafe(\\\`SELECT 1\\\`)` (template без інтерполяції), `sql.unsafe(text, [params])` зі змінною `text`. Зачеплено: [bun-sql-scan.mjs](scripts/utils/bun-sql-scan.mjs) (новий експорт `findBunSqlUnsafeWithInterpolatedTemplateInText`, що флагає лише `<obj>.unsafe(TemplateLiteral)` з `expressions.length > 0`), [check.mjs](rules/js-bun-db/fix/safety/check.mjs) (новий лічильник `unsafeTemplateInterp` + окреме повідомлення з порадою на `@scaleleap/pg-format`), [check.test.mjs](rules/js-bun-db/fix/safety/check.test.mjs) (попередній DDL-тест переписано на безпечний `format('%I', ...)`-варіант, додано **негативний** тест на template-interp + marker і **позитивний** тест на статичний template без інтерполяції), [js-bun-db.mdc](rules/js-bun-db/js-bun-db.mdc) (нова підсекція «sql.unsafe з template-літералом і ${...}-інтерполяцією — заборонено навіть з маркером» зі зразками поганого/гарного коду; основний приклад DDL у секції unsafe-allowlist переписано на `format` + готовий `text`). Bump `js-bun-db.mdc` `1.10` → `1.11`.
+- `check js-bun-db`: новий **hard fail** на `sql.unsafe(template_literal_with_interpolation)` — будь-який виклик з template-літералом, що містить `${...}`-інтерполяцію, тепер падає **навіть з маркером** `// allow-unsafe`. Причина: шаблонна підстановка `${name}` у `sql.unsafe`-рядок не екранує identifier'ів (reserved words, спецсимволи, пробіли в імені) і не біндить значень; такий код виглядає звично через знайому tagged-template-форму, але насправді робить просту строкову конкатенацію без жодних гарантій. Канон — зібрати `text` окремо: identifiers через `@scaleleap/pg-format` `format('%I', name)`, values як позиційні `$N` + другий аргумент `sql.unsafe(text, [params])`. Раніше дозволений приклад `sql.unsafe(\\\`CREATE TABLE \\\${TABLE} (id int)\\\`)`з marker'ом тепер fail — переписати через`format('CREATE TABLE %I (id int)', TABLE)`. Не зачепило:`sql.unsafe('SELECT 1')`(статичний рядок),`sql.unsafe(\\\`SELECT 1\\\`)`(template без інтерполяції),`sql.unsafe(text, [params])`зі змінною`text`. Зачеплено: [bun-sql-scan.mjs](scripts/utils/bun-sql-scan.mjs) (новий експорт`findBunSqlUnsafeWithInterpolatedTemplateInText`, що флагає лише`obj.unsafe(TemplateLiteral)`з`expressions.length > 0`), [check.mjs](rules/js-bun-db/fix/safety/check.mjs) (новий лічильник`unsafeTemplateInterp`+ окреме повідомлення з порадою на`@scaleleap/pg-format`), [check.test.mjs](rules/js-bun-db/fix/safety/check.test.mjs) (попередній DDL-тест переписано на безпечний`format('%I', ...)`-варіант, додано **негативний** тест на template-interp + marker і **позитивний** тест на статичний template без інтерполяції), [js-bun-db.mdc](rules/js-bun-db/js-bun-db.mdc) (нова підсекція «sql.unsafe з template-літералом і ${...}-інтерполяцією — заборонено навіть з маркером» зі зразками поганого/гарного коду; основний приклад DDL у секції unsafe-allowlist переписано на`format`+ готовий`text`). Bump`js-bun-db.mdc` `1.10`→`1.11`.
 
 ## [1.13.56] - 2026-05-19
 

package/bin/n-cursor.js

@@ -67,6 +67,7 @@ import { cwd, env } from 'node:process'
 import { fileURLToPath } from 'node:url'
 
 import { buildAgentsCommandBulletItems } from '../scripts/build-agents-commands.mjs'
+import { formatGeneratedMarkdownLines, renderAgentsTemplate } from '../scripts/utils/generated-markdown.mjs'
 import { inlineTemplateLinks } from '../scripts/utils/inline-template-links.mjs'
 import {
   detectAutoRules,
@@ -481,50 +482,6 @@ function formatClaudeCommandFrontmatter(descriptionRaw) {
   return `---\ndescription: >-\n  ${text}\n---\n\n`
 }
 
-/**
- * Розгортає в шаблоні блок Mustache {{#section}} … {{/section}} для масиву елементів
- * @param {string} template вихідний текст шаблону
- * @param {string} section ім'я секції (наприклад services)
- * @param {Record<string, string>[]} items елементи для повторення тіла секції
- * @param {string} prop ключ поля для підстановки замість {{prop}}
- * @returns {string} текст після розгортання усіх входжень блоку
- */
-function expandMustacheSection(template, section, items, prop) {
-  const open = `{{#${section}}}`
-  const close = `{{/${section}}}`
-  const placeholder = `{{${prop}}}`
-  let result = template
-  let start = result.indexOf(open)
-  let end = result.indexOf(close)
-  while (start !== -1 && end !== -1 && end > start) {
-    const inner = result.slice(start + open.length, end)
-    const rendered = items.map(item => inner.split(placeholder).join(String(item[prop]))).join('')
-    result = result.slice(0, start) + rendered + result.slice(end + close.length)
-    start = result.indexOf(open)
-    end = result.indexOf(close)
-  }
-  return result
-}
-
-/**
- * Підставляє у вміст AGENTS.template.md список шляхів до файлів правил, skills і команд з package.json
- * @param {string} templateText вміст AGENTS.template.md
- * @param {string[]} mdcBasenames імена файлів (*.mdc) з .cursor/rules
- * @param {{ name: string }[]} skillItems рядки для секції Skills
- * @param {{ name: string }[]} commandItems рядки для секції commands
- * @returns {string} готовий markdown для AGENTS.md
- */
-function renderAgentsTemplate(templateText, mdcBasenames, skillItems, commandItems) {
-  let result = templateText
-  const serviceItems = mdcBasenames.map(mdcName => ({
-    name: `- ${RULES_DIR}/${mdcName}`
-  }))
-  result = expandMustacheSection(result, 'services', serviceItems, 'name')
-  result = expandMustacheSection(result, 'skills', skillItems, 'name')
-  result = expandMustacheSection(result, 'commands', commandItems, 'name')
-  return result
-}
-
 /**
  * Повертає відсортовані імена *.mdc у .cursor/rules поточного проєкту
  * @returns {Promise<string[]>} базові імена файлів (лише .mdc)
@@ -712,10 +669,10 @@ async function syncClaudeMd(ignore) {
   lines.push(...buildClaudeLintParallelismSectionLines())
 
   const skillsSectionLines = await buildClaudeSkillsSectionLines()
-  lines.push(...skillsSectionLines, '')
+  lines.push(...skillsSectionLines)
   const claudeMdPath = join(cwd(), 'CLAUDE.md')
   const hadFile = existsSync(claudeMdPath)
-  await writeFile(claudeMdPath, lines.join('\n'), 'utf8')
+  await writeFile(claudeMdPath, formatGeneratedMarkdownLines(lines), 'utf8')
   console.log(hadFile ? `📝 Оновлено CLAUDE.md` : `📝 Створено CLAUDE.md`)
 }
 
@@ -739,8 +696,7 @@ async function syncAgentsMd(agentsTemplatePath = BUNDLED_AGENTS_TEMPLATE_PATH) {
   const body = renderAgentsTemplate(templateText, mdcFiles, skillItems, commandItems)
   const agentsPath = join(cwd(), AGENTS_FILE)
   const hadFile = existsSync(agentsPath)
-  const out = body.endsWith('\n') ? body : `${body}\n`
-  await writeFile(agentsPath, out, 'utf8')
+  await writeFile(agentsPath, body.endsWith('\n') ? body : `${body}\n`, 'utf8')
   console.log(
     hadFile
       ? `📝 Оновлено ${AGENTS_FILE} з ${AGENTS_TEMPLATE_FILE}`

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.57",
+  "version": "1.13.60",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/bun/fix/layout/check.mjs

@@ -53,8 +53,8 @@ async function loadNCursorRules() {
  */
 function lintChainHasScript(lintScript, target) {
   if (!lintScript) return false
-  const escaped = target.replaceAll(/[.*+?^${}()|[\]\\]/gu, '\\$&')
-  return new RegExp(`(?:^|\\s)bun\\s+run\\s+${escaped}(?:$|\\s)`, 'u').test(lintScript)
+  const escaped = target.replaceAll(/[.*+?^${}()|[\]\\]/gu, String.raw`\$&`)
+  return new RegExp(String.raw`(?:^|\s)bun\s+run\s+${escaped}(?:$|\s)`, 'u').test(lintScript)
 }
 
 /**
@@ -74,6 +74,17 @@ const RULE_SCRIPTS = [
   { rules: ['image-avif', 'image-compress'], script: 'lint-image', doc: 'image-avif.mdc / image-compress.mdc' }
 ]
 
+/**
+ * Загортає кожен ідентифікатор у backticks та зʼєднує через роздільник. Винесено
+ * окремою функцією, щоб не нестити template literals у `pass`/`fail`-повідомленнях.
+ * @param {string[]} items ідентифікатори правил
+ * @param {string} sep роздільник (наприклад `, ` або `/`)
+ * @returns {string} рядок виду "`a`, `b`"
+ */
+function backtickJoin(items, sep) {
+  return items.map(r => '`' + r + '`').join(sep)
+}
+
 /**
  * Описує стан правил-власників скрипта для повідомлень про reason. Повертає або список увімкнених
  * правил (для passing-кейсу «правило є»), або компактний опис, чому всі вимкнені (для inverse-fail).
@@ -84,7 +95,7 @@ const RULE_SCRIPTS = [
 function ownerStatus(owners, cursorRules) {
   const enabled = owners.filter(r => cursorRules.rules.has(r))
   if (enabled.length > 0) {
-    return { enabled, reason: `правил${enabled.length === 1 ? 'о' : 'а'} ${enabled.map(r => `\`${r}\``).join(', ')}` }
+    return { enabled, reason: `правил${enabled.length === 1 ? 'о' : 'а'} ${backtickJoin(enabled, ', ')}` }
   }
   if (owners.length === 1) {
     const [only] = owners
@@ -93,7 +104,7 @@ function ownerStatus(owners, cursorRules) {
   }
   const disabledCount = owners.filter(r => cursorRules.disabled.has(r)).length
   const note = disabledCount === owners.length ? 'усі власники в disable-rules' : 'жоден власник не активний у rules'
-  return { enabled, reason: `${owners.map(r => `\`${r}\``).join('/')} — ${note}` }
+  return { enabled, reason: `${backtickJoin(owners, '/')} — ${note}` }
 }
 
 /**
@@ -104,7 +115,7 @@ function ownerStatus(owners, cursorRules) {
  * вимкненому правилі: `n-cursor lint-<id>` ігнорує `.n-cursor.json` і обходить дерево
  * незалежно від конфігу (як було в cursor-репо: `disable-rules: ["k8s"]` + залишений `lint-k8s`
  * ламав chain на template-сорцях власного правила).
- * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter
+ * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter callback-и `pass`/`fail` для звіту
  * @param {Record<string, string>} scripts scripts з package.json
  * @param {{ rules: Set<string>, disabled: Set<string> }} cursorRules `rules` та `disable-rules`
  */
@@ -127,7 +138,7 @@ function checkCursorRuleScripts(reporter, scripts, cursorRules) {
     }
     if (present) {
       fail(
-        `У .n-cursor.json немає активних власників ${owners.map(r => `\`${r}\``).join('/')} — прибери скрипт \`${script}\` з кореневого package.json (див. ${doc})`
+        `У .n-cursor.json немає активних власників ${backtickJoin(owners, '/')} — прибери скрипт \`${script}\` з кореневого package.json (див. ${doc})`
       )
     }
     if (inChain) {

package/rules/feedback/feedback.mdc

@@ -0,0 +1,63 @@
+---
+description: Ефемерне резюме «тертя» з пакетом @nitra/cursor наприкінці кожного скілу — агент називає, що в правилах / SKILL.md / check заважало, без запису у файли
+alwaysApply: true
+version: '1.0'
+---
+
+Правило про **зворотний звʼязок до пакета `@nitra/cursor`**. Виконуючи скіл пакета (`n-lint`, `n-fix`, `n-taze`, `n-adr-normalize`, `n-llm-patch`, `n-publish-telegram`, `mdc-check`), агент проходить крізь правила `.cursor/rules/`, інструкції `SKILL.md` і програмні перевірки `npx @nitra/cursor check`. Саме тут видно, що в пакеті недопрацьовано: неоднозначна інструкція, відсутня перевірка, хибне спрацювання, порушення без автофіксу. Ця інформація цінна для розробників пакета, але без явного кроку зникає разом із сесією.
+
+## Коли застосовувати
+
+Лише якщо в цій сесії агент **виконав хоча б один скіл** `@nitra/cursor`. Без виконання skills правило інертне — додавати нічого не треба.
+
+## Що зробити
+
+Наприкінці скілу, **після** основного резюме роботи, додай у відповідь чату секцію `## 🔧 Покращення @nitra/cursor` — але лише якщо під час виконання було помічене **тертя** з пакетом.
+
+**Тертя** — усе, що ускладнило роботу скілу й стосується самого пакета `@nitra/cursor`, а не коду користувацького проєкту:
+
+- неоднозначна чи неповна інструкція в `SKILL.md` або `.mdc`;
+- правило вимагає поведінку, яку можна перевірити програмно, але `check-*.mjs` для неї немає;
+- хибне спрацювання перевірки (false positive);
+- порушення, яке правило вимагає виправляти вручну, хоча реальний автофікс можливий;
+- повторюваний патерн, який варто закодувати в правило чи скіл.
+
+Звичайні порушення **коду користувача**, які скіл і має виправляти, — це **не** тертя.
+
+## Формат секції
+
+Кожен пункт — за схемою:
+
+- **target** — `rule` | `skill` | `check`
+- **id** — який саме (`lint`, `text`, `js-lint`, …)
+- **kind** — `ambiguous-doc` | `missing-check` | `false-positive` | `no-autofix` | `recurring-pattern`
+- **evidence** — конкретний `файл:рядок` або вивід команди з цього запуску
+- **suggestion** — запропонована зміна
+
+Приклад:
+
+```text
+## 🔧 Покращення @nitra/cursor
+
+- skill `n-lint`, `ambiguous-doc` — крок 2 не каже, як діяти при частковому autofix
+  evidence: `oxlint --fix` лишив 3 no-autofix-помилки
+  suggestion: додати в SKILL.md підпункт про частковий autofix
+- rule `js-lint`, `missing-check` — немає програмної перевірки jscpd-порогу
+  evidence: jscpd впав, але `check js-lint` цього не ловить
+```
+
+## Ефемерність — обовʼязково
+
+Резюме живе **тільки в цій відповіді чату**. **Заборонено**:
+
+- записувати або створювати файли (чернетки, тимчасові нотатки на диску, будь-що в `docs/`);
+- створювати GitHub issue чи PR;
+- редагувати сам пакет `@nitra/cursor`.
+
+Це навмисний вибір: канал має бути легким і миттєвим. Розробник, читаючи відповідь, сам вирішує, чи переносити пункт у пакет.
+
+## Чесність
+
+- Лише **реальне** тертя, помічене в **цьому** запуску — без припущень і вигаданих прикладів.
+- Якщо тертя не було — **повністю пропусти** секцію; не пиши порожню секцію чи «все добре».
+- Не дублюй у секції переказ роботи скілу — лише конкретні, дієві пропозиції до пакета.

package/rules/js-bun-db/fix/safety/check.mjs

@@ -53,6 +53,12 @@ import { findAllPackageJsonPaths } from '../../../../scripts/utils/find-package-
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 
+// Дешеві pre-filter regex'и для AST-сканера LISTEN/NOTIFY: уникаємо парсингу
+// файлів, у яких ніяких сигналів немає. Винесено в модульний скоуп, щоб не
+// перекомпілювати RegExp на кожному виклику `collectPgUsageForFile`.
+const LISTEN_NOTIFY_KEYWORD_RE = /\b(LISTEN|UNLISTEN|NOTIFY)\b/iu
+const NOTIFICATION_LITERAL_RE = /['"`]notification['"`]/u
+
 /**
  * Збирає абсолютні шляхи JS/TS джерел у репозиторії для скану Bun SQL патернів.
  * @param {string} repoRoot абсолютний шлях до кореня репозиторію
@@ -138,7 +144,7 @@ function collectPgUsageForFile(content, rel, pgUsage) {
   // Дешевий pre-filter за текстом: AST-парсинг тільки коли файл містить
   // або імпорт `'pg'`, або хоча б одне зі слів LISTEN / NOTIFY / UNLISTEN /
   // 'notification' — інакше LISTEN/NOTIFY у ньому точно немає.
-  const mayHaveListenNotify = /\b(LISTEN|UNLISTEN|NOTIFY)\b/iu.test(content) || /['"`]notification['"`]/u.test(content)
+  const mayHaveListenNotify = LISTEN_NOTIFY_KEYWORD_RE.test(content) || NOTIFICATION_LITERAL_RE.test(content)
   if (!textHasPgLibImport(content) && !mayHaveListenNotify) return
   const imports = findPgLibImportInText(content, rel)
   const listenNotify = findPgListenNotifyUsageInText(content, rel)
@@ -263,7 +269,7 @@ async function checkPgDependencyAndUsage(pkgJsonPaths, repoRoot, pgUsage, report
     }
     if (!pkg || typeof pkg !== 'object') continue
     const deps = pkg.dependencies
-    if (!deps || typeof deps !== 'object' || !Object.prototype.hasOwnProperty.call(deps, 'pg')) continue
+    if (!deps || typeof deps !== 'object' || !Object.hasOwn(deps, 'pg')) continue
     pgDepsFound++
     if (!hasAnyListenNotify) {
       pgDepFails++
@@ -397,7 +403,7 @@ export async function check() {
   }
   if (unsafeTemplateInterp === 0) {
     pass(
-      'js-bun-db: немає sql.unsafe(`...${x}...`) з template-інтерполяцією ' +
+      'js-bun-db: немає sql.unsafe(template literal з інтерполяцією) ' +
         '(identifiers через @scaleleap/pg-format %I, values — позиційні $N)'
     )
   }

package/rules/js-bun-db/js-bun-db.mdc

@@ -355,7 +355,7 @@ await sql.unsafe('SELECT pg_advisory_lock($1)', [lockId]) // allow-unsafe: pg_ad
 
 ### `sql.unsafe` з template-літералом і `${...}`-інтерполяцією — заборонено навіть з маркером
 
-`sql.unsafe(\`...\${x}...\`)` — окремий **hard fail**, який не знімається маркером `// allow-unsafe`. Шаблонна підстановка `${x}` у `sql.unsafe`-рядок:
+`sql.unsafe(\`...\${x}...\`)` — окремий **hard fail**, який не знімається маркером `// allow-unsafe`. Шаблонна підстановка`${x}` у `sql.unsafe`-рядок:
 
 - **не екранує** identifier'ів (reserved words, спецсимволи, пробіли в імені);
 - **не біндить** значень (вони потрапляють у запит сирим текстом, як injection-вектор);
@@ -379,7 +379,7 @@ const query = format('CREATE TABLE %I (id int)', tableName)
 await sql.unsafe(query)
 ```
 
-Статичні `sql.unsafe(\`SELECT 1\`)` (без `${...}`) і `sql.unsafe(text, [params])` зі змінною `text`, зібраною заздалегідь, — допустимі (за наявності `// allow-unsafe`-маркера).
+Статичні `sql.unsafe(\`SELECT 1\`)` (без `${...}`) і`sql.unsafe(text, [params])` зі змінною `text`, зібраною заздалегідь, — допустимі (за наявності`// allow-unsafe`-маркера).
 
 ❌ Заборонені кейси (треба переробити на tagged template):
 

package/rules/security/fix/sample_secret/check.mjs

@@ -0,0 +1,105 @@
+/**
+ * FS-частина правила `security`: concern `sample_secret`.
+ *
+ * Перевіряє, що фейкові credential-значення у *прикладних* файлах записані як
+ * канонічний placeholder `sample-secret`, а не як bare `secret`.
+ *
+ * `sample-secret` містить підрядок `sample`, який є у вшитому списку
+ * `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює
+ * гарантовано й незалежно від версії. Bare `secret` наразі не фіксується сканером
+ * лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка поведінка,
+ * що залежить від версії інструмента, на яку не варто покладатися.
+ *
+ * Прикладними вважаються файли, чий basename має суфікс `.example` / `.sample`
+ * / `.template` / `.dist` або infix `.example.` / `.sample.` / `.template.`, а
+ * також будь-які файли всередині каталогів `fixtures` / `fixture` /
+ * `__fixtures__`. Решта файлів не сканується — там `secret` майже завжди
+ * частина реального коду, а не placeholder.
+ *
+ * Порушенням є лише `secret` у *позиції значення* — одразу після `=`, `:` чи
+ * `=>` (з опційними лапками). Імена ключів (`client_secret`, `JWT_SECRET`) не
+ * чіпаються: матч прив'язаний до значення, не до ключа.
+ *
+ * Чому regex, а не AST: прикладні файли — різнорідні конфіги (`.env`, YAML,
+ * JSON, TOML, plain `.dist`), єдиного AST для них немає, тож скан порядковий.
+ * Чому JS, а не Rego: щоб знайти прикладні файли, треба обійти дерево
+ * (`readdir`), а вміст — неструктурований текст (conftest парсить лише
+ * структуровані документи).
+ */
+import { readFile } from 'node:fs/promises'
+import { relative, sep } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+
+/** Суфікс basename'а прикладного файлу (`config.example`, `.env.dist`). */
+const EXAMPLE_SUFFIX_RE = /\.(?:example|sample|template|dist)$/iu
+
+/** Infix у basename'і (`docker-compose.example.yml`, `app.config.sample.json`). */
+const EXAMPLE_INFIX_RE = /\.(?:example|sample|template)\./iu
+
+/** Сегмент шляху з фікстурами (`fixtures/`, `fixture/`, `__fixtures__/`). */
+const FIXTURE_DIR_RE = /(?:^|\/)(?:__fixtures__|fixtures?)(?:\/|$)/u
+
+/**
+ * Bare-`secret` у позиції значення: після `=`, `:` або `=>` (опційні лапки), а
+ * далі лише пробіли / завершальна пунктуація / коментар до кінця рядка. Прив'язка
+ * до `$` гарантує, що `secret` — увесь токен значення (`secret-key`, `secretValue`
+ * не матчаться); прив'язка до `[:=]` відсікає імена ключів (`client_secret`).
+ * Без урахування регістру символів.
+ */
+const VALUE_SECRET_RE = /[:=]>?\s*(['"]?)secret\1[\s,;}\])]*(?:(?:#|\/\/).*)?$/iu
+
+/**
+ * Чи є файл «прикладним» — таким, де `secret` очікувано є placeholder'ом.
+ * @param {string} relPosix відносний шлях від cwd у posix-форматі
+ * @returns {boolean} `true`, якщо файл треба сканувати
+ */
+function isExampleFile(relPosix) {
+  const base = relPosix.slice(relPosix.lastIndexOf('/') + 1)
+  return EXAMPLE_SUFFIX_RE.test(base) || EXAMPLE_INFIX_RE.test(base) || FIXTURE_DIR_RE.test(relPosix)
+}
+
+/**
+ * @returns {Promise<number>} exit-код перевірки (0 — OK, 1 — є bare `secret`)
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+  const cwd = process.cwd()
+
+  /** @type {Array<{ abs: string, rel: string }>} */
+  const examples = []
+  await walkDir(cwd, abs => {
+    const rel = relative(cwd, abs).split(sep).join('/')
+    if (isExampleFile(rel)) examples.push({ abs, rel })
+  })
+  examples.sort((a, b) => a.rel.localeCompare(b.rel))
+
+  if (examples.length === 0) {
+    pass('прикладних файлів не знайдено — placeholder перевіряти нема де')
+    return reporter.getExitCode()
+  }
+
+  let violations = 0
+  for (const { abs, rel } of examples) {
+    let content
+    try {
+      content = await readFile(abs, 'utf8')
+    } catch {
+      continue
+    }
+    const lines = content.split('\n')
+    for (const [i, line_] of lines.entries()) {
+      const line = line_.endsWith('\r') ? line_.slice(0, -1) : line_
+      if (!VALUE_SECRET_RE.test(line)) continue
+      violations++
+      fail(`${rel}:${i + 1}: \`${line.trim()}\` — заміни placeholder \`secret\` на \`sample-secret\` (security.mdc)`)
+    }
+  }
+
+  if (violations === 0) {
+    pass(`прикладні файли (${examples.length}) не містять bare \`secret\``)
+  }
+  return reporter.getExitCode()
+}

package/rules/security/security.mdc

@@ -1,8 +1,8 @@
 ---
-description: Локальний та CI-секюріті-лінт через TruffleHog — скрипт `lint-security`, `.trufflehog-exclude`, інтеграція в агрегований `lint`
+description: Локальний та CI-секюріті-лінт через TruffleHog — скрипт `lint-security`, `.trufflehog-exclude`, інтеграція в агрегований `lint`; канонічний placeholder `sample-secret` у прикладних файлах
 globs: "**/.trufflehog-exclude,**/package.json,**/.github/workflows/**/*.yml"
 alwaysApply: false
-version: '2.0'
+version: '2.1'
 ---
 
 [TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
@@ -35,3 +35,18 @@ Workflow обовʼязковий — забезпечує незалежний
 - Канон: [lint-security.yml.snippet.yml](./policy/lint_security_yml/template/lint-security.yml.snippet.yml)
 
 Перевіряється policy `security.lint_security_yml`: серед `uses:` має бути крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.
+
+## Placeholder для секретів — `sample-secret`
+
+Фейкові credential-значення у **прикладних файлах** (`.env.example`, `.env.dist`, `*.example`, `*.sample`, `*.template`, вміст каталогів `fixtures/`) пиши як `sample-secret`, а не як bare `secret`.
+
+`sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює **гарантовано** й незалежно від версії. Bare `secret` наразі не фіксується сканером лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка поведінка, що залежить від версії інструмента.
+
+- Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
+- Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
+
+Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `fix/sample_secret/check.mjs`.
+
+## Перевірка
+
+`npx @nitra/cursor check security`

package/scripts/utils/bun-sql-scan.mjs

@@ -784,9 +784,10 @@ export function findPgLibImportInText(content, virtualPath = 'scan.ts') {
  *   `LISTEN ` / `UNLISTEN ` / `NOTIFY ` (case-insensitive);
  * - `<obj>.on('notification', ...)` — pg-listener notification-подій (другий
  *   аргумент — функція; перший — точно рядок `'notification'`);
- * - TaggedTemplateExpression виду `sql\`LISTEN ...\`` — на випадок, якщо хтось
- *   використовує Bun SQL-tagged-template, а LISTEN/NOTIFY все одно лишається у
- *   тексті запиту (це не запрацює у Bun SQL, але як сигнал — приймаємо).
+ * - TaggedTemplateExpression виду sql tagged template з LISTEN/UNLISTEN/NOTIFY
+ *   на початку першого quasi — на випадок, якщо хтось використовує Bun
+ *   SQL-tagged-template, а LISTEN/NOTIFY все одно лишається у тексті запиту
+ *   (це не запрацює у Bun SQL, але як сигнал — приймаємо).
  *
  * Регістр SQL-слів не важливий, провідні пробіли допускаються.
  * @param {string} content вихідний код
@@ -873,8 +874,8 @@ function listenNotifyFromCallExpression(node) {
 }
 
 /**
- * Аналізує TaggedTemplateExpression `<tag>\`LISTEN ...\``: якщо перший quasi
- * починається з LISTEN/UNLISTEN/NOTIFY — повертає відповідний kind.
+ * Аналізує TaggedTemplateExpression: якщо перший quasi починається з
+ * LISTEN/UNLISTEN/NOTIFY — повертає відповідний kind.
  * @param {Record<string, unknown>} node AST node
  * @returns {'listen_sql' | 'notify_sql' | 'unlisten_sql' | null} kind знахідки
  */

package/scripts/utils/generated-markdown.mjs

@@ -0,0 +1,71 @@
+/**
+ * Утиліти генерації AGENTS.md / CLAUDE.md з шаблонів CLI `n-cursor`.
+ *
+ * Після розгортання Mustache-секцій і збирання рядків CLAUDE.md нормалізує markdown,
+ * щоб не лишати подвійні порожні рядки (MD012) між пунктами списку чи на стиках секцій.
+ */
+
+/**
+ * Згортає три й більше послідовних `\n` до рівно двох (один порожній рядок між блоками).
+ * @param {string} text вихідний markdown
+ * @returns {string} markdown без послідовностей з трьох і більше `\n`
+ */
+export function collapseMultipleBlankLines(text) {
+  return String(text).replaceAll(/\n{3,}/g, '\n\n')
+}
+
+/**
+ * Розгортає блок Mustache `{{#section}}…{{/section}}` для масиву елементів.
+ * Після `trim` тіла секції елементи зʼєднуються одним `\n` без зайвих порожніх рядків між ними.
+ * @param {string} template вихідний текст шаблону
+ * @param {string} section ім'я секції (наприклад services)
+ * @param {Record<string, string>[]} items елементи для повторення тіла секції
+ * @param {string} prop ключ поля для підстановки замість `{{prop}}`
+ * @returns {string} шаблон після підстановки всіх входжень блоку секції
+ */
+export function expandMustacheSection(template, section, items, prop) {
+  const open = `{{#${section}}}`
+  const close = `{{/${section}}}`
+  const placeholder = `{{${prop}}}`
+  let result = template
+  let start = result.indexOf(open)
+  let end = result.indexOf(close)
+  while (start !== -1 && end !== -1 && end > start) {
+    const inner = result.slice(start + open.length, end).trim()
+    const rendered = items.map(item => inner.split(placeholder).join(String(item[prop]))).join('\n')
+    result = result.slice(0, start) + rendered + result.slice(end + close.length)
+    start = result.indexOf(open)
+    end = result.indexOf(close)
+  }
+  return result
+}
+
+/**
+ * Підставляє у AGENTS.template.md списки правил, skills і команд.
+ * @param {string} templateText вміст AGENTS.template.md
+ * @param {string[]} mdcBasenames імена файлів (*.mdc) з .cursor/rules
+ * @param {{ name: string }[]} skillItems рядки для секції Skills
+ * @param {{ name: string }[]} commandItems рядки для секції commands
+ * @returns {string} готовий вміст AGENTS.md без подвійних порожніх рядків у списках
+ */
+export function renderAgentsTemplate(templateText, mdcBasenames, skillItems, commandItems) {
+  let result = templateText
+  const serviceItems = mdcBasenames.map(mdcName => ({
+    name: `- .cursor/rules/${mdcName}`
+  }))
+  result = expandMustacheSection(result, 'services', serviceItems, 'name')
+  result = expandMustacheSection(result, 'skills', skillItems, 'name')
+  result = expandMustacheSection(result, 'commands', commandItems, 'name')
+  return collapseMultipleBlankLines(result)
+}
+
+/**
+ * Збирає markdown з рядків, прибираючи подвійні порожні рядки на стиках секцій.
+ * @param {string[]} lines рядки документа
+ * @returns {string} зібраний markdown із завершальним `\n`
+ */
+export function formatGeneratedMarkdownLines(lines) {
+  const text = lines.join('\n')
+  const collapsed = collapseMultipleBlankLines(text)
+  return collapsed.endsWith('\n') ? collapsed : `${collapsed}\n`
+}