@nitra/cursor 1.13.75 → 1.13.76

package/CHANGELOG.md

@@ -4,6 +4,12 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.76] - 2026-05-22
+
+### Added
+
+- **`ga.workflow_common` — мінімальні версії marketplace actions у `uses:`:** `actions/checkout` >= major `v6` (`@v6` і `@v6.0.2` дозволені), `Infisical/secrets-action` >= `v1.0.16` (канон у `policy/workflow_common/template/uses-min-versions.snippet.json`; SHA-pin пропускається). `check-ga` передає template через `--data`. Bump `ga.mdc` `1.9` → `1.10`.
+
 ## [1.13.75] - 2026-05-22
 
 ### Removed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.75",
+  "version": "1.13.76",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/ga/fix/workflows/check.mjs

@@ -303,10 +303,14 @@ async function runAllGaRego(wfDir, ymlWorkflows, pass, fail) {
 
   if (ymlWorkflows.length === 0) return
   const wfFiles = ymlWorkflows.map(f => join(wfDir, f))
+  const workflowCommonDir = join(GA_POLICY_DIR, 'workflow_common')
+  const workflowCommonTpl = await loadTemplate(workflowCommonDir)
+  const usesMinVersionsSnippet = workflowCommonTpl['uses-min-versions']?.snippet
   const violations = runConftestBatch({
     policyDirRel: 'ga/workflow_common',
     namespace: 'ga.workflow_common',
-    files: wfFiles
+    files: wfFiles,
+    templateData: usesMinVersionsSnippet ? { snippet: usesMinVersionsSnippet } : undefined
   })
   for (const v of violations) fail(`${v.filename}: ${v.message}`)
   if (violations.length === 0) {

package/rules/ga/ga.mdc

@@ -1,6 +1,6 @@
 ---
 description: Правила форматів для .github/workflows
-version: '1.9'
+version: '1.10'
 globs: ".github/workflows/*.yml"
 alwaysApply: false
 ---
@@ -35,6 +35,13 @@ concurrency:
 
 - Канон: [git-ai.yml.snippet.yml](./policy/git_ai/template/git-ai.yml.snippet.yml)
 
+**Мінімальні версії marketplace actions** у `uses:` (перевіряє `ga.workflow_common`):
+
+- `actions/checkout` — **не нижче major `v6`** (`@v6`, `@v6.0.2` тощо дозволені; `@v5` — ні);
+- `Infisical/secrets-action` — **не нижче `v1.0.16`** (Node 24; нижчі теги лишаються на Node 20, deprecated з червня 2026).
+
+Канон: [uses-min-versions.snippet.json](./policy/workflow_common/template/uses-min-versions.snippet.json). SHA-pin (40 hex) semver-політику не застосовує. Для checkout рекомендується **`v6.0.2+`** (Node 24 у action), але мінімум політики — лише major **6**.
+
 **Локальний composite** (`uses: ./.github/actions/setup-bun-deps` або `./npm/github-actions/setup-bun-deps`): **спочатку** обов’язковий крок **`actions/checkout@v6`** (`persist-credentials: false`), інакше runner не знайде `action.yml`. Сам composite: **`actions/setup-node@v6`** (**Node 24**), **Bun**, **`actions/cache@v5`**, **`bun install --frozen-lockfile`**.
 
 **ЗАБОРОНЕНО** дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах. Завжди використовуй локальний composite action.

package/rules/ga/policy/workflow_common/template/uses-min-versions.snippet.json

@@ -0,0 +1,4 @@
+{
+  "actions/checkout": "6",
+  "Infisical/secrets-action": "1.0.16"
+}

package/rules/ga/policy/workflow_common/workflow_common.rego

@@ -55,6 +55,11 @@ setup_bun_no_checkout_template := concat(" ", [
 	"інакше runner не знайде action.yml (ga.mdc)",
 ])
 
+min_uses_version_template := concat(" ", [
+	"jobs.%s.steps[%d]: %s має бути >= v%s (зараз %q) —",
+	"онови ref у uses: (ga.mdc)",
+])
+
 forbidden_run_command_template := concat(" ", [
 	"jobs.%s.steps[%d]: `%s` заборонено у workflow —",
 	"мігровано на knip (js-lint.mdc, ga.mdc)",
@@ -147,6 +152,28 @@ deny contains msg if {
 	msg := "concurrency.cancel-in-progress має бути true (ga.mdc)"
 }
 
+# ── deny: мінімальні версії marketplace actions у `uses:` ─────────────────
+#
+# Канон — `template/uses-min-versions.snippet.json` (через --data).
+# Перевіряє semver-подібні теги `vX.Y.Z` / `vN`; SHA-pin (40 hex) пропускаємо.
+
+deny contains msg if {
+	some entry in all_flat_steps
+	uses := object.get(entry.step, "uses", "")
+	uses != ""
+	some action_slug, min_ver in data.template.snippet
+	action_uses_matches(uses, action_slug)
+	ref := action_uses_ref(uses)
+	not action_ref_meets_min(ref, min_ver)
+	msg := sprintf(min_uses_version_template, [
+		entry.job_id,
+		entry.step_index,
+		action_slug,
+		min_ver,
+		ref,
+	])
+}
+
 # ── helpers ────────────────────────────────────────────────────────────────
 
 # Об'єднаний рядок `uses` + `run` для одного кроку — для substring-пошуку
@@ -182,3 +209,65 @@ has_checkout_before(job, before) if {
 	uses := object.get(step, "uses", "")
 	contains(uses, "actions/checkout@")
 }
+
+# `uses:` починається з `owner/repo@` для заданого slug.
+action_uses_matches(uses, slug) if {
+	startswith(uses, concat("", [slug, "@"]))
+}
+
+# Ref після останнього `@` у `uses:` (owner/repo@ref).
+action_uses_ref(uses) := ref if {
+	parts := split(uses, "@")
+	count(parts) >= 2
+	ref := parts[count(parts) - 1]
+}
+
+# SHA-pin — semver-політика не застосовується.
+action_ref_is_sha_pin(ref) if {
+	regex.match(`^[0-9a-fA-F]{40}$`, ref)
+}
+
+# Semver ref >= min (обидва як X.Y.Z після optional `v`).
+action_ref_meets_min(ref, _) if {
+	action_ref_is_sha_pin(ref)
+}
+
+action_ref_meets_min(ref, min_ver) if {
+	not action_ref_is_sha_pin(ref)
+	version_triple_gte(version_triple(ref), version_triple(min_ver))
+}
+
+version_triple(raw) := [major, minor, patch] if {
+	stripped := trim_prefix(trim_prefix(raw, "v"), "V")
+	parts := split_to_numbers(stripped)
+	major := version_part(parts, 0)
+	minor := version_part(parts, 1)
+	patch := version_part(parts, 2)
+}
+
+version_part(parts, idx) := parts[idx] if {
+	count(parts) > idx
+}
+
+else := 0
+
+version_triple_gte(a, b) if {
+	a[0] > b[0]
+}
+
+version_triple_gte(a, b) if {
+	a[0] == b[0]
+	a[1] > b[1]
+}
+
+version_triple_gte(a, b) if {
+	a[0] == b[0]
+	a[1] == b[1]
+	a[2] >= b[2]
+}
+
+split_to_numbers(spec) := nums if {
+	tokens := regex.split(`\D+`, spec)
+	non_empty := [t | some t in tokens; t != ""]
+	nums := [n | some t in non_empty; n := to_number(t)]
+}