npm - @nitra/cursor - Versions diffs - 1.13.75 → 1.13.82 - Mend

@nitra/cursor 1.13.75 → 1.13.82

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (51) hide show

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,82 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.13.82] - 2026-05-23
+### Changed
+- **`rules/test`: виняток для `*_test.rego` файлів — лишаються поряд із полісі (OPA/Conftest community-конвенція)**:
+  - **Rego unit-тести (`*_test.rego`) лежать у тому самому каталозі, що й `<name>.rego`** — за загальноприйнятим патерном OPA/Conftest. `package <name>` (полісі) ↔ `package <name>_test` (тест) семантично зв'язані через `package`-декларації, а не локацію файлу; `conftest verify -p <dir>` рекурсивний, тож знаходить тест незалежно від місця, але спільнота тримає їх поруч (бачимо у OPA examples, Gatekeeper library, Datree, Styra DAS bundles). Це **легітимне відхилення** від внутрішньої JS-конвенції «`tests/` всюди» на користь OPA-ідіоми.
+  - `rules/test/test.mdc` v1.1 — додано **окрему секцію про виняток** для Rego: «`*_test.rego` лишаються поряд із полісі, бо це загальноприйнятий OPA/Conftest community-патерн» (з прикладом структури `policy/<concern>/{<name>.rego, <name>_test.rego, target.json}`).
+  - `rules/test/fix/location/check.mjs` — перевіряє **лише `*.test.mjs`**, `*_test.rego` свідомо виключено з область перевірки (зафіксовано у docstring).
+  - Додано test-case у `rules/test/fix/location/tests/check.test.mjs`: `*_test.rego` поряд із полісі НЕ є порушенням.
+- **Відкат переміщення `*_test.rego`**: 69 файлів, які раніше було помилково перенесено у `policy/<concern>/tests/<name>_test.rego`, повернуто у `policy/<concern>/<name>_test.rego` через `git mv`. Порожні `tests/` піддиректорії під `policy/` видалено.
+- **`npx @nitra/cursor check test`** охоплює лише JS-тести: «✅ Всі 77 файлів *.test.mjs у каталозі tests/». Rego-тести продовжують перевірятись через `conftest verify` у правилі `rego`.
+## [1.13.81] - 2026-05-23
+### Fixed
+- **`npm-module.package_structure`: carve-out для rule-name сегмента** у `classifyPublishedFileAsTest`. Раніше для шляху `rules/<X>/...` сегмент `<X>` піддавався TEST_DIR_NAMES-перевірці, що давало false positive на правилах із id, що збігається з test-style ім'ям (`test`, `tests`, `fixtures` тощо). Тепер сегмент індекс 1 (ім'я правила, коли індекс 0 — `rules`) пропускається; глибші сегменти (`rules/<r>/fix/<c>/tests/`) продовжують перевірятись.
+### Added
+- **Нове правило `test` (`npm/rules/test/`)** — програмний канон розміщення тестів (ADR `docs/adr/20260523-154806-...`):
+  - `test.mdc` — конвенція «`*.test.mjs` живуть у `tests/` поряд із джерелом», з описом спецвипадків (root `tests/`, fixtures у `tests/__fixtures__/` і `tests/fixtures/`, test-helpers як shared-infra).
+  - `fix/location/check.mjs` — обхід дерева `walkDir`'ом (зі стандартним skip-листом + `.n-cursor.json:ignore`); для кожного `*.test.mjs` басенейм батьківської директорії має бути `tests`, інакше fail з вказівкою куди перенести.
+  - `fix/location/tests/check.test.mjs` — 6 тестів самого правила (eats own dogfood).
+  - `auto.md` — auto-enable умова: «якщо у проекті є хоча б один файл `*.test.mjs`».
+  - Додано `"test"` у `.n-cursor.json:rules` репо `@nitra/cursor`.
+  - Додано `"ignore": [".claude/worktrees"]` у `.n-cursor.json` — щоб правило не звітувало про знімки в git worktrees.
+### Changed
+- **Тести переміщено з-поряд-із-файлом у `dir/tests/` піддиректорію** (ADR `docs/adr/20260523-154806-...`):
+  - **73 sibling-тести** у `rules/...` і `scripts/...`: для кожного `dir/X.test.mjs` → `dir/tests/X.test.mjs` із автоматичним оновленням relative imports.
+  - **3 integration-тести у `npm/tests/`** — без змін (вже відповідали конвенції).
+  - **`npm/scripts/utils/__fixtures__/`** → `npm/scripts/utils/tests/__fixtures__/`.
+  - **`npm/rules/nginx-default-tpl/fix/template/fixtures/`** → `.../tests/fixtures/`; посилання в `npm/tests/check-rule-fixtures.test.mjs` оновлено.
+  - Ручні фіксапи 4 тестів із HERE/`..` path patterns (sync-setup-bun-deps-action, inline-template-links, rules/adr/fix/hooks, rules/abie/utils/enabled) — додано додатковий `..`, бо тести стали на рівень глибше.
+  - `package.json#files` негативні globs (`!**/*.test.mjs`, `!**/__fixtures__/**`, `!**/fixtures/**`) працюють рекурсивно — без змін.
+  - **77 тестів** проходять у новому layout (76 існуючих + 1 нового правила): `bun test` 843 pass / 2 fail (обидва — pre-existing `with-lock` issues, не пов'язані).
+  - `npx @nitra/cursor check test` → `✅ Всі 77 файлів *.test.mjs у каталозі tests/ (test.mdc)`.
+## [1.13.79] - 2026-05-23
+### Changed
+- **Перенесення single-rule сканерів і canonical-конфігів з `npm/scripts/utils/` у `npm/rules/<rule>/fix/<sub>/`** (узгоджено з конвенцією `rules/ga/fix/workflows/`, `rules/nginx-default-tpl/fix/template/` тощо; ADR `docs/adr/20260523-114913-...`, який supersede `20260523-112217-...`):
+  - **js-lint** (`rules/js-lint/fix/tooling/`): `knip-canonical.json`, `oxlint-canonical.json`, `oxlint-canonical-skeleton.json`, `oxlint-rules.tsv`, `rebuild-oxlint-canonical.mjs`. Константи `OXLINT_CANONICAL_JSON_PATH` / `KNIP_CANONICAL_JSON_PATH` у `check.mjs` стали локальними (без 4-річневих `..`).
+  - **js-run** (`rules/js-run/fix/runtime/`): `bunyan-imports.mjs` (+test), `check-env-scan.mjs`, `conn-file-rules.mjs` (+test), `conn-imports-scan.mjs` (+test), `promise-settimeout-scan.mjs` (+test).
+  - **docker** (`rules/docker/fix/lint/`): `docker-hadolint.mjs` (+test), `docker-mirror.mjs`. `rules/docker/lint/lint.mjs` тепер імпортує з `../fix/lint/docker-hadolint.mjs`.
+  - **js-bun-db** (`rules/js-bun-db/fix/safety/`): `bun-sql-scan.mjs`.
+  - **js-mssql** (`rules/js-mssql/fix/deps/`): `mssql-pool-scan.mjs`.
+  - **changelog** (`rules/changelog/fix/consistency/`): `package-manifest.mjs` (+test).
+  - **vue** (`rules/vue/fix/packages/`): `vue-forbidden-imports.mjs` (+test).
+  - **graphql** (`rules/graphql/fix/tooling/`): `graphql-gql-scan.mjs`. Cross-rule імпорту немає: `extractVueScriptBlocks`, локалізована `contentForGqlScan` і власні `isGqlScanSourceFile` / `shouldSkipFileForGqlScan` (з власною source-regex і skip-list `.d.ts` / `auto-imports.d.ts` / `components.d.ts`) дубльовані всередині `graphql-gql-scan.mjs` — правила залишаються самодостатніми.
+  - **`scripts/auto-rules.mjs`** оновлено: імпорти переадресовано на нові локації трьох сканерів (`bun-sql-scan`, `graphql-gql-scan`, `vue-forbidden-imports`).
+  - **`.mdc`-документація** оновлена: `rules/js-lint/js-lint.mdc`, `rules/docker/docker.mdc`, `rules/vue/vue.mdc`, `.cursor/rules/n-js-lint.mdc`, `.cursor/rules/n-vue.mdc` — посилання на нові шляхи canonical-файлів і сканерів.
+## [1.13.78] - 2026-05-23
+### Changed
+- **abie / k8s / hasura — актуалізація посилань на неіснуючий `check-abie.mjs`:** після реструктуризації `rules/abie/` на `fix/<concern>/check.mjs` (+ Rego-пакети у `policy/`) монолітного `check-abie.mjs` більше немає; застарілі посилання в активних `.mdc`/`.rego`/`.mjs` (поза історичним `CHANGELOG.md`) оновлено:
+  - `npm/rules/abie/abie.mdc` — три згадки замінено: пер-документна перевірка HTTPRoute base hostnames → Rego `abie.http_route_base`; env-DNS-скан → `fix/env_dns/check.mjs`; cross-file/FS-логіку розбито за концернами (`hc_pairing/`, `ua_http_route/`, `ua_node_selector/`, `env_dns/`, `firebase_hosting/`) з поясненням, що `targetRef.name -hl` cross-check обчислюється з `hcp.metadata.name` у Rego.
+  - `npm/rules/abie/policy/{http_route_base,base_deployment_preem,health_check_policy}/*.rego` — у шапках замінено `npm/scripts/check-abie.mjs` на актуальні джерела: cross-file gating через `policy/<pkg>/target.json` (glob), rule-level applies-гейт у `fix/applies/check.mjs`, FS-парність HCP↔Deployment у `fix/hc_pairing/check.mjs`. Прибрано згадки видалених JS-функцій (`validateAbieHcPolicy`, `deploymentDocumentHasAbieBasePreemNodeSelector`).
+  - `npm/rules/k8s/k8s.mdc` — рядок про `targetRef -hl` для abie-проєктів вказує на Rego-пакет `abie.health_check_policy` + `abie.mdc` (замість `check-abie.mjs`).
+  - `npm/rules/hasura/fix/internal_urls/check.mjs` — у JSDoc згадку `check-abie` замінено на нейтральне «abie-перевірки».
+### Added
+- **`with-lock`:** атомарний `mkdirSync`-лок + SHA-256 fingerprint-дедуп для важких команд; пілот — `lint-ga` автоматично серіалізує паралельні запуски та пропускає дублікати при незміненому робочому дереві (TTL 10 хв). Нові модулі: `scripts/utils/worktree-fingerprint.mjs`, `scripts/utils/with-lock.mjs`.
+## [1.13.76] - 2026-05-22
+### Added
+- **`ga.workflow_common` — мінімальні версії marketplace actions у `uses:`:** `actions/checkout` >= major `v6` (`@v6` і `@v6.0.2` дозволені), `Infisical/secrets-action` >= `v1.0.16` (канон у `policy/workflow_common/template/uses-min-versions.snippet.json`; SHA-pin пропускається). `check-ga` передає template через `--data`. Bump `ga.mdc` `1.9` → `1.10`.
 ## [1.13.75] - 2026-05-22
 ### Removed

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.75",
+  "version": "1.13.82",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/abie.mdc CHANGED Viewed

@@ -36,7 +36,7 @@ spec:
 ### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`file-link-hl`**
-У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка в **`check-abie.mjs`**).
+У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка — Rego-пакет **`abie.http_route_base`**, див. розділ нижче).
 Ці **Service** (headless **`-hl`**) живуть у **базовому** неймспейсі **`dev`**. У маніфесті **HTTPRoute** під **`k8s`** (шар без **`ua/`** — наприклад **`…/k8s/base/hr.yaml`**) для кожного **`backendRefs`** до такого сервісу явно вкажи **`namespace: dev`** і порт **8080**:
@@ -133,7 +133,7 @@ KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
 `<namespace>` (наприклад `dev-apruv` / `ua-apruv`) — `metadata.name` цільового namespace після kustomize-overlay для відповідного середовища; `<service>` — `metadata.name` headless Service (`-hl`) того сервісу, до якого йде URL.
-**Перевірка `check-abie.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
+**Перевірка `fix/env_dns/check.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
 - DNS-суфікс відповідав env: `abie-dev.internal` / `abie-ua.internal`;
 - namespace починався з `dev-` / `ua-` відповідно.
@@ -170,4 +170,12 @@ bun add -d @nitra/abie-docs
 - **`clean_merged_ignore_branches/`** → `abie.clean_merged_ignore_branches` — у workflow `.github/workflows/clean-merged-branch.yml` крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches`, що містить токени `dev,ua` (case-insensitive). **Цільові файли:** `.github/workflows/clean-merged-branch.yml`.
 - **`package_json_docs/`** → `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). **Цільові файли:** `package.json`.
-Cross-file логіка (парність HCP↔Deployment у каталозі, обчислений `<deployment.name>-hl` для `targetRef.name`, валідація ua-overlay JSON6902 patches на HTTPRoute, env→cluster DNS, аналіз cross-namespace backendRefs у пакетах) лишається у **`check-abie.mjs`** — Rego не читає файлову систему й не робить cross-document резолюцію.
+Cross-file / FS-логіка лишається у JS-частинах (`fix/<concern>/check.mjs`) — Rego не читає файлову систему й не робить cross-document резолюцію:
+- парність HCP↔Deployment у каталозі та modeline `hc.yaml` — `fix/hc_pairing/check.mjs`;
+- валідація ua-overlay JSON6902 patches на HTTPRoute + аналіз cross-namespace `backendRefs` у пакетах — `fix/ua_http_route/check.mjs`;
+- ua-overlay JSON6902 patch на `Deployment.nodeSelector` (`preem: false`) — `fix/ua_node_selector/check.mjs`;
+- env→cluster DNS (`*.dev.env` / `*.ua.env`) — `fix/env_dns/check.mjs`;
+- скан артефактів Firebase Hosting у підкаталогах першого рівня — `fix/firebase_hosting/check.mjs`.
+Точна звірка `targetRef.name` HealthCheckPolicy з суфіксом `-hl` обчислюється з `hcp.metadata.name` і живе у Rego (`abie.health_check_policy`); за конвенцією `hcp.metadata.name` дорівнює `<deployment.name>`, тому окремий cross-file lookup до маніфесту Deployment не потрібен.

package/rules/abie/policy/base_deployment_preem/base_deployment_preem.rego CHANGED Viewed

@@ -1,19 +1,17 @@
-# Порт перевірки `deploymentDocumentHasAbieBasePreemNodeSelector` з
-# `npm/scripts/check-abie.mjs` (abie.mdc): кожен `Deployment` у файлах під
-# `…/k8s/.../base/…` має `spec.template.spec.nodeSelector.preem` зі
-# значенням, що вважається істинним (boolean `true` або рядок `"true"`
-# без урахування регістру). Overlay ua далі підміняє селектор
-# JSON6902-патчем на `preem: false`.
+# Перевірка (abie.mdc): кожен `Deployment` у файлах під `…/k8s/.../base/…` має
+# `spec.template.spec.nodeSelector.preem` зі значенням, що вважається істинним
+# (boolean `true` або рядок `"true"` без урахування регістру). Overlay ua далі
+# підміняє селектор JSON6902-патчем на `preem: false`
+# (див. `fix/ua_node_selector/check.mjs`).
 #
 # Запуск (локально, лише для одного base-YAML з Deployment):
 #   conftest test path/to/k8s/base/deployment.yaml \
-#     -p npm/policy/abie/base_deployment_preem \
+#     -p npm/rules/abie/policy/base_deployment_preem \
 #     --namespace abie.base_deployment_preem
 #
-# JS відбирає файли під `…/k8s/.../base/…` (через `isAbieK8sBaseYamlPath`) і
-# викликає conftest з цією намеспейс. JS authoritative (`check-abie.mjs`:
-# `deploymentDocumentHasAbieBasePreemNodeSelector` + `ensureAbieBaseDeploymentPreemNodeSelector`).
-# Cross-file gating (правило `abie` у `.n-cursor.json`, шлях файла) — у JS.
+# Cross-file gating: шлях `…/k8s/.../base/…` фільтрується через
+# `policy/base_deployment_preem/target.json` (glob). Rule-level applies-гейт —
+# `fix/applies/check.mjs` (поле `rules` у `.n-cursor.json`).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/rules/abie/policy/health_check_policy/health_check_policy.rego CHANGED Viewed

@@ -1,9 +1,8 @@
-# Порт структурної перевірки `HealthCheckPolicy` з
-# `npm/scripts/check-abie.mjs` (abie.mdc).
+# Структурна перевірка `HealthCheckPolicy` (abie.mdc).
 #
 # Запуск (локально):
 #   conftest test path/to/k8s/.../hc.yaml \
-#     -p npm/policy/abie/health_check_policy \
+#     -p npm/rules/abie/policy/health_check_policy \
 #     --namespace abie.health_check_policy
 #
 # Перевіряє для `kind: HealthCheckPolicy`:
@@ -14,12 +13,13 @@
 #    починається з `/`;
 #  - `spec.default.config.httpHealthCheck.port: 8080`;
 #  - `spec.targetRef.kind: Service`;
-#  - `spec.targetRef.name` має суфікс `-hl` (headless backend).
+#  - `spec.targetRef.name` — `<hcp.metadata.name>-hl` (exact, з нормалізацією
+#    суфікса).
 #
-# Cross-file gating (правило `abie` у `.n-cursor.json`, парність з Deployment-каталогу,
-# точна звірка `targetRef.name` з обчисленим `<deployment.name>-hl`) — у JS
-# (`check-abie.mjs`: `validateAbieHcPolicy`, `checkHcYamlFiles`). JS authoritative;
-# ця Rego — швидкий gate для одиничного YAML (наприклад через IDE).
+# Cross-file gating: glob по `hc.yaml` у k8s-дереві — у
+# `policy/health_check_policy/target.json`. FS-парність HCP↔Deployment та
+# modeline `hc.yaml` — `fix/hc_pairing/check.mjs`. Rule-level applies-гейт —
+# `fix/applies/check.mjs`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
@@ -122,8 +122,7 @@ deny contains msg if {
 }
 # Нормалізація: якщо `metadata.name` уже закінчується на `-hl` — використовуємо
-# як є; інакше додаємо суфікс. Узгоджено з `validateAbieHcPolicy`
-# у `check-abie.mjs`.
+# як є; інакше додаємо суфікс.
 expected_target_ref_name(name) := name if {
 	endswith(name, "-hl")
 } else := concat("", [name, "-hl"])

package/rules/abie/policy/http_route_base/http_route_base.rego CHANGED Viewed

@@ -1,15 +1,14 @@
-# Порт перевірки `HTTPRoute` у шарі `…/k8s/.../base/...` з
-# `npm/scripts/check-abie.mjs` (abie.mdc): дозволені лише hostnames з домену
-# `aiml.live` (включно з піддоменами та `*.aiml.live`).
+# Перевірка `HTTPRoute` у шарі `…/k8s/.../base/...` (abie.mdc): дозволені лише
+# hostnames з домену `aiml.live` (включно з піддоменами та `*.aiml.live`).
 #
 # Запуск (локально):
-#   conftest test path/to/k8s/base/hr.yaml -p npm/policy/abie \
+#   conftest test path/to/k8s/base/hr.yaml \
+#     -p npm/rules/abie/policy/http_route_base \
 #     --namespace abie.http_route_base
 #
-# Cross-file gating (саме шлях `…/base/…` визначає, чи застосовувати правило)
-# — у JS: conftest викликаємо лише на YAML-ах з base/. Тут — лише валідація вмісту
-# `spec.hostnames`. JS authoritative (`check-abie.mjs`) — ця Rego гейт для
-# одиничного YAML.
+# Cross-file gating (саме шлях `…/k8s/.../base/...` визначає, чи застосовувати
+# правило) задає glob у `policy/http_route_base/target.json`. Тут — лише
+# валідація вмісту `spec.hostnames`. Rule-level applies-гейт — `fix/applies/check.mjs`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/rules/changelog/fix/consistency/check.mjs CHANGED Viewed

@@ -28,7 +28,7 @@ import {
   manifestFilePath,
   parsePyprojectFields,
   readPackageManifest
-} from '../../../../scripts/utils/package-manifest.mjs'
+} from './package-manifest.mjs'
 const execFileAsync = promisify(execFile)
@@ -247,7 +247,7 @@ async function workspaceHasRelevantChangesAgainstBase(baseRef, ws, subWorkspaces
 /**
  * Версія з маніфесту на `baseRef`.
  * @param {string} baseRef параметр
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @returns {Promise<string | null>} результат
  */
 async function readBaseVersion(baseRef, manifest) {
@@ -308,8 +308,8 @@ async function defaultGetPublishedPyPiVersion(name) {
 }
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
  * @returns {Promise<string | null>} результат
  */
 function resolvePublishedVersion(manifest, getPublishedVersion) {
@@ -319,7 +319,7 @@ function resolvePublishedVersion(manifest, getPublishedVersion) {
 /**
  * @param {string} name пакет
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageKind} [kind] тип пакета
+ * @param {import('./package-manifest.mjs').PackageKind} [kind] тип пакета
  * @returns {Promise<string | null>} опублікована версія або null
  */
 function defaultGetPublishedVersion(name, kind = 'npm') {
@@ -330,14 +330,14 @@ function defaultGetPublishedVersion(name, kind = 'npm') {
 }
 /**
- * @returns {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} стандартний резолвер
+ * @returns {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} стандартний резолвер
  */
 function createDefaultGetPublishedVersion() {
   return defaultGetPublishedVersion
 }
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
  */
@@ -375,7 +375,7 @@ async function verifyChangelogEntry(ws, version, pass, fail) {
 }
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @returns {string} результат
  */
 function workspaceLabel(manifest) {
@@ -383,7 +383,7 @@ function workspaceLabel(manifest) {
 }
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {string} Vcurrent параметр
  * @param {string[]} subWorkspaces параметр
  * @param {(msg: string) => void} pass параметр
@@ -438,9 +438,9 @@ async function checkPublishedWorkspacePendingGitChanges(manifest, Vcurrent, subW
 }
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {string[]} subWorkspaces параметр
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @param {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
  * @returns {Promise<void>} результат
@@ -475,7 +475,7 @@ async function checkPublishedWorkspace(manifest, subWorkspaces, getPublishedVers
 /**
  * @param {string} comparisonRef ref/SHA для `git diff` / `git show`
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {string} baseLabel параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
@@ -507,7 +507,7 @@ async function checkLocalOnlyChangedWorkspace(comparisonRef, manifest, baseLabel
 }
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} localOnly параметр
+ * @param {import('./package-manifest.mjs').PackageManifest[]} localOnly параметр
  * @param {string[]} subWorkspaces параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
@@ -543,7 +543,7 @@ async function runLocalOnlyChecks(localOnly, subWorkspaces, pass, fail) {
 /**
  * @param {object} [opts] опції перевірки
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} [opts.getPublishedVersion] перевизначення npm/PyPI у тестах
+ * @param {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} [opts.getPublishedVersion] перевизначення npm/PyPI у тестах
  * @returns {Promise<number>} exit-код перевірки
  */
 export async function check(opts = {}) {
@@ -558,11 +558,11 @@ export async function check(opts = {}) {
   const isMonorepoRoot = subWorkspaces.length > 0
   /**
-  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+  @type {import('./package-manifest.mjs').PackageManifest[]}
    */
   const published = []
   /**
-  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+  @type {import('./package-manifest.mjs').PackageManifest[]}
    */
   const localOnly = []

package/{scripts/utils → rules/changelog/fix/consistency}/package-manifest.mjs RENAMED Viewed

@@ -8,7 +8,7 @@ import { dirname, join, relative } from 'node:path'
 import { parse as parseToml } from 'smol-toml'
-import { getMonorepoPackageRootDirs, isIgnoredWorkspaceRoot } from './workspaces.mjs'
+import { getMonorepoPackageRootDirs, isIgnoredWorkspaceRoot } from '../../../../scripts/utils/workspaces.mjs'
 /**
  * @typedef {'npm' | 'python'} PackageKind

package/rules/docker/docker.mdc CHANGED Viewed

@@ -7,7 +7,7 @@ alwaysApply: false
 # Docker — hadolint
-Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginxinc/nginx-unprivileged`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/nginxinc/nginx-unprivileged`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
+Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginxinc/nginx-unprivileged`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/nginxinc/nginx-unprivileged`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/rules/docker/fix/lint/docker-mirror.mjs`**.
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
@@ -99,7 +99,7 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 **Область lint-docker (вужча, ніж `check docker`):** лише файли з іменем **`Dockerfile`** та **`*.Dockerfile`** (суфікс **`.dockerfile`** без урахування регістру, наприклад **`api.Dockerfile`**). Файли **`Dockerfile.prod`**, **`Containerfile`** тощо **не** входять у **`lint-docker`**; їх ловить **`check docker`** (`check-docker.mjs`).
-Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`check-docker.mjs`**. Виклик **`hadolint`**: **`PATH`**, інакше **`docker run`** — спільна логіка **`npm/scripts/utils/docker-hadolint.mjs`**.
+Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`check-docker.mjs`**. Виклик **`hadolint`**: **`PATH`**, інакше **`docker run`** — спільна логіка **`npm/rules/docker/fix/lint/docker-hadolint.mjs`**.
 - Канон `package.json#scripts.lint-docker`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
@@ -109,7 +109,7 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 - Канон: [lint-docker.yml.snippet.yml](./policy/lint_docker_yml/template/lint-docker.yml.snippet.yml)
-Узгоджуй версію hadolint **v2.12.0** з **`HADOLINT_IMAGE`** у **`npm/scripts/utils/docker-hadolint.mjs`**.
+Узгоджуй версію hadolint **v2.12.0** з **`HADOLINT_IMAGE`** у **`npm/rules/docker/fix/lint/docker-hadolint.mjs`**.
 Кореневий скрипт **`lint`** (див. **`n-bun.mdc`**) **обов'язково** містить **`bun run lint-docker`**, коли в проєкті підключено правило **`docker`**.

package/rules/docker/fix/lint/check.mjs CHANGED Viewed

@@ -2,7 +2,7 @@
  * Запускає hadolint для Dockerfile / Containerfile у всьому репозиторії (див. docker.mdc).
  *
  * Додатково переконуються, що образи `oven/bun`, `alpine`, `nginx`, `node` з Docker Hub
- * вказуються через `mirror.gcr.io` (див. `utils/docker-mirror.mjs`).
+ * вказуються через `mirror.gcr.io` (див. `./docker-mirror.mjs`).
  *
  * Також перевіряє, що Dockerfile/Containerfile має **multistage build** і що фінальний stage
  * використовує дозволений runtime-образ (див. docker.mdc):
@@ -30,8 +30,8 @@
 import { readFile } from 'node:fs/promises'
 import { basename } from 'node:path'
-import { getMirrorGcrHint, getFromImageToken } from '../../../../scripts/utils/docker-mirror.mjs'
-import { lintDockerfileWithHadolint, posixRel } from '../../../../scripts/utils/docker-hadolint.mjs'
+import { getMirrorGcrHint, getFromImageToken } from './docker-mirror.mjs'
+import { lintDockerfileWithHadolint, posixRel } from './docker-hadolint.mjs'
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'

package/{scripts/utils → rules/docker/fix/lint}/docker-hadolint.mjs RENAMED Viewed

@@ -2,13 +2,13 @@
  * Спільна логіка виклику hadolint для шляхів до Dockerfile (див. docker.mdc).
  *
  * Відносні шляхи з прямими слешами для контейнера; спочатку hadolint з PATH,
- * інакше docker run з образом HADOLINT_IMAGE. Використовується check-docker.mjs та
- * run-docker.mjs.
+ * інакше docker run з образом HADOLINT_IMAGE. Використовується `./check.mjs`
+ * (check-docker) та `../../lint/lint.mjs` (run-docker).
  */
 import { spawnSync } from 'node:child_process'
 import { relative, sep } from 'node:path'
-import { resolveCmd } from './resolve-cmd.mjs'
+import { resolveCmd } from '../../../../scripts/utils/resolve-cmd.mjs'
 /** Тег образу для резервного запуску (узгоджуй з docker.mdc). */
 export const HADOLINT_IMAGE = 'hadolint/hadolint:v2.12.0'

package/rules/docker/lint/lint.mjs CHANGED Viewed

@@ -5,12 +5,12 @@
  * check docker, не обробляються Dockerfile.*, Containerfile тощо — лише канонічне ім’я
  * Dockerfile та варіанти виду app.Dockerfile (регістр суфікса не важливий).
  *
- * Виклик hadolint — через utils/docker-hadolint.mjs (PATH або docker run).
+ * Виклик hadolint — через ../fix/lint/docker-hadolint.mjs (PATH або docker run).
  */
 import { basename } from 'node:path'
 import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
-import { lintDockerfileWithHadolint, posixRel } from '../../../scripts/utils/docker-hadolint.mjs'
+import { lintDockerfileWithHadolint, posixRel } from '../fix/lint/docker-hadolint.mjs'
 import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../scripts/utils/walkDir.mjs'

package/rules/ga/fix/workflows/check.mjs CHANGED Viewed

@@ -303,10 +303,14 @@ async function runAllGaRego(wfDir, ymlWorkflows, pass, fail) {
   if (ymlWorkflows.length === 0) return
   const wfFiles = ymlWorkflows.map(f => join(wfDir, f))
+  const workflowCommonDir = join(GA_POLICY_DIR, 'workflow_common')
+  const workflowCommonTpl = await loadTemplate(workflowCommonDir)
+  const usesMinVersionsSnippet = workflowCommonTpl['uses-min-versions']?.snippet
   const violations = runConftestBatch({
     policyDirRel: 'ga/workflow_common',
     namespace: 'ga.workflow_common',
-    files: wfFiles
+    files: wfFiles,
+    templateData: usesMinVersionsSnippet ? { snippet: usesMinVersionsSnippet } : undefined
   })
   for (const v of violations) fail(`${v.filename}: ${v.message}`)
   if (violations.length === 0) {

package/rules/ga/ga.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: Правила форматів для .github/workflows
-version: '1.9'
+version: '1.10'
 globs: ".github/workflows/*.yml"
 alwaysApply: false
 ---
@@ -35,6 +35,13 @@ concurrency:
 - Канон: [git-ai.yml.snippet.yml](./policy/git_ai/template/git-ai.yml.snippet.yml)
+**Мінімальні версії marketplace actions** у `uses:` (перевіряє `ga.workflow_common`):
+- `actions/checkout` — **не нижче major `v6`** (`@v6`, `@v6.0.2` тощо дозволені; `@v5` — ні);
+- `Infisical/secrets-action` — **не нижче `v1.0.16`** (Node 24; нижчі теги лишаються на Node 20, deprecated з червня 2026).
+Канон: [uses-min-versions.snippet.json](./policy/workflow_common/template/uses-min-versions.snippet.json). SHA-pin (40 hex) semver-політику не застосовує. Для checkout рекомендується **`v6.0.2+`** (Node 24 у action), але мінімум політики — лише major **6**.
 **Локальний composite** (`uses: ./.github/actions/setup-bun-deps` або `./npm/github-actions/setup-bun-deps`): **спочатку** обов’язковий крок **`actions/checkout@v6`** (`persist-credentials: false`), інакше runner не знайде `action.yml`. Сам composite: **`actions/setup-node@v6`** (**Node 24**), **Bun**, **`actions/cache@v5`**, **`bun install --frozen-lockfile`**.
 **ЗАБОРОНЕНО** дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах. Завжди використовуй локальний composite action.

package/rules/ga/lint/lint.mjs CHANGED Viewed

@@ -29,6 +29,7 @@ import { platform } from 'node:process'
 import { check as checkGa } from '../fix/workflows/check.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { runLintStep } from '../../../scripts/utils/run-lint-step.mjs'
+import { withLock } from '../../../scripts/utils/with-lock.mjs'
 /**
  * Опис залежності preflight-ом: бінарник, для чого потрібен, і команди встановлення.
@@ -147,7 +148,7 @@ function preflight(dep) {
  * Першу помилку від actionlint/zizmor/check повертаємо як код виходу; наступні кроки не запускаються.
  * @returns {Promise<number>} 0 — все OK, інакше — код першого кроку, що впав
  */
-export async function runLintGaCli() {
+async function runLintGaSteps() {
   let preflightOk = true
   for (const dep of [SHELLCHECK_PREFLIGHT, UV_PREFLIGHT, CONFTEST_PREFLIGHT]) {
     if (!preflight(dep)) preflightOk = false
@@ -163,3 +164,5 @@ export async function runLintGaCli() {
   console.log('\n▶ check-ga (rego-полісі npm/policy/ga/ + JS cross-file перевірки)')
   return await checkGa()
 }
+export const runLintGaCli = () => withLock('lint-ga', runLintGaSteps)

package/rules/ga/policy/workflow_common/template/uses-min-versions.snippet.json ADDED Viewed

@@ -0,0 +1,4 @@
+{
+  "actions/checkout": "6",
+  "Infisical/secrets-action": "1.0.16"
+}