@nitra/cursor 1.13.75 → 1.13.82

package/rules/ga/policy/workflow_common/workflow_common.rego

@@ -55,6 +55,11 @@ setup_bun_no_checkout_template := concat(" ", [
 	"інакше runner не знайде action.yml (ga.mdc)",
 ])
 
+min_uses_version_template := concat(" ", [
+	"jobs.%s.steps[%d]: %s має бути >= v%s (зараз %q) —",
+	"онови ref у uses: (ga.mdc)",
+])
+
 forbidden_run_command_template := concat(" ", [
 	"jobs.%s.steps[%d]: `%s` заборонено у workflow —",
 	"мігровано на knip (js-lint.mdc, ga.mdc)",
@@ -147,6 +152,28 @@ deny contains msg if {
 	msg := "concurrency.cancel-in-progress має бути true (ga.mdc)"
 }
 
+# ── deny: мінімальні версії marketplace actions у `uses:` ─────────────────
+#
+# Канон — `template/uses-min-versions.snippet.json` (через --data).
+# Перевіряє semver-подібні теги `vX.Y.Z` / `vN`; SHA-pin (40 hex) пропускаємо.
+
+deny contains msg if {
+	some entry in all_flat_steps
+	uses := object.get(entry.step, "uses", "")
+	uses != ""
+	some action_slug, min_ver in data.template.snippet
+	action_uses_matches(uses, action_slug)
+	ref := action_uses_ref(uses)
+	not action_ref_meets_min(ref, min_ver)
+	msg := sprintf(min_uses_version_template, [
+		entry.job_id,
+		entry.step_index,
+		action_slug,
+		min_ver,
+		ref,
+	])
+}
+
 # ── helpers ────────────────────────────────────────────────────────────────
 
 # Об'єднаний рядок `uses` + `run` для одного кроку — для substring-пошуку
@@ -182,3 +209,65 @@ has_checkout_before(job, before) if {
 	uses := object.get(step, "uses", "")
 	contains(uses, "actions/checkout@")
 }
+
+# `uses:` починається з `owner/repo@` для заданого slug.
+action_uses_matches(uses, slug) if {
+	startswith(uses, concat("", [slug, "@"]))
+}
+
+# Ref після останнього `@` у `uses:` (owner/repo@ref).
+action_uses_ref(uses) := ref if {
+	parts := split(uses, "@")
+	count(parts) >= 2
+	ref := parts[count(parts) - 1]
+}
+
+# SHA-pin — semver-політика не застосовується.
+action_ref_is_sha_pin(ref) if {
+	regex.match(`^[0-9a-fA-F]{40}$`, ref)
+}
+
+# Semver ref >= min (обидва як X.Y.Z після optional `v`).
+action_ref_meets_min(ref, _) if {
+	action_ref_is_sha_pin(ref)
+}
+
+action_ref_meets_min(ref, min_ver) if {
+	not action_ref_is_sha_pin(ref)
+	version_triple_gte(version_triple(ref), version_triple(min_ver))
+}
+
+version_triple(raw) := [major, minor, patch] if {
+	stripped := trim_prefix(trim_prefix(raw, "v"), "V")
+	parts := split_to_numbers(stripped)
+	major := version_part(parts, 0)
+	minor := version_part(parts, 1)
+	patch := version_part(parts, 2)
+}
+
+version_part(parts, idx) := parts[idx] if {
+	count(parts) > idx
+}
+
+else := 0
+
+version_triple_gte(a, b) if {
+	a[0] > b[0]
+}
+
+version_triple_gte(a, b) if {
+	a[0] == b[0]
+	a[1] > b[1]
+}
+
+version_triple_gte(a, b) if {
+	a[0] == b[0]
+	a[1] == b[1]
+	a[2] >= b[2]
+}
+
+split_to_numbers(spec) := nums if {
+	tokens := regex.split(`\D+`, spec)
+	non_empty := [t | some t in tokens; t != ""]
+	nums := [n | some t in non_empty; n := to_number(t)]
+}

package/rules/graphql/fix/tooling/check.mjs

@@ -15,7 +15,7 @@ import {
   isGqlScanSourceFile,
   shouldSkipFileForGqlScan,
   sourceFileHasGqlTaggedTemplate
-} from '../../../../scripts/utils/graphql-gql-scan.mjs'
+} from './graphql-gql-scan.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'

package/{scripts/utils → rules/graphql/fix/tooling}/graphql-gql-scan.mjs

@@ -1,18 +1,45 @@
 /**
  * Пошук tagged template **`gql\`…\``** у джерелах для правила graphql.mdc.
  *
- * Для **`.vue`** береться лише вміст `<script>` / `<script setup>` (спільна логіка з **vue-forbidden-imports**).
+ * Для **`.vue`** береться лише вміст `<script>` / `<script setup>` (паралельна реалізація екстрактора;
+ * аналог у `rules/vue/fix/packages/vue-forbidden-imports.mjs` — модулі не діляться кодом, щоб уникати
+ * cross-rule імпортів і тримати кожне правило самодостатнім).
  * Семантику визначає **oxc-parser** (`program`): рекурсивний обхід AST, збіг лише для **Identifier** з іменем **`gql`** як тега шаблону.
  */
 import { parseSync } from 'oxc-parser'
 
-import {
-  contentForVueImportScan,
-  isVueImportScanSourceFile,
-  shouldSkipFileForVueImportScan
-} from './vue-forbidden-imports.mjs'
-
 const VUE_EXTENSION_RE = /\.vue$/u
+const SOURCE_FILE_RE = /\.(vue|[cm]?[jt]sx?)$/u
+const VUE_SCRIPT_BLOCK_RE = /<script\b[^>]*>([\s\S]*?)<\/script>/gi
+
+/**
+ * Витягує з SFC лише код усередині `<script>` блоків, ігноруючи `<template>` і `<style>`.
+ * @param {string} sfc вміст .vue файлу
+ * @returns {string} конкатенований текст усіх блоків `<script>` (через подвійний переклад рядка)
+ */
+function extractVueScriptBlocks(sfc) {
+  const chunks = []
+  VUE_SCRIPT_BLOCK_RE.lastIndex = 0
+  let m = VUE_SCRIPT_BLOCK_RE.exec(sfc)
+  while (m) {
+    chunks.push(m[1])
+    m = VUE_SCRIPT_BLOCK_RE.exec(sfc)
+  }
+  return chunks.join('\n\n')
+}
+
+/**
+ * Підбирає текст для сканування: для .vue — лише script-блоки, інакше — увесь вміст.
+ * @param {string} content сирий вміст файлу
+ * @param {string} filePath відносний шлях (для вибору режиму)
+ * @returns {string} текст для `parseSync`
+ */
+function contentForGqlScan(content, filePath) {
+  if (filePath.endsWith('.vue')) {
+    return extractVueScriptBlocks(content)
+  }
+  return content
+}
 
 /**
  * Мова для Oxc за шляхом файлу (розширення).
@@ -81,7 +108,7 @@ function astContainsGqlTag(node) {
  * @returns {boolean} true, якщо знайдено `gql`…``
  */
 export function sourceFileHasGqlTaggedTemplate(content, relativePath) {
-  const scan = contentForVueImportScan(content, relativePath)
+  const scan = contentForGqlScan(content, relativePath)
   const pathForLang = virtualPathForParse(relativePath)
   const lang = langFromPath(pathForLang)
   try {
@@ -96,19 +123,27 @@ export function sourceFileHasGqlTaggedTemplate(content, relativePath) {
 }
 
 /**
- * Чи підлягає файл скануванню за розширенням (узгоджено з vue-import scan).
+ * Чи підлягає файл скануванню за розширенням (`.vue`, `.[cm]?[jt]sx?`).
  * @param {string} relativePath відносний шлях
  * @returns {boolean} true якщо файл підлягає скануванню
  */
 export function isGqlScanSourceFile(relativePath) {
-  return isVueImportScanSourceFile(relativePath)
+  return SOURCE_FILE_RE.test(relativePath)
 }
 
 /**
- * Чи пропустити файл (декларації, auto-imports) — ті самі критерії, що для vue-import scan.
+ * Чи пропустити файл (декларації, auto-imports/components.d.ts) — типові generated-файли,
+ * у яких немає авторського коду з gql-тегами.
  * @param {string} relativePosix шлях з posix-слешами
  * @returns {boolean} true якщо файл потрібно пропустити
  */
 export function shouldSkipFileForGqlScan(relativePosix) {
-  return shouldSkipFileForVueImportScan(relativePosix)
+  const base = relativePosix.split('/').pop() || ''
+  if (base === 'auto-imports.d.ts' || base === 'components.d.ts') {
+    return true
+  }
+  if (relativePosix.endsWith('.d.ts')) {
+    return true
+  }
+  return false
 }

package/rules/hasura/fix/internal_urls/check.mjs

@@ -5,7 +5,7 @@
  *
  * Запускається лише якщо в кореневому `package.json` поле `repository`
  * вказує на `https://github.com/nitra/...` або `https://github.com/abinbevefes/...`
- * (інші репозиторії пропускаються без помилок — як у check-abie).
+ * (інші репозиторії пропускаються без помилок — як у abie-перевірках).
  *
  * Очікуваний формат URL — кластерний DNS-суфікс `<cluster>.internal`:
  *  - GKE / GCP: `http://<service>.<namespace>.svc.<cluster>.internal:<port>`

package/{scripts/utils → rules/js-bun-db/fix/safety}/bun-sql-scan.mjs

@@ -27,7 +27,7 @@ import {
   parseProgramOrNull,
   templateQuasisText,
   walkAstWithAncestors
-} from './ast-scan-utils.mjs'
+} from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const BUN_SQL_IMPORT_RE = /\bimport\s*\{[\s\S]*?\b(sql|SQL)\b[\s\S]*?\}\s*from\s*["']bun["']/u

package/rules/js-bun-db/fix/safety/check.mjs

@@ -48,7 +48,7 @@ import {
   isBunSqlScanSourceFile,
   textHasBunSqlImport,
   textHasPgLibImport
-} from '../../../../scripts/utils/bun-sql-scan.mjs'
+} from './bun-sql-scan.mjs'
 import { findAllPackageJsonPaths } from '../../../../scripts/utils/find-package-json-paths.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'

package/rules/js-lint/fix/tooling/check.mjs

@@ -2,7 +2,7 @@
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
  * Flat ESLint з getConfig і ignore для auto-imports,
- * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
+ * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/rules/js-lint/fix/tooling/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
  * globals, ignorePatterns. Також перевіряє workspace `package.json` на `type: "module"`
  * і `engines`, workflow-дубль у `lint.yml`, `knip.json` autofill і застарілі `.eslintrc*`.
@@ -20,24 +20,12 @@ import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mj
 /** Шлях до канонічного oxlint JSON у цьому пакеті (для перевірки та тестів). */
 export const OXLINT_CANONICAL_JSON_PATH = join(
   dirname(fileURLToPath(import.meta.url)),
-  '..',
-  '..',
-  '..',
-  '..',
-  'scripts',
-  'utils',
   'oxlint-canonical.json'
 )
 
 /** Шлях до канонічного knip JSON у цьому пакеті — копіюється у корінь проєкту-споживача, якщо відсутній. */
 export const KNIP_CANONICAL_JSON_PATH = join(
   dirname(fileURLToPath(import.meta.url)),
-  '..',
-  '..',
-  '..',
-  '..',
-  'scripts',
-  'utils',
   'knip-canonical.json'
 )
 
@@ -166,7 +154,7 @@ export function verifyOxlintRcAgainstCanonical(cfg, canonical) {
 
     if (!deepEqualOxlintCanonical(actual, expected)) {
       failures.push(
-        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/scripts/utils/oxlint-canonical.json)`
+        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/rules/js-lint/fix/tooling/oxlint-canonical.json)`
       )
     }
   }
@@ -396,7 +384,7 @@ async function checkKnipConfig(passFn, failFn) {
     return
   }
   await copyFile(KNIP_CANONICAL_JSON_PATH, 'knip.json')
-  passFn('knip.json створено з канонічного npm/scripts/utils/knip-canonical.json (js-lint.mdc)')
+  passFn('knip.json створено з канонічного npm/rules/js-lint/fix/tooling/knip-canonical.json (js-lint.mdc)')
 }
 
 /**

package/{scripts/utils → rules/js-lint/fix/tooling}/rebuild-oxlint-canonical.mjs

@@ -2,7 +2,7 @@
  * Збирає `oxlint-canonical.json` з `oxlint-canonical-skeleton.json` (без поля rules) та списку
  * правил у `oxlint-rules.tsv` (колонки: ім’я правила, TAB, severity: deny | off | error).
  *
- * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./scripts/utils/rebuild-oxlint-canonical.mjs`,
+ * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/fix/tooling/rebuild-oxlint-canonical.mjs`,
  * потім скопіюй оновлений канон у корінь споживача як `.oxlintrc.json` за потреби.
  */
 import { readFileSync, writeFileSync } from 'node:fs'

package/rules/js-lint/js-lint.mdc

@@ -25,7 +25,7 @@ version: '1.23'
 
 У `.vscode/extensions.json` `recommendations` мають містити `dbaeumer.vscode-eslint`, `github.vscode-github-actions`, `oxc.oxc-vscode`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
 
-У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/scripts/utils/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**). Поле **`ignorePatterns`** працює як **`rules`**: канонічні патерни з **`oxlint-canonical.json`** (наразі **`**/schema.graphql`**, **`**/auto-imports.d.ts`**) мають бути присутні, додаткові локальні glob-и дозволені. Оновити канон можна з репозиторію пакета або скопіювавши файл після **`bun ./scripts/utils/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.8.0**), oxlint підвантажує його з **`node_modules`**.
+У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/rules/js-lint/fix/tooling/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**). Поле **`ignorePatterns`** працює як **`rules`**: канонічні патерни з **`oxlint-canonical.json`** (наразі **`**/schema.graphql`**, **`**/auto-imports.d.ts`**) мають бути присутні, додаткові локальні glob-и дозволені. Оновити канон можна з репозиторію пакета або скопіювавши файл після **`bun ./rules/js-lint/fix/tooling/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.8.0**), oxlint підвантажує його з **`node_modules`**.
 
 Мінімум для розуміння структури (реальний корінь конфігу має збігатися з каноном повністю):
 
@@ -62,7 +62,7 @@ version: '1.23'
 
 Перевірку невикористаних залежностей і експортів виконує **knip** (заміна `depcheck`). Викликається у скрипті `lint-js` і в CI разом з oxlint/eslint/jscpd — окремий крок у CI не потрібен.
 
-У корені проєкту має бути **`knip.json`**, який стартує з канонічного baseline з пакета `@nitra/cursor` — файл [`npm/scripts/utils/knip-canonical.json`](../scripts/utils/knip-canonical.json). Він покриває типові false-positives для наших правил: `entry` зі CLI-конфігами (eslint, stylelint, oxlint, jscpd, markdownlint-cli2, `commitlint`), `project` для `**/*.{js,mjs,cjs,jsx,ts,tsx,mts,cts}`, `ignore` для `**/__fixtures__/**`, `ignoreDependencies` для пакетів, посилання на які є лише в не-JS-конфігах (`@nitra/cspell-dict`, `/@cspell\/dict-.+/`), і `ignoreBinaries` для CLI, які канон вимагає викликати через `npx`/`bunx` і яких заборонено додавати в `devDependencies` (`actionlint`, `cspell`, `depcheck`, `eslint`, `git-ai`, `jscpd`, `markdownlint-cli2`, `oxfmt`, `oxlint`, `shellcheck`, `uvx`, `v8r`, `zizmor`).
+У корені проєкту має бути **`knip.json`**, який стартує з канонічного baseline з пакета `@nitra/cursor` — файл [`npm/rules/js-lint/fix/tooling/knip-canonical.json`](./fix/tooling/knip-canonical.json). Він покриває типові false-positives для наших правил: `entry` зі CLI-конфігами (eslint, stylelint, oxlint, jscpd, markdownlint-cli2, `commitlint`), `project` для `**/*.{js,mjs,cjs,jsx,ts,tsx,mts,cts}`, `ignore` для `**/__fixtures__/**`, `ignoreDependencies` для пакетів, посилання на які є лише в не-JS-конфігах (`@nitra/cspell-dict`, `/@cspell\/dict-.+/`), і `ignoreBinaries` для CLI, які канон вимагає викликати через `npx`/`bunx` і яких заборонено додавати в `devDependencies` (`actionlint`, `cspell`, `depcheck`, `eslint`, `git-ai`, `jscpd`, `markdownlint-cli2`, `oxfmt`, `oxlint`, `shellcheck`, `uvx`, `v8r`, `zizmor`).
 
 Якщо `knip.json` відсутній — `npx @nitra/cursor check js-lint` копіює канон у корінь проєкту (side effect). Після створення модифікуй файл під свій проєкт як завгодно: перевіряємо лише наявність, зміст подальших змін не валідується.
 

package/rules/js-mssql/fix/deps/check.mjs

@@ -22,7 +22,7 @@ import {
   findUnsafeMssqlInListUnparsedInText,
   findUnsafeMssqlInListMissingEmptyGuardInText,
   isMssqlScanSourceFile
-} from '../../../../scripts/utils/mssql-pool-scan.mjs'
+} from './mssql-pool-scan.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 

package/{scripts/utils → rules/js-mssql/fix/deps}/mssql-pool-scan.mjs

@@ -30,7 +30,7 @@ import {
   normalizeSnippet,
   offsetToLine,
   walkAstWithAncestors
-} from './ast-scan-utils.mjs'
+} from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
 const IN_PLACEHOLDER_END_RE = /\bin\s*\(\s*$/iu

package/{scripts/utils → rules/js-run/fix/runtime}/bunyan-imports.mjs

@@ -18,7 +18,7 @@ import {
   offsetToLine,
   requireCallModule,
   walkAstWithAncestors
-} from './ast-scan-utils.mjs'
+} from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const FORBIDDEN_MODULES = new Set(['@nitra/bunyan', 'bunyan'])

package/{scripts/utils → rules/js-run/fix/runtime}/check-env-scan.mjs

@@ -29,7 +29,7 @@
  * Якщо ключ обчислюваний (`process.env[varName]`) — пропускаємо без помилки,
  * бо за статичним AST неможливо встановити, яка саме змінна оточення використовується.
  */
-import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from './ast-scan-utils.mjs'
+import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const IGNORE_DIRECTIVE_RE = /\/\/\s*@nitra\/cursor\s+ignore-next-line\s+checkEnv\b/u

package/rules/js-run/fix/runtime/check.mjs

@@ -40,22 +40,22 @@ import {
   findBunyanImportsInText,
   isBunyanScanSourceFile,
   shouldSkipFileForBunyanScan
-} from '../../../../scripts/utils/bunyan-imports.mjs'
-import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from '../../../../scripts/utils/check-env-scan.mjs'
+} from './bunyan-imports.mjs'
+import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './check-env-scan.mjs'
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { findConnFileRuleViolations, isConnFileRulesSourceFile } from '../../../../scripts/utils/conn-file-rules.mjs'
+import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
   isConnImportsScanSourceFile,
   isInsideConnDir,
   resolveConnDirFromPackageJson
-} from '../../../../scripts/utils/conn-imports-scan.mjs'
+} from './conn-imports-scan.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import {
   findPromiseSetTimeoutInText,
   isPromiseSetTimeoutScanSourceFile
-} from '../../../../scripts/utils/promise-settimeout-scan.mjs'
+} from './promise-settimeout-scan.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'
 

package/{scripts/utils → rules/js-run/fix/runtime}/conn-file-rules.mjs

@@ -14,7 +14,7 @@
  * Парсимо через oxc-parser; коли файл не парситься — повертаємо порожні результати, щоб
  * не змішувати помилки синтаксису з порушеннями цього правила.
  */
-import { parseProgramOrNull } from './ast-scan-utils.mjs'
+import { parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 

package/{scripts/utils → rules/js-run/fix/runtime}/conn-imports-scan.mjs

@@ -16,7 +16,7 @@
  * використовується. Якщо файл не парситься — повертаємо порожній результат, спочатку
  * треба полагодити синтаксис.
  */
-import { langFromPath, normalizeSnippet, offsetToLine } from './ast-scan-utils.mjs'
+import { langFromPath, normalizeSnippet, offsetToLine } from '../../../../scripts/utils/ast-scan-utils.mjs'
 import { parseSync } from 'oxc-parser'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u

package/{scripts/utils → rules/js-run/fix/runtime}/promise-settimeout-scan.mjs

@@ -12,7 +12,7 @@
  * Сканер не вимагає, щоб файл компілювався: при синтаксичних помилках повертається
  * порожній результат (як інші сканери — спочатку треба полагодити синтаксис).
  */
-import { normalizeSnippet, offsetToLine, parseProgramOrNull } from './ast-scan-utils.mjs'
+import { normalizeSnippet, offsetToLine, parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
 

package/rules/k8s/k8s.mdc

@@ -375,7 +375,7 @@ images:
 
    Для `$schema` у першому рядку див. приклад **HealthCheckPolicy** у тому ж розділі (datree CRDs-catalog).
 
-   **`spec.targetRef`** (типово **`kind: Service`**) має вказувати на **headless** сервіс — ім’я з суфіксом **`-hl`** (див. **«Service: `svc.yaml` і `svc-hl.yaml`»**); для проєктів **abie** точні умови — **`check-abie.mjs`** / **abie.mdc**.
+   **`spec.targetRef`** (типово **`kind: Service`**) має вказувати на **headless** сервіс — ім’я з суфіксом **`-hl`** (див. **«Service: `svc.yaml` і `svc-hl.yaml`»**); для проєктів **abie** точні умови — Rego-пакет **`abie.health_check_policy`** + **abie.mdc**.
 
    За потреби розшир **`target`** (`name`, `namespace`), щоб однозначно вказати об’єкт.
 

package/rules/npm-module/fix/package_structure/check.mjs

@@ -453,6 +453,11 @@ export function findTestFrameworkImport(content, virtualPath) {
  * Класифікує опублікований файл як test/fixture, якщо хоча б одна з ознак:
  * (1) у шляху є каталог із `TEST_DIR_NAMES`; (2) basename відповідає
  * `TEST_FILE_PATTERNS`; (3) для JS/TS-розширень — імпорт test-фреймворку.
+ *
+ * Carve-out: для шляху `rules/<rule-name>/...` сегмент `<rule-name>` (індекс 1)
+ * — це ім'я правила, а не каталог. Зокрема, правило з id `test` (або `tests`)
+ * описує конвенцію розміщення тестів і саме по собі не є test-fixture'ом.
+ * Подальші сегменти (наприклад, `rules/<r>/fix/<c>/tests/`) продовжують перевірятись.
  * @param {string} relPath posix-шлях відносно `npm/`
  * @returns {Promise<string | null>} причина порушення або `null`
  */
@@ -460,7 +465,12 @@ export async function classifyPublishedFileAsTest(relPath) {
   const segments = relPath.split('/')
   const base = segments.at(-1)
   const dirs = segments.slice(0, -1)
-  const testDir = dirs.find(seg => TEST_DIR_NAMES.has(seg.toLowerCase()))
+  const testDir = dirs.find((seg, idx) => {
+    if (idx === 1 && dirs[0] === 'rules') {
+      return false
+    }
+    return TEST_DIR_NAMES.has(seg.toLowerCase())
+  })
   if (testDir) return `test-style каталог "${testDir}/"`
   if (TEST_FILE_PATTERNS.some(re => re.test(base))) return `test-style ім'я файлу`
   if (JS_LIKE_EXT_RE.test(base)) {

package/rules/test/auto.md

@@ -0,0 +1 @@
+якщо у проекті є хоча б один файл `*.test.mjs`

package/rules/test/fix/location/check.mjs

@@ -0,0 +1,77 @@
+/**
+ * Перевіряє, що всі `*.test.mjs` лежать у каталозі `tests/` (а не поряд із джерельним файлом).
+ *
+ * Конвенція (test.mdc): `dir/foo.mjs` → тест у `dir/tests/foo.test.mjs`.
+ * `*_test.rego` виключені: Rego unit-тести живуть поряд із полісі (OPA community convention).
+ *
+ * Пропускає: `node_modules`, `.git`, `dist`, `build`, `.venv`, `venv` (через `walkDir`)
+ * і шляхи з `.n-cursor.json:ignore`.
+ */
+import { basename, dirname, relative } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+
+const TESTS_DIR_NAME = 'tests'
+
+/**
+ * Чи файл є JS-тестом (`*.test.mjs`).
+ * @param {string} absPath абсолютний шлях
+ * @returns {boolean}
+ */
+function isTestFile(absPath) {
+  return basename(absPath).endsWith('.test.mjs')
+}
+
+/**
+ * Перевіряє, чи лежить тест у каталозі з іменем `tests`.
+ * @param {string} absPath абсолютний шлях до тесту
+ * @returns {boolean} `true`, якщо басенейм батьківської директорії — `tests`
+ */
+function isInsideTestsDir(absPath) {
+  return basename(dirname(absPath)) === TESTS_DIR_NAME
+}
+
+/**
+ * Перевіряє розміщення тестових файлів у каталозі `tests/` (test.mdc).
+ * @returns {Promise<number>} 0 — всі тести у `tests/`, 1 — є порушення
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const cwd = process.cwd()
+  const ignorePaths = await loadCursorIgnorePaths(cwd)
+
+  /** @type {string[]} */
+  const offenders = []
+  let totalTests = 0
+
+  await walkDir(
+    cwd,
+    absPath => {
+      if (!isTestFile(absPath)) {
+        return
+      }
+      totalTests++
+      if (!isInsideTestsDir(absPath)) {
+        offenders.push(relative(cwd, absPath))
+      }
+    },
+    ignorePaths
+  )
+
+  if (offenders.length === 0) {
+    pass(`Всі ${totalTests} файлів *.test.mjs у каталозі tests/ (test.mdc)`)
+    return reporter.getExitCode()
+  }
+
+  for (const offenderPath of offenders) {
+    const parentDir = dirname(offenderPath)
+    const base = basename(offenderPath)
+    fail(`${offenderPath}: тест має лежати у tests/ — перенеси у ${parentDir}/${TESTS_DIR_NAME}/${base} (test.mdc)`)
+  }
+
+  return reporter.getExitCode()
+}

package/rules/test/test.mdc

@@ -0,0 +1,60 @@
+---
+description: JS-тести (*.test.mjs) живуть у каталозі tests/ поряд із джерельним файлом, а не безпосередньо в тій же директорії
+version: '1.1'
+alwaysApply: true
+---
+
+## Конвенція розміщення тестів
+
+JS-тести у пакеті лежать у **піддиректорії `tests/`** поряд із кодом, який тестується, а **не безпосередньо біля джерельного файлу**.
+
+```
+rules/foo/fix/bar/
+├── check.mjs               ← JS-джерело
+└── tests/
+    └── check.test.mjs      ← тест check.mjs
+```
+
+**Чому так:**
+
+- Каталог-з-кодом залишається чистим: продакшен-модулі, политики, темплейти не миготять серед тестових файлів.
+- Один погляд на дерево показує, що піде у npm tarball (все, крім `tests/` і `__fixtures__/` — їх ловить `package.json#files` через негативні globs).
+- Якщо тест переростає у мульти-файловий — він уже у власному каталозі, без хаотичного розкидання.
+
+**Виняток — Rego unit-тести (`*_test.rego`):** лишаються **поряд із полісі-файлом** відповідно до загальноприйнятого OPA/Conftest community-патерну. `conftest verify -p <dir>` рекурсивно підхоплює їх незалежно від місця в каталозі.
+
+```
+rules/foo/policy/package_json/
+├── package_json.rego       ← Rego-правило
+├── package_json_test.rego  ← Rego unit-тести (поряд, не у tests/)
+└── target.json
+```
+
+**Спеціальні випадки:**
+
+- **Integration-тести на рівні пакета** — у `<root>/tests/` (наприклад `npm/tests/`). Це не «біля файлу», а виокремлений каталог для тестів, що покривають весь пакет.
+- **Fixtures**: `__fixtures__/` (для shared) і `fixtures/` (для rule-specific) також живуть **усередині `tests/`**: `tests/__fixtures__/...` і `tests/fixtures/...`.
+- **Test helpers** (`test-helpers.mjs`) можуть лишатися у `scripts/utils/` як shared infra — конвенція стосується файлів `*.test.mjs`.
+
+**Гарантії tarball-чистоти** через `package.json#files`:
+
+```json
+"files": [
+  "...",
+  "!**/*.test.mjs",
+  "!**/*_test.rego",
+  "!**/__fixtures__/**",
+  "!**/fixtures/**",
+  "!**/test-helpers.mjs"
+]
+```
+
+Recursive globs ловлять файли всередині `tests/` так само, як ловили б їх біля джерела.
+
+## Що перевіряє правило
+
+`npx @nitra/cursor check test` (concern `location`) проходить деревом пакета й перевіряє: **кожен `*.test.mjs` файл лежить усередині каталогу з ім'ям `tests`** (точне співпадіння басенейму батьківської директорії). Файли поза цим каталогом репортуються з порадою куди їх перенести.
+
+`*_test.rego` перевіркою **не охоплюються** — вони не переміщуються.
+
+Пропускаються: `node_modules`, `.git`, `dist`, `build`, `.venv`, `venv`, шляхи з `.n-cursor.json:ignore`.

package/rules/vue/fix/packages/check.mjs

@@ -15,7 +15,7 @@
  * натомість використовуй `mode` з `defineConfig(({ mode }) => ...)`.
  *
  * Заборонені явні value-імпорти з `vue` у джерелах пакета — сканування `.vue`/`.ts`/`.js` тощо
- * через **oxc-parser** (`module.staticImports`; див. `utils/vue-forbidden-imports.mjs`); дозволені лише type-only та side-effect `import 'vue'`.
+ * через **oxc-parser** (`module.staticImports`; див. `./vue-forbidden-imports.mjs`); дозволені лише type-only та side-effect `import 'vue'`.
  *
  * Окремо в `.vue` SFC заборонено імпорти Node-нативних модулів — `node:*` префікс або bare-ім’я
  * вбудованого модуля Node (`fs`, `path`, `timers/promises` тощо). Vue SFC виконується у браузері,
@@ -31,7 +31,7 @@ import {
   findForbiddenVueImportsInSourceFile,
   isVueImportScanSourceFile,
   shouldSkipFileForVueImportScan
-} from '../../../../scripts/utils/vue-forbidden-imports.mjs'
+} from './vue-forbidden-imports.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'

package/rules/vue/vue.mdc

@@ -341,4 +341,4 @@ import path from 'node:path'
 
 ## Перевірка
 
-`npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, наявність **`src/vite-env.d.ts`** з `/// <reference types="vite/client" />` та **`jsconfig.json`** у корені Vue-пакета; обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue` (дозволені лише type-only та side-effect `import 'vue'`) і додатково сканує `.vue` SFC на імпорти Node-нативних модулів (`node:*` префікс або bare-ім’я вбудованого модуля Node — `fs`, `path`, `timers/promises` тощо). Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/scripts/utils/vue-forbidden-imports.mjs`).
+`npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, наявність **`src/vite-env.d.ts`** з `/// <reference types="vite/client" />` та **`jsconfig.json`** у корені Vue-пакета; обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue` (дозволені лише type-only та side-effect `import 'vue'`) і додатково сканує `.vue` SFC на імпорти Node-нативних модулів (`node:*` префікс або bare-ім’я вбудованого модуля Node — `fs`, `path`, `timers/promises` тощо). Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/rules/vue/fix/packages/vue-forbidden-imports.mjs`).