@nitra/cursor 1.13.76 → 1.13.82

package/CHANGELOG.md

@@ -4,6 +4,76 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.82] - 2026-05-23
+
+### Changed
+
+- **`rules/test`: виняток для `*_test.rego` файлів — лишаються поряд із полісі (OPA/Conftest community-конвенція)**:
+  - **Rego unit-тести (`*_test.rego`) лежать у тому самому каталозі, що й `<name>.rego`** — за загальноприйнятим патерном OPA/Conftest. `package <name>` (полісі) ↔ `package <name>_test` (тест) семантично зв'язані через `package`-декларації, а не локацію файлу; `conftest verify -p <dir>` рекурсивний, тож знаходить тест незалежно від місця, але спільнота тримає їх поруч (бачимо у OPA examples, Gatekeeper library, Datree, Styra DAS bundles). Це **легітимне відхилення** від внутрішньої JS-конвенції «`tests/` всюди» на користь OPA-ідіоми.
+  - `rules/test/test.mdc` v1.1 — додано **окрему секцію про виняток** для Rego: «`*_test.rego` лишаються поряд із полісі, бо це загальноприйнятий OPA/Conftest community-патерн» (з прикладом структури `policy/<concern>/{<name>.rego, <name>_test.rego, target.json}`).
+  - `rules/test/fix/location/check.mjs` — перевіряє **лише `*.test.mjs`**, `*_test.rego` свідомо виключено з область перевірки (зафіксовано у docstring).
+  - Додано test-case у `rules/test/fix/location/tests/check.test.mjs`: `*_test.rego` поряд із полісі НЕ є порушенням.
+- **Відкат переміщення `*_test.rego`**: 69 файлів, які раніше було помилково перенесено у `policy/<concern>/tests/<name>_test.rego`, повернуто у `policy/<concern>/<name>_test.rego` через `git mv`. Порожні `tests/` піддиректорії під `policy/` видалено.
+- **`npx @nitra/cursor check test`** охоплює лише JS-тести: «✅ Всі 77 файлів *.test.mjs у каталозі tests/». Rego-тести продовжують перевірятись через `conftest verify` у правилі `rego`.
+
+## [1.13.81] - 2026-05-23
+
+### Fixed
+
+- **`npm-module.package_structure`: carve-out для rule-name сегмента** у `classifyPublishedFileAsTest`. Раніше для шляху `rules/<X>/...` сегмент `<X>` піддавався TEST_DIR_NAMES-перевірці, що давало false positive на правилах із id, що збігається з test-style ім'ям (`test`, `tests`, `fixtures` тощо). Тепер сегмент індекс 1 (ім'я правила, коли індекс 0 — `rules`) пропускається; глибші сегменти (`rules/<r>/fix/<c>/tests/`) продовжують перевірятись.
+
+### Added
+
+- **Нове правило `test` (`npm/rules/test/`)** — програмний канон розміщення тестів (ADR `docs/adr/20260523-154806-...`):
+  - `test.mdc` — конвенція «`*.test.mjs` живуть у `tests/` поряд із джерелом», з описом спецвипадків (root `tests/`, fixtures у `tests/__fixtures__/` і `tests/fixtures/`, test-helpers як shared-infra).
+  - `fix/location/check.mjs` — обхід дерева `walkDir`'ом (зі стандартним skip-листом + `.n-cursor.json:ignore`); для кожного `*.test.mjs` басенейм батьківської директорії має бути `tests`, інакше fail з вказівкою куди перенести.
+  - `fix/location/tests/check.test.mjs` — 6 тестів самого правила (eats own dogfood).
+  - `auto.md` — auto-enable умова: «якщо у проекті є хоча б один файл `*.test.mjs`».
+  - Додано `"test"` у `.n-cursor.json:rules` репо `@nitra/cursor`.
+  - Додано `"ignore": [".claude/worktrees"]` у `.n-cursor.json` — щоб правило не звітувало про знімки в git worktrees.
+
+### Changed
+
+- **Тести переміщено з-поряд-із-файлом у `dir/tests/` піддиректорію** (ADR `docs/adr/20260523-154806-...`):
+  - **73 sibling-тести** у `rules/...` і `scripts/...`: для кожного `dir/X.test.mjs` → `dir/tests/X.test.mjs` із автоматичним оновленням relative imports.
+  - **3 integration-тести у `npm/tests/`** — без змін (вже відповідали конвенції).
+  - **`npm/scripts/utils/__fixtures__/`** → `npm/scripts/utils/tests/__fixtures__/`.
+  - **`npm/rules/nginx-default-tpl/fix/template/fixtures/`** → `.../tests/fixtures/`; посилання в `npm/tests/check-rule-fixtures.test.mjs` оновлено.
+  - Ручні фіксапи 4 тестів із HERE/`..` path patterns (sync-setup-bun-deps-action, inline-template-links, rules/adr/fix/hooks, rules/abie/utils/enabled) — додано додатковий `..`, бо тести стали на рівень глибше.
+  - `package.json#files` негативні globs (`!**/*.test.mjs`, `!**/__fixtures__/**`, `!**/fixtures/**`) працюють рекурсивно — без змін.
+  - **77 тестів** проходять у новому layout (76 існуючих + 1 нового правила): `bun test` 843 pass / 2 fail (обидва — pre-existing `with-lock` issues, не пов'язані).
+  - `npx @nitra/cursor check test` → `✅ Всі 77 файлів *.test.mjs у каталозі tests/ (test.mdc)`.
+
+## [1.13.79] - 2026-05-23
+
+### Changed
+
+- **Перенесення single-rule сканерів і canonical-конфігів з `npm/scripts/utils/` у `npm/rules/<rule>/fix/<sub>/`** (узгоджено з конвенцією `rules/ga/fix/workflows/`, `rules/nginx-default-tpl/fix/template/` тощо; ADR `docs/adr/20260523-114913-...`, який supersede `20260523-112217-...`):
+  - **js-lint** (`rules/js-lint/fix/tooling/`): `knip-canonical.json`, `oxlint-canonical.json`, `oxlint-canonical-skeleton.json`, `oxlint-rules.tsv`, `rebuild-oxlint-canonical.mjs`. Константи `OXLINT_CANONICAL_JSON_PATH` / `KNIP_CANONICAL_JSON_PATH` у `check.mjs` стали локальними (без 4-річневих `..`).
+  - **js-run** (`rules/js-run/fix/runtime/`): `bunyan-imports.mjs` (+test), `check-env-scan.mjs`, `conn-file-rules.mjs` (+test), `conn-imports-scan.mjs` (+test), `promise-settimeout-scan.mjs` (+test).
+  - **docker** (`rules/docker/fix/lint/`): `docker-hadolint.mjs` (+test), `docker-mirror.mjs`. `rules/docker/lint/lint.mjs` тепер імпортує з `../fix/lint/docker-hadolint.mjs`.
+  - **js-bun-db** (`rules/js-bun-db/fix/safety/`): `bun-sql-scan.mjs`.
+  - **js-mssql** (`rules/js-mssql/fix/deps/`): `mssql-pool-scan.mjs`.
+  - **changelog** (`rules/changelog/fix/consistency/`): `package-manifest.mjs` (+test).
+  - **vue** (`rules/vue/fix/packages/`): `vue-forbidden-imports.mjs` (+test).
+  - **graphql** (`rules/graphql/fix/tooling/`): `graphql-gql-scan.mjs`. Cross-rule імпорту немає: `extractVueScriptBlocks`, локалізована `contentForGqlScan` і власні `isGqlScanSourceFile` / `shouldSkipFileForGqlScan` (з власною source-regex і skip-list `.d.ts` / `auto-imports.d.ts` / `components.d.ts`) дубльовані всередині `graphql-gql-scan.mjs` — правила залишаються самодостатніми.
+  - **`scripts/auto-rules.mjs`** оновлено: імпорти переадресовано на нові локації трьох сканерів (`bun-sql-scan`, `graphql-gql-scan`, `vue-forbidden-imports`).
+  - **`.mdc`-документація** оновлена: `rules/js-lint/js-lint.mdc`, `rules/docker/docker.mdc`, `rules/vue/vue.mdc`, `.cursor/rules/n-js-lint.mdc`, `.cursor/rules/n-vue.mdc` — посилання на нові шляхи canonical-файлів і сканерів.
+
+## [1.13.78] - 2026-05-23
+
+### Changed
+
+- **abie / k8s / hasura — актуалізація посилань на неіснуючий `check-abie.mjs`:** після реструктуризації `rules/abie/` на `fix/<concern>/check.mjs` (+ Rego-пакети у `policy/`) монолітного `check-abie.mjs` більше немає; застарілі посилання в активних `.mdc`/`.rego`/`.mjs` (поза історичним `CHANGELOG.md`) оновлено:
+  - `npm/rules/abie/abie.mdc` — три згадки замінено: пер-документна перевірка HTTPRoute base hostnames → Rego `abie.http_route_base`; env-DNS-скан → `fix/env_dns/check.mjs`; cross-file/FS-логіку розбито за концернами (`hc_pairing/`, `ua_http_route/`, `ua_node_selector/`, `env_dns/`, `firebase_hosting/`) з поясненням, що `targetRef.name -hl` cross-check обчислюється з `hcp.metadata.name` у Rego.
+  - `npm/rules/abie/policy/{http_route_base,base_deployment_preem,health_check_policy}/*.rego` — у шапках замінено `npm/scripts/check-abie.mjs` на актуальні джерела: cross-file gating через `policy/<pkg>/target.json` (glob), rule-level applies-гейт у `fix/applies/check.mjs`, FS-парність HCP↔Deployment у `fix/hc_pairing/check.mjs`. Прибрано згадки видалених JS-функцій (`validateAbieHcPolicy`, `deploymentDocumentHasAbieBasePreemNodeSelector`).
+  - `npm/rules/k8s/k8s.mdc` — рядок про `targetRef -hl` для abie-проєктів вказує на Rego-пакет `abie.health_check_policy` + `abie.mdc` (замість `check-abie.mjs`).
+  - `npm/rules/hasura/fix/internal_urls/check.mjs` — у JSDoc згадку `check-abie` замінено на нейтральне «abie-перевірки».
+
+### Added
+
+- **`with-lock`:** атомарний `mkdirSync`-лок + SHA-256 fingerprint-дедуп для важких команд; пілот — `lint-ga` автоматично серіалізує паралельні запуски та пропускає дублікати при незміненому робочому дереві (TTL 10 хв). Нові модулі: `scripts/utils/worktree-fingerprint.mjs`, `scripts/utils/with-lock.mjs`.
+
 ## [1.13.76] - 2026-05-22
 
 ### Added

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.76",
+  "version": "1.13.82",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/abie.mdc

@@ -36,7 +36,7 @@ spec:
 
 ### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`file-link-hl`**
 
-У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка в **`check-abie.mjs`**).
+У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка — Rego-пакет **`abie.http_route_base`**, див. розділ нижче).
 
 Ці **Service** (headless **`-hl`**) живуть у **базовому** неймспейсі **`dev`**. У маніфесті **HTTPRoute** під **`k8s`** (шар без **`ua/`** — наприклад **`…/k8s/base/hr.yaml`**) для кожного **`backendRefs`** до такого сервісу явно вкажи **`namespace: dev`** і порт **8080**:
 
@@ -133,7 +133,7 @@ KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
 
 `<namespace>` (наприклад `dev-apruv` / `ua-apruv`) — `metadata.name` цільового namespace після kustomize-overlay для відповідного середовища; `<service>` — `metadata.name` headless Service (`-hl`) того сервісу, до якого йде URL.
 
-**Перевірка `check-abie.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
+**Перевірка `fix/env_dns/check.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
 
 - DNS-суфікс відповідав env: `abie-dev.internal` / `abie-ua.internal`;
 - namespace починався з `dev-` / `ua-` відповідно.
@@ -170,4 +170,12 @@ bun add -d @nitra/abie-docs
 - **`clean_merged_ignore_branches/`** → `abie.clean_merged_ignore_branches` — у workflow `.github/workflows/clean-merged-branch.yml` крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches`, що містить токени `dev,ua` (case-insensitive). **Цільові файли:** `.github/workflows/clean-merged-branch.yml`.
 - **`package_json_docs/`** → `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). **Цільові файли:** `package.json`.
 
-Cross-file логіка (парність HCP↔Deployment у каталозі, обчислений `<deployment.name>-hl` для `targetRef.name`, валідація ua-overlay JSON6902 patches на HTTPRoute, env→cluster DNS, аналіз cross-namespace backendRefs у пакетах) лишається у **`check-abie.mjs`** — Rego не читає файлову систему й не робить cross-document резолюцію.
+Cross-file / FS-логіка лишається у JS-частинах (`fix/<concern>/check.mjs`) — Rego не читає файлову систему й не робить cross-document резолюцію:
+
+- парність HCP↔Deployment у каталозі та modeline `hc.yaml` — `fix/hc_pairing/check.mjs`;
+- валідація ua-overlay JSON6902 patches на HTTPRoute + аналіз cross-namespace `backendRefs` у пакетах — `fix/ua_http_route/check.mjs`;
+- ua-overlay JSON6902 patch на `Deployment.nodeSelector` (`preem: false`) — `fix/ua_node_selector/check.mjs`;
+- env→cluster DNS (`*.dev.env` / `*.ua.env`) — `fix/env_dns/check.mjs`;
+- скан артефактів Firebase Hosting у підкаталогах першого рівня — `fix/firebase_hosting/check.mjs`.
+
+Точна звірка `targetRef.name` HealthCheckPolicy з суфіксом `-hl` обчислюється з `hcp.metadata.name` і живе у Rego (`abie.health_check_policy`); за конвенцією `hcp.metadata.name` дорівнює `<deployment.name>`, тому окремий cross-file lookup до маніфесту Deployment не потрібен.

package/rules/abie/policy/base_deployment_preem/base_deployment_preem.rego

@@ -1,19 +1,17 @@
-# Порт перевірки `deploymentDocumentHasAbieBasePreemNodeSelector` з
-# `npm/scripts/check-abie.mjs` (abie.mdc): кожен `Deployment` у файлах під
-# `…/k8s/.../base/…` має `spec.template.spec.nodeSelector.preem` зі
-# значенням, що вважається істинним (boolean `true` або рядок `"true"`
-# без урахування регістру). Overlay ua далі підміняє селектор
-# JSON6902-патчем на `preem: false`.
+# Перевірка (abie.mdc): кожен `Deployment` у файлах під `…/k8s/.../base/…` має
+# `spec.template.spec.nodeSelector.preem` зі значенням, що вважається істинним
+# (boolean `true` або рядок `"true"` без урахування регістру). Overlay ua далі
+# підміняє селектор JSON6902-патчем на `preem: false`
+# (див. `fix/ua_node_selector/check.mjs`).
 #
 # Запуск (локально, лише для одного base-YAML з Deployment):
 #   conftest test path/to/k8s/base/deployment.yaml \
-#     -p npm/policy/abie/base_deployment_preem \
+#     -p npm/rules/abie/policy/base_deployment_preem \
 #     --namespace abie.base_deployment_preem
 #
-# JS відбирає файли під `…/k8s/.../base/…` (через `isAbieK8sBaseYamlPath`) і
-# викликає conftest з цією намеспейс. JS authoritative (`check-abie.mjs`:
-# `deploymentDocumentHasAbieBasePreemNodeSelector` + `ensureAbieBaseDeploymentPreemNodeSelector`).
-# Cross-file gating (правило `abie` у `.n-cursor.json`, шлях файла) — у JS.
+# Cross-file gating: шлях `…/k8s/.../base/…` фільтрується через
+# `policy/base_deployment_preem/target.json` (glob). Rule-level applies-гейт —
+# `fix/applies/check.mjs` (поле `rules` у `.n-cursor.json`).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/rules/abie/policy/health_check_policy/health_check_policy.rego

@@ -1,9 +1,8 @@
-# Порт структурної перевірки `HealthCheckPolicy` з
-# `npm/scripts/check-abie.mjs` (abie.mdc).
+# Структурна перевірка `HealthCheckPolicy` (abie.mdc).
 #
 # Запуск (локально):
 #   conftest test path/to/k8s/.../hc.yaml \
-#     -p npm/policy/abie/health_check_policy \
+#     -p npm/rules/abie/policy/health_check_policy \
 #     --namespace abie.health_check_policy
 #
 # Перевіряє для `kind: HealthCheckPolicy`:
@@ -14,12 +13,13 @@
 #    починається з `/`;
 #  - `spec.default.config.httpHealthCheck.port: 8080`;
 #  - `spec.targetRef.kind: Service`;
-#  - `spec.targetRef.name` має суфікс `-hl` (headless backend).
+#  - `spec.targetRef.name` — `<hcp.metadata.name>-hl` (exact, з нормалізацією
+#    суфікса).
 #
-# Cross-file gating (правило `abie` у `.n-cursor.json`, парність з Deployment-каталогу,
-# точна звірка `targetRef.name` з обчисленим `<deployment.name>-hl`) — у JS
-# (`check-abie.mjs`: `validateAbieHcPolicy`, `checkHcYamlFiles`). JS authoritative;
-# ця Rego — швидкий gate для одиничного YAML (наприклад через IDE).
+# Cross-file gating: glob по `hc.yaml` у k8s-дереві — у
+# `policy/health_check_policy/target.json`. FS-парність HCP↔Deployment та
+# modeline `hc.yaml` — `fix/hc_pairing/check.mjs`. Rule-level applies-гейт —
+# `fix/applies/check.mjs`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
@@ -122,8 +122,7 @@ deny contains msg if {
 }
 
 # Нормалізація: якщо `metadata.name` уже закінчується на `-hl` — використовуємо
-# як є; інакше додаємо суфікс. Узгоджено з `validateAbieHcPolicy`
-# у `check-abie.mjs`.
+# як є; інакше додаємо суфікс.
 expected_target_ref_name(name) := name if {
 	endswith(name, "-hl")
 } else := concat("", [name, "-hl"])

package/rules/abie/policy/http_route_base/http_route_base.rego

@@ -1,15 +1,14 @@
-# Порт перевірки `HTTPRoute` у шарі `…/k8s/.../base/...` з
-# `npm/scripts/check-abie.mjs` (abie.mdc): дозволені лише hostnames з домену
-# `aiml.live` (включно з піддоменами та `*.aiml.live`).
+# Перевірка `HTTPRoute` у шарі `…/k8s/.../base/...` (abie.mdc): дозволені лише
+# hostnames з домену `aiml.live` (включно з піддоменами та `*.aiml.live`).
 #
 # Запуск (локально):
-#   conftest test path/to/k8s/base/hr.yaml -p npm/policy/abie \
+#   conftest test path/to/k8s/base/hr.yaml \
+#     -p npm/rules/abie/policy/http_route_base \
 #     --namespace abie.http_route_base
 #
-# Cross-file gating (саме шлях `…/base/…` визначає, чи застосовувати правило)
-# — у JS: conftest викликаємо лише на YAML-ах з base/. Тут — лише валідація вмісту
-# `spec.hostnames`. JS authoritative (`check-abie.mjs`) — ця Rego гейт для
-# одиничного YAML.
+# Cross-file gating (саме шлях `…/k8s/.../base/...` визначає, чи застосовувати
+# правило) задає glob у `policy/http_route_base/target.json`. Тут — лише
+# валідація вмісту `spec.hostnames`. Rule-level applies-гейт — `fix/applies/check.mjs`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/rules/changelog/fix/consistency/check.mjs

@@ -28,7 +28,7 @@ import {
   manifestFilePath,
   parsePyprojectFields,
   readPackageManifest
-} from '../../../../scripts/utils/package-manifest.mjs'
+} from './package-manifest.mjs'
 
 const execFileAsync = promisify(execFile)
 
@@ -247,7 +247,7 @@ async function workspaceHasRelevantChangesAgainstBase(baseRef, ws, subWorkspaces
 /**
  * Версія з маніфесту на `baseRef`.
  * @param {string} baseRef параметр
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @returns {Promise<string | null>} результат
  */
 async function readBaseVersion(baseRef, manifest) {
@@ -308,8 +308,8 @@ async function defaultGetPublishedPyPiVersion(name) {
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
  * @returns {Promise<string | null>} результат
  */
 function resolvePublishedVersion(manifest, getPublishedVersion) {
@@ -319,7 +319,7 @@ function resolvePublishedVersion(manifest, getPublishedVersion) {
 
 /**
  * @param {string} name пакет
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageKind} [kind] тип пакета
+ * @param {import('./package-manifest.mjs').PackageKind} [kind] тип пакета
  * @returns {Promise<string | null>} опублікована версія або null
  */
 function defaultGetPublishedVersion(name, kind = 'npm') {
@@ -330,14 +330,14 @@ function defaultGetPublishedVersion(name, kind = 'npm') {
 }
 
 /**
- * @returns {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} стандартний резолвер
+ * @returns {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} стандартний резолвер
  */
 function createDefaultGetPublishedVersion() {
   return defaultGetPublishedVersion
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
  */
@@ -375,7 +375,7 @@ async function verifyChangelogEntry(ws, version, pass, fail) {
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @returns {string} результат
  */
 function workspaceLabel(manifest) {
@@ -383,7 +383,7 @@ function workspaceLabel(manifest) {
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {string} Vcurrent параметр
  * @param {string[]} subWorkspaces параметр
  * @param {(msg: string) => void} pass параметр
@@ -438,9 +438,9 @@ async function checkPublishedWorkspacePendingGitChanges(manifest, Vcurrent, subW
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {string[]} subWorkspaces параметр
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
+ * @param {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} getPublishedVersion параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
  * @returns {Promise<void>} результат
@@ -475,7 +475,7 @@ async function checkPublishedWorkspace(manifest, subWorkspaces, getPublishedVers
 
 /**
  * @param {string} comparisonRef ref/SHA для `git diff` / `git show`
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest} manifest параметр
+ * @param {import('./package-manifest.mjs').PackageManifest} manifest параметр
  * @param {string} baseLabel параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
@@ -507,7 +507,7 @@ async function checkLocalOnlyChangedWorkspace(comparisonRef, manifest, baseLabel
 }
 
 /**
- * @param {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]} localOnly параметр
+ * @param {import('./package-manifest.mjs').PackageManifest[]} localOnly параметр
  * @param {string[]} subWorkspaces параметр
  * @param {(msg: string) => void} pass параметр
  * @param {(msg: string) => void} fail параметр
@@ -543,7 +543,7 @@ async function runLocalOnlyChecks(localOnly, subWorkspaces, pass, fail) {
 
 /**
  * @param {object} [opts] опції перевірки
- * @param {(name: string, kind?: import('../../../../scripts/utils/package-manifest.mjs').PackageKind) => Promise<string | null>} [opts.getPublishedVersion] перевизначення npm/PyPI у тестах
+ * @param {(name: string, kind?: import('./package-manifest.mjs').PackageKind) => Promise<string | null>} [opts.getPublishedVersion] перевизначення npm/PyPI у тестах
  * @returns {Promise<number>} exit-код перевірки
  */
 export async function check(opts = {}) {
@@ -558,11 +558,11 @@ export async function check(opts = {}) {
   const isMonorepoRoot = subWorkspaces.length > 0
 
   /**
-  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+  @type {import('./package-manifest.mjs').PackageManifest[]}
    */
   const published = []
   /**
-  @type {import('../../../../scripts/utils/package-manifest.mjs').PackageManifest[]}
+  @type {import('./package-manifest.mjs').PackageManifest[]}
    */
   const localOnly = []
 

package/{scripts/utils → rules/changelog/fix/consistency}/package-manifest.mjs

@@ -8,7 +8,7 @@ import { dirname, join, relative } from 'node:path'
 
 import { parse as parseToml } from 'smol-toml'
 
-import { getMonorepoPackageRootDirs, isIgnoredWorkspaceRoot } from './workspaces.mjs'
+import { getMonorepoPackageRootDirs, isIgnoredWorkspaceRoot } from '../../../../scripts/utils/workspaces.mjs'
 
 /**
  * @typedef {'npm' | 'python'} PackageKind

package/rules/docker/docker.mdc

@@ -7,7 +7,7 @@ alwaysApply: false
 
 # Docker — hadolint
 
-Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginxinc/nginx-unprivileged`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/nginxinc/nginx-unprivileged`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
+Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginxinc/nginx-unprivileged`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/nginxinc/nginx-unprivileged`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/rules/docker/fix/lint/docker-mirror.mjs`**.
 
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
 
@@ -99,7 +99,7 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 
 **Область lint-docker (вужча, ніж `check docker`):** лише файли з іменем **`Dockerfile`** та **`*.Dockerfile`** (суфікс **`.dockerfile`** без урахування регістру, наприклад **`api.Dockerfile`**). Файли **`Dockerfile.prod`**, **`Containerfile`** тощо **не** входять у **`lint-docker`**; їх ловить **`check docker`** (`check-docker.mjs`).
 
-Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`check-docker.mjs`**. Виклик **`hadolint`**: **`PATH`**, інакше **`docker run`** — спільна логіка **`npm/scripts/utils/docker-hadolint.mjs`**.
+Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`check-docker.mjs`**. Виклик **`hadolint`**: **`PATH`**, інакше **`docker run`** — спільна логіка **`npm/rules/docker/fix/lint/docker-hadolint.mjs`**.
 
 - Канон `package.json#scripts.lint-docker`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
 
@@ -109,7 +109,7 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 
 - Канон: [lint-docker.yml.snippet.yml](./policy/lint_docker_yml/template/lint-docker.yml.snippet.yml)
 
-Узгоджуй версію hadolint **v2.12.0** з **`HADOLINT_IMAGE`** у **`npm/scripts/utils/docker-hadolint.mjs`**.
+Узгоджуй версію hadolint **v2.12.0** з **`HADOLINT_IMAGE`** у **`npm/rules/docker/fix/lint/docker-hadolint.mjs`**.
 
 Кореневий скрипт **`lint`** (див. **`n-bun.mdc`**) **обов'язково** містить **`bun run lint-docker`**, коли в проєкті підключено правило **`docker`**.
 

package/rules/docker/fix/lint/check.mjs

@@ -2,7 +2,7 @@
  * Запускає hadolint для Dockerfile / Containerfile у всьому репозиторії (див. docker.mdc).
  *
  * Додатково переконуються, що образи `oven/bun`, `alpine`, `nginx`, `node` з Docker Hub
- * вказуються через `mirror.gcr.io` (див. `utils/docker-mirror.mjs`).
+ * вказуються через `mirror.gcr.io` (див. `./docker-mirror.mjs`).
  *
  * Також перевіряє, що Dockerfile/Containerfile має **multistage build** і що фінальний stage
  * використовує дозволений runtime-образ (див. docker.mdc):
@@ -30,8 +30,8 @@
 import { readFile } from 'node:fs/promises'
 import { basename } from 'node:path'
 
-import { getMirrorGcrHint, getFromImageToken } from '../../../../scripts/utils/docker-mirror.mjs'
-import { lintDockerfileWithHadolint, posixRel } from '../../../../scripts/utils/docker-hadolint.mjs'
+import { getMirrorGcrHint, getFromImageToken } from './docker-mirror.mjs'
+import { lintDockerfileWithHadolint, posixRel } from './docker-hadolint.mjs'
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'

package/{scripts/utils → rules/docker/fix/lint}/docker-hadolint.mjs

@@ -2,13 +2,13 @@
  * Спільна логіка виклику hadolint для шляхів до Dockerfile (див. docker.mdc).
  *
  * Відносні шляхи з прямими слешами для контейнера; спочатку hadolint з PATH,
- * інакше docker run з образом HADOLINT_IMAGE. Використовується check-docker.mjs та
- * run-docker.mjs.
+ * інакше docker run з образом HADOLINT_IMAGE. Використовується `./check.mjs`
+ * (check-docker) та `../../lint/lint.mjs` (run-docker).
  */
 import { spawnSync } from 'node:child_process'
 import { relative, sep } from 'node:path'
 
-import { resolveCmd } from './resolve-cmd.mjs'
+import { resolveCmd } from '../../../../scripts/utils/resolve-cmd.mjs'
 
 /** Тег образу для резервного запуску (узгоджуй з docker.mdc). */
 export const HADOLINT_IMAGE = 'hadolint/hadolint:v2.12.0'

package/rules/docker/lint/lint.mjs

@@ -5,12 +5,12 @@
  * check docker, не обробляються Dockerfile.*, Containerfile тощо — лише канонічне ім’я
  * Dockerfile та варіанти виду app.Dockerfile (регістр суфікса не важливий).
  *
- * Виклик hadolint — через utils/docker-hadolint.mjs (PATH або docker run).
+ * Виклик hadolint — через ../fix/lint/docker-hadolint.mjs (PATH або docker run).
  */
 import { basename } from 'node:path'
 
 import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
-import { lintDockerfileWithHadolint, posixRel } from '../../../scripts/utils/docker-hadolint.mjs'
+import { lintDockerfileWithHadolint, posixRel } from '../fix/lint/docker-hadolint.mjs'
 import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../scripts/utils/walkDir.mjs'

package/rules/ga/lint/lint.mjs

@@ -29,6 +29,7 @@ import { platform } from 'node:process'
 import { check as checkGa } from '../fix/workflows/check.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { runLintStep } from '../../../scripts/utils/run-lint-step.mjs'
+import { withLock } from '../../../scripts/utils/with-lock.mjs'
 
 /**
  * Опис залежності preflight-ом: бінарник, для чого потрібен, і команди встановлення.
@@ -147,7 +148,7 @@ function preflight(dep) {
  * Першу помилку від actionlint/zizmor/check повертаємо як код виходу; наступні кроки не запускаються.
  * @returns {Promise<number>} 0 — все OK, інакше — код першого кроку, що впав
  */
-export async function runLintGaCli() {
+async function runLintGaSteps() {
   let preflightOk = true
   for (const dep of [SHELLCHECK_PREFLIGHT, UV_PREFLIGHT, CONFTEST_PREFLIGHT]) {
     if (!preflight(dep)) preflightOk = false
@@ -163,3 +164,5 @@ export async function runLintGaCli() {
   console.log('\n▶ check-ga (rego-полісі npm/policy/ga/ + JS cross-file перевірки)')
   return await checkGa()
 }
+
+export const runLintGaCli = () => withLock('lint-ga', runLintGaSteps)

package/rules/graphql/fix/tooling/check.mjs

@@ -15,7 +15,7 @@ import {
   isGqlScanSourceFile,
   shouldSkipFileForGqlScan,
   sourceFileHasGqlTaggedTemplate
-} from '../../../../scripts/utils/graphql-gql-scan.mjs'
+} from './graphql-gql-scan.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'

package/{scripts/utils → rules/graphql/fix/tooling}/graphql-gql-scan.mjs

@@ -1,18 +1,45 @@
 /**
  * Пошук tagged template **`gql\`…\``** у джерелах для правила graphql.mdc.
  *
- * Для **`.vue`** береться лише вміст `<script>` / `<script setup>` (спільна логіка з **vue-forbidden-imports**).
+ * Для **`.vue`** береться лише вміст `<script>` / `<script setup>` (паралельна реалізація екстрактора;
+ * аналог у `rules/vue/fix/packages/vue-forbidden-imports.mjs` — модулі не діляться кодом, щоб уникати
+ * cross-rule імпортів і тримати кожне правило самодостатнім).
  * Семантику визначає **oxc-parser** (`program`): рекурсивний обхід AST, збіг лише для **Identifier** з іменем **`gql`** як тега шаблону.
  */
 import { parseSync } from 'oxc-parser'
 
-import {
-  contentForVueImportScan,
-  isVueImportScanSourceFile,
-  shouldSkipFileForVueImportScan
-} from './vue-forbidden-imports.mjs'
-
 const VUE_EXTENSION_RE = /\.vue$/u
+const SOURCE_FILE_RE = /\.(vue|[cm]?[jt]sx?)$/u
+const VUE_SCRIPT_BLOCK_RE = /<script\b[^>]*>([\s\S]*?)<\/script>/gi
+
+/**
+ * Витягує з SFC лише код усередині `<script>` блоків, ігноруючи `<template>` і `<style>`.
+ * @param {string} sfc вміст .vue файлу
+ * @returns {string} конкатенований текст усіх блоків `<script>` (через подвійний переклад рядка)
+ */
+function extractVueScriptBlocks(sfc) {
+  const chunks = []
+  VUE_SCRIPT_BLOCK_RE.lastIndex = 0
+  let m = VUE_SCRIPT_BLOCK_RE.exec(sfc)
+  while (m) {
+    chunks.push(m[1])
+    m = VUE_SCRIPT_BLOCK_RE.exec(sfc)
+  }
+  return chunks.join('\n\n')
+}
+
+/**
+ * Підбирає текст для сканування: для .vue — лише script-блоки, інакше — увесь вміст.
+ * @param {string} content сирий вміст файлу
+ * @param {string} filePath відносний шлях (для вибору режиму)
+ * @returns {string} текст для `parseSync`
+ */
+function contentForGqlScan(content, filePath) {
+  if (filePath.endsWith('.vue')) {
+    return extractVueScriptBlocks(content)
+  }
+  return content
+}
 
 /**
  * Мова для Oxc за шляхом файлу (розширення).
@@ -81,7 +108,7 @@ function astContainsGqlTag(node) {
  * @returns {boolean} true, якщо знайдено `gql`…``
  */
 export function sourceFileHasGqlTaggedTemplate(content, relativePath) {
-  const scan = contentForVueImportScan(content, relativePath)
+  const scan = contentForGqlScan(content, relativePath)
   const pathForLang = virtualPathForParse(relativePath)
   const lang = langFromPath(pathForLang)
   try {
@@ -96,19 +123,27 @@ export function sourceFileHasGqlTaggedTemplate(content, relativePath) {
 }
 
 /**
- * Чи підлягає файл скануванню за розширенням (узгоджено з vue-import scan).
+ * Чи підлягає файл скануванню за розширенням (`.vue`, `.[cm]?[jt]sx?`).
  * @param {string} relativePath відносний шлях
  * @returns {boolean} true якщо файл підлягає скануванню
  */
 export function isGqlScanSourceFile(relativePath) {
-  return isVueImportScanSourceFile(relativePath)
+  return SOURCE_FILE_RE.test(relativePath)
 }
 
 /**
- * Чи пропустити файл (декларації, auto-imports) — ті самі критерії, що для vue-import scan.
+ * Чи пропустити файл (декларації, auto-imports/components.d.ts) — типові generated-файли,
+ * у яких немає авторського коду з gql-тегами.
  * @param {string} relativePosix шлях з posix-слешами
  * @returns {boolean} true якщо файл потрібно пропустити
  */
 export function shouldSkipFileForGqlScan(relativePosix) {
-  return shouldSkipFileForVueImportScan(relativePosix)
+  const base = relativePosix.split('/').pop() || ''
+  if (base === 'auto-imports.d.ts' || base === 'components.d.ts') {
+    return true
+  }
+  if (relativePosix.endsWith('.d.ts')) {
+    return true
+  }
+  return false
 }

package/rules/hasura/fix/internal_urls/check.mjs

@@ -5,7 +5,7 @@
  *
  * Запускається лише якщо в кореневому `package.json` поле `repository`
  * вказує на `https://github.com/nitra/...` або `https://github.com/abinbevefes/...`
- * (інші репозиторії пропускаються без помилок — як у check-abie).
+ * (інші репозиторії пропускаються без помилок — як у abie-перевірках).
  *
  * Очікуваний формат URL — кластерний DNS-суфікс `<cluster>.internal`:
  *  - GKE / GCP: `http://<service>.<namespace>.svc.<cluster>.internal:<port>`

package/{scripts/utils → rules/js-bun-db/fix/safety}/bun-sql-scan.mjs

@@ -27,7 +27,7 @@ import {
   parseProgramOrNull,
   templateQuasisText,
   walkAstWithAncestors
-} from './ast-scan-utils.mjs'
+} from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const BUN_SQL_IMPORT_RE = /\bimport\s*\{[\s\S]*?\b(sql|SQL)\b[\s\S]*?\}\s*from\s*["']bun["']/u

package/rules/js-bun-db/fix/safety/check.mjs

@@ -48,7 +48,7 @@ import {
   isBunSqlScanSourceFile,
   textHasBunSqlImport,
   textHasPgLibImport
-} from '../../../../scripts/utils/bun-sql-scan.mjs'
+} from './bun-sql-scan.mjs'
 import { findAllPackageJsonPaths } from '../../../../scripts/utils/find-package-json-paths.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'