@nitra/cursor 1.13.76 → 1.13.82

package/rules/js-lint/fix/tooling/check.mjs

@@ -2,7 +2,7 @@
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
  * Flat ESLint з getConfig і ignore для auto-imports,
- * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
+ * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/rules/js-lint/fix/tooling/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
  * globals, ignorePatterns. Також перевіряє workspace `package.json` на `type: "module"`
  * і `engines`, workflow-дубль у `lint.yml`, `knip.json` autofill і застарілі `.eslintrc*`.
@@ -20,24 +20,12 @@ import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mj
 /** Шлях до канонічного oxlint JSON у цьому пакеті (для перевірки та тестів). */
 export const OXLINT_CANONICAL_JSON_PATH = join(
   dirname(fileURLToPath(import.meta.url)),
-  '..',
-  '..',
-  '..',
-  '..',
-  'scripts',
-  'utils',
   'oxlint-canonical.json'
 )
 
 /** Шлях до канонічного knip JSON у цьому пакеті — копіюється у корінь проєкту-споживача, якщо відсутній. */
 export const KNIP_CANONICAL_JSON_PATH = join(
   dirname(fileURLToPath(import.meta.url)),
-  '..',
-  '..',
-  '..',
-  '..',
-  'scripts',
-  'utils',
   'knip-canonical.json'
 )
 
@@ -166,7 +154,7 @@ export function verifyOxlintRcAgainstCanonical(cfg, canonical) {
 
     if (!deepEqualOxlintCanonical(actual, expected)) {
       failures.push(
-        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/scripts/utils/oxlint-canonical.json)`
+        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/rules/js-lint/fix/tooling/oxlint-canonical.json)`
       )
     }
   }
@@ -396,7 +384,7 @@ async function checkKnipConfig(passFn, failFn) {
     return
   }
   await copyFile(KNIP_CANONICAL_JSON_PATH, 'knip.json')
-  passFn('knip.json створено з канонічного npm/scripts/utils/knip-canonical.json (js-lint.mdc)')
+  passFn('knip.json створено з канонічного npm/rules/js-lint/fix/tooling/knip-canonical.json (js-lint.mdc)')
 }
 
 /**

package/{scripts/utils → rules/js-lint/fix/tooling}/rebuild-oxlint-canonical.mjs

@@ -2,7 +2,7 @@
  * Збирає `oxlint-canonical.json` з `oxlint-canonical-skeleton.json` (без поля rules) та списку
  * правил у `oxlint-rules.tsv` (колонки: ім’я правила, TAB, severity: deny | off | error).
  *
- * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./scripts/utils/rebuild-oxlint-canonical.mjs`,
+ * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/fix/tooling/rebuild-oxlint-canonical.mjs`,
  * потім скопіюй оновлений канон у корінь споживача як `.oxlintrc.json` за потреби.
  */
 import { readFileSync, writeFileSync } from 'node:fs'

package/rules/js-lint/js-lint.mdc

@@ -25,7 +25,7 @@ version: '1.23'
 
 У `.vscode/extensions.json` `recommendations` мають містити `dbaeumer.vscode-eslint`, `github.vscode-github-actions`, `oxc.oxc-vscode`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
 
-У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/scripts/utils/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**). Поле **`ignorePatterns`** працює як **`rules`**: канонічні патерни з **`oxlint-canonical.json`** (наразі **`**/schema.graphql`**, **`**/auto-imports.d.ts`**) мають бути присутні, додаткові локальні glob-и дозволені. Оновити канон можна з репозиторію пакета або скопіювавши файл після **`bun ./scripts/utils/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.8.0**), oxlint підвантажує його з **`node_modules`**.
+У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/rules/js-lint/fix/tooling/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**). Поле **`ignorePatterns`** працює як **`rules`**: канонічні патерни з **`oxlint-canonical.json`** (наразі **`**/schema.graphql`**, **`**/auto-imports.d.ts`**) мають бути присутні, додаткові локальні glob-и дозволені. Оновити канон можна з репозиторію пакета або скопіювавши файл після **`bun ./rules/js-lint/fix/tooling/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.8.0**), oxlint підвантажує його з **`node_modules`**.
 
 Мінімум для розуміння структури (реальний корінь конфігу має збігатися з каноном повністю):
 
@@ -62,7 +62,7 @@ version: '1.23'
 
 Перевірку невикористаних залежностей і експортів виконує **knip** (заміна `depcheck`). Викликається у скрипті `lint-js` і в CI разом з oxlint/eslint/jscpd — окремий крок у CI не потрібен.
 
-У корені проєкту має бути **`knip.json`**, який стартує з канонічного baseline з пакета `@nitra/cursor` — файл [`npm/scripts/utils/knip-canonical.json`](../scripts/utils/knip-canonical.json). Він покриває типові false-positives для наших правил: `entry` зі CLI-конфігами (eslint, stylelint, oxlint, jscpd, markdownlint-cli2, `commitlint`), `project` для `**/*.{js,mjs,cjs,jsx,ts,tsx,mts,cts}`, `ignore` для `**/__fixtures__/**`, `ignoreDependencies` для пакетів, посилання на які є лише в не-JS-конфігах (`@nitra/cspell-dict`, `/@cspell\/dict-.+/`), і `ignoreBinaries` для CLI, які канон вимагає викликати через `npx`/`bunx` і яких заборонено додавати в `devDependencies` (`actionlint`, `cspell`, `depcheck`, `eslint`, `git-ai`, `jscpd`, `markdownlint-cli2`, `oxfmt`, `oxlint`, `shellcheck`, `uvx`, `v8r`, `zizmor`).
+У корені проєкту має бути **`knip.json`**, який стартує з канонічного baseline з пакета `@nitra/cursor` — файл [`npm/rules/js-lint/fix/tooling/knip-canonical.json`](./fix/tooling/knip-canonical.json). Він покриває типові false-positives для наших правил: `entry` зі CLI-конфігами (eslint, stylelint, oxlint, jscpd, markdownlint-cli2, `commitlint`), `project` для `**/*.{js,mjs,cjs,jsx,ts,tsx,mts,cts}`, `ignore` для `**/__fixtures__/**`, `ignoreDependencies` для пакетів, посилання на які є лише в не-JS-конфігах (`@nitra/cspell-dict`, `/@cspell\/dict-.+/`), і `ignoreBinaries` для CLI, які канон вимагає викликати через `npx`/`bunx` і яких заборонено додавати в `devDependencies` (`actionlint`, `cspell`, `depcheck`, `eslint`, `git-ai`, `jscpd`, `markdownlint-cli2`, `oxfmt`, `oxlint`, `shellcheck`, `uvx`, `v8r`, `zizmor`).
 
 Якщо `knip.json` відсутній — `npx @nitra/cursor check js-lint` копіює канон у корінь проєкту (side effect). Після створення модифікуй файл під свій проєкт як завгодно: перевіряємо лише наявність, зміст подальших змін не валідується.
 

package/rules/js-mssql/fix/deps/check.mjs

@@ -22,7 +22,7 @@ import {
   findUnsafeMssqlInListUnparsedInText,
   findUnsafeMssqlInListMissingEmptyGuardInText,
   isMssqlScanSourceFile
-} from '../../../../scripts/utils/mssql-pool-scan.mjs'
+} from './mssql-pool-scan.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 

package/{scripts/utils → rules/js-mssql/fix/deps}/mssql-pool-scan.mjs

@@ -30,7 +30,7 @@ import {
   normalizeSnippet,
   offsetToLine,
   walkAstWithAncestors
-} from './ast-scan-utils.mjs'
+} from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
 const IN_PLACEHOLDER_END_RE = /\bin\s*\(\s*$/iu

package/{scripts/utils → rules/js-run/fix/runtime}/bunyan-imports.mjs

@@ -18,7 +18,7 @@ import {
   offsetToLine,
   requireCallModule,
   walkAstWithAncestors
-} from './ast-scan-utils.mjs'
+} from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const FORBIDDEN_MODULES = new Set(['@nitra/bunyan', 'bunyan'])

package/{scripts/utils → rules/js-run/fix/runtime}/check-env-scan.mjs

@@ -29,7 +29,7 @@
  * Якщо ключ обчислюваний (`process.env[varName]`) — пропускаємо без помилки,
  * бо за статичним AST неможливо встановити, яка саме змінна оточення використовується.
  */
-import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from './ast-scan-utils.mjs'
+import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const IGNORE_DIRECTIVE_RE = /\/\/\s*@nitra\/cursor\s+ignore-next-line\s+checkEnv\b/u

package/rules/js-run/fix/runtime/check.mjs

@@ -40,22 +40,22 @@ import {
   findBunyanImportsInText,
   isBunyanScanSourceFile,
   shouldSkipFileForBunyanScan
-} from '../../../../scripts/utils/bunyan-imports.mjs'
-import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from '../../../../scripts/utils/check-env-scan.mjs'
+} from './bunyan-imports.mjs'
+import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './check-env-scan.mjs'
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { findConnFileRuleViolations, isConnFileRulesSourceFile } from '../../../../scripts/utils/conn-file-rules.mjs'
+import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
   isConnImportsScanSourceFile,
   isInsideConnDir,
   resolveConnDirFromPackageJson
-} from '../../../../scripts/utils/conn-imports-scan.mjs'
+} from './conn-imports-scan.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import {
   findPromiseSetTimeoutInText,
   isPromiseSetTimeoutScanSourceFile
-} from '../../../../scripts/utils/promise-settimeout-scan.mjs'
+} from './promise-settimeout-scan.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'
 

package/{scripts/utils → rules/js-run/fix/runtime}/conn-file-rules.mjs

@@ -14,7 +14,7 @@
  * Парсимо через oxc-parser; коли файл не парситься — повертаємо порожні результати, щоб
  * не змішувати помилки синтаксису з порушеннями цього правила.
  */
-import { parseProgramOrNull } from './ast-scan-utils.mjs'
+import { parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 

package/{scripts/utils → rules/js-run/fix/runtime}/conn-imports-scan.mjs

@@ -16,7 +16,7 @@
  * використовується. Якщо файл не парситься — повертаємо порожній результат, спочатку
  * треба полагодити синтаксис.
  */
-import { langFromPath, normalizeSnippet, offsetToLine } from './ast-scan-utils.mjs'
+import { langFromPath, normalizeSnippet, offsetToLine } from '../../../../scripts/utils/ast-scan-utils.mjs'
 import { parseSync } from 'oxc-parser'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u

package/{scripts/utils → rules/js-run/fix/runtime}/promise-settimeout-scan.mjs

@@ -12,7 +12,7 @@
  * Сканер не вимагає, щоб файл компілювався: при синтаксичних помилках повертається
  * порожній результат (як інші сканери — спочатку треба полагодити синтаксис).
  */
-import { normalizeSnippet, offsetToLine, parseProgramOrNull } from './ast-scan-utils.mjs'
+import { normalizeSnippet, offsetToLine, parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
 

package/rules/k8s/k8s.mdc

@@ -375,7 +375,7 @@ images:
 
    Для `$schema` у першому рядку див. приклад **HealthCheckPolicy** у тому ж розділі (datree CRDs-catalog).
 
-   **`spec.targetRef`** (типово **`kind: Service`**) має вказувати на **headless** сервіс — ім’я з суфіксом **`-hl`** (див. **«Service: `svc.yaml` і `svc-hl.yaml`»**); для проєктів **abie** точні умови — **`check-abie.mjs`** / **abie.mdc**.
+   **`spec.targetRef`** (типово **`kind: Service`**) має вказувати на **headless** сервіс — ім’я з суфіксом **`-hl`** (див. **«Service: `svc.yaml` і `svc-hl.yaml`»**); для проєктів **abie** точні умови — Rego-пакет **`abie.health_check_policy`** + **abie.mdc**.
 
    За потреби розшир **`target`** (`name`, `namespace`), щоб однозначно вказати об’єкт.
 

package/rules/npm-module/fix/package_structure/check.mjs

@@ -453,6 +453,11 @@ export function findTestFrameworkImport(content, virtualPath) {
  * Класифікує опублікований файл як test/fixture, якщо хоча б одна з ознак:
  * (1) у шляху є каталог із `TEST_DIR_NAMES`; (2) basename відповідає
  * `TEST_FILE_PATTERNS`; (3) для JS/TS-розширень — імпорт test-фреймворку.
+ *
+ * Carve-out: для шляху `rules/<rule-name>/...` сегмент `<rule-name>` (індекс 1)
+ * — це ім'я правила, а не каталог. Зокрема, правило з id `test` (або `tests`)
+ * описує конвенцію розміщення тестів і саме по собі не є test-fixture'ом.
+ * Подальші сегменти (наприклад, `rules/<r>/fix/<c>/tests/`) продовжують перевірятись.
  * @param {string} relPath posix-шлях відносно `npm/`
  * @returns {Promise<string | null>} причина порушення або `null`
  */
@@ -460,7 +465,12 @@ export async function classifyPublishedFileAsTest(relPath) {
   const segments = relPath.split('/')
   const base = segments.at(-1)
   const dirs = segments.slice(0, -1)
-  const testDir = dirs.find(seg => TEST_DIR_NAMES.has(seg.toLowerCase()))
+  const testDir = dirs.find((seg, idx) => {
+    if (idx === 1 && dirs[0] === 'rules') {
+      return false
+    }
+    return TEST_DIR_NAMES.has(seg.toLowerCase())
+  })
   if (testDir) return `test-style каталог "${testDir}/"`
   if (TEST_FILE_PATTERNS.some(re => re.test(base))) return `test-style ім'я файлу`
   if (JS_LIKE_EXT_RE.test(base)) {

package/rules/test/auto.md

@@ -0,0 +1 @@
+якщо у проекті є хоча б один файл `*.test.mjs`

package/rules/test/fix/location/check.mjs

@@ -0,0 +1,77 @@
+/**
+ * Перевіряє, що всі `*.test.mjs` лежать у каталозі `tests/` (а не поряд із джерельним файлом).
+ *
+ * Конвенція (test.mdc): `dir/foo.mjs` → тест у `dir/tests/foo.test.mjs`.
+ * `*_test.rego` виключені: Rego unit-тести живуть поряд із полісі (OPA community convention).
+ *
+ * Пропускає: `node_modules`, `.git`, `dist`, `build`, `.venv`, `venv` (через `walkDir`)
+ * і шляхи з `.n-cursor.json:ignore`.
+ */
+import { basename, dirname, relative } from 'node:path'
+
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+
+const TESTS_DIR_NAME = 'tests'
+
+/**
+ * Чи файл є JS-тестом (`*.test.mjs`).
+ * @param {string} absPath абсолютний шлях
+ * @returns {boolean}
+ */
+function isTestFile(absPath) {
+  return basename(absPath).endsWith('.test.mjs')
+}
+
+/**
+ * Перевіряє, чи лежить тест у каталозі з іменем `tests`.
+ * @param {string} absPath абсолютний шлях до тесту
+ * @returns {boolean} `true`, якщо басенейм батьківської директорії — `tests`
+ */
+function isInsideTestsDir(absPath) {
+  return basename(dirname(absPath)) === TESTS_DIR_NAME
+}
+
+/**
+ * Перевіряє розміщення тестових файлів у каталозі `tests/` (test.mdc).
+ * @returns {Promise<number>} 0 — всі тести у `tests/`, 1 — є порушення
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const cwd = process.cwd()
+  const ignorePaths = await loadCursorIgnorePaths(cwd)
+
+  /** @type {string[]} */
+  const offenders = []
+  let totalTests = 0
+
+  await walkDir(
+    cwd,
+    absPath => {
+      if (!isTestFile(absPath)) {
+        return
+      }
+      totalTests++
+      if (!isInsideTestsDir(absPath)) {
+        offenders.push(relative(cwd, absPath))
+      }
+    },
+    ignorePaths
+  )
+
+  if (offenders.length === 0) {
+    pass(`Всі ${totalTests} файлів *.test.mjs у каталозі tests/ (test.mdc)`)
+    return reporter.getExitCode()
+  }
+
+  for (const offenderPath of offenders) {
+    const parentDir = dirname(offenderPath)
+    const base = basename(offenderPath)
+    fail(`${offenderPath}: тест має лежати у tests/ — перенеси у ${parentDir}/${TESTS_DIR_NAME}/${base} (test.mdc)`)
+  }
+
+  return reporter.getExitCode()
+}

package/rules/test/test.mdc

@@ -0,0 +1,60 @@
+---
+description: JS-тести (*.test.mjs) живуть у каталозі tests/ поряд із джерельним файлом, а не безпосередньо в тій же директорії
+version: '1.1'
+alwaysApply: true
+---
+
+## Конвенція розміщення тестів
+
+JS-тести у пакеті лежать у **піддиректорії `tests/`** поряд із кодом, який тестується, а **не безпосередньо біля джерельного файлу**.
+
+```
+rules/foo/fix/bar/
+├── check.mjs               ← JS-джерело
+└── tests/
+    └── check.test.mjs      ← тест check.mjs
+```
+
+**Чому так:**
+
+- Каталог-з-кодом залишається чистим: продакшен-модулі, политики, темплейти не миготять серед тестових файлів.
+- Один погляд на дерево показує, що піде у npm tarball (все, крім `tests/` і `__fixtures__/` — їх ловить `package.json#files` через негативні globs).
+- Якщо тест переростає у мульти-файловий — він уже у власному каталозі, без хаотичного розкидання.
+
+**Виняток — Rego unit-тести (`*_test.rego`):** лишаються **поряд із полісі-файлом** відповідно до загальноприйнятого OPA/Conftest community-патерну. `conftest verify -p <dir>` рекурсивно підхоплює їх незалежно від місця в каталозі.
+
+```
+rules/foo/policy/package_json/
+├── package_json.rego       ← Rego-правило
+├── package_json_test.rego  ← Rego unit-тести (поряд, не у tests/)
+└── target.json
+```
+
+**Спеціальні випадки:**
+
+- **Integration-тести на рівні пакета** — у `<root>/tests/` (наприклад `npm/tests/`). Це не «біля файлу», а виокремлений каталог для тестів, що покривають весь пакет.
+- **Fixtures**: `__fixtures__/` (для shared) і `fixtures/` (для rule-specific) також живуть **усередині `tests/`**: `tests/__fixtures__/...` і `tests/fixtures/...`.
+- **Test helpers** (`test-helpers.mjs`) можуть лишатися у `scripts/utils/` як shared infra — конвенція стосується файлів `*.test.mjs`.
+
+**Гарантії tarball-чистоти** через `package.json#files`:
+
+```json
+"files": [
+  "...",
+  "!**/*.test.mjs",
+  "!**/*_test.rego",
+  "!**/__fixtures__/**",
+  "!**/fixtures/**",
+  "!**/test-helpers.mjs"
+]
+```
+
+Recursive globs ловлять файли всередині `tests/` так само, як ловили б їх біля джерела.
+
+## Що перевіряє правило
+
+`npx @nitra/cursor check test` (concern `location`) проходить деревом пакета й перевіряє: **кожен `*.test.mjs` файл лежить усередині каталогу з ім'ям `tests`** (точне співпадіння басенейму батьківської директорії). Файли поза цим каталогом репортуються з порадою куди їх перенести.
+
+`*_test.rego` перевіркою **не охоплюються** — вони не переміщуються.
+
+Пропускаються: `node_modules`, `.git`, `dist`, `build`, `.venv`, `venv`, шляхи з `.n-cursor.json:ignore`.

package/rules/vue/fix/packages/check.mjs

@@ -15,7 +15,7 @@
  * натомість використовуй `mode` з `defineConfig(({ mode }) => ...)`.
  *
  * Заборонені явні value-імпорти з `vue` у джерелах пакета — сканування `.vue`/`.ts`/`.js` тощо
- * через **oxc-parser** (`module.staticImports`; див. `utils/vue-forbidden-imports.mjs`); дозволені лише type-only та side-effect `import 'vue'`.
+ * через **oxc-parser** (`module.staticImports`; див. `./vue-forbidden-imports.mjs`); дозволені лише type-only та side-effect `import 'vue'`.
  *
  * Окремо в `.vue` SFC заборонено імпорти Node-нативних модулів — `node:*` префікс або bare-ім’я
  * вбудованого модуля Node (`fs`, `path`, `timers/promises` тощо). Vue SFC виконується у браузері,
@@ -31,7 +31,7 @@ import {
   findForbiddenVueImportsInSourceFile,
   isVueImportScanSourceFile,
   shouldSkipFileForVueImportScan
-} from '../../../../scripts/utils/vue-forbidden-imports.mjs'
+} from './vue-forbidden-imports.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'

package/rules/vue/vue.mdc

@@ -341,4 +341,4 @@ import path from 'node:path'
 
 ## Перевірка
 
-`npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, наявність **`src/vite-env.d.ts`** з `/// <reference types="vite/client" />` та **`jsconfig.json`** у корені Vue-пакета; обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue` (дозволені лише type-only та side-effect `import 'vue'`) і додатково сканує `.vue` SFC на імпорти Node-нативних модулів (`node:*` префікс або bare-ім’я вбудованого модуля Node — `fs`, `path`, `timers/promises` тощо). Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/scripts/utils/vue-forbidden-imports.mjs`).
+`npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, наявність **`src/vite-env.d.ts`** з `/// <reference types="vite/client" />` та **`jsconfig.json`** у корені Vue-пакета; обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue` (дозволені лише type-only та side-effect `import 'vue'`) і додатково сканує `.vue` SFC на імпорти Node-нативних модулів (`node:*` префікс або bare-ім’я вбудованого модуля Node — `fs`, `path`, `timers/promises` тощо). Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/rules/vue/fix/packages/vue-forbidden-imports.mjs`).

package/scripts/auto-rules.mjs

@@ -16,13 +16,13 @@ import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
 import { basename, join, relative } from 'node:path'
 
-import { textHasBunSqlImport } from './utils/bun-sql-scan.mjs'
+import { textHasBunSqlImport } from '../rules/js-bun-db/fix/safety/bun-sql-scan.mjs'
 import {
   isGqlScanSourceFile,
   shouldSkipFileForGqlScan,
   sourceFileHasGqlTaggedTemplate
-} from './utils/graphql-gql-scan.mjs'
-import { contentForVueImportScan } from './utils/vue-forbidden-imports.mjs'
+} from '../rules/graphql/fix/tooling/graphql-gql-scan.mjs'
+import { contentForVueImportScan } from '../rules/vue/fix/packages/vue-forbidden-imports.mjs'
 
 /** Порядок автододавання правил відповідно до `rules/<rule>/auto.md`. */
 export const AUTO_RULE_ORDER = Object.freeze([

package/scripts/utils/ast-scan-utils.mjs

@@ -5,8 +5,9 @@
  * розпізнавання типових вузлів (функцій, `*.join(...)`),
  * робота з `TemplateLiteral` (текст quasis, контекст SQL-списку).
  *
- * Використовується файлами `bun-sql-scan.mjs`, `mssql-pool-scan.mjs` та іншими сканерами
- * для уникнення дублювання boilerplate.
+ * Використовується сканерами у `rules/<rule>/fix/...` (наприклад,
+ * `rules/js-bun-db/fix/safety/bun-sql-scan.mjs`, `rules/js-mssql/fix/deps/mssql-pool-scan.mjs`,
+ * `rules/js-run/fix/runtime/*-scan.mjs`) для уникнення дублювання boilerplate.
  */
 import { parseSync } from 'oxc-parser'
 

package/scripts/utils/with-lock.mjs

@@ -0,0 +1,120 @@
+/**
+ * Guard-механізм: атомарний lock + dedup для важких команд.
+ * Алгоритм: mkdirSync-based lock, перевірка живості PID, sha256-dedup з TTL.
+ */
+import * as fs from 'node:fs'
+import * as path from 'node:path'
+import * as os from 'node:os'
+import { worktreeFingerprint } from './worktree-fingerprint.mjs'
+
+const DEFAULTS = {
+  ttl: 600_000,
+  staleThreshold: 1_800_000,
+  waitTimeout: 1_200_000,
+  pollInterval: 1_500,
+}
+
+function isAlive(pid) {
+  try { process.kill(pid, 0); return true } catch { return false }
+}
+
+function sleep(ms) {
+  return new Promise(r => setTimeout(r, ms))
+}
+
+function makeRelease(lockDir) {
+  return () => fs.rmSync(lockDir, { recursive: true, force: true })
+}
+
+/**
+ * @param {{exitCode:number, fingerprint:string|null, finishedAt:number}} result
+ * @param {string|null} fingerprint
+ * @param {number} ttl
+ */
+export function shouldDedup(result, fingerprint, ttl) {
+  if (result.exitCode !== 0) return false
+  if (fingerprint === null || result.fingerprint !== fingerprint) return false
+  if (Date.now() - result.finishedAt >= ttl) return false
+  return true
+}
+
+/**
+ * @param {string} key
+ * @param {() => Promise<number>} runFn
+ * @param {{ttl?:number, staleThreshold?:number, waitTimeout?:number, pollInterval?:number, cacheDir?:string}} [opts]
+ * @returns {Promise<number>}
+ */
+export async function withLock(key, runFn, opts = {}) {
+  const { ttl, staleThreshold, waitTimeout, pollInterval } = { ...DEFAULTS, ...opts }
+  const getFingerprint = opts.getFingerprint ?? worktreeFingerprint
+  const cacheDir = opts.cacheDir ?? path.join(process.cwd(), 'node_modules/.cache/n-cursor', key)
+  const lockDir = path.join(cacheDir, 'lock')
+  const ownerFile = path.join(lockDir, 'owner.json')
+  const resultFile = path.join(cacheDir, 'result.json')
+  const release = makeRelease(lockDir)
+
+  const fingerprint = getFingerprint()
+  fs.mkdirSync(cacheDir, { recursive: true })
+
+  const loopStart = Date.now()
+  let locked = false
+
+  // eslint-disable-next-line no-constant-condition
+  while (true) {
+    if (Date.now() - loopStart >= waitTimeout) {
+      console.error(`⚠️ ${key}: чекав ${waitTimeout / 60_000} хв — запускаю без локу`)
+      return await runFn()
+    }
+    try {
+      fs.mkdirSync(lockDir)
+      fs.writeFileSync(ownerFile, JSON.stringify({ pid: process.pid, host: os.hostname(), startedAt: Date.now(), fingerprint }))
+      locked = true
+      break
+    } catch (error) {
+      if (error.code !== 'EEXIST') throw error
+      let owner
+      try { owner = JSON.parse(fs.readFileSync(ownerFile, 'utf8')) } catch {
+        fs.rmSync(lockDir, { recursive: true, force: true })
+        continue
+      }
+      const stale = (Date.now() - owner.startedAt > staleThreshold) ||
+        (os.hostname() === owner.host && !isAlive(owner.pid))
+      if (stale) {
+        console.error(`🧹 ${key}: знайдено застарілий лок — очищаю`)
+        fs.rmSync(lockDir, { recursive: true, force: true })
+        continue
+      }
+      console.error(`⏳ ${key}: чекаю, лок тримає pid ${owner.pid}…`)
+      await sleep(pollInterval)
+    }
+  }
+
+  console.error(`🔒 ${key}: лок взято`)
+
+  try {
+    const raw = fs.readFileSync(resultFile, 'utf8')
+    const result = JSON.parse(raw)
+    if (shouldDedup(result, fingerprint, ttl)) {
+      const elapsed = Math.round((Date.now() - result.finishedAt) / 1000)
+      console.error(`♻️ ${key}: те саме дерево, ${elapsed}с тому — пропускаю`)
+      release()
+      return 0
+    }
+  } catch { /* result.json не існує або пошкоджений */ }
+
+  const onSignal = () => { release(); process.exit(130) }
+  process.once('SIGINT', onSignal)
+  process.once('SIGTERM', onSignal)
+
+  let code
+  try {
+    code = await runFn()
+    fs.writeFileSync(resultFile, JSON.stringify({ finishedAt: Date.now(), exitCode: code, fingerprint }))
+  } finally {
+    process.off('SIGINT', onSignal)
+    process.off('SIGTERM', onSignal)
+    release()
+  }
+
+  return code
+}

package/scripts/utils/workspaces.mjs

@@ -11,7 +11,7 @@ import { dirname, join, relative } from 'node:path'
 const TRAILING_SLASH_RE = /\/$/
 const LEADING_DOTSLASH_RE = /^\.\//
 
-/** Glob-ігнор для workspace-патернів із `*` (узгоджено з `package-manifest.mjs`). */
+/** Glob-ігнор для workspace-патернів із `*` (узгоджено з `rules/changelog/fix/consistency/package-manifest.mjs`). */
 export const WORKSPACE_GLOB_IGNORE = Object.freeze(['**/node_modules/**', '**/.git/**', '**/.venv/**', '**/venv/**'])
 
 /**

package/scripts/utils/worktree-fingerprint.mjs

@@ -0,0 +1,30 @@
+/**
+ * Fingerprint поточного стану git-робочого дерева.
+ * Повертає sha256-hex (64 символи) або null, якщо не в git-репо.
+ * @param {typeof import('child_process').spawnSync} spawn
+ */
+import { spawnSync } from 'node:child_process'
+import { createHash } from 'node:crypto'
+
+export function worktreeFingerprint(spawn = spawnSync) {
+  /** @param {string[]} args */
+  function git(args) {
+    const r = spawn('git', args, { encoding: 'utf8' })
+    if (r.status !== 0 || r.error) throw new Error(`git ${args[0]} failed`)
+    return r.stdout
+  }
+
+  try {
+    const commitHash = git(['rev-parse', 'HEAD']).trim()
+    const diffText = git(['diff', 'HEAD'])
+    const untrackedRaw = git(['ls-files', '--others', '--exclude-standard'])
+    const untrackedFiles = untrackedRaw.split('\n').filter(Boolean)
+    const pairs = untrackedFiles
+      .map(f => `${f}:${git(['hash-object', f]).trim()}`)
+      .sort()
+    const raw = [commitHash, diffText, ...pairs].join('\n')
+    return createHash('sha256').update(raw).digest('hex')
+  } catch {
+    return null
+  }
+}