@nitra/cursor 1.13.76 → 1.13.83

package/CHANGELOG.md

@@ -4,6 +4,95 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.83] - 2026-05-23
+
+### Changed
+
+- **Per-rule `fix.mjs` entry-point + rename `fix/` → `js/`:** кожне з 30 правил тепер має `rules/<id>/fix.mjs` — 11-рядковий wrapper над новим `runStandardRule`. CLI більше не робить convention-based discovery на верхньому рівні — перебирає правила через `listRuleIds` і викликає `await import(rules/<id>/fix.mjs).run({ walkCache })`. Каталог `fix/<concern>/` перейменовано на `js/<concern>/` для усунення колізії з кореневим `fix.mjs` та узгодження з `policy/` (за технологією, не функцією).
+- **Локальна логіка в `fix.mjs` заборонена** — розширення поведінки правил тільки через опції в `RuleContext` (зараз: `walkCache`; зарезервовано на майбутнє: `skipMdcRefs`, `skipApplies`, `onlyConcerns`). Простір варіацій повністю описано в `RuleContext` JSDoc; convention-drift виключений на рівні дизайну.
+- **Shared `walkCache`** як module-level singleton у `scripts/utils/walk-cache.mjs` (`getOrCreateWalkCache` + `resetWalkCache` для тестів). CLI створює один cache на прогон і прокидає через ctx до всіх concerns.
+- **Нові utils:** `scripts/utils/run-standard-rule.mjs`, `scripts/utils/list-rule-ids.mjs`, `scripts/utils/walk-cache.mjs`. Експорт `discoverOneRule(ruleDir, ruleId)` з `discover-checkable-rules.mjs` (виокремлено з існуючого `discoverCheckableRules` — DRY).
+- **Нові тести:** `tests/fix-mjs-contract.test.mjs` (91 кейс — smoke на всі 30 правил), `tests/run-standard-rule.test.mjs`, `tests/list-rule-ids.test.mjs`, `tests/walk-cache.test.mjs`, `tests/discover-one-rule.test.mjs`. Існуючі тести оновлено в частині import-шляхів `/fix/<concern>` → `/js/<concern>` (логіка не змінювалась); видалено застарілий `discoverCheckableRules > legacy js/-структура ігнорується` — `js/` тепер canonical convention.
+
+### Breaking
+
+- **Для зовнішніх інтеграторів, що пишуть власні правила:** каталог `rules/<id>/fix/<concern>/check.mjs` перейменовано на `rules/<id>/js/<concern>/check.mjs`; додатково потрібен файл `rules/<id>/fix.mjs` з канонічним вмістом (див. будь-яке вбудоване правило для шаблону). CLI більше не запустить правило без `fix.mjs`.
+
+### Notes
+
+- Зворотна сумісність CLI: `npx @nitra/cursor check` та `npx @nitra/cursor check abie` працюють як раніше.
+- Use-cases: `bun npm/rules/abie/fix.mjs` (debug); `bun npm/rules/${{ matrix.rule }}/fix.mjs` (CI per-rule jobs); IDE Run-button на `fix.mjs`.
+
+## [1.13.82] - 2026-05-23
+
+### Changed
+
+- **`rules/test`: виняток для `*_test.rego` файлів — лишаються поряд із полісі (OPA/Conftest community-конвенція)**:
+  - **Rego unit-тести (`*_test.rego`) лежать у тому самому каталозі, що й `<name>.rego`** — за загальноприйнятим патерном OPA/Conftest. `package <name>` (полісі) ↔ `package <name>_test` (тест) семантично зв'язані через `package`-декларації, а не локацію файлу; `conftest verify -p <dir>` рекурсивний, тож знаходить тест незалежно від місця, але спільнота тримає їх поруч (бачимо у OPA examples, Gatekeeper library, Datree, Styra DAS bundles). Це **легітимне відхилення** від внутрішньої JS-конвенції «`tests/` всюди» на користь OPA-ідіоми.
+  - `rules/test/test.mdc` v1.1 — додано **окрему секцію про виняток** для Rego: «`*_test.rego` лишаються поряд із полісі, бо це загальноприйнятий OPA/Conftest community-патерн» (з прикладом структури `policy/<concern>/{<name>.rego, <name>_test.rego, target.json}`).
+  - `rules/test/fix/location/check.mjs` — перевіряє **лише `*.test.mjs`**, `*_test.rego` свідомо виключено з область перевірки (зафіксовано у docstring).
+  - Додано test-case у `rules/test/fix/location/tests/check.test.mjs`: `*_test.rego` поряд із полісі НЕ є порушенням.
+- **Відкат переміщення `*_test.rego`**: 69 файлів, які раніше було помилково перенесено у `policy/<concern>/tests/<name>_test.rego`, повернуто у `policy/<concern>/<name>_test.rego` через `git mv`. Порожні `tests/` піддиректорії під `policy/` видалено.
+- **`npx @nitra/cursor check test`** охоплює лише JS-тести: «✅ Всі 77 файлів *.test.mjs у каталозі tests/». Rego-тести продовжують перевірятись через `conftest verify` у правилі `rego`.
+
+## [1.13.81] - 2026-05-23
+
+### Fixed
+
+- **`npm-module.package_structure`: carve-out для rule-name сегмента** у `classifyPublishedFileAsTest`. Раніше для шляху `rules/<X>/...` сегмент `<X>` піддавався TEST_DIR_NAMES-перевірці, що давало false positive на правилах із id, що збігається з test-style ім'ям (`test`, `tests`, `fixtures` тощо). Тепер сегмент індекс 1 (ім'я правила, коли індекс 0 — `rules`) пропускається; глибші сегменти (`rules/<r>/fix/<c>/tests/`) продовжують перевірятись.
+
+### Added
+
+- **Нове правило `test` (`npm/rules/test/`)** — програмний канон розміщення тестів (ADR `docs/adr/20260523-154806-...`):
+  - `test.mdc` — конвенція «`*.test.mjs` живуть у `tests/` поряд із джерелом», з описом спецвипадків (root `tests/`, fixtures у `tests/__fixtures__/` і `tests/fixtures/`, test-helpers як shared-infra).
+  - `fix/location/check.mjs` — обхід дерева `walkDir`'ом (зі стандартним skip-листом + `.n-cursor.json:ignore`); для кожного `*.test.mjs` басенейм батьківської директорії має бути `tests`, інакше fail з вказівкою куди перенести.
+  - `fix/location/tests/check.test.mjs` — 6 тестів самого правила (eats own dogfood).
+  - `auto.md` — auto-enable умова: «якщо у проекті є хоча б один файл `*.test.mjs`».
+  - Додано `"test"` у `.n-cursor.json:rules` репо `@nitra/cursor`.
+  - Додано `"ignore": [".claude/worktrees"]` у `.n-cursor.json` — щоб правило не звітувало про знімки в git worktrees.
+
+### Changed
+
+- **Тести переміщено з-поряд-із-файлом у `dir/tests/` піддиректорію** (ADR `docs/adr/20260523-154806-...`):
+  - **73 sibling-тести** у `rules/...` і `scripts/...`: для кожного `dir/X.test.mjs` → `dir/tests/X.test.mjs` із автоматичним оновленням relative imports.
+  - **3 integration-тести у `npm/tests/`** — без змін (вже відповідали конвенції).
+  - **`npm/scripts/utils/__fixtures__/`** → `npm/scripts/utils/tests/__fixtures__/`.
+  - **`npm/rules/nginx-default-tpl/fix/template/fixtures/`** → `.../tests/fixtures/`; посилання в `npm/tests/check-rule-fixtures.test.mjs` оновлено.
+  - Ручні фіксапи 4 тестів із HERE/`..` path patterns (sync-setup-bun-deps-action, inline-template-links, rules/adr/fix/hooks, rules/abie/utils/enabled) — додано додатковий `..`, бо тести стали на рівень глибше.
+  - `package.json#files` негативні globs (`!**/*.test.mjs`, `!**/__fixtures__/**`, `!**/fixtures/**`) працюють рекурсивно — без змін.
+  - **77 тестів** проходять у новому layout (76 існуючих + 1 нового правила): `bun test` 843 pass / 2 fail (обидва — pre-existing `with-lock` issues, не пов'язані).
+  - `npx @nitra/cursor check test` → `✅ Всі 77 файлів *.test.mjs у каталозі tests/ (test.mdc)`.
+
+## [1.13.79] - 2026-05-23
+
+### Changed
+
+- **Перенесення single-rule сканерів і canonical-конфігів з `npm/scripts/utils/` у `npm/rules/<rule>/fix/<sub>/`** (узгоджено з конвенцією `rules/ga/fix/workflows/`, `rules/nginx-default-tpl/fix/template/` тощо; ADR `docs/adr/20260523-114913-...`, який supersede `20260523-112217-...`):
+  - **js-lint** (`rules/js-lint/fix/tooling/`): `knip-canonical.json`, `oxlint-canonical.json`, `oxlint-canonical-skeleton.json`, `oxlint-rules.tsv`, `rebuild-oxlint-canonical.mjs`. Константи `OXLINT_CANONICAL_JSON_PATH` / `KNIP_CANONICAL_JSON_PATH` у `check.mjs` стали локальними (без 4-річневих `..`).
+  - **js-run** (`rules/js-run/fix/runtime/`): `bunyan-imports.mjs` (+test), `check-env-scan.mjs`, `conn-file-rules.mjs` (+test), `conn-imports-scan.mjs` (+test), `promise-settimeout-scan.mjs` (+test).
+  - **docker** (`rules/docker/fix/lint/`): `docker-hadolint.mjs` (+test), `docker-mirror.mjs`. `rules/docker/lint/lint.mjs` тепер імпортує з `../fix/lint/docker-hadolint.mjs`.
+  - **js-bun-db** (`rules/js-bun-db/fix/safety/`): `bun-sql-scan.mjs`.
+  - **js-mssql** (`rules/js-mssql/fix/deps/`): `mssql-pool-scan.mjs`.
+  - **changelog** (`rules/changelog/fix/consistency/`): `package-manifest.mjs` (+test).
+  - **vue** (`rules/vue/fix/packages/`): `vue-forbidden-imports.mjs` (+test).
+  - **graphql** (`rules/graphql/fix/tooling/`): `graphql-gql-scan.mjs`. Cross-rule імпорту немає: `extractVueScriptBlocks`, локалізована `contentForGqlScan` і власні `isGqlScanSourceFile` / `shouldSkipFileForGqlScan` (з власною source-regex і skip-list `.d.ts` / `auto-imports.d.ts` / `components.d.ts`) дубльовані всередині `graphql-gql-scan.mjs` — правила залишаються самодостатніми.
+  - **`scripts/auto-rules.mjs`** оновлено: імпорти переадресовано на нові локації трьох сканерів (`bun-sql-scan`, `graphql-gql-scan`, `vue-forbidden-imports`).
+  - **`.mdc`-документація** оновлена: `rules/js-lint/js-lint.mdc`, `rules/docker/docker.mdc`, `rules/vue/vue.mdc`, `.cursor/rules/n-js-lint.mdc`, `.cursor/rules/n-vue.mdc` — посилання на нові шляхи canonical-файлів і сканерів.
+
+## [1.13.78] - 2026-05-23
+
+### Changed
+
+- **abie / k8s / hasura — актуалізація посилань на неіснуючий `check-abie.mjs`:** після реструктуризації `rules/abie/` на `fix/<concern>/check.mjs` (+ Rego-пакети у `policy/`) монолітного `check-abie.mjs` більше немає; застарілі посилання в активних `.mdc`/`.rego`/`.mjs` (поза історичним `CHANGELOG.md`) оновлено:
+  - `npm/rules/abie/abie.mdc` — три згадки замінено: пер-документна перевірка HTTPRoute base hostnames → Rego `abie.http_route_base`; env-DNS-скан → `fix/env_dns/check.mjs`; cross-file/FS-логіку розбито за концернами (`hc_pairing/`, `ua_http_route/`, `ua_node_selector/`, `env_dns/`, `firebase_hosting/`) з поясненням, що `targetRef.name -hl` cross-check обчислюється з `hcp.metadata.name` у Rego.
+  - `npm/rules/abie/policy/{http_route_base,base_deployment_preem,health_check_policy}/*.rego` — у шапках замінено `npm/scripts/check-abie.mjs` на актуальні джерела: cross-file gating через `policy/<pkg>/target.json` (glob), rule-level applies-гейт у `fix/applies/check.mjs`, FS-парність HCP↔Deployment у `fix/hc_pairing/check.mjs`. Прибрано згадки видалених JS-функцій (`validateAbieHcPolicy`, `deploymentDocumentHasAbieBasePreemNodeSelector`).
+  - `npm/rules/k8s/k8s.mdc` — рядок про `targetRef -hl` для abie-проєктів вказує на Rego-пакет `abie.health_check_policy` + `abie.mdc` (замість `check-abie.mjs`).
+  - `npm/rules/hasura/fix/internal_urls/check.mjs` — у JSDoc згадку `check-abie` замінено на нейтральне «abie-перевірки».
+
+### Added
+
+- **`with-lock`:** атомарний `mkdirSync`-лок + SHA-256 fingerprint-дедуп для важких команд; пілот — `lint-ga` автоматично серіалізує паралельні запуски та пропускає дублікати при незміненому робочому дереві (TTL 10 хв). Нові модулі: `scripts/utils/worktree-fingerprint.mjs`, `scripts/utils/with-lock.mjs`.
+
 ## [1.13.76] - 2026-05-22
 
 ### Added

package/README.md

@@ -56,7 +56,7 @@
 - Рядки в **base**, які змінюються в overlays, позначайте коментарем на рядку (узгоджено в команді), наприклад: `# буде замінено через kustomize`.
 - Після перенесення в **`base`** / overlays **видаляйте** застарілі маніфести та каталоги, які більше не потрібні.
 
-Повний текст правил — у **`k8s.mdc`**; programmatic перевірки — у **`npm/rules/k8s/`**: JS-checks у `fix/<concern>/check.mjs`, rego-policies у `policy/<concern>/<name>.rego` (обидва запускаються через `npx @nitra/cursor check k8s`).
+Повний текст правил — у **`k8s.mdc`**; programmatic перевірки — у **`npm/rules/k8s/`**: JS-checks у `js/<concern>/check.mjs`, rego-policies у `policy/<concern>/<name>.rego` (обидва запускаються через `npx @nitra/cursor check k8s`).
 
 ### v8r і власний каталог схем
 
@@ -109,13 +109,13 @@ npm/
 
 ### Структура одного правила
 
-Кожне правило `npm/rules/<id>/` ділиться за **технологією реалізації** на три сиблінги — `fix/`, `lint/`, `policy/`:
+Кожне правило `npm/rules/<id>/` ділиться за **технологією реалізації** на три сиблінги — `js/`, `lint/`, `policy/`:
 
 ```
 npm/rules/<id>/
 ├── <id>.mdc              # текст правила (після синку — .cursor/rules/n-<id>.mdc)
 ├── auto.md               # умова автоактивації скілу (опційно)
-├── fix/                  # JS для `npx @nitra/cursor check`
+├── js/                  # JS для `npx @nitra/cursor check`
 │   └── <concern>/
 │       ├── check.mjs     # діагностика — повертає список violations
 │       ├── check.test.mjs
@@ -134,11 +134,11 @@ npm/rules/<id>/
 
 | Що реалізує               | Канал виклику                                  | Куди                |
 | ------------------------- | ---------------------------------------------- | ------------------- |
-| JS-діагностика + автофікс | `npx @nitra/cursor check` (fix-канал)          | `fix/<concern>/`    |
+| JS-діагностика + автофікс | `npx @nitra/cursor check` (fix-канал)          | `js/<concern>/`    |
 | JS-orchestrator лінту     | `bun run lint-<id>` через `n-cursor lint-<id>` | `lint/`             |
 | Rego-діагностика          | `npx @nitra/cursor check` (fix-канал)          | `policy/<concern>/` |
 
-`fix/` і `policy/` обидва живлять fix-канал (`npx @nitra/cursor check` запускає і JS-checks, і rego-policies), але **розділені за технологією**: JS у `fix/`, rego у `policy/`. `lint/` тримає лише JS, що оркеструє `bun run lint-<id>`.
+`js/` і `policy/` обидва живлять fix-канал (`npx @nitra/cursor check` запускає і JS-checks, і rego-policies), але **розділені за технологією**: JS у `js/`, rego у `policy/`. `lint/` тримає лише JS, що оркеструє `bun run lint-<id>`.
 
 ## AGENTS.md у проєкті користувача
 

package/bin/n-cursor.js

@@ -83,14 +83,14 @@ import {
 import { detectAutoSkills } from '../scripts/auto-skills.mjs'
 import { runStopHookCli } from '../scripts/claude-stop-hook.mjs'
 import { discoverCheckRulesFromCursorRules } from '../scripts/utils/discover-check-rules-from-cursor.mjs'
-import { discoverCheckableRules } from '../scripts/utils/discover-checkable-rules.mjs'
+import { listRuleIds } from '../scripts/utils/list-rule-ids.mjs'
 import { ensureNitraCursorInRootDevDependencies } from '../scripts/ensure-nitra-cursor-dev-dependencies.mjs'
 import { runLintDocker } from '../rules/docker/lint/lint.mjs'
 import { runLintGaCli } from '../rules/ga/lint/lint.mjs'
 import { runLintK8s } from '../rules/k8s/lint/lint.mjs'
 import { runLintRego } from '../rules/rego/lint/lint.mjs'
 import { runLintTextCli } from '../rules/text/lint/lint.mjs'
-import { runRule } from '../scripts/utils/run-rule.mjs'
+import { getOrCreateWalkCache } from '../scripts/utils/walk-cache.mjs'
 import { syncClaudeConfig } from '../scripts/sync-claude-config.mjs'
 import { upgradeNitraCursorToLatestAndBunInstall } from '../scripts/upgrade-nitra-cursor-and-install.mjs'
 import { runRenameYamlExtensionsCli } from './rename-yaml-extensions.mjs'
@@ -973,26 +973,17 @@ function logRemovedManagedItems(title, basePath, names) {
   }
 }
 
-/**
- * Знаходить правила, для яких є хоча б щось прогонне: JS-концерн у `rules/<id>/fix/<concern>/check*.mjs`
- * або policy-концерн у `rules/<id>/policy/<concern>/target.json`. Делегує у `discoverCheckableRules`
- * — див. `scripts/utils/discover-checkable-rules.mjs`.
- * @returns {import('../scripts/utils/discover-checkable-rules.mjs').CheckableRule[]} опис правил у алфавітному порядку
- */
-function discoverCheckScripts() {
-  return discoverCheckableRules(BUNDLED_RULES_DIR)
-}
-
 /**
  * Запускає перевірки: без аргументів — за `*.mdc` у `.cursor/rules/`; з аргументами — лише вказані правила.
- * Делегує оркестрацію concern-ів (JS-checks + policy через `runConftestBatch`) у `runRule`;
- * сам `runChecks` відповідає лише за фільтр id, агрегацію exit-кодів і shared walk-cache на прогон.
+ * Перебирає правила через `listRuleIds`, для кожного робить dynamic `import('<rules>/<id>/fix.mjs')`
+ * і викликає `mod.run({ walkCache })`. Сам `runChecks` відповідає лише за фільтр id, агрегацію
+ * exit-кодів і shared walk-cache на прогон.
  * @param {string[]} requestedRules імена правил; порожній масив — брати з `.cursor/rules/*.mdc`
  * @returns {Promise<void>}
  */
 async function runChecks(requestedRules) {
-  const allRules = await discoverCheckScripts()
-  if (allRules.length === 0) {
+  const available = await listRuleIds(BUNDLED_RULES_DIR)
+  if (available.length === 0) {
     console.error('❌ Не знайдено жодного check-скрипта у пакеті')
     throw new Error('No check scripts found')
   }
@@ -1008,7 +999,6 @@ async function runChecks(requestedRules) {
     }
   }
 
-  const available = allRules.map(r => r.id)
   let idsToCheck
   if (requestedRules.length > 0) {
     idsToCheck = requestedRules
@@ -1023,7 +1013,7 @@ async function runChecks(requestedRules) {
     if (idsToCheck.length === 0) {
       console.log(
         `\n🔍 ${PACKAGE_NAME} check — у ${RULES_DIR}/ немає правил з programmatic перевіркою ` +
-          `(відповідного check-*.mjs або policy/<name>/target.json у пакеті). Нічого не запущено.\n`
+          `(відповідного fix.mjs у пакеті). Нічого не запущено.\n`
       )
       return
     }
@@ -1038,14 +1028,19 @@ async function runChecks(requestedRules) {
 
   console.log(`\n🔍 ${PACKAGE_NAME} check — перевірка правил (${idsToCheck.length})\n`)
 
-  const ruleMap = new Map(allRules.map(r => [r.id, r]))
   /** @type {Map<string, Promise<string[]>>} shared walk-cache (cross-concern, cross-rule у межах одного прогону) */
-  const walkCache = new Map()
+  const walkCache = getOrCreateWalkCache()
   let totalFailed = 0
 
   for (const id of idsToCheck) {
     try {
-      const code = await runRule(ruleMap.get(id), BUNDLED_RULES_DIR, walkCache)
+      const fixPath = join(BUNDLED_RULES_DIR, id, 'fix.mjs')
+      // eslint-disable-next-line no-unsanitized/method -- id з whitelist'у listRuleIds (readdir + existsSync), fixPath не з зовнішнього input
+      const mod = await import(fixPath)
+      if (typeof mod.run !== 'function') {
+        throw new TypeError(`${id}: rules/${id}/fix.mjs не експортує run()`)
+      }
+      const code = await mod.run({ walkCache })
       if (code !== 0) totalFailed++
     } catch (error) {
       console.log(`  ❌ Помилка виконання: ${error.message}`)

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.76",
+  "version": "1.13.83",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/abie.mdc

@@ -36,7 +36,7 @@ spec:
 
 ### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`file-link-hl`**
 
-У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка в **`check-abie.mjs`**).
+У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка — Rego-пакет **`abie.http_route_base`**, див. розділ нижче).
 
 Ці **Service** (headless **`-hl`**) живуть у **базовому** неймспейсі **`dev`**. У маніфесті **HTTPRoute** під **`k8s`** (шар без **`ua/`** — наприклад **`…/k8s/base/hr.yaml`**) для кожного **`backendRefs`** до такого сервісу явно вкажи **`namespace: dev`** і порт **8080**:
 
@@ -133,7 +133,7 @@ KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
 
 `<namespace>` (наприклад `dev-apruv` / `ua-apruv`) — `metadata.name` цільового namespace після kustomize-overlay для відповідного середовища; `<service>` — `metadata.name` headless Service (`-hl`) того сервісу, до якого йде URL.
 
-**Перевірка `check-abie.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
+**Перевірка `js/env_dns/check.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
 
 - DNS-суфікс відповідав env: `abie-dev.internal` / `abie-ua.internal`;
 - namespace починався з `dev-` / `ua-` відповідно.
@@ -160,7 +160,7 @@ bun add -d @nitra/abie-docs
 
 ## Швидкий gate через conftest (Rego)
 
-Підмножину пер-документних правил продубльовано як rego-полісі у **`npm/rules/abie/policy/`** (запускається через **`bun run lint-rego`** для `*_test.rego` юніт-тестів і через **`npx @nitra/cursor check abie`** для прогону по реальних YAML — деталі в **conftest.mdc** / **n-rego.mdc**). JS у **`fix/<concern>/check.mjs`** authoritative — rego тільки швидкий gate для одиничного маніфеста (зокрема через IDE-розширення `tsandall.opa`).
+Підмножину пер-документних правил продубльовано як rego-полісі у **`npm/rules/abie/policy/`** (запускається через **`bun run lint-rego`** для `*_test.rego` юніт-тестів і через **`npx @nitra/cursor check abie`** для прогону по реальних YAML — деталі в **conftest.mdc** / **n-rego.mdc**). JS у **`js/<concern>/check.mjs`** authoritative — rego тільки швидкий gate для одиничного маніфеста (зокрема через IDE-розширення `tsandall.opa`).
 
 Пакети (директорія в **`npm/policy/abie/`** → namespace → що перевіряє):
 
@@ -170,4 +170,12 @@ bun add -d @nitra/abie-docs
 - **`clean_merged_ignore_branches/`** → `abie.clean_merged_ignore_branches` — у workflow `.github/workflows/clean-merged-branch.yml` крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches`, що містить токени `dev,ua` (case-insensitive). **Цільові файли:** `.github/workflows/clean-merged-branch.yml`.
 - **`package_json_docs/`** → `abie.package_json_docs` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-docs` (presence-only, версію не фіксуємо). **Цільові файли:** `package.json`.
 
-Cross-file логіка (парність HCP↔Deployment у каталозі, обчислений `<deployment.name>-hl` для `targetRef.name`, валідація ua-overlay JSON6902 patches на HTTPRoute, env→cluster DNS, аналіз cross-namespace backendRefs у пакетах) лишається у **`check-abie.mjs`** — Rego не читає файлову систему й не робить cross-document резолюцію.
+Cross-file / FS-логіка лишається у JS-частинах (`js/<concern>/check.mjs`) — Rego не читає файлову систему й не робить cross-document резолюцію:
+
+- парність HCP↔Deployment у каталозі та modeline `hc.yaml` — `js/hc_pairing/check.mjs`;
+- валідація ua-overlay JSON6902 patches на HTTPRoute + аналіз cross-namespace `backendRefs` у пакетах — `js/ua_http_route/check.mjs`;
+- ua-overlay JSON6902 patch на `Deployment.nodeSelector` (`preem: false`) — `js/ua_node_selector/check.mjs`;
+- env→cluster DNS (`*.dev.env` / `*.ua.env`) — `js/env_dns/check.mjs`;
+- скан артефактів Firebase Hosting у підкаталогах першого рівня — `js/firebase_hosting/check.mjs`.
+
+Точна звірка `targetRef.name` HealthCheckPolicy з суфіксом `-hl` обчислюється з `hcp.metadata.name` і живе у Rego (`abie.health_check_policy`); за конвенцією `hcp.metadata.name` дорівнює `<deployment.name>`, тому окремий cross-file lookup до маніфесту Deployment не потрібен.

package/rules/abie/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/abie/policy/base_deployment_preem/base_deployment_preem.rego

@@ -1,19 +1,17 @@
-# Порт перевірки `deploymentDocumentHasAbieBasePreemNodeSelector` з
-# `npm/scripts/check-abie.mjs` (abie.mdc): кожен `Deployment` у файлах під
-# `…/k8s/.../base/…` має `spec.template.spec.nodeSelector.preem` зі
-# значенням, що вважається істинним (boolean `true` або рядок `"true"`
-# без урахування регістру). Overlay ua далі підміняє селектор
-# JSON6902-патчем на `preem: false`.
+# Перевірка (abie.mdc): кожен `Deployment` у файлах під `…/k8s/.../base/…` має
+# `spec.template.spec.nodeSelector.preem` зі значенням, що вважається істинним
+# (boolean `true` або рядок `"true"` без урахування регістру). Overlay ua далі
+# підміняє селектор JSON6902-патчем на `preem: false`
+# (див. `js/ua_node_selector/check.mjs`).
 #
 # Запуск (локально, лише для одного base-YAML з Deployment):
 #   conftest test path/to/k8s/base/deployment.yaml \
-#     -p npm/policy/abie/base_deployment_preem \
+#     -p npm/rules/abie/policy/base_deployment_preem \
 #     --namespace abie.base_deployment_preem
 #
-# JS відбирає файли під `…/k8s/.../base/…` (через `isAbieK8sBaseYamlPath`) і
-# викликає conftest з цією намеспейс. JS authoritative (`check-abie.mjs`:
-# `deploymentDocumentHasAbieBasePreemNodeSelector` + `ensureAbieBaseDeploymentPreemNodeSelector`).
-# Cross-file gating (правило `abie` у `.n-cursor.json`, шлях файла) — у JS.
+# Cross-file gating: шлях `…/k8s/.../base/…` фільтрується через
+# `policy/base_deployment_preem/target.json` (glob). Rule-level applies-гейт —
+# `js/applies/check.mjs` (поле `rules` у `.n-cursor.json`).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/rules/abie/policy/health_check_policy/health_check_policy.rego

@@ -1,9 +1,8 @@
-# Порт структурної перевірки `HealthCheckPolicy` з
-# `npm/scripts/check-abie.mjs` (abie.mdc).
+# Структурна перевірка `HealthCheckPolicy` (abie.mdc).
 #
 # Запуск (локально):
 #   conftest test path/to/k8s/.../hc.yaml \
-#     -p npm/policy/abie/health_check_policy \
+#     -p npm/rules/abie/policy/health_check_policy \
 #     --namespace abie.health_check_policy
 #
 # Перевіряє для `kind: HealthCheckPolicy`:
@@ -14,12 +13,13 @@
 #    починається з `/`;
 #  - `spec.default.config.httpHealthCheck.port: 8080`;
 #  - `spec.targetRef.kind: Service`;
-#  - `spec.targetRef.name` має суфікс `-hl` (headless backend).
+#  - `spec.targetRef.name` — `<hcp.metadata.name>-hl` (exact, з нормалізацією
+#    суфікса).
 #
-# Cross-file gating (правило `abie` у `.n-cursor.json`, парність з Deployment-каталогу,
-# точна звірка `targetRef.name` з обчисленим `<deployment.name>-hl`) — у JS
-# (`check-abie.mjs`: `validateAbieHcPolicy`, `checkHcYamlFiles`). JS authoritative;
-# ця Rego — швидкий gate для одиничного YAML (наприклад через IDE).
+# Cross-file gating: glob по `hc.yaml` у k8s-дереві — у
+# `policy/health_check_policy/target.json`. FS-парність HCP↔Deployment та
+# modeline `hc.yaml` — `js/hc_pairing/check.mjs`. Rule-level applies-гейт —
+# `js/applies/check.mjs`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
@@ -122,8 +122,7 @@ deny contains msg if {
 }
 
 # Нормалізація: якщо `metadata.name` уже закінчується на `-hl` — використовуємо
-# як є; інакше додаємо суфікс. Узгоджено з `validateAbieHcPolicy`
-# у `check-abie.mjs`.
+# як є; інакше додаємо суфікс.
 expected_target_ref_name(name) := name if {
 	endswith(name, "-hl")
 } else := concat("", [name, "-hl"])

package/rules/abie/policy/http_route_base/http_route_base.rego

@@ -1,15 +1,14 @@
-# Порт перевірки `HTTPRoute` у шарі `…/k8s/.../base/...` з
-# `npm/scripts/check-abie.mjs` (abie.mdc): дозволені лише hostnames з домену
-# `aiml.live` (включно з піддоменами та `*.aiml.live`).
+# Перевірка `HTTPRoute` у шарі `…/k8s/.../base/...` (abie.mdc): дозволені лише
+# hostnames з домену `aiml.live` (включно з піддоменами та `*.aiml.live`).
 #
 # Запуск (локально):
-#   conftest test path/to/k8s/base/hr.yaml -p npm/policy/abie \
+#   conftest test path/to/k8s/base/hr.yaml \
+#     -p npm/rules/abie/policy/http_route_base \
 #     --namespace abie.http_route_base
 #
-# Cross-file gating (саме шлях `…/base/…` визначає, чи застосовувати правило)
-# — у JS: conftest викликаємо лише на YAML-ах з base/. Тут — лише валідація вмісту
-# `spec.hostnames`. JS authoritative (`check-abie.mjs`) — ця Rego гейт для
-# одиничного YAML.
+# Cross-file gating (саме шлях `…/k8s/.../base/...` визначає, чи застосовувати
+# правило) задає glob у `policy/http_route_base/target.json`. Тут — лише
+# валідація вмісту `spec.hostnames`. Rule-level applies-гейт — `js/applies/check.mjs`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/rules/abie/utils/k8s-tree.mjs

@@ -8,7 +8,7 @@
  */
 import { dirname, relative } from 'node:path'
 
-import { pathHasK8sSegment } from '../../k8s/fix/manifests/check.mjs'
+import { pathHasK8sSegment } from '../../k8s/js/manifests/check.mjs'
 import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 import { isDeploymentDoc, readAndParseYamlDocs } from './yaml.mjs'
 

package/rules/adr/adr.mdc

@@ -95,7 +95,7 @@ docs/adr/
 └── hooks.json                 # Cursor Agent stop-hooks для тих самих скриптів
 ```
 
-`.gitignore` у корені проєкту повинен містити базові рядки (`node_modules/`, `dist/`, `*.secret`) і патерни для ADR Stop-hook (**`.claude/hooks/*.log`**, `.claude/hooks/.normalize-state`, `.claude/hooks/.normalize.lock`). Канонічний фрагмент (дописується `npx @nitra/cursor`, коли правило `adr` увімкнене): [.gitignore.snippet](./fix/hooks/template/.gitignore.snippet).
+`.gitignore` у корені проєкту повинен містити базові рядки (`node_modules/`, `dist/`, `*.secret`) і патерни для ADR Stop-hook (**`.claude/hooks/*.log`**, `.claude/hooks/.normalize-state`, `.claude/hooks/.normalize.lock`). Канонічний фрагмент (дописується `npx @nitra/cursor`, коли правило `adr` увімкнене): [.gitignore.snippet](./js/hooks/template/.gitignore.snippet).
 
 ## Stop-hook у `.claude/settings.json`
 

package/rules/adr/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/bun/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/capacitor/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/changelog/changelog.mdc

@@ -43,7 +43,7 @@ alwaysApply: true
 
 **Вимагають bump + нову секцію CHANGELOG** — усі інші зміни в каталозі workspace (код, rego, правила, скіли, конфіги, тести тощо). Виняток `.cursor/` / `.claude/` **не** поширюється на джерело правил у репо `@nitra/cursor` — воно лежить під `npm/`, тож зміни в ньому далі вимагають bump.
 
-Перевірка програмна (`changelog/fix/consistency/check.mjs`).
+Перевірка програмна (`changelog/js/consistency/check.mjs`).
 
 ## Дві моделі бази порівняння
 

package/rules/changelog/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}