@nitra/cursor 1.13.8 → 1.13.11

package/CHANGELOG.md

@@ -4,6 +4,49 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.11] - 2026-05-17
+
+### Added
+
+- `rego` rule template/ міграція (Phase 3): 3 концерни — `package_json` (snippet із збереженням `trim_space` tolerance), `vscode_extensions` (snippet-array), `vscode_settings` (snippet-object 2-level + окремий deny на non-object block).
+- Drift-тести у кожному `*_test.rego`.
+
+### Changed
+
+- `rego.package_json.rego` — замість двох inline-deny (missing + wrong-value через `regex/trim_space`) тепер один snippet-walker через `data.template.snippet`.
+- `rego.vscode_extensions.rego` — замість inline `"tsandall.opa"` тепер subset-of через `data.template.snippet.recommendations`.
+- `rego.vscode_settings.rego` — 2-рівневий snippet-walker з гардом `is_object(inner)` для випадку, коли block існує, але не обʼєкт.
+- `rego.mdc` — inline `package.json` snippet замінено на template-link; додано посилання на `.vscode/{extensions,settings}.json` template-файли. Виправлено застаріле `Цілі — npm/policy/` → `npm/rules/`.
+- `docs/adr/template-dir-concern-inventory.md` — позначено 3 `rego.*` концерни як ✓; додано Phase 3 у прогрес-секцію.
+
+## [1.13.10] - 2026-05-17
+
+### Fixed
+
+- `runLintRego` (`npm/rules/rego/lint/lint.mjs`) — `LINT_TARGETS` вказував на застарілий шлях `npm/policy` (не існує після Phase 1 реструктуризації), тож `bun run lint-rego` мовчки exit 0 без реальної перевірки. Тепер `LINT_TARGETS = ['npm/rules']` — `opa check --strict`, `regal lint`, `conftest verify` реально проходять по всіх 111 `.rego`-файлах. TDD-регресія у `lint.test.mjs` (broken-syntax + well-formed fixtures).
+
+### Changed
+
+- `.regal/config.yaml` — додано `idiomatic.directory-package-mismatch` і `imports.unresolved-reference` у `ignore` (інтенціональні конвенції проєкту: package = `<rule>.<concern>` у `<rule>/policy/<concern>/`; `data.template.*` ін'єктиться runtime через `--data`). `style.line-length.max-line-length: 220` — узгоджено з `opa fmt` (тримає малі обʼєкти single-line).
+- `*_test.rego` з порушенням `test-outside-test-package` (4 файли: `js-lint.jscpd`, `js-lint.vscode_extensions`, `security.gitleaks`, `vue.package_json`) — перейменовано в `<package>_test` із явним `import data.<package>`.
+- `opa fmt -w npm/rules` — auto-fix форматування.
+- `docs/adr/template-dir-concern-inventory.md` — додано 4 `ga.*` концерни з відміткою `✓` (мігровано); оновлено summary-числа (85 концернів, 39 з template — 46%); додано секцію прогресу міграції.
+
+## [1.13.9] - 2026-05-17
+
+### Added
+
+- `ga` rule template/ міграція (Phase 2): 4 концерни — `package_json` (contains-style), `vscode_extensions` (snippet-array), `vscode_settings` (snippet-object), `zizmor_yml` (snippet з канонічним path `rules.unpinned-uses.config.policies."*"`).
+- Drift-тести (`test_data_template_drives_*`) у кожному `*_test.rego` ловлять регресію, якщо rego перестане читати з `data.template`.
+
+### Changed
+
+- `ga.package_json.rego` — замість двох inline-deny з `is_string` + `regex.match` тепер один generic contains-walker через `data.template.contains`.
+- `ga.vscode_extensions.rego` — замість inline `"github.vscode-github-actions"` тепер subset-of через `data.template.snippet.recommendations`.
+- `ga.vscode_settings.rego` — 2-рівневий snippet-walker через `data.template.snippet` (літеральні keys `[github-actions-workflow]`, `editor.defaultFormatter`).
+- `ga.zizmor_yml.rego` — замість substring `json.marshal` хака тепер структурний чек `rules.unpinned-uses.config.policies."*"` із expected value з `data.template.snippet`.
+- `ga.mdc` — inline `package.json` snippet і `zizmor.yml` snippet блоки замінено на markdown-посилання на template-файли; додано посилання на нові template/ для `.vscode/{extensions,settings}.json`.
+
 ## [1.13.8] - 2026-05-17
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.8",
+  "version": "1.13.11",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/ga/ga.mdc

@@ -242,11 +242,7 @@ jobs:
 
 **Лінт:** [actionlint](https://github.com/rhysd/actionlint) через [github-actionlint](https://www.npmjs.com/package/github-actionlint); [zizmor](https://docs.zizmor.sh) — `uvx`, офлайн. Канонічний скрипт у корені делегує виконання CLI `n-cursor lint-ga` (бінарка з `node_modules/.bin/` пакету `@nitra/cursor`), який робить preflight на `shellcheck` і послідовно запускає `actionlint` та `zizmor`:
 
-```json title="package.json"
-"scripts": {
-  "lint-ga": "n-cursor lint-ga"
-}
-```
+- `package.json` — `scripts.lint-ga` має містити `n-cursor lint-ga`: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
 
 > Не використовуй `npx --no @nitra/cursor lint-ga` — `bun run` автоматично транслює `npx` у `bun x`, а `bun x` для скоупованого пакету з одним bin-ім’ям повертає 0 без виконання. Виклик через bin-ім’я `n-cursor` працює і у `bun run`, і у `npm run`.
 
@@ -254,16 +250,15 @@ CLI робить preflight на `shellcheck` і `uv` (`uvx`) у `PATH`, поті
 
 **`.github/zizmor.yml`:** для [unpinned-uses](https://docs.zizmor.sh/audits/#unpinned-uses) — політика **`ref-pin`**, якщо в `uses:` семантичні теги. За потреби вимкни [template-injection](https://docs.zizmor.sh/audits/#template-injection):
 
-```yaml title=".github/zizmor.yml"
-# https://docs.zizmor.sh/configuration/
-rules:
-  unpinned-uses:
-    config:
-      policies:
-        '*': ref-pin
-  template-injection:
-    disable: true
-```
+- Канон `.github/zizmor.yml`: [zizmor.yml.snippet.yml](./policy/zizmor_yml/template/zizmor.yml.snippet.yml)
+
+**`.vscode/extensions.json`** має рекомендувати `github.vscode-github-actions`:
+
+- Канон: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+**`.vscode/settings.json`** для мови `github-actions-workflow` має `editor.defaultFormatter = "oxc.oxc-vscode"`:
+
+- Канон: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
 
 **MegaLinter:** не використовувати; прибрати workflow, конфіги (`.mega-linter.yml`, `.megalinter.yaml`, `.mega-linter.yaml`), залежності та згадки в CI / pre-commit / документації.
 

package/rules/ga/policy/package_json/package_json.rego

@@ -1,24 +1,20 @@
 # Перевірка кореневого `package.json` для GitHub Actions tooling (ga.mdc).
 #
-# Структурні workflow-перевірки живуть у `ga.workflow_common` і per-workflow
-# policy-пакетах. JS лишається для PATH-preflight (`shellcheck`) і git-залежної
-# перевірки `on.*.paths` через `git ls-files`.
+# Канон надходить через --data: { "template": { "contains": ... } }
+# Структура --data сформована з template/package.json.contains.json.
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.package_json
 
 import rego.v1
 
+# Кожне рядкове поле з contains має містити кожен substring.
+# Відсутність ключа → `""` → contains() = false → deny.
 deny contains msg if {
-	not is_string(object.get(object.get(input, "scripts", {}), "lint-ga", null))
-	msg := "package.json: додай скрипт \"lint-ga\" (ga.mdc)"
-}
-
-deny contains msg if {
-	lint_ga := object.get(object.get(input, "scripts", {}), "lint-ga", "")
-	is_string(lint_ga)
-	not regex.match(`\bn-cursor\s+lint-ga\b`, lint_ga)
-	msg := "lint-ga має делегувати CLI `n-cursor lint-ga` (ga.mdc)"
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (ga.mdc)", [script_name, needle])
 }

package/rules/ga/policy/package_json/template/package.json.contains.json

@@ -0,0 +1 @@
+{ "scripts": { "lint-ga": ["n-cursor lint-ga"] } }

package/rules/ga/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -0,0 +1 @@
+{ "recommendations": ["github.vscode-github-actions"] }

package/rules/ga/policy/vscode_extensions/vscode_extensions.rego

@@ -1,9 +1,10 @@
 # Перевірка `.vscode/extensions.json` для GitHub Actions (ga.mdc).
 #
-# Canonical: у `recommendations` має бути `github.vscode-github-actions`.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
+# `recommendations` — subset-of: кожна рекомендація з template має бути у input.
 # Додаткові рекомендації від інших правил дозволені.
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.vscode_extensions
@@ -11,6 +12,7 @@ package ga.vscode_extensions
 import rego.v1
 
 deny contains msg if {
-	not "github.vscode-github-actions" in {r | some r in object.get(input, "recommendations", [])}
-	msg := ".vscode/extensions.json: recommendations має містити \"github.vscode-github-actions\" (ga.mdc)"
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (ga.mdc)", [rec])
 }

package/rules/ga/policy/vscode_settings/template/settings.json.snippet.json

@@ -0,0 +1 @@
+{ "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } }

package/rules/ga/policy/vscode_settings/vscode_settings.rego

@@ -1,9 +1,11 @@
 # Перевірка `.vscode/settings.json` для GitHub Actions workflow (ga.mdc).
 #
-# Мова `github-actions-workflow` має форматуватись через `oxc.oxc-vscode`,
-# узгоджено з oxc для YAML/workflow.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/settings.json.snippet.json.
+# Snippet — 2-рівнева мапа: <language-block-key>.<setting-key> = <expected>
+# (VS Code-конвенція: ключі типу `[github-actions-workflow]` і `editor.defaultFormatter`
+# — це літеральні string-keys із дужками/крапкою, не вкладені обʼєкти).
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.vscode_settings
@@ -11,14 +13,10 @@ package ga.vscode_settings
 import rego.v1
 
 deny contains msg if {
-	block := object.get(input, "[github-actions-workflow]", null)
-	not is_object(block)
-	msg := ".vscode/settings.json: додай \"[github-actions-workflow]\": { \"editor.defaultFormatter\": \"oxc.oxc-vscode\" } (ga.mdc)"
-}
-
-deny contains msg if {
-	block := object.get(input, "[github-actions-workflow]", null)
-	is_object(block)
-	object.get(block, "editor.defaultFormatter", null) != "oxc.oxc-vscode"
-	msg := ".vscode/settings.json: [github-actions-workflow].editor.defaultFormatter має бути \"oxc.oxc-vscode\" (ga.mdc)"
+	some block_key, expected_inner in data.template.snippet
+	inner := object.get(input, block_key, {})
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf(".vscode/settings.json: %s.%s має бути %q (ga.mdc)", [block_key, leaf_key, expected_value])
 }

package/rules/ga/policy/zizmor_yml/template/zizmor.yml.snippet.yml

@@ -0,0 +1,5 @@
+rules:
+  unpinned-uses:
+    config:
+      policies:
+        '*': ref-pin

package/rules/ga/policy/zizmor_yml/zizmor_yml.rego

@@ -1,10 +1,10 @@
 # Перевірка `.github/zizmor.yml` для GitHub Actions (ga.mdc).
 #
-# JS раніше перевіряв сирий текст на `ref-pin`; у policy це робиться по
-# JSON-представленню розпарсеного YAML-документа. Коментарі не враховуються,
-# тож збіг має бути у фактичній конфігурації.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/zizmor.yml.snippet.yml.
+# Канонічний шлях — `rules.unpinned-uses.config.policies."*"`; expected value
+# (наприклад `"ref-pin"`) приходить із template, path лишається тут.
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.zizmor_yml
@@ -12,6 +12,16 @@ package ga.zizmor_yml
 import rego.v1
 
 deny contains msg if {
-	not contains(json.marshal(input), "ref-pin")
-	msg := ".github/zizmor.yml: додай policies ref-pin для unpinned-uses (ga.mdc)"
+	expected := data.template.snippet.rules["unpinned-uses"].config.policies["*"]
+	policies := object.get(
+		object.get(
+			object.get(object.get(input, "rules", {}), "unpinned-uses", {}),
+			"config",
+			{},
+		),
+		"policies",
+		{},
+	)
+	object.get(policies, "*", null) != expected
+	msg := sprintf(".github/zizmor.yml: rules.unpinned-uses.config.policies[%q] має бути %q (ga.mdc)", ["*", expected])
 }

package/rules/rego/lint/lint.mjs

@@ -18,9 +18,10 @@
  * потрібен VS Code-розширенню `tsandall.opa` (LSP, format-on-save через `opa fmt`) — деталі в
  * `mdc/rego.mdc`.
  *
- * Цілі лінту: `npm/policy/` (місце, де поки що живуть Rego-полісі пакета `@nitra/cursor`).
- * Якщо в репозиторії з’являться інші *.rego поза цим деревом, додай шлях у `LINT_TARGETS` —
- * усі три інструменти приймають кілька шляхів і самі рекурсивно обходять директорії.
+ * Цілі лінту: `npm/rules/` (де живуть Rego-полісі пакета `@nitra/cursor` — у
+ * `npm/rules/<id>/policy/<concern>/`). Усі три інструменти приймають один шлях
+ * і самі рекурсивно знаходять `.rego` (ігноруючи інші розширення на кшталт
+ * `target.json` чи template-фіх).
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
@@ -30,7 +31,7 @@ import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 
 /** Шляхи з Rego-полісі (відносно cwd). Існують не всі на ранніх стадіях — фільтруємо нижче. */
-const LINT_TARGETS = ['npm/policy']
+const LINT_TARGETS = ['npm/rules']
 
 /**
  * Друкує підказку зі встановлення `opa` (потрібен для `opa check --strict` і VS Code LSP).

package/rules/rego/policy/package_json/package_json.rego

@@ -1,37 +1,16 @@
 # Перевірка `package.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
-# `.rego` файлів у дереві. Глобально без `target.json` поруч (не auto-discoverable через `n-cursor check`).
-#
-# Canonical (rego.mdc): scripts.lint-rego має бути "n-cursor lint-rego" — CLI пакета `@nitra/cursor`
-# (бінарка з `node_modules/.bin/`) робить preflight `opa`/`regal` і прогонить
-# `opa check --strict` → `regal lint` → опц. `conftest verify` (`@nitra/cursor lint-rego`).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/package.json.snippet.json.
+# Дозволяємо whitespace навколо значення (trim_space) — допуск, який мав
+# попередній inline-варіант.
 package rego.package_json
 
 import rego.v1
 
-canonical_lint_rego := "n-cursor lint-rego"
-
-lint_rego_template := concat(" ", [
-	"package.json: scripts.lint-rego має бути %q",
-	"(зараз: %q) (rego.mdc)",
-])
-
-deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-rego" in object.keys(scripts)
-	msg := concat(" ", [
-		"package.json: відсутній scripts.lint-rego — додай",
-		"\"lint-rego\": \"n-cursor lint-rego\" (rego.mdc)",
-	])
-}
-
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	lint_rego := object.get(scripts, "lint-rego", "")
-	lint_rego != ""
-	trim_space(lint_rego) != canonical_lint_rego
-	msg := sprintf(lint_rego_template, [canonical_lint_rego, lint_rego])
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	trim_space(actual) != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (rego.mdc)", [script_name, expected])
 }

package/rules/rego/policy/package_json/template/package.json.snippet.json

@@ -0,0 +1 @@
+{ "scripts": { "lint-rego": "n-cursor lint-rego" } }

package/rules/rego/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -0,0 +1 @@
+{ "recommendations": ["tsandall.opa"] }

package/rules/rego/policy/vscode_extensions/vscode_extensions.rego

@@ -1,19 +1,15 @@
 # Перевірка `.vscode/extensions.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ того, як
-# JS виявив `.rego` файли у дереві (умовне правило — проєкти без rego не
-# зобовʼязані ставити tsandall.opa). Без `target.json` поруч НЕ
-# реєструється.
-#
-# Canonical (rego.mdc): `recommendations` має містити `tsandall.opa`.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
+# `recommendations` — subset-of: кожна рекомендація з template має бути у input.
+# Додаткові рекомендації від інших правил дозволені.
 package rego.vscode_extensions
 
 import rego.v1
 
 deny contains msg if {
-	recs := object.get(input, "recommendations", [])
-	not "tsandall.opa" in {r | some r in recs}
-	msg := ".vscode/extensions.json: recommendations має містити \"tsandall.opa\" (rego.mdc)"
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (rego.mdc)", [rec])
 }

package/rules/rego/policy/vscode_settings/template/settings.json.snippet.json

@@ -0,0 +1,6 @@
+{
+  "[rego]": {
+    "editor.defaultFormatter": "tsandall.opa",
+    "editor.formatOnSave": true
+  }
+}

package/rules/rego/policy/vscode_settings/vscode_settings.rego

@@ -1,38 +1,30 @@
 # Перевірка `.vscode/settings.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
-# `.rego` файлів у дереві. Глобально без `target.json` поруч (не auto-discoverable через `n-cursor check`).
-#
-# Canonical (rego.mdc):
-#   { "[rego]": { "editor.defaultFormatter": "tsandall.opa",
-#                 "editor.formatOnSave": true } }
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/settings.json.snippet.json.
+# Snippet — 2-рівнева мапа: <language-block-key>.<setting-key> = <expected>
+# (VS Code-конвенція: ключі `[rego]` і `editor.defaultFormatter`/`editor.formatOnSave`
+# — це літеральні string-keys із дужками/крапкою, не вкладені обʼєкти).
 package rego.vscode_settings
 
 import rego.v1
 
-# ── deny: [rego] block ──────────────────────────────────────────────────
-
-deny contains msg if {
-	not is_object(object.get(input, "[rego]", null))
-	msg := concat(" ", [
-		".vscode/settings.json: \"[rego]\" має бути обʼєктом з",
-		"\"editor.defaultFormatter\": \"tsandall.opa\" і",
-		"\"editor.formatOnSave\": true (rego.mdc)",
-	])
-}
-
+# Leaf-by-leaf: працює коли block присутній і є обʼєктом.
 deny contains msg if {
-	rego_block := object.get(input, "[rego]", {})
-	is_object(rego_block)
-	object.get(rego_block, "editor.defaultFormatter", null) != "tsandall.opa"
-	msg := ".vscode/settings.json: \"[rego].editor.defaultFormatter\" має бути \"tsandall.opa\" (rego.mdc)"
+	some block_key, expected_inner in data.template.snippet
+	inner := object.get(input, block_key, {})
+	is_object(inner)
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf(".vscode/settings.json: %s.%s має бути %v (rego.mdc)", [block_key, leaf_key, expected_value])
 }
 
+# Block існує, але не обʼєкт (напр. рядок) — окрема помилка типу.
 deny contains msg if {
-	rego_block := object.get(input, "[rego]", {})
-	is_object(rego_block)
-	object.get(rego_block, "editor.formatOnSave", null) != true
-	msg := ".vscode/settings.json: \"[rego].editor.formatOnSave\" має бути true (rego.mdc)"
+	some block_key in object.keys(data.template.snippet)
+	raw := object.get(input, block_key, null)
+	raw != null
+	not is_object(raw)
+	msg := sprintf(".vscode/settings.json: %s має бути обʼєктом (rego.mdc)", [block_key])
 }

package/rules/rego/rego.mdc

@@ -15,19 +15,21 @@ alwaysApply: false
 bun run lint-rego
 ```
 
-Цілі — `npm/policy/`. Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/js/lint.mjs`.
+Цілі — `npm/rules/` (рекурсивно знаходить `.rego` у `<rule>/policy/<concern>/`). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/lint/lint.mjs`.
 
 `opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
 
 ### `package.json`
 
-```json title="package.json"
-{
-  "scripts": {
-    "lint-rego": "n-cursor lint-rego"
-  }
-}
-```
+- Канон `scripts.lint-rego`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+
+### `.vscode/extensions.json`
+
+- Канон `recommendations` має містити `tsandall.opa` (LSP, format-on-save через `opa fmt`): [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+### `.vscode/settings.json`
+
+- Канон `[rego]`-block (`editor.defaultFormatter` + `editor.formatOnSave`): [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
 
 ## Конфіг regal
 

package/rules/security/todo.MD

@@ -0,0 +1,27 @@
+# TODO:
+
+## semgrep --config p/kubernetes
+
+p/security-audit
+
+p/secrets
+
+p/nodejs
+
+p/javascript
+
+p/typescript
+
+p/docker
+
+p/kubernetes
+
+## Trivy
+Найцінніша частина Trivy
+
+НЕ image scanning. А:
+
+
+config scanning
++
+Kubernetes scanning