@nitra/cursor 1.13.8 → 1.13.12

package/CHANGELOG.md

@@ -4,6 +4,66 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.13.12] - 2026-05-17
+
+### Added
+
+- `ga` rule template/ міграція доповнена (Phase 3.5 — 4 full-canon workflow концерни, пропущені в 1.13.9): `clean_ga_workflows`, `clean_merged_branch`, `lint_ga`, `git_ai`. Кожен має повний YAML канон у `template/<workflow>.yml.snippet.yml`, rego читає expected-значення з `data.template.snippet.<path>` (path лишається у rego, literals — у template). Для кожного — `*_test.rego` із canonical/wrong/drift тестами.
+- Wiring у `ga/fix/workflows/check.mjs`: `runAllGaRego` тепер `await loadTemplate(concernDir)` і передає `templateData` у `runConftestBatch` для кожного workflow концерну.
+
+### Changed
+
+- `ga.mdc` — 4 inline YAML-блоки повних workflow канонів замінено на markdown-посилання до `template/<workflow>.yml.snippet.yml`. Файл скоротився суттєво — канон тепер живе як data, а не як прозовий приклад.
+- `template/clean-merged-branch.yml.snippet.yml`: `dry_run: false` (явний bool) замість `dry_run: no` — `yaml` npm (YAML 1.2) лишає `no` рядком, а Go-yaml у conftest нормалізує до `false`; пишемо канонізовану форму під runtime conftest-парсингу.
+- `docs/adr/template-dir-concern-inventory.md` — додано 4 нові full-canon ga.* концерни з ✓; оновлено summary (89 концернів, 43 з template — мігровано 13/43 = 30%).
+
+### TODO
+
+- `ga.workflow_common` — cross-workflow forbidden-patterns (concurrency, depcheck deny, shell line-continuation). Не fully full-canon — окремий випадок, мігрується пізніше.
+
+## [1.13.11] - 2026-05-17
+
+### Added
+
+- `rego` rule template/ міграція (Phase 3): 3 концерни — `package_json` (snippet із збереженням `trim_space` tolerance), `vscode_extensions` (snippet-array), `vscode_settings` (snippet-object 2-level + окремий deny на non-object block).
+- Drift-тести у кожному `*_test.rego`.
+
+### Changed
+
+- `rego.package_json.rego` — замість двох inline-deny (missing + wrong-value через `regex/trim_space`) тепер один snippet-walker через `data.template.snippet`.
+- `rego.vscode_extensions.rego` — замість inline `"tsandall.opa"` тепер subset-of через `data.template.snippet.recommendations`.
+- `rego.vscode_settings.rego` — 2-рівневий snippet-walker з гардом `is_object(inner)` для випадку, коли block існує, але не обʼєкт.
+- `rego.mdc` — inline `package.json` snippet замінено на template-link; додано посилання на `.vscode/{extensions,settings}.json` template-файли. Виправлено застаріле `Цілі — npm/policy/` → `npm/rules/`.
+- `docs/adr/template-dir-concern-inventory.md` — позначено 3 `rego.*` концерни як ✓; додано Phase 3 у прогрес-секцію.
+
+## [1.13.10] - 2026-05-17
+
+### Fixed
+
+- `runLintRego` (`npm/rules/rego/lint/lint.mjs`) — `LINT_TARGETS` вказував на застарілий шлях `npm/policy` (не існує після Phase 1 реструктуризації), тож `bun run lint-rego` мовчки exit 0 без реальної перевірки. Тепер `LINT_TARGETS = ['npm/rules']` — `opa check --strict`, `regal lint`, `conftest verify` реально проходять по всіх 111 `.rego`-файлах. TDD-регресія у `lint.test.mjs` (broken-syntax + well-formed fixtures).
+
+### Changed
+
+- `.regal/config.yaml` — додано `idiomatic.directory-package-mismatch` і `imports.unresolved-reference` у `ignore` (інтенціональні конвенції проєкту: package = `<rule>.<concern>` у `<rule>/policy/<concern>/`; `data.template.*` ін'єктиться runtime через `--data`). `style.line-length.max-line-length: 220` — узгоджено з `opa fmt` (тримає малі обʼєкти single-line).
+- `*_test.rego` з порушенням `test-outside-test-package` (4 файли: `js-lint.jscpd`, `js-lint.vscode_extensions`, `security.gitleaks`, `vue.package_json`) — перейменовано в `<package>_test` із явним `import data.<package>`.
+- `opa fmt -w npm/rules` — auto-fix форматування.
+- `docs/adr/template-dir-concern-inventory.md` — додано 4 `ga.*` концерни з відміткою `✓` (мігровано); оновлено summary-числа (85 концернів, 39 з template — 46%); додано секцію прогресу міграції.
+
+## [1.13.9] - 2026-05-17
+
+### Added
+
+- `ga` rule template/ міграція (Phase 2): 4 концерни — `package_json` (contains-style), `vscode_extensions` (snippet-array), `vscode_settings` (snippet-object), `zizmor_yml` (snippet з канонічним path `rules.unpinned-uses.config.policies."*"`).
+- Drift-тести (`test_data_template_drives_*`) у кожному `*_test.rego` ловлять регресію, якщо rego перестане читати з `data.template`.
+
+### Changed
+
+- `ga.package_json.rego` — замість двох inline-deny з `is_string` + `regex.match` тепер один generic contains-walker через `data.template.contains`.
+- `ga.vscode_extensions.rego` — замість inline `"github.vscode-github-actions"` тепер subset-of через `data.template.snippet.recommendations`.
+- `ga.vscode_settings.rego` — 2-рівневий snippet-walker через `data.template.snippet` (літеральні keys `[github-actions-workflow]`, `editor.defaultFormatter`).
+- `ga.zizmor_yml.rego` — замість substring `json.marshal` хака тепер структурний чек `rules.unpinned-uses.config.policies."*"` із expected value з `data.template.snippet`.
+- `ga.mdc` — inline `package.json` snippet і `zizmor.yml` snippet блоки замінено на markdown-посилання на template-файли; додано посилання на нові template/ для `.vscode/{extensions,settings}.json`.
+
 ## [1.13.8] - 2026-05-17
 
 ### Changed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.13.8",
+  "version": "1.13.12",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/ga/fix/workflows/check.mjs

@@ -17,12 +17,17 @@
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
 import { execFileSync } from 'node:child_process'
-import { join } from 'node:path'
+import { basename, dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
 
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { eventPathsIncludeExact, parseWorkflowYaml } from '../../../../scripts/utils/gha-workflow.mjs'
 import { resolveCmd } from '../../../../scripts/utils/resolve-cmd.mjs'
 import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
+import { loadTemplate } from '../../../../scripts/utils/template.mjs'
+
+const HERE = dirname(fileURLToPath(import.meta.url))
+const GA_POLICY_DIR = join(HERE, '..', '..', 'policy')
 
 /** Шаблони наявності MegaLinter у вмісті workflow */
 const MEGALINTER_USE_PATTERNS = [/oxsecurity\/megalinter-action/i, /megalinter\/megalinter/i]
@@ -278,13 +283,17 @@ const GA_PER_WORKFLOW_REGO_TARGETS = [
  * @param {(msg: string) => void} fail callback при помилці
  * @returns {void}
  */
-function runAllGaRego(wfDir, ymlWorkflows, pass, fail) {
+async function runAllGaRego(wfDir, ymlWorkflows, pass, fail) {
   for (const target of GA_PER_WORKFLOW_REGO_TARGETS) {
     if (!existsSync(target.workflow)) continue
+    const concernDir = join(GA_POLICY_DIR, target.policyDirRel.split('/')[1])
+    const tpl = await loadTemplate(concernDir)
+    const templateData = tpl[basename(target.workflow)]
     const violations = runConftestBatch({
       policyDirRel: target.policyDirRel,
       namespace: target.namespace,
-      files: [target.workflow]
+      files: [target.workflow],
+      templateData
     })
     for (const v of violations) fail(`${target.workflow}: ${v.message}`)
     if (violations.length === 0) {

package/rules/ga/ga.mdc

@@ -17,152 +17,23 @@ concurrency:
 
 Без винятків — у scheduled cleanup-воркфлоу, у `pull_request: types: [closed]`, у publish-воркфлоу теж. Це уникає паралельних запусків того самого workflow на тій самій ref і скасовує попередні в чергу нових.
 
-Повинен бути файл .github/workflows/clean-ga-workflows.yml, зі змістом:
+Повинен бути файл `.github/workflows/clean-ga-workflows.yml`:
 
-```yaml
-name: Clean action for removing completed workflow runs
-
-on:
-  schedule:
-    - cron: '0 1 16 * *'
-
-  # Allow workflow to be manually run from the GitHub UI
-  workflow_dispatch: {}
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
+- Канон: [clean-ga-workflows.yml.snippet.yml](./policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml)
 
-jobs:
-  cleanup_old_workflows:
-    runs-on: ubuntu-latest
-    permissions:
-      actions: write
-      contents: read
-    steps:
-      - name: Delete workflow runs
-        uses: dmvict/clean-workflow-runs@v1
-        with:
-          token: ${{ github.token }}
-          save_period: 31
-          save_min_runs_number: 0
-
-```
-
-Повинен бути файл .github/workflows/clean-merged-branch.yml, зі змістом:
-
-```yaml
-name: Clean abandoned branches
+Повинен бути файл `.github/workflows/clean-merged-branch.yml`:
 
-on:
-  # Run daily at midnight
-  schedule:
-    - cron: '0 1 15 * *'
-
-  # Allow workflow to be manually run from the GitHub UI
-  workflow_dispatch: {}
-
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  cleanup_old_branches:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: write
-    steps:
-      - id: delete_stuff
-        name: Delete those pesky dead branches
-        uses: phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3
-        with:
-          github_token: ${{ github.token }}
-          last_commit_age_days: 90
-          ignore_branches: main,dev
-          dry_run: no
-
-      - name: Get output
-        env:
-          DELETED_BRANCHES: ${{ steps.delete_stuff.outputs.deleted_branches }}
-        run: |
-          echo "Deleted branches: ${DELETED_BRANCHES}"
-```
+- Канон: [clean-merged-branch.yml.snippet.yml](./policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml)
 
 Інші гілки в `ignore_branches` — допустимо.
-Повинен бути файл .github/workflows/lint-ga.yml, зі змістом:
 
-```yaml
-name: Lint GA
-
-on:
-  push:
-    branches:
-      - dev
-      - main
-    paths:
-      - '.github/actions/**'
-      - '.github/workflows/**'
-  pull_request:
-    branches:
-      - dev
-      - main
+Повинен бути файл `.github/workflows/lint-ga.yml`:
 
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
+- Канон: [lint-ga.yml.snippet.yml](./policy/lint_ga/template/lint-ga.yml.snippet.yml)
 
-jobs:
-  lint-ga:
-    runs-on: ubuntu-latest
-    permissions:
-      contents: read
-    steps:
-      - uses: actions/checkout@v6
-        with:
-          persist-credentials: false
-
-      - uses: ./.github/actions/setup-bun-deps
-
-      - uses: astral-sh/setup-uv@v8.0.0
-
-      - name: Lint GA
-        run: bun run lint-ga
-```
-
-Повинен бути файл .github/workflows/git-ai.yml, зі змістом:
-
-```yaml
-name: Git AI
-
-on:
-  pull_request:
-    types: [closed]
+Повинен бути файл `.github/workflows/git-ai.yml`:
 
-concurrency:
-  group: ${{ github.ref }}-${{ github.workflow }}
-  cancel-in-progress: true
-
-jobs:
-  git-ai:
-    if: github.event.pull_request.merged == true
-    runs-on: ubuntu-latest
-    permissions:
-      contents: write
-
-    steps:
-      - name: Install git-ai
-        run: |
-          curl -fsSL https://usegitai.com/install.sh | bash
-          echo "$HOME/.git-ai/bin" >> $GITHUB_PATH
-      - name: Run git-ai
-        id: run-git-ai
-        env:
-          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
-        run: |
-          git config --global user.name "github-actions[bot]"
-          git config --global user.email "github-actions[bot]@users.noreply.github.com"
-          git-ai ci github run
-```
+- Канон: [git-ai.yml.snippet.yml](./policy/git_ai/template/git-ai.yml.snippet.yml)
 
 **Локальний composite** (`uses: ./.github/actions/setup-bun-deps` або `./npm/github-actions/setup-bun-deps`): **спочатку** обов’язковий крок **`actions/checkout@v6`** (`persist-credentials: false`), інакше runner не знайде `action.yml`. Сам composite: **`actions/setup-node@v6`** (**Node 24**), **Bun**, **`actions/cache@v5`**, **`bun install --frozen-lockfile`**.
 
@@ -242,11 +113,7 @@ jobs:
 
 **Лінт:** [actionlint](https://github.com/rhysd/actionlint) через [github-actionlint](https://www.npmjs.com/package/github-actionlint); [zizmor](https://docs.zizmor.sh) — `uvx`, офлайн. Канонічний скрипт у корені делегує виконання CLI `n-cursor lint-ga` (бінарка з `node_modules/.bin/` пакету `@nitra/cursor`), який робить preflight на `shellcheck` і послідовно запускає `actionlint` та `zizmor`:
 
-```json title="package.json"
-"scripts": {
-  "lint-ga": "n-cursor lint-ga"
-}
-```
+- `package.json` — `scripts.lint-ga` має містити `n-cursor lint-ga`: [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
 
 > Не використовуй `npx --no @nitra/cursor lint-ga` — `bun run` автоматично транслює `npx` у `bun x`, а `bun x` для скоупованого пакету з одним bin-ім’ям повертає 0 без виконання. Виклик через bin-ім’я `n-cursor` працює і у `bun run`, і у `npm run`.
 
@@ -254,16 +121,15 @@ CLI робить preflight на `shellcheck` і `uv` (`uvx`) у `PATH`, поті
 
 **`.github/zizmor.yml`:** для [unpinned-uses](https://docs.zizmor.sh/audits/#unpinned-uses) — політика **`ref-pin`**, якщо в `uses:` семантичні теги. За потреби вимкни [template-injection](https://docs.zizmor.sh/audits/#template-injection):
 
-```yaml title=".github/zizmor.yml"
-# https://docs.zizmor.sh/configuration/
-rules:
-  unpinned-uses:
-    config:
-      policies:
-        '*': ref-pin
-  template-injection:
-    disable: true
-```
+- Канон `.github/zizmor.yml`: [zizmor.yml.snippet.yml](./policy/zizmor_yml/template/zizmor.yml.snippet.yml)
+
+**`.vscode/extensions.json`** має рекомендувати `github.vscode-github-actions`:
+
+- Канон: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+**`.vscode/settings.json`** для мови `github-actions-workflow` має `editor.defaultFormatter = "oxc.oxc-vscode"`:
+
+- Канон: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
 
 **MegaLinter:** не використовувати; прибрати workflow, конфіги (`.mega-linter.yml`, `.megalinter.yaml`, `.mega-linter.yaml`), залежності та згадки в CI / pre-commit / документації.
 

package/rules/ga/policy/clean_ga_workflows/clean_ga_workflows.rego

@@ -1,42 +1,33 @@
-# Порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/clean-ga-workflows.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/clean-ga-workflows.yml \
-#     -p npm/policy/ga --namespace ga.clean_ga_workflows
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
-#
-# Усі `deny`-правила йдуть контигно (regal: messy-rule); helpers і константи —
-# секціями вище та нижче.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/clean-ga-workflows.yml.snippet.yml
+# (повний YAML канон). Path-and-value перевірки — у цьому rego (per-concern
+# field-by-field з .data.template.snippet.<path>); жодних inline literals.
 package ga.clean_ga_workflows
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-#
-# `${{ … }}` — шаблонний синтаксис GitHub Actions; `{{` у Rego починає string
-# interpolation. Збираємо очікувані рядки з фрагментів через `concat`, як це
-# зроблено в check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
+# ── Аліаси на input ────────────────────────────────────────────────────────
+# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, у conftest серіалізується
+# як рядковий ключ "true". Template (через --data JSON) має ключ "on".
 
-expected_github_token := concat("", ["$", "{{ github.token }}"])
+gha_on := input["true"]
 
-expected_name := "Clean action for removing completed workflow runs"
+step0 := input.jobs.cleanup_old_workflows.steps[0]
 
-expected_cron := "0 1 16 * *"
+# Експектації з template.
+expected_name := data.template.snippet.name
 
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, конфтест серіалізує його
-# як рядковий ключ "true". Ані `input.on`, ані `input["on"]`, ані `input[true]`
-# не працюють — лише `input["true"]`.
+expected_cron := data.template.snippet.on.schedule[0].cron
 
-gha_on := input["true"]
+expected_step0 := data.template.snippet.jobs.cleanup_old_workflows.steps[0]
 
-step0 := input.jobs.cleanup_old_workflows.steps[0]
+expected_perms := data.template.snippet.jobs.cleanup_old_workflows.permissions
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_runs_on := data.template.snippet.jobs.cleanup_old_workflows["runs-on"]
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -49,7 +40,7 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not has_workflow_dispatch
+	not is_object(object.get(gha_on, "workflow_dispatch", null))
 	msg := "clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
@@ -60,32 +51,34 @@ deny contains msg if {
 
 deny contains msg if {
 	job := input.jobs.cleanup_old_workflows
-	job["runs-on"] != "ubuntu-latest"
-	msg := "clean-ga-workflows.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+	job["runs-on"] != expected_runs_on
+	msg := sprintf("clean-ga-workflows.yml: runs-on має бути %s (ga.mdc)", [expected_runs_on])
 }
 
 deny contains msg if {
 	perms := input.jobs.cleanup_old_workflows.permissions
-	not actions_write_contents_read(perms)
+	not perms_match(perms, expected_perms)
 	msg := "clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)"
 }
 
 deny contains msg if {
-	step0.name != "Delete workflow runs"
-	msg := "clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)"
+	step0.name != expected_step0.name
+	msg := sprintf("clean-ga-workflows.yml: перший крок має мати name: %s (ga.mdc)", [expected_step0.name])
 }
 
 deny contains msg if {
-	step0.uses != "dmvict/clean-workflow-runs@v1"
-	msg := "clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)"
+	step0.uses != expected_step0.uses
+	msg := sprintf("clean-ga-workflows.yml: перший крок має uses: %s (ga.mdc)", [expected_step0.uses])
 }
 
-# Триплет полів `with`: token (gh-токен), save_period=31, save_min_runs_number=0.
-# В JS-перевірці помилка спільна для всіх трьох — лишаємо такий самий формат, щоб
-# повідомлення збігалися.
 deny contains msg if {
 	not step0_with_canonical
-	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc"
+	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у template (ga.mdc)"
+}
+
+deny contains msg if {
+	step0.with.save_period != expected_step0.with.save_period
+	msg := sprintf("clean-ga-workflows.yml: with.save_period має бути %d (ga.mdc)", [expected_step0.with.save_period])
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
@@ -94,17 +87,13 @@ has_expected_cron if {
 	gha_on.schedule[_].cron == expected_cron
 }
 
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-
-actions_write_contents_read(perms) if {
-	perms.actions == "write"
-	perms.contents == "read"
+perms_match(actual, expected) if {
+	actual.actions == expected.actions
+	actual.contents == expected.contents
 }
 
 step0_with_canonical if {
-	step0.with.token == expected_github_token
-	step0.with.save_period == 31
-	step0.with.save_min_runs_number == 0
+	step0.with.token == expected_step0.with.token
+	step0.with.save_period == expected_step0.with.save_period
+	step0.with.save_min_runs_number == expected_step0.with.save_min_runs_number
 }

package/rules/ga/policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml

@@ -0,0 +1,26 @@
+name: Clean action for removing completed workflow runs
+
+on:
+  schedule:
+    - cron: '0 1 16 * *'
+
+  # Allow workflow to be manually run from the GitHub UI
+  workflow_dispatch: {}
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  cleanup_old_workflows:
+    runs-on: ubuntu-latest
+    permissions:
+      actions: write
+      contents: read
+    steps:
+      - name: Delete workflow runs
+        uses: dmvict/clean-workflow-runs@v1
+        with:
+          token: ${{ github.token }}
+          save_period: 31
+          save_min_runs_number: 0