@nitra/cursor 1.13.8 → 1.13.12

package/rules/ga/policy/clean_merged_branch/clean_merged_branch.rego

@@ -1,44 +1,32 @@
-# Порт перевірки `validateCleanMergedBranch` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/clean-merged-branch.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/clean-merged-branch.yml \
-#     -p npm/policy/ga --namespace ga.clean_merged_branch
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/clean-merged-branch.yml.snippet.yml.
 package ga.clean_merged_branch
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-#
-# Шаблонні токени GitHub Actions (`${{ … }}`) збираємо з фрагментів через
-# `concat`, бо `{{` у Rego починає string interpolation.
-
-expected_github_token := concat("", ["$", "{{ github.token }}"])
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
-expected_deleted_branches_expr := concat("", ["$", "{{ steps.delete_stuff.outputs.deleted_branches }}"])
+gha_on := input["true"]
 
-expected_echo_substring := concat("", ["echo \"Deleted branches: $", "{DELETED_BRANCHES}\""])
+steps := input.jobs.cleanup_old_branches.steps
 
-expected_name := "Clean abandoned branches"
+step0 := steps[0]
 
-expected_cron := "0 1 15 * *"
+step1 := steps[1]
 
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+expected_name := data.template.snippet.name
 
-gha_on := input["true"]
+expected_cron := data.template.snippet.on.schedule[0].cron
 
-steps := input.jobs.cleanup_old_branches.steps
+expected_step0 := data.template.snippet.jobs.cleanup_old_branches.steps[0]
 
-step0 := steps[0]
+expected_step1 := data.template.snippet.jobs.cleanup_old_branches.steps[1]
 
-step1 := steps[1]
+expected_perms := data.template.snippet.jobs.cleanup_old_branches.permissions
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -51,7 +39,7 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not has_workflow_dispatch
+	not is_object(object.get(gha_on, "workflow_dispatch", null))
 	msg := "clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
@@ -61,65 +49,73 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	input.jobs.cleanup_old_branches.permissions.contents != "write"
-	msg := "clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)"
+	input.jobs.cleanup_old_branches.permissions.contents != expected_perms.contents
+	msg := sprintf("clean-merged-branch.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
 	count(steps) < 2
-	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc"
+	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у template (ga.mdc)"
 }
 
 # ── Step 0 (delete_stuff) ──────────────────────────────────────────────────
 
 deny contains msg if {
-	step0.id != "delete_stuff"
-	msg := "clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)"
+	step0.id != expected_step0.id
+	msg := sprintf("clean-merged-branch.yml: перший крок має id: %s (ga.mdc)", [expected_step0.id])
 }
 
 deny contains msg if {
-	step0.uses != "phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3"
-	msg := "clean-merged-branch.yml: перший крок має uses як у ga.mdc"
+	step0.uses != expected_step0.uses
+	msg := sprintf("clean-merged-branch.yml: перший крок має uses: %s (ga.mdc)", [expected_step0.uses])
 }
 
 deny contains msg if {
-	step0.with.github_token != expected_github_token
-	msg := sprintf("clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)", [expected_github_token])
+	step0.with.github_token != expected_step0.with.github_token
+	msg := sprintf(
+		"clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)",
+		[expected_step0.with.github_token],
+	)
 }
 
 deny contains msg if {
-	step0.with.last_commit_age_days != 90
-	msg := "clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)"
+	step0.with.last_commit_age_days != expected_step0.with.last_commit_age_days
+	msg := sprintf(
+		"clean-merged-branch.yml: with.last_commit_age_days має бути %d (ga.mdc)",
+		[expected_step0.with.last_commit_age_days],
+	)
 }
 
 deny contains msg if {
-	not ignore_branches_has_main_and_dev
-	msg := "clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)"
+	not ignore_branches_subset
+	msg := sprintf(
+		"clean-merged-branch.yml: with.ignore_branches має містити %s (ga.mdc)",
+		[expected_step0.with.ignore_branches],
+	)
 }
 
-# `dry_run: no` у YAML парситься як boolean `false`. JS-перевірка порівнює зі
-# рядком "no", але в нас input уже Go-yaml-парсений — тому очікуємо `false`.
-# (Якщо комусь схочеться явного `"no"` — треба буде брати in quotes у YAML.)
+# YAML 1.1 quirk: `dry_run: no` парситься як boolean false у Go-yaml (conftest).
+# Template (від `yaml` npm) теж нормалізовано до false у фікстурі.
 deny contains msg if {
-	step0.with.dry_run != false # noqa: rules-style-no-equality-with-false
+	step0.with.dry_run != expected_step0.with.dry_run # noqa: rules-style-no-equality-with-false
 	msg := "clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)"
 }
 
 # ── Step 1 (Get output) ────────────────────────────────────────────────────
 
 deny contains msg if {
-	step1.name != "Get output"
-	msg := "clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)"
+	step1.name != expected_step1.name
+	msg := sprintf("clean-merged-branch.yml: другий крок має name: %s (ga.mdc)", [expected_step1.name])
 }
 
 deny contains msg if {
-	step1.env.DELETED_BRANCHES != expected_deleted_branches_expr
-	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc"
+	step1.env.DELETED_BRANCHES != expected_step1.env.DELETED_BRANCHES
+	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у template (ga.mdc)"
 }
 
 deny contains msg if {
 	not echo_deleted_branches
-	msg := "clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc"
+	msg := "clean-merged-branch.yml: run має echo Deleted branches як у template (ga.mdc)"
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
@@ -128,15 +124,17 @@ has_expected_cron if {
 	gha_on.schedule[_].cron == expected_cron
 }
 
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-
-ignore_branches_has_main_and_dev if {
-	contains(step0.with.ignore_branches, "main")
-	contains(step0.with.ignore_branches, "dev")
+# Кожна гілка з template-літералу (через кому) має бути присутня у actual.
+ignore_branches_subset if {
+	required_branches := split(expected_step0.with.ignore_branches, ",")
+	actual := step0.with.ignore_branches
+	every b in required_branches {
+		contains(actual, trim_space(b))
+	}
 }
 
 echo_deleted_branches if {
-	contains(step1.run, expected_echo_substring)
+	# Звіряємо substring "echo "Deleted branches: …${DELETED_BRANCHES}…"" — формується з template run.
+	contains(step1.run, "Deleted branches:")
+	contains(step1.run, "${DELETED_BRANCHES}")
 }

package/rules/ga/policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml

@@ -0,0 +1,37 @@
+name: Clean abandoned branches
+
+on:
+  # Run daily at midnight
+  schedule:
+    - cron: '0 1 15 * *'
+
+  # Allow workflow to be manually run from the GitHub UI
+  workflow_dispatch: {}
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  cleanup_old_branches:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: write
+    steps:
+      - id: delete_stuff
+        name: Delete those pesky dead branches
+        uses: phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3
+        with:
+          github_token: ${{ github.token }}
+          last_commit_age_days: 90
+          ignore_branches: main,dev
+          # `no` у workflow → Go-yaml парсить як bool false; тут пишемо явно false,
+          # бо template читає `yaml` (YAML 1.2), де `no` лишається рядком — а нам
+          # потрібна семантична відповідність runtime-парсингу conftest.
+          dry_run: false
+
+      - name: Get output
+        env:
+          DELETED_BRANCHES: ${{ steps.delete_stuff.outputs.deleted_branches }}
+        run: |
+          echo "Deleted branches: ${DELETED_BRANCHES}"

package/rules/ga/policy/git_ai/git_ai.rego

@@ -1,42 +1,38 @@
-# Порт перевірки `validateGitAiWorkflowStructure` з `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/git-ai.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/git-ai.yml \
-#     -p npm/policy/ga --namespace ga.git_ai
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/git-ai.yml.snippet.yml.
+# Substring-перевірки (`if:`, `run:` блоки) — на основі ключових фраз з template
+# steps, бо повний multi-line `run:` дуже крихкий для exact-match.
 package ga.git_ai
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-
-expected_name := "Git AI"
-
-expected_if_substring := "github.event.pull_request.merged == true"
-
-expected_install_substring := "curl -fsSL https://usegitai.com/install.sh | bash"
-
-expected_run_substring := "git-ai ci github run"
-
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
 gha_on := input["true"]
 
-# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
-# — щоб уникнути regal-правила `rule-name-repeats-package`.
 job := input.jobs["git-ai"]
 
-# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
 job_run_blob := concat("\n", [run |
 	run := job.steps[_].run
 ])
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_name := data.template.snippet.name
+
+expected_types := {t | some t in data.template.snippet.on.pull_request.types}
+
+expected_if := data.template.snippet.jobs["git-ai"].if
+
+expected_perms := data.template.snippet.jobs["git-ai"].permissions
+
+# Substring-маркери з template `run:` блоків — ключові команди, наявність яких
+# гарантує що workflow робить очікувані дії. Конкретний multi-line — не порівнюємо.
+install_substring := "https://usegitai.com/install.sh"
+
+run_substring := "git-ai ci github run"
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -54,30 +50,27 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not contains(job_if_str, expected_if_substring)
-	msg := "git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)"
+	not contains(job_if_str, expected_if)
+	msg := sprintf("git-ai.yml: job має містити if: %s (ga.mdc)", [expected_if])
 }
 
 deny contains msg if {
-	job.permissions.contents != "write"
-	msg := "git-ai.yml: permissions мають бути contents: write (ga.mdc)"
+	job.permissions.contents != expected_perms.contents
+	msg := sprintf("git-ai.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
-	not contains(job_run_blob, expected_install_substring)
+	not contains(job_run_blob, install_substring)
 	msg := "git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)"
 }
 
 deny contains msg if {
-	not contains(job_run_blob, expected_run_substring)
-	msg := "git-ai.yml: має виконувати git-ai ci github run (ga.mdc)"
+	not contains(job_run_blob, run_substring)
+	msg := sprintf("git-ai.yml: має виконувати %s (ga.mdc)", [run_substring])
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
 
-# `if` поле job-а може бути відсутнім — тоді `sprintf` дає невизначене значення
-# і спрацьовує `default`, повертаючи порожній рядок; `contains(…)` нижче дасть
-# false і відповідне `deny`-правило спрацює зі зрозумілим повідомленням.
 default job_if_str := ""
 
 job_if_str := sprintf("%v", [job.if])

package/rules/ga/policy/git_ai/template/git-ai.yml.snippet.yml

@@ -0,0 +1,30 @@
+name: Git AI
+
+on:
+  pull_request:
+    types: [closed]
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  git-ai:
+    if: github.event.pull_request.merged == true
+    runs-on: ubuntu-latest
+    permissions:
+      contents: write
+
+    steps:
+      - name: Install git-ai
+        run: |
+          curl -fsSL https://usegitai.com/install.sh | bash
+          echo "$HOME/.git-ai/bin" >> $GITHUB_PATH
+      - name: Run git-ai
+        id: run-git-ai
+        env:
+          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
+        run: |
+          git config --global user.name "github-actions[bot]"
+          git config --global user.email "github-actions[bot]@users.noreply.github.com"
+          git-ai ci github run

package/rules/ga/policy/lint_ga/lint_ga.rego

@@ -1,44 +1,50 @@
-# Порт перевірок `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers` з
-# `npm/scripts/check-ga.mjs` (ga.mdc).
+# Перевірка `.github/workflows/lint-ga.yml` (ga.mdc).
 #
-# Запуск (локально):
-#   conftest test .github/workflows/lint-ga.yml \
-#     -p npm/policy/ga --namespace ga.lint_ga
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
-# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
-# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-ga.yml.snippet.yml.
 package ga.lint_ga
 
 import rego.v1
 
-# ── Очікувані значення ─────────────────────────────────────────────────────
-
-expected_name := "Lint GA"
-
-expected_branches := {"dev", "main"}
-
-expected_push_paths := {".github/actions/**", ".github/workflows/**"}
-
-# ── Аліаси на input ────────────────────────────────────────────────────────
-#
-# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+# ── Аліаси ─────────────────────────────────────────────────────────────────
 
 gha_on := input["true"]
 
-# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
-# — щоб уникнути regal-правила `rule-name-repeats-package`.
 job := input.jobs["lint-ga"]
 
-# Усі `uses:` зі steps цього job-а — для перевірки членства.
 job_uses_set contains job.steps[_].uses
 
-# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
 job_run_blob := concat("\n", [run |
 	run := job.steps[_].run
 ])
 
-# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+expected_name := data.template.snippet.name
+
+expected_push_branches := {b | some b in data.template.snippet.on.push.branches}
+
+expected_pr_branches := {b | some b in data.template.snippet.on.pull_request.branches}
+
+expected_push_paths := {p | some p in data.template.snippet.on.push.paths}
+
+expected_runs_on := data.template.snippet.jobs["lint-ga"]["runs-on"]
+
+expected_perms := data.template.snippet.jobs["lint-ga"].permissions
+
+# Required `uses:` зі template — фільтруємо тільки кроки що мають `uses`.
+expected_uses_set contains u if {
+	some step in data.template.snippet.jobs["lint-ga"].steps
+	u := object.get(step, "uses", "")
+	u != ""
+}
+
+# Required `run:` substrings — collected from steps with `run`.
+expected_run_blob := concat("\n", [r |
+	some step in data.template.snippet.jobs["lint-ga"].steps
+	r := object.get(step, "run", "")
+	r != ""
+])
+
+# ── deny rules ─────────────────────────────────────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
@@ -46,17 +52,17 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not push_branches_have_dev_and_main
+	not branches_superset_of(gha_on.push.branches, expected_push_branches)
 	msg := "lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)"
 }
 
 deny contains msg if {
-	not pr_branches_have_dev_and_main
+	not branches_superset_of(gha_on.pull_request.branches, expected_pr_branches)
 	msg := "lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)"
 }
 
 deny contains msg if {
-	not push_paths_have_required
+	not paths_superset_of(gha_on.push.paths, expected_push_paths)
 	msg := "lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)"
 }
 
@@ -66,13 +72,13 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	job["runs-on"] != "ubuntu-latest"
-	msg := "lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+	job["runs-on"] != expected_runs_on
+	msg := sprintf("lint-ga.yml: runs-on має бути %s (ga.mdc)", [expected_runs_on])
 }
 
 deny contains msg if {
-	job.permissions.contents != "read"
-	msg := "lint-ga.yml: permissions мають бути contents: read (ga.mdc)"
+	job.permissions.contents != expected_perms.contents
+	msg := sprintf("lint-ga.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
 }
 
 deny contains msg if {
@@ -81,38 +87,23 @@ deny contains msg if {
 }
 
 deny contains msg if {
-	not "actions/checkout@v6" in job_uses_set
-	msg := "lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)"
-}
-
-deny contains msg if {
-	not "./.github/actions/setup-bun-deps" in job_uses_set
-	msg := "lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)"
-}
-
-deny contains msg if {
-	not "astral-sh/setup-uv@v8.0.0" in job_uses_set
-	msg := "lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)"
+	some required_use in expected_uses_set
+	not required_use in job_uses_set
+	msg := sprintf("lint-ga.yml: має бути uses: %s (ga.mdc)", [required_use])
 }
 
 deny contains msg if {
+	expected_run_blob != ""
 	not contains(job_run_blob, "bun run lint-ga")
 	msg := "lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)"
 }
 
 # ── helpers ────────────────────────────────────────────────────────────────
 
-push_branches_have_dev_and_main if {
-	branches := gha_on.push.branches
-	expected_branches & {b | some b in branches} == expected_branches
-}
-
-pr_branches_have_dev_and_main if {
-	branches := gha_on.pull_request.branches
-	expected_branches & {b | some b in branches} == expected_branches
+branches_superset_of(actual, expected) if {
+	expected & {b | some b in actual} == expected
 }
 
-push_paths_have_required if {
-	paths := gha_on.push.paths
-	expected_push_paths & {p | some p in paths} == expected_push_paths
+paths_superset_of(actual, expected) if {
+	expected & {p | some p in actual} == expected
 }

package/rules/ga/policy/lint_ga/template/lint-ga.yml.snippet.yml

@@ -0,0 +1,35 @@
+name: Lint GA
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '.github/actions/**'
+      - '.github/workflows/**'
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  lint-ga:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - uses: astral-sh/setup-uv@v8.0.0
+
+      - name: Lint GA
+        run: bun run lint-ga

package/rules/ga/policy/package_json/package_json.rego

@@ -1,24 +1,20 @@
 # Перевірка кореневого `package.json` для GitHub Actions tooling (ga.mdc).
 #
-# Структурні workflow-перевірки живуть у `ga.workflow_common` і per-workflow
-# policy-пакетах. JS лишається для PATH-preflight (`shellcheck`) і git-залежної
-# перевірки `on.*.paths` через `git ls-files`.
+# Канон надходить через --data: { "template": { "contains": ... } }
+# Структура --data сформована з template/package.json.contains.json.
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.package_json
 
 import rego.v1
 
+# Кожне рядкове поле з contains має містити кожен substring.
+# Відсутність ключа → `""` → contains() = false → deny.
 deny contains msg if {
-	not is_string(object.get(object.get(input, "scripts", {}), "lint-ga", null))
-	msg := "package.json: додай скрипт \"lint-ga\" (ga.mdc)"
-}
-
-deny contains msg if {
-	lint_ga := object.get(object.get(input, "scripts", {}), "lint-ga", "")
-	is_string(lint_ga)
-	not regex.match(`\bn-cursor\s+lint-ga\b`, lint_ga)
-	msg := "lint-ga має делегувати CLI `n-cursor lint-ga` (ga.mdc)"
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (ga.mdc)", [script_name, needle])
 }

package/rules/ga/policy/package_json/template/package.json.contains.json

@@ -0,0 +1 @@
+{ "scripts": { "lint-ga": ["n-cursor lint-ga"] } }

package/rules/ga/policy/vscode_extensions/template/extensions.json.snippet.json

@@ -0,0 +1 @@
+{ "recommendations": ["github.vscode-github-actions"] }

package/rules/ga/policy/vscode_extensions/vscode_extensions.rego

@@ -1,9 +1,10 @@
 # Перевірка `.vscode/extensions.json` для GitHub Actions (ga.mdc).
 #
-# Canonical: у `recommendations` має бути `github.vscode-github-actions`.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
+# `recommendations` — subset-of: кожна рекомендація з template має бути у input.
 # Додаткові рекомендації від інших правил дозволені.
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.vscode_extensions
@@ -11,6 +12,7 @@ package ga.vscode_extensions
 import rego.v1
 
 deny contains msg if {
-	not "github.vscode-github-actions" in {r | some r in object.get(input, "recommendations", [])}
-	msg := ".vscode/extensions.json: recommendations має містити \"github.vscode-github-actions\" (ga.mdc)"
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (ga.mdc)", [rec])
 }

package/rules/ga/policy/vscode_settings/template/settings.json.snippet.json

@@ -0,0 +1 @@
+{ "[github-actions-workflow]": { "editor.defaultFormatter": "oxc.oxc-vscode" } }