npm - @nitra/cursor - Versions diffs - 1.13.8 → 1.13.12 - Mend

@nitra/cursor 1.13.8 → 1.13.12

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (29) hide show

package/rules/ga/policy/vscode_settings/vscode_settings.rego CHANGED Viewed

@@ -1,9 +1,11 @@
 # Перевірка `.vscode/settings.json` для GitHub Actions workflow (ga.mdc).
 #
-# Мова `github-actions-workflow` має форматуватись через `oxc.oxc-vscode`,
-# узгоджено з oxc для YAML/workflow.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/settings.json.snippet.json.
+# Snippet — 2-рівнева мапа: <language-block-key>.<setting-key> = <expected>
+# (VS Code-конвенція: ключі типу `[github-actions-workflow]` і `editor.defaultFormatter`
+# — це літеральні string-keys із дужками/крапкою, не вкладені обʼєкти).
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.vscode_settings
@@ -11,14 +13,10 @@ package ga.vscode_settings
 import rego.v1
 deny contains msg if {
-	block := object.get(input, "[github-actions-workflow]", null)
-	not is_object(block)
-	msg := ".vscode/settings.json: додай \"[github-actions-workflow]\": { \"editor.defaultFormatter\": \"oxc.oxc-vscode\" } (ga.mdc)"
-}
-deny contains msg if {
-	block := object.get(input, "[github-actions-workflow]", null)
-	is_object(block)
-	object.get(block, "editor.defaultFormatter", null) != "oxc.oxc-vscode"
-	msg := ".vscode/settings.json: [github-actions-workflow].editor.defaultFormatter має бути \"oxc.oxc-vscode\" (ga.mdc)"
+	some block_key, expected_inner in data.template.snippet
+	inner := object.get(input, block_key, {})
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf(".vscode/settings.json: %s.%s має бути %q (ga.mdc)", [block_key, leaf_key, expected_value])
 }

package/rules/ga/policy/zizmor_yml/template/zizmor.yml.snippet.yml ADDED Viewed

@@ -0,0 +1,5 @@
+rules:
+  unpinned-uses:
+    config:
+      policies:
+        '*': ref-pin

package/rules/ga/policy/zizmor_yml/zizmor_yml.rego CHANGED Viewed

@@ -1,10 +1,10 @@
 # Перевірка `.github/zizmor.yml` для GitHub Actions (ga.mdc).
 #
-# JS раніше перевіряв сирий текст на `ref-pin`; у policy це робиться по
-# JSON-представленню розпарсеного YAML-документа. Коментарі не враховуються,
-# тож збіг має бути у фактичній конфігурації.
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/zizmor.yml.snippet.yml.
+# Канонічний шлях — `rules.unpinned-uses.config.policies."*"`; expected value
+# (наприклад `"ref-pin"`) приходить із template, path лишається тут.
 #
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 package ga.zizmor_yml
@@ -12,6 +12,16 @@ package ga.zizmor_yml
 import rego.v1
 deny contains msg if {
-	not contains(json.marshal(input), "ref-pin")
-	msg := ".github/zizmor.yml: додай policies ref-pin для unpinned-uses (ga.mdc)"
+	expected := data.template.snippet.rules["unpinned-uses"].config.policies["*"]
+	policies := object.get(
+		object.get(
+			object.get(object.get(input, "rules", {}), "unpinned-uses", {}),
+			"config",
+			{},
+		),
+		"policies",
+		{},
+	)
+	object.get(policies, "*", null) != expected
+	msg := sprintf(".github/zizmor.yml: rules.unpinned-uses.config.policies[%q] має бути %q (ga.mdc)", ["*", expected])
 }

package/rules/rego/lint/lint.mjs CHANGED Viewed

@@ -18,9 +18,10 @@
  * потрібен VS Code-розширенню `tsandall.opa` (LSP, format-on-save через `opa fmt`) — деталі в
  * `mdc/rego.mdc`.
  *
- * Цілі лінту: `npm/policy/` (місце, де поки що живуть Rego-полісі пакета `@nitra/cursor`).
- * Якщо в репозиторії з’являться інші *.rego поза цим деревом, додай шлях у `LINT_TARGETS` —
- * усі три інструменти приймають кілька шляхів і самі рекурсивно обходять директорії.
+ * Цілі лінту: `npm/rules/` (де живуть Rego-полісі пакета `@nitra/cursor` — у
+ * `npm/rules/<id>/policy/<concern>/`). Усі три інструменти приймають один шлях
+ * і самі рекурсивно знаходять `.rego` (ігноруючи інші розширення на кшталт
+ * `target.json` чи template-фіх).
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
@@ -30,7 +31,7 @@ import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 /** Шляхи з Rego-полісі (відносно cwd). Існують не всі на ранніх стадіях — фільтруємо нижче. */
-const LINT_TARGETS = ['npm/policy']
+const LINT_TARGETS = ['npm/rules']
 /**
  * Друкує підказку зі встановлення `opa` (потрібен для `opa check --strict` і VS Code LSP).

package/rules/rego/policy/package_json/package_json.rego CHANGED Viewed

@@ -1,37 +1,16 @@
 # Перевірка `package.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
-# `.rego` файлів у дереві. Глобально без `target.json` поруч (не auto-discoverable через `n-cursor check`).
-#
-# Canonical (rego.mdc): scripts.lint-rego має бути "n-cursor lint-rego" — CLI пакета `@nitra/cursor`
-# (бінарка з `node_modules/.bin/`) робить preflight `opa`/`regal` і прогонить
-# `opa check --strict` → `regal lint` → опц. `conftest verify` (`@nitra/cursor lint-rego`).
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/package.json.snippet.json.
+# Дозволяємо whitespace навколо значення (trim_space) — допуск, який мав
+# попередній inline-варіант.
 package rego.package_json
 import rego.v1
-canonical_lint_rego := "n-cursor lint-rego"
-lint_rego_template := concat(" ", [
-	"package.json: scripts.lint-rego має бути %q",
-	"(зараз: %q) (rego.mdc)",
-])
-deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	not "lint-rego" in object.keys(scripts)
-	msg := concat(" ", [
-		"package.json: відсутній scripts.lint-rego — додай",
-		"\"lint-rego\": \"n-cursor lint-rego\" (rego.mdc)",
-	])
-}
 deny contains msg if {
-	scripts := object.get(input, "scripts", {})
-	lint_rego := object.get(scripts, "lint-rego", "")
-	lint_rego != ""
-	trim_space(lint_rego) != canonical_lint_rego
-	msg := sprintf(lint_rego_template, [canonical_lint_rego, lint_rego])
+	some script_name, expected in data.template.snippet.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	trim_space(actual) != expected
+	msg := sprintf("package.json: scripts.%s має бути %q (rego.mdc)", [script_name, expected])
 }

package/rules/rego/policy/package_json/template/package.json.snippet.json ADDED Viewed

	@@ -0,0 +1 @@
1	+ { "scripts": { "lint-rego": "n-cursor lint-rego" } }

package/rules/rego/policy/vscode_extensions/template/extensions.json.snippet.json ADDED Viewed

	@@ -0,0 +1 @@
1	+ { "recommendations": ["tsandall.opa"] }

package/rules/rego/policy/vscode_extensions/vscode_extensions.rego CHANGED Viewed

@@ -1,19 +1,15 @@
 # Перевірка `.vscode/extensions.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ того, як
-# JS виявив `.rego` файли у дереві (умовне правило — проєкти без rego не
-# зобовʼязані ставити tsandall.opa). Без `target.json` поруч НЕ
-# реєструється.
-#
-# Canonical (rego.mdc): `recommendations` має містити `tsandall.opa`.
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
+# `recommendations` — subset-of: кожна рекомендація з template має бути у input.
+# Додаткові рекомендації від інших правил дозволені.
 package rego.vscode_extensions
 import rego.v1
 deny contains msg if {
-	recs := object.get(input, "recommendations", [])
-	not "tsandall.opa" in {r | some r in recs}
-	msg := ".vscode/extensions.json: recommendations має містити \"tsandall.opa\" (rego.mdc)"
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (rego.mdc)", [rec])
 }

package/rules/rego/policy/vscode_settings/template/settings.json.snippet.json ADDED Viewed

@@ -0,0 +1,6 @@
+{
+  "[rego]": {
+    "editor.defaultFormatter": "tsandall.opa",
+    "editor.formatOnSave": true
+  }
+}

package/rules/rego/policy/vscode_settings/vscode_settings.rego CHANGED Viewed

@@ -1,38 +1,30 @@
 # Перевірка `.vscode/settings.json` для rego (rego.mdc).
 #
-# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
-# `.rego` файлів у дереві. Глобально без `target.json` поруч (не auto-discoverable через `n-cursor check`).
-#
-# Canonical (rego.mdc):
-#   { "[rego]": { "editor.defaultFormatter": "tsandall.opa",
-#                 "editor.formatOnSave": true } }
-#
-# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/settings.json.snippet.json.
+# Snippet — 2-рівнева мапа: <language-block-key>.<setting-key> = <expected>
+# (VS Code-конвенція: ключі `[rego]` і `editor.defaultFormatter`/`editor.formatOnSave`
+# — це літеральні string-keys із дужками/крапкою, не вкладені обʼєкти).
 package rego.vscode_settings
 import rego.v1
-# ── deny: [rego] block ──────────────────────────────────────────────────
-deny contains msg if {
-	not is_object(object.get(input, "[rego]", null))
-	msg := concat(" ", [
-		".vscode/settings.json: \"[rego]\" має бути обʼєктом з",
-		"\"editor.defaultFormatter\": \"tsandall.opa\" і",
-		"\"editor.formatOnSave\": true (rego.mdc)",
-	])
-}
+# Leaf-by-leaf: працює коли block присутній і є обʼєктом.
 deny contains msg if {
-	rego_block := object.get(input, "[rego]", {})
-	is_object(rego_block)
-	object.get(rego_block, "editor.defaultFormatter", null) != "tsandall.opa"
-	msg := ".vscode/settings.json: \"[rego].editor.defaultFormatter\" має бути \"tsandall.opa\" (rego.mdc)"
+	some block_key, expected_inner in data.template.snippet
+	inner := object.get(input, block_key, {})
+	is_object(inner)
+	some leaf_key, expected_value in expected_inner
+	actual := object.get(inner, leaf_key, null)
+	actual != expected_value
+	msg := sprintf(".vscode/settings.json: %s.%s має бути %v (rego.mdc)", [block_key, leaf_key, expected_value])
 }
+# Block існує, але не обʼєкт (напр. рядок) — окрема помилка типу.
 deny contains msg if {
-	rego_block := object.get(input, "[rego]", {})
-	is_object(rego_block)
-	object.get(rego_block, "editor.formatOnSave", null) != true
-	msg := ".vscode/settings.json: \"[rego].editor.formatOnSave\" має бути true (rego.mdc)"
+	some block_key in object.keys(data.template.snippet)
+	raw := object.get(input, block_key, null)
+	raw != null
+	not is_object(raw)
+	msg := sprintf(".vscode/settings.json: %s має бути обʼєктом (rego.mdc)", [block_key])
 }

package/rules/rego/rego.mdc CHANGED Viewed

@@ -15,19 +15,21 @@ alwaysApply: false
 bun run lint-rego
 ```
-Цілі — `npm/policy/`. Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/js/lint.mjs`.
+Цілі — `npm/rules/` (рекурсивно знаходить `.rego` у `<rule>/policy/<concern>/`). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/lint/lint.mjs`.
 `opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
 ### `package.json`
-```json title="package.json"
-{
-  "scripts": {
-    "lint-rego": "n-cursor lint-rego"
-  }
-}
-```
+- Канон `scripts.lint-rego`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
+### `.vscode/extensions.json`
+- Канон `recommendations` має містити `tsandall.opa` (LSP, format-on-save через `opa fmt`): [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+### `.vscode/settings.json`
+- Канон `[rego]`-block (`editor.defaultFormatter` + `editor.formatOnSave`): [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
 ## Конфіг regal

package/rules/security/todo.MD ADDED Viewed

@@ -0,0 +1,27 @@
+# TODO:
+## semgrep --config p/kubernetes
+p/security-audit
+p/secrets
+p/nodejs
+p/javascript
+p/typescript
+p/docker
+p/kubernetes
+## Trivy
+Найцінніша частина Trivy
+НЕ image scanning. А:
+config scanning
++
+Kubernetes scanning