@nitra/cursor 1.13.82 → 1.13.83

package/rules/js-bun-redis/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/js-bun-redis/policy/package_json/package_json.rego

@@ -3,7 +3,7 @@
 # Канон надходить через --data: { "template": { "deny": ... } }
 # Структура --data сформована з template/package.json.deny.json.
 # AST-скан коду (`import`/`require`/dynamic `import()` тих самих пакетів)
-# лишається у `js-bun-redis/fix/imports/check.mjs`.
+# лишається у `js-bun-redis/js/imports/check.mjs`.
 package js_bun_redis.package_json
 
 import rego.v1

package/rules/js-lint/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/js-lint/{fix → js}/tooling/check.mjs

@@ -2,7 +2,7 @@
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
  * Flat ESLint з getConfig і ignore для auto-imports,
- * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/rules/js-lint/fix/tooling/oxlint-canonical.json`):
+ * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/rules/js-lint/js/tooling/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
  * globals, ignorePatterns. Також перевіряє workspace `package.json` на `type: "module"`
  * і `engines`, workflow-дубль у `lint.yml`, `knip.json` autofill і застарілі `.eslintrc*`.
@@ -154,7 +154,7 @@ export function verifyOxlintRcAgainstCanonical(cfg, canonical) {
 
     if (!deepEqualOxlintCanonical(actual, expected)) {
       failures.push(
-        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/rules/js-lint/fix/tooling/oxlint-canonical.json)`
+        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/rules/js-lint/js/tooling/oxlint-canonical.json)`
       )
     }
   }
@@ -384,7 +384,7 @@ async function checkKnipConfig(passFn, failFn) {
     return
   }
   await copyFile(KNIP_CANONICAL_JSON_PATH, 'knip.json')
-  passFn('knip.json створено з канонічного npm/rules/js-lint/fix/tooling/knip-canonical.json (js-lint.mdc)')
+  passFn('knip.json створено з канонічного npm/rules/js-lint/js/tooling/knip-canonical.json (js-lint.mdc)')
 }
 
 /**

package/rules/js-lint/{fix → js}/tooling/rebuild-oxlint-canonical.mjs

@@ -2,7 +2,7 @@
  * Збирає `oxlint-canonical.json` з `oxlint-canonical-skeleton.json` (без поля rules) та списку
  * правил у `oxlint-rules.tsv` (колонки: ім’я правила, TAB, severity: deny | off | error).
  *
- * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/fix/tooling/rebuild-oxlint-canonical.mjs`,
+ * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/js/tooling/rebuild-oxlint-canonical.mjs`,
  * потім скопіюй оновлений канон у корінь споживача як `.oxlintrc.json` за потреби.
  */
 import { readFileSync, writeFileSync } from 'node:fs'

package/rules/js-lint/js-lint.mdc

@@ -25,7 +25,7 @@ version: '1.23'
 
 У `.vscode/extensions.json` `recommendations` мають містити `dbaeumer.vscode-eslint`, `github.vscode-github-actions`, `oxc.oxc-vscode`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
 
-У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/rules/js-lint/fix/tooling/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**). Поле **`ignorePatterns`** працює як **`rules`**: канонічні патерни з **`oxlint-canonical.json`** (наразі **`**/schema.graphql`**, **`**/auto-imports.d.ts`**) мають бути присутні, додаткові локальні glob-и дозволені. Оновити канон можна з репозиторію пакета або скопіювавши файл після **`bun ./rules/js-lint/fix/tooling/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.8.0**), oxlint підвантажує його з **`node_modules`**.
+У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/rules/js-lint/js/tooling/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**). Поле **`ignorePatterns`** працює як **`rules`**: канонічні патерни з **`oxlint-canonical.json`** (наразі **`**/schema.graphql`**, **`**/auto-imports.d.ts`**) мають бути присутні, додаткові локальні glob-и дозволені. Оновити канон можна з репозиторію пакета або скопіювавши файл після **`bun ./rules/js-lint/js/tooling/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.8.0**), oxlint підвантажує його з **`node_modules`**.
 
 Мінімум для розуміння структури (реальний корінь конфігу має збігатися з каноном повністю):
 
@@ -62,7 +62,7 @@ version: '1.23'
 
 Перевірку невикористаних залежностей і експортів виконує **knip** (заміна `depcheck`). Викликається у скрипті `lint-js` і в CI разом з oxlint/eslint/jscpd — окремий крок у CI не потрібен.
 
-У корені проєкту має бути **`knip.json`**, який стартує з канонічного baseline з пакета `@nitra/cursor` — файл [`npm/rules/js-lint/fix/tooling/knip-canonical.json`](./fix/tooling/knip-canonical.json). Він покриває типові false-positives для наших правил: `entry` зі CLI-конфігами (eslint, stylelint, oxlint, jscpd, markdownlint-cli2, `commitlint`), `project` для `**/*.{js,mjs,cjs,jsx,ts,tsx,mts,cts}`, `ignore` для `**/__fixtures__/**`, `ignoreDependencies` для пакетів, посилання на які є лише в не-JS-конфігах (`@nitra/cspell-dict`, `/@cspell\/dict-.+/`), і `ignoreBinaries` для CLI, які канон вимагає викликати через `npx`/`bunx` і яких заборонено додавати в `devDependencies` (`actionlint`, `cspell`, `depcheck`, `eslint`, `git-ai`, `jscpd`, `markdownlint-cli2`, `oxfmt`, `oxlint`, `shellcheck`, `uvx`, `v8r`, `zizmor`).
+У корені проєкту має бути **`knip.json`**, який стартує з канонічного baseline з пакета `@nitra/cursor` — файл [`npm/rules/js-lint/js/tooling/knip-canonical.json`](./js/tooling/knip-canonical.json). Він покриває типові false-positives для наших правил: `entry` зі CLI-конфігами (eslint, stylelint, oxlint, jscpd, markdownlint-cli2, `commitlint`), `project` для `**/*.{js,mjs,cjs,jsx,ts,tsx,mts,cts}`, `ignore` для `**/__fixtures__/**`, `ignoreDependencies` для пакетів, посилання на які є лише в не-JS-конфігах (`@nitra/cspell-dict`, `/@cspell\/dict-.+/`), і `ignoreBinaries` для CLI, які канон вимагає викликати через `npx`/`bunx` і яких заборонено додавати в `devDependencies` (`actionlint`, `cspell`, `depcheck`, `eslint`, `git-ai`, `jscpd`, `markdownlint-cli2`, `oxfmt`, `oxlint`, `shellcheck`, `uvx`, `v8r`, `zizmor`).
 
 Якщо `knip.json` відсутній — `npx @nitra/cursor check js-lint` копіює канон у корінь проєкту (side effect). Після створення модифікуй файл під свій проєкт як завгодно: перевіряємо лише наявність, зміст подальших змін не валідується.
 

package/rules/js-mssql/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/js-run/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/k8s/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/k8s/k8s.mdc

@@ -39,7 +39,7 @@ alwaysApply: false
 
 Якщо в **корені проєкту** є файл **`.kubescape-exceptions.json`** — `lint-k8s` автоматично передає його в `kubescape scan` через **`--exceptions`** ([postureExceptionPolicy](https://github.com/kubescape/kubescape/blob/master/docs/exceptions.md)). Файл — JSON-масив об'єктів з полями `name`, `policyType: "postureExceptionPolicy"`, `actions` (`["alertOnly"]` — знижує fail до alert, не блокує lint), `resources` (resource designator) і `posturePolicies` (масив `controlID`).
 
-Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./fix/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json)
+Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./js/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json)
 
 Підстав свою `attributes.name` (рядок або regex), якщо ConfigMap зветься інакше; виключай контрольно, а не глобально (не додавай винятки без `attributes.name`/`labels`, бо тоді C-0012 знімається для усіх ConfigMap-ів проєкту і реальні витоки credentials теж пройдуть).
 

package/rules/nginx-default-tpl/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/nginx-default-tpl/{fix → js}/template/check.mjs

@@ -17,7 +17,7 @@ import { existsSync } from 'node:fs'
 import { readdir, readFile, rename, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative } from 'node:path'
 
-import { findDockerfilePaths } from '../../../docker/fix/lint/check.mjs'
+import { findDockerfilePaths } from '../../../docker/js/lint/check.mjs'
 import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
 import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'

package/rules/npm-module/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/npm-module/{fix → js}/package_structure/check.mjs

@@ -457,7 +457,7 @@ export function findTestFrameworkImport(content, virtualPath) {
  * Carve-out: для шляху `rules/<rule-name>/...` сегмент `<rule-name>` (індекс 1)
  * — це ім'я правила, а не каталог. Зокрема, правило з id `test` (або `tests`)
  * описує конвенцію розміщення тестів і саме по собі не є test-fixture'ом.
- * Подальші сегменти (наприклад, `rules/<r>/fix/<c>/tests/`) продовжують перевірятись.
+ * Подальші сегменти (наприклад, `rules/<r>/js/<c>/tests/`) продовжують перевірятись.
  * @param {string} relPath posix-шлях відносно `npm/`
  * @returns {Promise<string | null>} причина порушення або `null`
  */

package/rules/php/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/rego/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/security/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/security/security.mdc

@@ -24,7 +24,7 @@ version: '2.1'
 
 ## `.trufflehog-exclude` (рекомендована основа)
 
-Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./fix/trufflehog/template/.trufflehog-exclude.snippet.txt)
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./js/trufflehog/template/.trufflehog-exclude.snippet.txt)
 
 **Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
 
@@ -45,7 +45,7 @@ Workflow обовʼязковий — забезпечує незалежний
 - Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
 - Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
 
-Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `fix/sample_secret/check.mjs`.
+Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `js/sample_secret/check.mjs`.
 
 ## Перевірка
 

package/rules/style-lint/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/tauri/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/test/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/test/test.mdc

@@ -9,7 +9,7 @@ alwaysApply: true
 JS-тести у пакеті лежать у **піддиректорії `tests/`** поряд із кодом, який тестується, а **не безпосередньо біля джерельного файлу**.
 
 ```
-rules/foo/fix/bar/
+rules/foo/js/bar/
 ├── check.mjs               ← JS-джерело
 └── tests/
     └── check.test.mjs      ← тест check.mjs

package/rules/text/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/vue/fix.mjs

@@ -0,0 +1,15 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+
+if (import.meta.main) {
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await run())
+}

package/rules/vue/vue.mdc

@@ -341,4 +341,4 @@ import path from 'node:path'
 
 ## Перевірка
 
-`npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, наявність **`src/vite-env.d.ts`** з `/// <reference types="vite/client" />` та **`jsconfig.json`** у корені Vue-пакета; обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue` (дозволені лише type-only та side-effect `import 'vue'`) і додатково сканує `.vue` SFC на імпорти Node-нативних модулів (`node:*` префікс або bare-ім’я вбудованого модуля Node — `fs`, `path`, `timers/promises` тощо). Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/rules/vue/fix/packages/vue-forbidden-imports.mjs`).
+`npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, наявність **`src/vite-env.d.ts`** з `/// <reference types="vite/client" />` та **`jsconfig.json`** у корені Vue-пакета; обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue` (дозволені лише type-only та side-effect `import 'vue'`) і додатково сканує `.vue` SFC на імпорти Node-нативних модулів (`node:*` префікс або bare-ім’я вбудованого модуля Node — `fs`, `path`, `timers/promises` тощо). Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/rules/vue/js/packages/vue-forbidden-imports.mjs`).

package/scripts/auto-rules.mjs

@@ -16,13 +16,13 @@ import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
 import { basename, join, relative } from 'node:path'
 
-import { textHasBunSqlImport } from '../rules/js-bun-db/fix/safety/bun-sql-scan.mjs'
+import { textHasBunSqlImport } from '../rules/js-bun-db/js/safety/bun-sql-scan.mjs'
 import {
   isGqlScanSourceFile,
   shouldSkipFileForGqlScan,
   sourceFileHasGqlTaggedTemplate
-} from '../rules/graphql/fix/tooling/graphql-gql-scan.mjs'
-import { contentForVueImportScan } from '../rules/vue/fix/packages/vue-forbidden-imports.mjs'
+} from '../rules/graphql/js/tooling/graphql-gql-scan.mjs'
+import { contentForVueImportScan } from '../rules/vue/js/packages/vue-forbidden-imports.mjs'
 
 /** Порядок автододавання правил відповідно до `rules/<rule>/auto.md`. */
 export const AUTO_RULE_ORDER = Object.freeze([

package/scripts/sync-claude-config.mjs

@@ -19,7 +19,7 @@
  * - `.cursor/hooks.json` — **merge**: користувацькі hooks зберігаються; ADR stop
  *   entries додаються, коли правило `adr` увімкнене, і видаляються, коли вимкнене.
  * - `.gitignore` — **merge** (лише з `adr`): дописує відсутні рядки з канонічного
- *   фрагмента `rules/adr/fix/hooks/template/.gitignore.snippet` (`node_modules/`, `dist/`,
+ *   фрагмента `rules/adr/js/hooks/template/.gitignore.snippet` (`node_modules/`, `dist/`,
  *   `*.secret`, логи capture/normalize, `.normalize-state`, `.normalize.lock`); існуючі
  *   рядки не перезаписуються.
  *
@@ -56,7 +56,7 @@ const ADR_HOOK_SCRIPT_NAME = 'capture-decisions.sh'
 const ADR_NORMALIZE_HOOK_SCRIPT_NAME = 'normalize-decisions.sh'
 const TEMPLATE_DIR_NAME = '.claude-template'
 /** Відносний шлях до канонічного фрагмента `.gitignore` для ADR Stop-hook'ів у tarball пакета. */
-export const ADR_GITIGNORE_SNIPPET_REL = 'rules/adr/fix/hooks/template/.gitignore.snippet'
+export const ADR_GITIGNORE_SNIPPET_REL = 'rules/adr/js/hooks/template/.gitignore.snippet'
 const GITIGNORE_FILE = '.gitignore'
 const EOL_RE = /\r?\n/u
 

package/scripts/utils/ast-scan-utils.mjs

@@ -5,9 +5,9 @@
  * розпізнавання типових вузлів (функцій, `*.join(...)`),
  * робота з `TemplateLiteral` (текст quasis, контекст SQL-списку).
  *
- * Використовується сканерами у `rules/<rule>/fix/...` (наприклад,
- * `rules/js-bun-db/fix/safety/bun-sql-scan.mjs`, `rules/js-mssql/fix/deps/mssql-pool-scan.mjs`,
- * `rules/js-run/fix/runtime/*-scan.mjs`) для уникнення дублювання boilerplate.
+ * Використовується сканерами у `rules/<rule>/js/...` (наприклад,
+ * `rules/js-bun-db/js/safety/bun-sql-scan.mjs`, `rules/js-mssql/js/deps/mssql-pool-scan.mjs`,
+ * `rules/js-run/js/runtime/*-scan.mjs`) для уникнення дублювання boilerplate.
  */
 import { parseSync } from 'oxc-parser'
 

package/scripts/utils/discover-checkable-rules.mjs

@@ -1,17 +1,17 @@
 /**
  * Discovery rules для CLI `check`. Шукає правила, для яких є щось «прогонне»:
- *   - JS concerns:   `rules/<id>/fix/<concern>/<check.mjs | check-*.mjs>` — кожен concern окремий вузол.
+ *   - JS concerns:   `rules/<id>/js/<concern>/<check.mjs | check-*.mjs>` — кожен concern окремий вузол.
  *   - Policy concerns: `rules/<id>/policy/<concern>/target.json` — пара з `<concern>.rego`.
  *
- * Каталог `fix/utils/` свідомо пропускається — це хелпери, не концерни.
+ * Каталог `js/utils/` свідомо пропускається — це хелпери, не концерни.
  * Файли `*.test.mjs` фільтруються regex (`^check(?:-.+)?\.mjs$`).
  *
  * Намеренно НЕ парсимо `target.json` тут (це робить runner). Discovery — швидкий скан структури:
  * шляхи + назви, без I/O вмісту.
  *
- * Історичний контекст: до 1.11.12 існувала dual-mode підтримка `js/` (legacy) і `fix/` (новий),
- * де концерн мав поле `rootDir`. Після переїзду всіх 26 правил у `fix/` (CHANGELOG 1.11.10)
- * legacy-канал прибрано (CHANGELOG 1.11.12) — одне джерело правди.
+ * Історичний контекст: convention пройшла еволюцію `js/` (до 1.11.12) → `fix/` (1.11.10–1.13.79)
+ * → знову `js/` (1.13.80+, після появи кореневого `fix.mjs` як entry-point правила, щоб не плутати
+ * з папкою `fix/`). Convention тепер за технологією: `js/` ↔ `policy/`.
  */
 import { existsSync } from 'node:fs'
 import { readdir } from 'node:fs/promises'
@@ -22,7 +22,7 @@ const TEST_SUFFIX = '.test.mjs'
 
 /**
  * @typedef {object} JsConcern
- * @property {string} name імʼя концерну (`<name>` у `fix/<name>/`)
+ * @property {string} name імʼя концерну (`<name>` у `js/<name>/`)
  * @property {string[]} files імена `check*.mjs` у концерні (відсортовані алфавітно)
  */
 
@@ -39,21 +39,21 @@ const TEST_SUFFIX = '.test.mjs'
  */
 
 /**
- * Перелічує JS-концерни одного правила: підкаталоги `fix/<name>/` з принаймні одним `check*.mjs`.
+ * Перелічує JS-концерни одного правила: підкаталоги `js/<name>/` з принаймні одним `check*.mjs`.
  *
- * `fix/utils/` свідомо пропускається — це хелпери, а не концерни.
- * @param {string} fixDir абсолютний шлях `rules/<id>/fix/`
+ * `js/utils/` свідомо пропускається — це хелпери, а не концерни.
+ * @param {string} jsDir абсолютний шлях `rules/<id>/js/`
  * @returns {Promise<JsConcern[]>} концерни в алфавітному порядку
  */
-async function listJsConcerns(fixDir) {
-  if (!existsSync(fixDir)) return []
-  const topLevel = await readdir(fixDir, { withFileTypes: true })
+async function listJsConcerns(jsDir) {
+  if (!existsSync(jsDir)) return []
+  const topLevel = await readdir(jsDir, { withFileTypes: true })
 
   /** @type {JsConcern[]} */
   const concerns = []
   for (const entry of topLevel) {
     if (!entry.isDirectory() || entry.name === 'utils' || entry.name.startsWith('.')) continue
-    const concernDir = join(fixDir, entry.name)
+    const concernDir = join(jsDir, entry.name)
     const dirContents = await readdir(concernDir)
     const files = dirContents
       .filter(n => CHECK_FILENAME_RE.test(n) && !n.endsWith(TEST_SUFFIX))
@@ -86,7 +86,20 @@ async function listPolicyConcerns(policyDir) {
 }
 
 /**
- * Сканує `rules/` і повертає правила, для яких є JS-концерни (у `fix/`) або policy-концерни
+ * Будує `CheckableRule` для одного каталогу правила (без enumeration по `rules/`).
+ * Використовується `runStandardRule` для per-rule entry-point flow.
+ * @param {string} ruleDir абсолютний шлях `rules/<id>/`
+ * @param {string} ruleId id правила (= basename(ruleDir))
+ * @returns {Promise<CheckableRule>} опис правила (jsConcerns + policyConcerns)
+ */
+export async function discoverOneRule(ruleDir, ruleId) {
+  const jsConcerns = await listJsConcerns(join(ruleDir, 'js'))
+  const policyConcerns = await listPolicyConcerns(join(ruleDir, 'policy'))
+  return { id: ruleId, jsConcerns, policyConcerns }
+}
+
+/**
+ * Сканує `rules/` і повертає правила, для яких є JS-концерни (у `js/`) або policy-концерни
  * (у `policy/`). Правила без жодної прогонної частини (тільки `.mdc` + `auto.md`) фільтруються.
  * @param {string} bundledRulesDir абсолютний шлях до `npm/rules/`
  * @returns {Promise<CheckableRule[]>} відсортовані за id
@@ -99,10 +112,9 @@ export async function discoverCheckableRules(bundledRulesDir) {
   for (const entry of entries) {
     if (!entry.isDirectory() || entry.name.startsWith('.')) continue
     const ruleDir = join(bundledRulesDir, entry.name)
-    const jsConcerns = await listJsConcerns(join(ruleDir, 'fix'))
-    const policyConcerns = await listPolicyConcerns(join(ruleDir, 'policy'))
-    if (jsConcerns.length > 0 || policyConcerns.length > 0) {
-      out.push({ id: entry.name, jsConcerns, policyConcerns })
+    const rule = await discoverOneRule(ruleDir, entry.name)
+    if (rule.jsConcerns.length > 0 || rule.policyConcerns.length > 0) {
+      out.push(rule)
     }
   }
   return out.toSorted((a, b) => a.id.localeCompare(b.id))

package/scripts/utils/list-rule-ids.mjs

@@ -0,0 +1,23 @@
+/**
+ * Перебір `rules/<id>/` директорій з фільтром на наявність `fix.mjs`.
+ * Після атомарної міграції `fix.mjs` обов'язковий у кожному правилі — каталог без нього
+ * пропускається (це not-a-rule або заглушка).
+ */
+import { existsSync } from 'node:fs'
+import { readdir } from 'node:fs/promises'
+import { join } from 'node:path'
+
+/**
+ * @param {string} bundledRulesDir абсолютний шлях до `npm/rules/`
+ * @param {string} [filter] id одного правила (через `--rule abie`)
+ * @returns {Promise<string[]>} відсортовані алфавітно id
+ */
+export async function listRuleIds(bundledRulesDir, filter) {
+  const entries = await readdir(bundledRulesDir, { withFileTypes: true })
+  const ids = entries
+    .filter(e => e.isDirectory() && !e.name.startsWith('.'))
+    .map(e => e.name)
+    .filter(id => existsSync(join(bundledRulesDir, id, 'fix.mjs')))
+    .filter(id => filter === undefined || id === filter)
+  return ids.toSorted((a, b) => a.localeCompare(b))
+}

package/scripts/utils/run-rule.mjs

@@ -2,9 +2,9 @@
  * Оркестратор одного правила під CLI `check`.
  *
  * Послідовність (concerns у межах правила — алфавітно):
- *   1. **applies-гейт** з `fix/applies/check.mjs`. Якщо модуль експортує `applies()` і вона повертає
+ *   1. **applies-гейт** з `js/applies/check.mjs`. Якщо модуль експортує `applies()` і вона повертає
  *      false — друкуємо `✅ правило не застосовне` і завершуємо без подальших викликів.
- *   2. **JS-концерни** — кожен `check*.mjs` у `fix/<concern>/`. Concern `applies` теж може мати
+ *   2. **JS-концерни** — кожен `check*.mjs` у `js/<concern>/`. Concern `applies` теж може мати
  *      `check()` для друку контексту (його `applies()` уже відпрацював на кроці 1, він не повторюється).
  *   3. **Policy-концерни** — кожен `policy/<concern>/target.json` через `runConftestBatch`.
  *      Резолвер `resolveTargetFiles` ділить cache (`walkCache`) між концернами.
@@ -24,9 +24,9 @@ import { resolveConcernTemplateData } from './template.mjs'
 const APPLIES_CONCERN_NAME = 'applies'
 
 /**
- * Обчислює абсолютний шлях до файла-check у JS-концерні: `rules/<id>/fix/<concern>/<file>`.
- * Legacy `js/` корінь і поле `concern.rootDir` прибрані у 1.11.12 — усі правила переїхали
- * у `fix/` ще у 1.11.10.
+ * Обчислює абсолютний шлях до файла-check у JS-концерні: `rules/<id>/js/<concern>/<file>`.
+ * Convention `js/` (за технологією) повернулась у 1.13.80 після короткої епохи `fix/`
+ * (1.11.10–1.13.79) — щоб не плутати з кореневим `fix.mjs` entry-point'ом.
  * @param {string} bundledRulesDir абсолютний `rules/`
  * @param {string} ruleId id правила
  * @param {import('./discover-checkable-rules.mjs').JsConcern} concern опис концерну
@@ -34,11 +34,11 @@ const APPLIES_CONCERN_NAME = 'applies'
  * @returns {string} абсолютний шлях
  */
 function resolveJsCheckPath(bundledRulesDir, ruleId, concern, fileName) {
-  return join(bundledRulesDir, ruleId, 'fix', concern.name, fileName)
+  return join(bundledRulesDir, ruleId, 'js', concern.name, fileName)
 }
 
 /**
- * Спробувати викликати applies() гейт з `fix/applies/check.mjs` правила.
+ * Спробувати викликати applies() гейт з `js/applies/check.mjs` правила.
  * Гейт активний лише за наявності концерну з імʼям `applies` і експортом-функцією `applies` у його
  * першому check-файлі (алфавіт).
  * @param {string} bundledRulesDir абсолютний `rules/`