@nitra/cursor 1.13.83 → 1.13.85

package/rules/js-lint/fix.mjs

@@ -2,6 +2,7 @@ import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
 
 /**
  * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
  * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -10,6 +11,9 @@ export function run(ctx) {
 }
 
 if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
   // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
-  process.exit(await run())
+  process.exit(await runRuleCli(import.meta.dirname))
 }

package/rules/js-lint/js/tooling/check.mjs

@@ -347,9 +347,9 @@ async function checkOxlintRc(passFn, failFn) {
  */
 async function checkLintJsWorkflows(passFn, failFn) {
   if (existsSync('.github/workflows/lint-js.yml')) {
-    passFn('.github/workflows/lint-js.yml є (структуру перевіряє npx @nitra/cursor check → js_lint.lint_js_yml)')
+    passFn('.github/workflows/lint-js.yml є (структуру перевіряє npx @nitra/cursor fix → js_lint.lint_js_yml)')
   } else {
-    failFn('.github/workflows/lint-js.yml не існує — створи його (див. check-js-lint.mjs / js-lint.mdc)')
+    failFn('.github/workflows/lint-js.yml не існує — створи його (див. rules/js-lint/fix.mjs / js-lint.mdc)')
   }
 
   if (existsSync('.github/workflows/lint.yml')) {

package/rules/js-lint/js-lint.mdc

@@ -64,7 +64,7 @@ version: '1.23'
 
 У корені проєкту має бути **`knip.json`**, який стартує з канонічного baseline з пакета `@nitra/cursor` — файл [`npm/rules/js-lint/js/tooling/knip-canonical.json`](./js/tooling/knip-canonical.json). Він покриває типові false-positives для наших правил: `entry` зі CLI-конфігами (eslint, stylelint, oxlint, jscpd, markdownlint-cli2, `commitlint`), `project` для `**/*.{js,mjs,cjs,jsx,ts,tsx,mts,cts}`, `ignore` для `**/__fixtures__/**`, `ignoreDependencies` для пакетів, посилання на які є лише в не-JS-конфігах (`@nitra/cspell-dict`, `/@cspell\/dict-.+/`), і `ignoreBinaries` для CLI, які канон вимагає викликати через `npx`/`bunx` і яких заборонено додавати в `devDependencies` (`actionlint`, `cspell`, `depcheck`, `eslint`, `git-ai`, `jscpd`, `markdownlint-cli2`, `oxfmt`, `oxlint`, `shellcheck`, `uvx`, `v8r`, `zizmor`).
 
-Якщо `knip.json` відсутній — `npx @nitra/cursor check js-lint` копіює канон у корінь проєкту (side effect). Після створення модифікуй файл під свій проєкт як завгодно: перевіряємо лише наявність, зміст подальших змін не валідується.
+Якщо `knip.json` відсутній — `npx @nitra/cursor fix js-lint` копіює канон у корінь проєкту (side effect). Після створення модифікуй файл під свій проєкт як завгодно: перевіряємо лише наявність, зміст подальших змін не валідується.
 
 Пакет `knip` окремо в `devDependencies` не додавай — `bunx knip` тягне його ad-hoc, як oxlint/eslint/jscpd.
 

package/rules/js-mssql/fix.mjs

@@ -2,6 +2,7 @@ import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
 
 /**
  * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
  * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -10,6 +11,9 @@ export function run(ctx) {
 }
 
 if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
   // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
-  process.exit(await run())
+  process.exit(await runRuleCli(import.meta.dirname))
 }

package/rules/js-mssql/policy/package_json/package_json.rego

@@ -1,4 +1,4 @@
-# Порт перевірки версії `mssql` з `npm/scripts/check-js-mssql.mjs` (js-mssql.mdc).
+# Порт перевірки версії `mssql` з `npm/scripts/rules/js-mssql/fix.mjs` (js-mssql.mdc).
 #
 # Запуск (локально, для будь-якого `package.json`):
 #   conftest test path/to/package.json -p npm/policy/js_mssql \
@@ -9,7 +9,7 @@
 #
 # AST-скан коду на per-request `new sql.ConnectionPool(...)` всередині функцій
 # (потребує парсингу `.js` / `.ts` через oxc-parser), а також full-semver
-# (`major.minor.patch` triple-compare у `check-js-mssql.mjs`) лишаються у JS:
+# (`major.minor.patch` triple-compare у `rules/js-mssql/fix.mjs`) лишаються у JS:
 # JS-перевірка authoritative, ця Rego — швидкий gate для одиничного `package.json`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).

package/rules/js-run/fix.mjs

@@ -2,6 +2,7 @@ import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
 
 /**
  * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
  * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -10,6 +11,9 @@ export function run(ctx) {
 }
 
 if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
   // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
-  process.exit(await run())
+  process.exit(await runRuleCli(import.meta.dirname))
 }

package/rules/js-run/js/runtime/check.mjs

@@ -7,7 +7,7 @@
  *    (див. `utils/bunyan-imports.mjs`);
  *  - наявність `OTEL_RESOURCE_ATTRIBUTES` зі значеннями `service.name=` та `service.namespace=`
  *    у `k8s/base/configmap.yaml`, якщо такий файл існує (відповідність імені ConfigMap імені
- *    Deployment перевіряється в `check-k8s.mjs`);
+ *    Deployment перевіряється в `rules/k8s/fix.mjs`);
  *  - «Внутрішні аліаси» (`#conn/*`): імпорти `bun#SQL`, будь-який `mssql`, `@nitra/graphql-request#GraphQLClient`
  *    дозволені лише у каталозі conn (за замовчуванням `src/conn/`; за наявності
  *    `package.json#imports['#conn/*']` — у його цільовому каталозі); поза ним — порушення
@@ -334,7 +334,7 @@ async function checkWorkspacePackage(rootDir, ignorePaths, fail, passFn) {
   // Frontend-пакети (vite у devDependencies) виходять за межі js-run:
   // браузерний бандл не має `node:process`, а `process.env.*` бандлер
   // обробляє самостійно. Перевірку process.env / conn-аліасів пропускаємо;
-  // bunyan-залежність валідується в Rego (`npx @nitra/cursor check`).
+  // bunyan-залежність валідується в Rego (`npx @nitra/cursor fix`).
   if (packageJsonHasViteDevDependency(pkgJson)) {
     passFn(`${label}vite-пакет (frontend) — js-run пропущено (process.env / conn-aliases / OTEL configmap)`)
     return
@@ -418,7 +418,7 @@ async function loadPackageJson(rootDir) {
 function checkOtelConfigmap(rootDir, passFn) {
   const configmapPath = join(rootDir, 'k8s', 'base', 'configmap.yaml')
   if (!existsSync(configmapPath)) return
-  passFn(`${rootDir}/k8s/base/configmap.yaml є (OTEL — npx @nitra/cursor check → js_run.configmap)`)
+  passFn(`${rootDir}/k8s/base/configmap.yaml є (OTEL — npx @nitra/cursor fix → js_run.configmap)`)
 }
 
 /**

package/rules/k8s/fix.mjs

@@ -2,6 +2,7 @@ import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
 
 /**
  * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
  * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -10,6 +11,9 @@ export function run(ctx) {
 }
 
 if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
   // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
-  process.exit(await run())
+  process.exit(await runRuleCli(import.meta.dirname))
 }

package/rules/k8s/js/manifests/check.mjs

@@ -79,7 +79,7 @@
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
  * компонент). Спочатку шукається збіг за фактичним `type`, потім за **`*`**.
- * Dockerfile — правило docker.mdc, скрипт check-docker.mjs.
+ * Dockerfile — правило docker.mdc, скрипт rules/docker/fix.mjs.
  *
  * **Структура `HTTPRoute` для Hasura-Deployment:** звіряється канон 4 правил у **`spec.rules`** (редиректи **`<prefix>/ql`** і **`<prefix>/ql/`** на **`<prefix>/ql/console`** 302, **`PathPrefix <prefix>/ql`** + **URLRewrite** на **`/`**, окреме WebSocket-правило з **`RequestHeaderModifier`** remove **`Authorization`**). **Префікс параметризовано** (рядок перед **`/ql`** у першому Hasura-правилі). **Прив'язка** — за **`metadata.name`** у тому ж каталозі, що й **Deployment** з образом **`hasura/graphql-engine`** (див. k8s.mdc). **Додаткові правила** поверх канону дозволені.
  *

package/rules/k8s/k8s.mdc

@@ -17,13 +17,13 @@ alwaysApply: false
 
 **Modeline — опційний:** якщо для конкретного поєднання `apiVersion`/`kind` **немає** надійної публічної схеми (yannh/datree/schemastore не покривають), залиш файл **без** рядка `# yaml-language-server: $schema=…`. **Заборонено** ставити `$schema=file:…` як заглушку — це створює видимість валідації без неї. Без modeline `check-k8s` не валідує URL, але **`lint-k8s`** (kubeconform/kubescape) продовжить роботу. Якщо modeline присутній — він обов'язково перший рядок і **тільки** `https://` URL, який відповідає очікуваному за `apiVersion`/`kind`.
 
-**Виняток — modeline заборонено:** `apiVersion: alb.yc.io/v1alpha1`, `kind: HttpBackendGroup` (Yandex ALB) — рядка **`# yaml-language-server: $schema=…`** у файлі **не** має бути (ні в першому рядку, ні далі). Перший рядок — одразу YAML (`apiVersion:` тощо). Перевірка — **`check-k8s.mjs`**.
+**Виняток — modeline заборонено:** `apiVersion: alb.yc.io/v1alpha1`, `kind: HttpBackendGroup` (Yandex ALB) — рядка **`# yaml-language-server: $schema=…`** у файлі **не** має бути (ні в першому рядку, ні далі). Перший рядок — одразу YAML (`apiVersion:` тощо). Перевірка — **`rules/k8s/fix.mjs`**.
 
 **Розширення:** усі маніфести під **`k8s`**, включно з **`kustomization.yaml`**, — лише **`.yaml`** (розширення **`.yml`** не використовуй).
 
 **Скоп — поза `.github/`:** правило стосується YAML-маніфестів у каталогах **`k8s`** (визначаються відносно кореня репо, не за абсолютним шляхом). Файли під **`.github/workflows/`** та **`.github/actions/`** ця перевірка **не** зачіпає — їхній скоп визначає **`ga.mdc`** (там канон — **`.yml`**). Це робить два правила несуперечливими навіть у проєктах, де сам корінь репо випадково має ім'я `k8s/` (тоді сегмент `k8s` присутній у абсолютному шляху всіх файлів, але **відносно кореня** його там немає).
 
-**Dockerfile / hadolint** — окреме правило **`docker.mdc`** і **`npx @nitra/cursor check docker`**.
+**Dockerfile / hadolint** — окреме правило **`docker.mdc`** і **`npx @nitra/cursor fix docker`**.
 
 ## lint-k8s: kubeconform і kubescape
 
@@ -31,7 +31,7 @@ alwaysApply: false
 
 **Залежності:** виконувані файли kubeconform, kubescape і kubectl у **PATH** (kustomize використовуємо як вшиту підкоманду **`kubectl kustomize`** — окремий бінарник `kustomize` не потрібен); не додавай їх у **devDependencies**.
 
-**Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
+**Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`rules/k8s/fix.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
 **kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Збірка через kustomize нормалізує namespace на workload-маніфестах і **NetworkPolicy у `base/networkpolicy.yaml`** (через `base/kustomization.yaml` `namespace:`), що дає коректний матчинг `podSelector` у `C-0260` (`Missing network policy`) і дозволяє kubescape бачити дерево overlays / components зі справжніми ресурсами. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
@@ -53,7 +53,7 @@ alwaysApply: false
 }
 ```
 
-Якщо правило **`k8s`** підключено в **`.n-cursor.json`** (масив **`rules`**), у **кореневому** `package.json` **мають** бути скрипт **`lint-k8s`** і виклик **`bun run lint-k8s`** у агрегованому **`lint`** (див. **`bun.mdc`**). Це перевіряє **`npx @nitra/cursor check bun`**.
+Якщо правило **`k8s`** підключено в **`.n-cursor.json`** (масив **`rules`**), у **кореневому** `package.json` **мають** бути скрипт **`lint-k8s`** і виклик **`bun run lint-k8s`** у агрегованому **`lint`** (див. **`bun.mdc`**). Це перевіряє **`npx @nitra/cursor fix bun`**.
 
 Додай workflow **`.github/workflows/lint-k8s.yml`** (гілки **`dev`** і **`main`**, лише **`.yml`**, узгоджено з **`ga.mdc`**). **Не** дублюй **`setup-node`**, **`oven-sh/setup-bun`**, **`actions/cache`** і **`bun install`** у job — після **`checkout`** використовуй локальний composite **`setup-bun-deps`** (шлях **`./.github/actions/setup-bun-deps`** або **`./npm/github-actions/setup-bun-deps`**, як у репозиторії). Встановлення **kubeconform** / **kubescape** лишаються окремими кроками.
 
@@ -152,7 +152,7 @@ patches:
 
 Поле **`imagePullPolicy`** скрипт **не** перевіряє (залишається політиці Kubernetes за тегом образу).
 
-Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег із константи **`HASURA_GRAPHQL_ENGINE_IMAGE`** у **`check-k8s.mjs`** (допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
+Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег із константи **`HASURA_GRAPHQL_ENGINE_IMAGE`** у **`rules/k8s/fix.mjs`** (допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
 
 ### HTTPRoute для Deployment з `hasura/graphql-engine`
 
@@ -254,7 +254,7 @@ spec:
 
 Пара файлів для кластерного й headless **Service**: **`svc.yaml`** + **`svc-hl.yaml`** в одному каталозі, **`spec.type: ClusterIP`** / **`clusterIP: None`**, імена **`-hl`**, узгодженість пар, маршрути **`gateway.networking.k8s.io`** (**HTTPRoute**, **GRPCRoute**, **TCPRoute**, **TLSRoute**, **UDPRoute**) — **backendRef** лише на сервіси з суфіксом **`-hl`**; якщо **kustomization** посилається на **`svc.yaml`**, у **тому ж** **`kustomization.yaml`** має бути посилання на sibling **`svc-hl.yaml`**. Скрипт **не** створює файли — додай **`svc-hl.yaml`** вручну (копія з правками **name** / **clusterIP**).
 
-**Точні умови та повідомлення `fail`** — верхній JSDoc **`npm/scripts/check-k8s.mjs`**.
+**Точні умови та повідомлення `fail`** — верхній JSDoc **`npm/scripts/rules/k8s/fix.mjs`**.
 
 ### Gateway API: не дублюй namespace у `backendRef`
 
@@ -293,11 +293,11 @@ spec:
 
 ## ConfigMap: ім'я збігається з Deployment
 
-Якщо в `k8s/base/` є **`configmap.yaml`** і **Deployment**, і цей Deployment посилається рівно на **один** ConfigMap — `metadata.name` ConfigMap має збігатися з `metadata.name` Deployment. Точні умови перевірки — **`check-k8s.mjs`**.
+Якщо в `k8s/base/` є **`configmap.yaml`** і **Deployment**, і цей Deployment посилається рівно на **один** ConfigMap — `metadata.name` ConfigMap має збігатися з `metadata.name` Deployment. Точні умови перевірки — **`rules/k8s/fix.mjs`**.
 
 ## ConfigMap для Hasura-Deployment
 
-Якщо в `k8s/base/` поруч із **`configmap.yaml`** є **Deployment** з образом **`hasura/graphql-engine`**, у `data` ConfigMap **обов'язково** має бути ключ **`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS`** зі значенням **`"true"`**. Точні умови перевірки — **`check-k8s.mjs`**.
+Якщо в `k8s/base/` поруч із **`configmap.yaml`** є **Deployment** з образом **`hasura/graphql-engine`**, у `data` ConfigMap **обов'язково** має бути ключ **`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS`** зі значенням **`"true"`**. Точні умови перевірки — **`rules/k8s/fix.mjs`**.
 
 ```yaml
 data:
@@ -323,7 +323,7 @@ data:
 
 - **`base/kustomization.yaml`:** поле **`namespace:`** має бути **непорожнім** (перевіряє **check k8s**, якщо файл є).
 
-- **Коли `metadata.namespace` обов’язковий у файлі:** YAML під **`k8s`** — непорожній **`metadata.namespace`** для namespaced **kind** (винятки — кластерні **kind**, перелік **`CLUSTER_SCOPED_KINDS`** у **`check-k8s.mjs`**). У overlays Kustomize значення в маніфесті буде перезаписано полем **`namespace:`** з відповідного **`kustomization.yaml`**, тому в `base` пиши канонічний dev-namespace.
+- **Коли `metadata.namespace` обов’язковий у файлі:** YAML під **`k8s`** — непорожній **`metadata.namespace`** для namespaced **kind** (винятки — кластерні **kind**, перелік **`CLUSTER_SCOPED_KINDS`** у **`rules/k8s/fix.mjs`**). У overlays Kustomize значення в маніфесті буде перезаписано полем **`namespace:`** з відповідного **`kustomization.yaml`**, тому в `base` пиши канонічний dev-namespace.
 
 - **Не додавай** окремі **patches** Kustomize, які лише змінюють **namespace**: **namespace** визначає Kustomize; у overlays додаткові зміни — без дублювання логіки **namespace**.
 
@@ -408,11 +408,11 @@ images:
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`check-k8s.mjs`**.
+**Перевірка структури `components/`** (для кожного Deployment у `base/`): наявність каталогу, валідний `kustomization.yaml` як Component, `hpa.yaml` і `pdb.yaml` з відповідністю до Deployment-name / app-label. Алгоритм — функція `validateComponentsForBaseDeployment` у **`rules/k8s/fix.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 
-**Порядок `resources`:** у маніфесті з **`apiVersion: kustomize.config.k8s.io/…`**, **`kind: Kustomization`**, елементи **`resources:`** (лише непорожні рядки) мають бути **відсортовані за алфавітом (англ. локаль, як `localeCompare('en')` у `check-k8s.mjs`)**. Поля **`bases`**, **`components`**, **`crds`** цією перевіркою **не** впорядковуються.
+**Порядок `resources`:** у маніфесті з **`apiVersion: kustomize.config.k8s.io/…`**, **`kind: Kustomization`**, елементи **`resources:`** (лише непорожні рядки) мають бути **відсортовані за алфавітом (англ. локаль, як `localeCompare('en')` у `rules/k8s/fix.mjs`)**. Поля **`bases`**, **`components`**, **`crds`** цією перевіркою **не** впорядковуються.
 
 ### Env-залежні межі (за сегментом після `/k8s/`)
 
@@ -617,7 +617,7 @@ spec:
               app: backend-api
 ```
 
-Точні умови та повідомлення `fail` — JSDoc на початку `npm/scripts/check-k8s.mjs` і функції `validateComponentsForBaseDeployment` / `prodOverlayHpaPdbOverrideNeeds`.
+Точні умови та повідомлення `fail` — JSDoc на початку `npm/scripts/rules/k8s/fix.mjs` і функції `validateComponentsForBaseDeployment` / `prodOverlayHpaPdbOverrideNeeds`.
 
 ## HorizontalPodAutoscaler: `autoscaling/v2`
 

package/rules/k8s/lint/lint.mjs

@@ -2,14 +2,14 @@
  * Запуск kubeconform та kubescape для каталогів `…/k8s`, де є YAML-маніфести (див. k8s.mdc).
  *
  * Знаходить унікальні корені каталогів із іменем `k8s` за шляхами файлів **`*.yaml`**
- * (той самий принцип сегмента `k8s`, що й у check-k8s.mjs; розширення **`.yml`** під `k8s` не використовується). Якщо таких файлів немає — вихід 0
+ * (той самий принцип сегмента `k8s`, що й у rules/k8s/fix.mjs; розширення **`.yml`** під `k8s` не використовується). Якщо таких файлів немає — вихід 0
  * без виклику зовнішніх CLI.
  *
  * kubeconform перевіряє маніфести проти OpenAPI-схем Kubernetes; kubescape — сканування на
  * misconfiguration / compliance (NSA, MITRE, CIS тощо). Обидві утиліти очікуються в PATH
  * (локально: Homebrew, релізи GitHub; у CI — крок установки з k8s.mdc).
  *
- * Версія `-kubernetes-version` для kubeconform узгоджена з PIN yannh у check-k8s.mjs / k8s.mdc.
+ * Версія `-kubernetes-version` для kubeconform узгоджена з PIN yannh у rules/k8s/fix.mjs / k8s.mdc.
  * Kubescape не має аналога цього прапорця; орієнтир цільового кластера — та сама лінія релізу (див. k8s.mdc).
  */
 import { spawnSync } from 'node:child_process'
@@ -24,6 +24,7 @@ import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+import { withLock } from '../../../scripts/utils/with-lock.mjs'
 
 /** Per-project kubescape exceptions file; підмішується через --exceptions, якщо існує в корені. */
 const KUBESCAPE_EXCEPTIONS_FILE = '.kubescape-exceptions.json'
@@ -320,11 +321,10 @@ async function runKubescape(dirs, root) {
 }
 
 /**
- * Головна точка входу: kubeconform + kubescape для усіх знайдених дерев `k8s`.
- * Експортовано як `runLintK8s` — використовується з `bin/n-cursor.js` як підкоманда `lint-k8s`.
+ * Внутрішні кроки `lint-k8s` без локу: kubeconform + kubescape для усіх знайдених дерев `k8s`.
  * @returns {Promise<number>} код виходу для `process.exitCode` (0 — успіх або пропуск)
  */
-export async function runLintK8s() {
+async function runLintK8sSteps() {
   const root = process.cwd()
   const ignorePaths = await loadCursorIgnorePaths(root)
   const dirs = await findK8sRoots(root, ignorePaths)
@@ -344,6 +344,13 @@ export async function runLintK8s() {
   return ks
 }
 
+/**
+ * Публічна CLI-форма: серіалізує через `withLock('lint-k8s')` + дедуп за станом git-дерева.
+ * Експортовано як `runLintK8s` — використовується з `bin/n-cursor.js` як підкоманда `lint-k8s`.
+ * @returns {Promise<number>} код виходу
+ */
+export const runLintK8s = () => withLock('lint-k8s', runLintK8sSteps)
+
 if (isRunAsCli()) {
   process.exitCode = await runLintK8s()
 }

package/rules/k8s/policy/base_kustomization/base_kustomization.rego

@@ -1,4 +1,4 @@
-# Порт перевірки `k8s/base/kustomization.yaml` з `npm/scripts/check-k8s.mjs`
+# Порт перевірки `k8s/base/kustomization.yaml` з `npm/scripts/rules/k8s/fix.mjs`
 # (k8s.mdc): у base-kustomization обов'язково має бути непорожнє поле
 # `namespace:`.
 #
@@ -7,7 +7,7 @@
 #     -p npm/policy/k8s/base_kustomization \
 #     --namespace k8s.base_kustomization
 #
-# JS authoritative (`check-k8s.mjs`: `baseKustomizationNamespaceViolation`,
+# JS authoritative (`rules/k8s/fix.mjs`: `baseKustomizationNamespaceViolation`,
 # `isBaseKustomizationPath` для відбору файла, `ensureBaseKustomizationHasNamespace`
 # як оркестратор).
 #
@@ -39,7 +39,7 @@ deny contains base_namespace_required_msg if {
 # на *локальний* `resources:` base/kustomization.yaml (точне ім'я `hpa.yaml`/`pdb.yaml`,
 # у будь-якому підкаталозі). Рекурсивний обхід `resources:`/`components:`/`bases:`
 # (із зануренням у вкладені kustomization.yaml) — JS-оркестратор
-# `verifyK8sBaseKustomizeHasNoHpaPdb` у `check-k8s.mjs` (потребує fs-доступу). Цей
+# `verifyK8sBaseKustomizeHasNoHpaPdb` у `rules/k8s/fix.mjs` (потребує fs-доступу). Цей
 # rego-deny — defense-in-depth: спрацює навіть якщо JS-крок упаде з винятку раніше.
 #
 # NetworkPolicy у base — навпаки, обов'язковий (k8s.mdc): обмеження мережі мають

package/rules/k8s/policy/base_manifest/base_manifest.rego

@@ -7,7 +7,7 @@
 #
 # JS відбирає файли під `…/k8s/.../base/…` (окрім `kustomization.yaml`) і
 # викликає conftest з цією намеспейс. JS authoritative
-# (`check-k8s.mjs`: `metadataNamespaceRequiredViolation` з `inBaseDir=true`,
+# (`rules/k8s/fix.mjs`: `metadataNamespaceRequiredViolation` з `inBaseDir=true`,
 # `deploymentResourcesViolation` з `inK8sBaseLayer=true`,
 # `isK8sBaseManifestYamlPath`).
 #
@@ -25,7 +25,7 @@ package k8s.base_manifest
 import rego.v1
 
 # Cluster-scoped kind (не вимагають metadata.namespace) — узгоджено з
-# `CLUSTER_SCOPED_KINDS` у `check-k8s.mjs`.
+# `CLUSTER_SCOPED_KINDS` у `rules/k8s/fix.mjs`.
 cluster_scoped_kinds := {
 	"APIService",
 	"CertificateSigningRequest",

package/rules/k8s/policy/gateway/gateway.rego

@@ -1,5 +1,5 @@
 # Порт пер-документних перевірок для Gateway API і HealthCheckPolicy з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc).
+# `npm/scripts/rules/k8s/fix.mjs` (k8s.mdc).
 #
 # Запуск (локально, по одному файлу або по дереву):
 #   conftest test path/to/manifest.yaml -p npm/policy/k8s/gateway \
@@ -14,7 +14,7 @@
 #    `metadata.namespace` маршруту, — заборонено (надлишкове поле, ламається при
 #    overlay-перенесеннях).
 #
-# JS authoritative (`check-k8s.mjs` — функції `failIfGatewayRouteUsesNonHeadlessService`,
+# JS authoritative (`rules/k8s/fix.mjs` — функції `failIfGatewayRouteUsesNonHeadlessService`,
 # `healthCheckPolicyTargetRefHeadlessServiceViolation`,
 # `collectGatewayApiRouteBackendServiceNames`,
 # `collectGatewayApiRouteBackendRefsWithRedundantNamespace`); ця Rego — швидкий

package/rules/k8s/policy/hasura_configmap/hasura_configmap.rego

@@ -1,5 +1,5 @@
 # Порт перевірки ConfigMap для Hasura-Deployment з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc): у ConfigMap, що сусідствує з
+# `npm/scripts/rules/k8s/fix.mjs` (k8s.mdc): у ConfigMap, що сусідствує з
 # Hasura-Deployment, у `data` обов'язково має бути ключ
 # `HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS` зі значенням `"true"`.
 #
@@ -8,7 +8,7 @@
 #     -p npm/policy/k8s/hasura_configmap \
 #     --namespace k8s.hasura_configmap
 #
-# Прив'язка ConfigMap-Deployment cross-file — у JS (`check-k8s.mjs`:
+# Прив'язка ConfigMap-Deployment cross-file — у JS (`rules/k8s/fix.mjs`:
 # `validateHasuraConfigMapRemoteSchemaPermissions` шукає Hasura-Deployment
 # у тому ж dir-у і викликає conftest з цією намеспейс лише для відповідних
 # ConfigMap-ів). JS authoritative (`hasuraConfigMapRemoteSchemaPermissionsViolation`,
@@ -20,7 +20,7 @@ package k8s.hasura_configmap
 
 import rego.v1
 
-# Обов'язковий ключ у `data` (узгоджено з `check-k8s.mjs`).
+# Обов'язковий ключ у `data` (узгоджено з `rules/k8s/fix.mjs`).
 required_key := "HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS"
 
 key_missing_template := concat(" ", [

package/rules/k8s/policy/hasura_httproute/hasura_httproute.rego

@@ -1,4 +1,4 @@
-# Порт перевірки `httpRouteHasuraCanonViolation` з `npm/scripts/check-k8s.mjs`
+# Порт перевірки `httpRouteHasuraCanonViolation` з `npm/scripts/rules/k8s/fix.mjs`
 # (k8s.mdc): HTTPRoute, що сусідствує з Hasura-Deployment з тим самим
 # `metadata.name`, має містити канон з 4 правил у такому порядку:
 #

package/rules/k8s/policy/hpa_pdb/hpa_pdb.rego

@@ -1,5 +1,5 @@
 # Порт **структурних** пер-документних перевірок HPA та PDB з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc). Перевіряє лише ті властивості, що
+# `npm/scripts/rules/k8s/fix.mjs` (k8s.mdc). Перевіряє лише ті властивості, що
 # не залежать від cross-file контексту (`expectedDeployName`, `expectedAppLabel`,
 # `isDevLike`-сегмента). Cross-file перевірки лишаються в JS
 # (`hpaManifestViolations`, `pdbManifestViolations`,

package/rules/k8s/policy/kustomization/kustomization.rego

@@ -1,5 +1,5 @@
 # Порт пер-документних структурних перевірок `kustomization.yaml` з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc).
+# `npm/scripts/rules/k8s/fix.mjs` (k8s.mdc).
 #
 # Запуск (локально, на одному kustomization.yaml):
 #   conftest test path/to/kustomization.yaml -p npm/policy/k8s/kustomization \
@@ -14,7 +14,7 @@
 #
 # JS authoritative: повна резолюція kustomize-дерева, перевірка існування
 # refs на диску, парність `svc.yaml`/`svc-hl.yaml`, вибір conftest-цілей за
-# patternом `kustomization.yaml` — у `check-k8s.mjs`.
+# patternом `kustomization.yaml` — у `rules/k8s/fix.mjs`.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/rules/k8s/policy/manifest/manifest.rego

@@ -1,4 +1,4 @@
-# Порт пер-документних структурних перевірок з `npm/scripts/check-k8s.mjs`
+# Порт пер-документних структурних перевірок з `npm/scripts/rules/k8s/fix.mjs`
 # (k8s.mdc). Цей пакет описує лише ті правила, що дивляться на ОДИН манифест
 # (один YAML-документ): conftest за замовчуванням розрізає файли по `---` і
 # запускає policy на кожен документ окремо.
@@ -24,8 +24,8 @@
 # CROSS-FILE логіка (Kustomize-резолюція ресурсів, парність svc.yaml/svc-hl.yaml,
 # HPA/PDB/topologySpreadConstraints за каталогом, BackendConfig-сепарація,
 # yaml-language-server schema modeline, namespace-перевірки за деревом
-# `…/k8s/base/`) лишається у `check-k8s.mjs`: вона потребує файлової системи.
-# JS authoritative (`check-k8s.mjs` робить ці ж пер-документні перевірки в ширшому
+# `…/k8s/base/`) лишається у `rules/k8s/fix.mjs`: вона потребує файлової системи.
+# JS authoritative (`rules/k8s/fix.mjs` робить ці ж пер-документні перевірки в ширшому
 # контексті); ця Rego — швидкий gate для одиничного маніфеста.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
@@ -45,7 +45,7 @@ forbidden_service_annotations := {
 }
 
 # Дозволені посилання на образ `hasura/graphql-engine` (узгоджено з
-# `HASURA_GRAPHQL_ENGINE_IMAGE` у `check-k8s.mjs`). Зараз — один канонічний тег
+# `HASURA_GRAPHQL_ENGINE_IMAGE` у `rules/k8s/fix.mjs`). Зараз — один канонічний тег
 # у двох варіантах префіксу (із `docker.io/` і без). Digest (`@sha256:…`)
 # відрізається перед звіркою.
 allowed_hasura_images := {

package/rules/k8s/policy/svc_hl_yaml/svc_hl_yaml.rego

@@ -1,12 +1,12 @@
 # Порт пер-документної структурної перевірки `svc-hl.yaml` з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc): headless Service з суфіксом
+# `npm/scripts/rules/k8s/fix.mjs` (k8s.mdc): headless Service з суфіксом
 # `metadata.name` `-hl` і `spec.clusterIP: None`.
 #
 # Запуск (локально, лише для одного svc-hl.yaml):
 #   conftest test path/to/k8s/.../svc-hl.yaml -p npm/policy/k8s/svc_hl_yaml \
 #     --namespace k8s.svc_hl_yaml
 #
-# JS authoritative (`check-k8s.mjs`: `serviceSvcHlYamlHeadlessViolation`,
+# JS authoritative (`rules/k8s/fix.mjs`: `serviceSvcHlYamlHeadlessViolation`,
 # вибір файла `svc-hl.yaml` через walk).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).

package/rules/k8s/policy/svc_yaml/svc_yaml.rego

@@ -1,12 +1,12 @@
 # Порт пер-документної структурної перевірки `svc.yaml` з
-# `npm/scripts/check-k8s.mjs` (k8s.mdc): `Service` у файлі `svc.yaml` має
+# `npm/scripts/rules/k8s/fix.mjs` (k8s.mdc): `Service` у файлі `svc.yaml` має
 # мати `spec.type: ClusterIP`.
 #
 # Запуск (локально, лише для одного svc.yaml):
 #   conftest test path/to/k8s/.../svc.yaml -p npm/policy/k8s/svc_yaml \
 #     --namespace k8s.svc_yaml
 #
-# JS authoritative (`check-k8s.mjs`: `serviceSvcYamlClusterIpTypeViolation`,
+# JS authoritative (`rules/k8s/fix.mjs`: `serviceSvcYamlClusterIpTypeViolation`,
 # вибір файла `svc.yaml` через walk). Цю Rego JS викликає окремою таргет-командою
 # лише для basename == `svc.yaml`.
 #

package/rules/nginx-default-tpl/fix.mjs

@@ -2,6 +2,7 @@ import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
 
 /**
  * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
  * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -10,6 +11,9 @@ export function run(ctx) {
 }
 
 if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
   // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
-  process.exit(await run())
+  process.exit(await runRuleCli(import.meta.dirname))
 }

package/rules/nginx-default-tpl/policy/vscode_extensions/vscode_extensions.rego

@@ -1,8 +1,8 @@
 # Перевірка `.vscode/extensions.json` для nginx-default-tpl (nginx-default-tpl.mdc).
 #
-# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# Викликається з `rules/nginx-default-tpl/fix.mjs` через `runConftestBatch` лише
 # ПІСЛЯ того, як JS виявив `default.conf.template` у дереві (умовне правило).
-# Глобально без `target.json` поруч (не auto-discoverable через `n-cursor check`).
+# Глобально без `target.json` поруч (не auto-discoverable через `n-cursor fix`).
 #
 # Canonical: `recommendations` має містити `ahmadalli.vscode-nginx-conf`.
 package nginx_default_tpl.vscode_extensions

package/rules/nginx-default-tpl/policy/vscode_settings/vscode_settings.rego

@@ -1,6 +1,6 @@
 # Перевірка `.vscode/settings.json` для nginx-default-tpl (nginx-default-tpl.mdc).
 #
-# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# Викликається з `rules/nginx-default-tpl/fix.mjs` через `runConftestBatch` лише
 # ПІСЛЯ того, як JS виявив `default.conf.template`. Без `target.json` поруч
 # не реєструється.
 #

package/rules/npm-module/fix.mjs

@@ -2,6 +2,7 @@ import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
 
 /**
  * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
  * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -10,6 +11,9 @@ export function run(ctx) {
 }
 
 if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
   // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
-  process.exit(await run())
+  process.exit(await runRuleCli(import.meta.dirname))
 }

package/rules/npm-module/js/package_structure/check.mjs

@@ -204,7 +204,7 @@ function checkEmitTypesConfig(passFn, failFn) {
     )
     return
   }
-  passFn(`${EMIT_TYPES_CONFIG} є (структуру перевіряє npx @nitra/cursor check → npm_module.emit_types_config)`)
+  passFn(`${EMIT_TYPES_CONFIG} є (структуру перевіряє npx @nitra/cursor fix → npm_module.emit_types_config)`)
 }
 
 /**
@@ -338,7 +338,7 @@ async function checkDirtyNpmRequiresVersionBump(passFn, failFn) {
 function checkPublishWorkflow(passFn, failFn) {
   const publishWf = '.github/workflows/npm-publish.yml'
   if (existsSync(publishWf)) {
-    passFn(`${publishWf} є (структуру перевіряє npx @nitra/cursor check → npm_module.npm_publish_yml)`)
+    passFn(`${publishWf} є (структуру перевіряє npx @nitra/cursor fix → npm_module.npm_publish_yml)`)
   } else {
     failFn(`Відсутній ${publishWf} (npm-module.mdc: npm publish)`)
   }

package/rules/php/fix.mjs

@@ -2,6 +2,7 @@ import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
 
 /**
  * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
  * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -10,6 +11,9 @@ export function run(ctx) {
 }
 
 if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
   // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
-  process.exit(await run())
+  process.exit(await runRuleCli(import.meta.dirname))
 }