npm - @nitra/cursor - Versions diffs - 1.13.87 → 1.14.0 - Mend

@nitra/cursor 1.13.87 → 1.14.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (79) hide show

package/rules/js-bun-redis/policy/package_json/package_json.rego CHANGED Viewed

@@ -3,7 +3,7 @@
 # Канон надходить через --data: { "template": { "deny": ... } }
 # Структура --data сформована з template/package.json.deny.json.
 # AST-скан коду (`import`/`require`/dynamic `import()` тих самих пакетів)
-# лишається у `js-bun-redis/js/imports/check.mjs`.
+# лишається у `js-bun-redis/js/imports.mjs`.
 package js_bun_redis.package_json
 import rego.v1

package/rules/js-lint/js/{tooling/check.mjs → tooling.mjs} RENAMED Viewed

@@ -2,7 +2,7 @@
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
  * Flat ESLint з getConfig і ignore для auto-imports,
- * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/rules/js-lint/js/tooling/oxlint-canonical.json`):
+ * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/rules/js-lint/js/data/tooling/oxlint-canonical.json`):
  * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
  * globals, ignorePatterns. Також перевіряє workspace `package.json` на `type: "module"`
  * і `engines`, workflow-дубль у `lint.yml`, `knip.json` autofill і застарілі `.eslintrc*`.
@@ -15,17 +15,21 @@ import { copyFile, readFile } from 'node:fs/promises'
 import { dirname, join } from 'node:path'
 import { fileURLToPath } from 'node:url'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 /** Шлях до канонічного oxlint JSON у цьому пакеті (для перевірки та тестів). */
 export const OXLINT_CANONICAL_JSON_PATH = join(
   dirname(fileURLToPath(import.meta.url)),
+  'data',
+  'tooling',
   'oxlint-canonical.json'
 )
 /** Шлях до канонічного knip JSON у цьому пакеті — копіюється у корінь проєкту-споживача, якщо відсутній. */
 export const KNIP_CANONICAL_JSON_PATH = join(
   dirname(fileURLToPath(import.meta.url)),
+  'data',
+  'tooling',
   'knip-canonical.json'
 )
@@ -154,7 +158,7 @@ export function verifyOxlintRcAgainstCanonical(cfg, canonical) {
     if (!deepEqualOxlintCanonical(actual, expected)) {
       failures.push(
-        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/rules/js-lint/js/tooling/oxlint-canonical.json)`
+        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/rules/js-lint/js/data/tooling/oxlint-canonical.json)`
       )
     }
   }
@@ -384,7 +388,7 @@ async function checkKnipConfig(passFn, failFn) {
     return
   }
   await copyFile(KNIP_CANONICAL_JSON_PATH, 'knip.json')
-  passFn('knip.json створено з канонічного npm/rules/js-lint/js/tooling/knip-canonical.json (js-lint.mdc)')
+  passFn('knip.json створено з канонічного npm/rules/js-lint/js/data/tooling/knip-canonical.json (js-lint.mdc)')
 }
 /**

package/rules/js-lint/js-lint.mdc CHANGED Viewed

@@ -2,7 +2,7 @@
 description: Перевірка JavaScript коду
 globs: "**/{.oxlintrc.json,eslint.config.js,.jscpd.json,knip.json,package.json},**/*.{js,mjs,cjs,jsx,ts,tsx}"
 alwaysApply: false
-version: '1.23'
+version: '1.24'
 ---
 **oxlint**, **ESLint**, **jscpd**, **knip**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`**, **`bunx knip`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd/knip не додавай без потреби монорепо.
@@ -79,6 +79,16 @@ version: '1.23'
 Але обов'язково перед рефакторингом перевір чи є тести на блоки які підлягають зміні, а саме Bun.test для js та playwright для vue. Якщо є, то перевір чи вони покривають блоки які підлягають зміні. Якщо не покривають або тестів немає — спочатку створи їх, перевір що вони покривають і відпрацьовують коректно, а потім роби рефакторинг і ще раз запускай тести, але якщо тести не відпрацьовують коректно після рефакторингу, то не роби рефакторинг.
+## Структура спільних модулів: `utils/` vs `lib/`
+Коли спільні методи виносяться з кількох JS-файлів в окремий каталог — назву каталога обирай за призначенням модулів усередині.
+- **`utils/`** — низькорівневі, чисті, generic helpers без бізнес-логіки і без залежностей від домену проєкту. Те, що могло б жити в окремому npm-пакеті. Приклади: `formatDate()`, `chunk(array, size)`, `retry(fn, opts)`, `deepMerge()`, `parseDuration('5m')`, `sleep(ms)`.
+- **`lib/`** — внутрішні модулі / підсистеми проєкту, які знають про домен. Більші за `utils/`, часто з власним state, конфігом або side effects. Приклади: `lib/gmail-client.js`, `lib/circuit-breaker.js`, `lib/skill-loader.js`, `lib/safety/dry-run.js`.
+Швидкий тест: якщо файл завтра можна опублікувати окремим npm-пакетом без переписування — це `utils/`; якщо він тримає domain-state, читає конфіг проєкту або викликає зовнішні сервіси/файли — це `lib/`. Не плутай із чужими каталогами на кшталт `shared/` чи `common/`: канонічні назви — лише `utils/` і `lib/`.
 Додай workflow:
 ```yaml title=".github/workflows/lint-js.yml"

package/rules/js-lint/{js/tooling → utils}/rebuild-oxlint-canonical.mjs RENAMED Viewed

@@ -2,14 +2,14 @@
  * Збирає `oxlint-canonical.json` з `oxlint-canonical-skeleton.json` (без поля rules) та списку
  * правил у `oxlint-rules.tsv` (колонки: ім’я правила, TAB, severity: deny | off | error).
  *
- * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/js/tooling/rebuild-oxlint-canonical.mjs`,
+ * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/utils/rebuild-oxlint-canonical.mjs`,
  * потім скопіюй оновлений канон у корінь споживача як `.oxlintrc.json` за потреби.
  */
 import { readFileSync, writeFileSync } from 'node:fs'
 import { dirname, join } from 'node:path'
 import { fileURLToPath } from 'node:url'
-const dir = dirname(fileURLToPath(import.meta.url))
+const dir = join(dirname(fileURLToPath(import.meta.url)), '..', 'js', 'data', 'tooling')
 const rules = {}
 for (const line of readFileSync(join(dir, 'oxlint-rules.tsv'), 'utf8').split('\n')) {
   const t = line.trim()

package/rules/js-mssql/js/{deps/check.mjs → deps.mjs} RENAMED Viewed

@@ -12,8 +12,8 @@ import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
 import { join, relative } from 'node:path'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { findAllPackageJsonPaths } from '../../../../scripts/utils/find-package-json-paths.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { findAllPackageJsonPaths } from '../../../scripts/utils/find-package-json-paths.mjs'
 import {
   findMssqlPerRequestConnectionInText,
   findSharedMssqlRequestInText,
@@ -22,9 +22,9 @@ import {
   findUnsafeMssqlInListUnparsedInText,
   findUnsafeMssqlInListMissingEmptyGuardInText,
   isMssqlScanSourceFile
-} from './mssql-pool-scan.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+} from '../utils/mssql-pool-scan.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 const VERSION_PREFIX_RE = /^[\^~>=<]+\s*/u
 const SEMVER_RE = /^(\d+)\.(\d+)\.(\d+)/u

package/rules/js-mssql/{js/deps → utils}/mssql-pool-scan.mjs RENAMED Viewed

@@ -30,7 +30,7 @@ import {
   normalizeSnippet,
   offsetToLine,
   walkAstWithAncestors
-} from '../../../../scripts/utils/ast-scan-utils.mjs'
+} from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
 const IN_PLACEHOLDER_END_RE = /\bin\s*\(\s*$/iu

package/rules/js-run/js/{runtime/check.mjs → runtime.mjs} RENAMED Viewed

@@ -40,24 +40,24 @@ import {
   findBunyanImportsInText,
   isBunyanScanSourceFile,
   shouldSkipFileForBunyanScan
-} from './bunyan-imports.mjs'
-import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './check-env-scan.mjs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './conn-file-rules.mjs'
+} from '../utils/bunyan-imports.mjs'
+import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from '../utils/check-env-scan.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { runConftestBatch } from '../../../scripts/utils/run-conftest-batch.mjs'
+import { findConnFileRuleViolations, isConnFileRulesSourceFile } from '../utils/conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
   isConnImportsScanSourceFile,
   isInsideConnDir,
   resolveConnDirFromPackageJson
-} from './conn-imports-scan.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+} from '../utils/conn-imports-scan.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import {
   findPromiseSetTimeoutInText,
   isPromiseSetTimeoutScanSourceFile
-} from './promise-settimeout-scan.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
-import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'
+} from '../utils/promise-settimeout-scan.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+import { getMonorepoPackageRootDirs } from '../../../scripts/utils/workspaces.mjs'
 /**
  * Чи існує непорожній за змістом маркер каталогу `src/` (рекомендована структура js-run).

package/rules/js-run/{js/runtime → utils}/bunyan-imports.mjs RENAMED Viewed

@@ -18,7 +18,7 @@ import {
   offsetToLine,
   requireCallModule,
   walkAstWithAncestors
-} from '../../../../scripts/utils/ast-scan-utils.mjs'
+} from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const FORBIDDEN_MODULES = new Set(['@nitra/bunyan', 'bunyan'])

package/rules/js-run/{js/runtime → utils}/check-env-scan.mjs RENAMED Viewed

@@ -29,7 +29,7 @@
  * Якщо ключ обчислюваний (`process.env[varName]`) — пропускаємо без помилки,
  * бо за статичним AST неможливо встановити, яка саме змінна оточення використовується.
  */
-import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const IGNORE_DIRECTIVE_RE = /\/\/\s*@nitra\/cursor\s+ignore-next-line\s+checkEnv\b/u

package/rules/js-run/{js/runtime → utils}/conn-file-rules.mjs RENAMED Viewed

@@ -14,7 +14,7 @@
  * Парсимо через oxc-parser; коли файл не парситься — повертаємо порожні результати, щоб
  * не змішувати помилки синтаксису з порушеннями цього правила.
  */
-import { parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { parseProgramOrNull } from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u

package/rules/js-run/{js/runtime → utils}/conn-imports-scan.mjs RENAMED Viewed

@@ -16,7 +16,7 @@
  * використовується. Якщо файл не парситься — повертаємо порожній результат, спочатку
  * треба полагодити синтаксис.
  */
-import { langFromPath, normalizeSnippet, offsetToLine } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { langFromPath, normalizeSnippet, offsetToLine } from '../../../scripts/utils/ast-scan-utils.mjs'
 import { parseSync } from 'oxc-parser'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u

package/rules/js-run/{js/runtime → utils}/promise-settimeout-scan.mjs RENAMED Viewed

@@ -12,7 +12,7 @@
  * Сканер не вимагає, щоб файл компілювався: при синтаксичних помилках повертається
  * порожній результат (як інші сканери — спочатку треба полагодити синтаксис).
  */
-import { normalizeSnippet, offsetToLine, parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { normalizeSnippet, offsetToLine, parseProgramOrNull } from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/

package/rules/k8s/js/{manifests/check.mjs → manifests.mjs} RENAMED Viewed

@@ -140,10 +140,10 @@ import { basename, dirname, join, relative, resolve } from 'node:path'
 import { isSeq, parseAllDocuments, parseDocument } from 'yaml'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { runConftestBatch } from '../../../scripts/utils/run-conftest-batch.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /** Версія набору схем yannh — узгоджено з k8s.mdc */
 const YAML_LS_MODELINE_RE = /^# yaml-language-server: \$schema=.*\n/

package/rules/k8s/k8s.mdc CHANGED Viewed

@@ -39,7 +39,7 @@ alwaysApply: false
 Якщо в **корені проєкту** є файл **`.kubescape-exceptions.json`** — `lint-k8s` автоматично передає його в `kubescape scan` через **`--exceptions`** ([postureExceptionPolicy](https://github.com/kubescape/kubescape/blob/master/docs/exceptions.md)). Файл — JSON-масив об'єктів з полями `name`, `policyType: "postureExceptionPolicy"`, `actions` (`["alertOnly"]` — знижує fail до alert, не блокує lint), `resources` (resource designator) і `posturePolicies` (масив `controlID`).
-Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./js/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json)
+Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./js/templates/kubescape_exceptions/.kubescape-exceptions.json.snippet.json)
 Підстав свою `attributes.name` (рядок або regex), якщо ConfigMap зветься інакше; виключай контрольно, а не глобально (не додавай винятки без `attributes.name`/`labels`, бо тоді C-0012 знімається для усіх ConfigMap-ів проєкту і реальні витоки credentials теж пройдуть).

package/rules/nginx-default-tpl/js/{template/check.mjs → template.mjs} RENAMED Viewed

@@ -17,11 +17,11 @@ import { existsSync } from 'node:fs'
 import { readdir, readFile, rename, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative } from 'node:path'
-import { findDockerfilePaths } from '../../../docker/js/lint/check.mjs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { findDockerfilePaths } from '../../docker/js/lint.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { runConftestBatch } from '../../../scripts/utils/run-conftest-batch.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 const LINE_SPLIT_RE = /\r?\n/u
 const INI_KEY_RE = /^([A-Za-z_]\w*)\s*=/u

package/rules/npm-module/js/{package_structure/check.mjs → package_structure.mjs} RENAMED Viewed

@@ -37,10 +37,10 @@ import {
   langFromPath,
   requireCallModule,
   walkAstWithAncestors
-} from '../../../../scripts/utils/ast-scan-utils.mjs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+} from '../../../scripts/utils/ast-scan-utils.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 const execFileAsync = promisify(execFile)

package/rules/php/js/{tooling/check.mjs → tooling.mjs} RENAMED Viewed

@@ -11,7 +11,7 @@
  */
 import { existsSync } from 'node:fs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 /**
  * Перевіряє відповідність проєкту правилам php.mdc.

package/rules/rego/js/{applies/check.mjs → applies.mjs} RENAMED Viewed

@@ -9,9 +9,9 @@
  * JS тут лишається лише як cross-file гейт: walkDir не виразити декларативно через `target.json`.
  * Друк короткого pass-повідомлення з контекстом робить `check()` (необовʼязковий).
  */
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /**
  * Чи є хоча б один `.rego`-файл у дереві від `cwd`. Зупиняється на першому матчі.

package/rules/security/js/{sample_secret/check.mjs → sample_secret.mjs} RENAMED Viewed

@@ -29,8 +29,8 @@
 import { readFile } from 'node:fs/promises'
 import { relative, sep } from 'node:path'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /** Суфікс basename'а прикладного файлу (`config.example`, `.env.dist`). */
 const EXAMPLE_SUFFIX_RE = /\.(?:example|sample|template|dist)$/iu

package/rules/security/js/{trufflehog/check.mjs → trufflehog.mjs} RENAMED Viewed

@@ -11,11 +11,11 @@ import { readFile } from 'node:fs/promises'
 import { dirname, join } from 'node:path'
 import { fileURLToPath } from 'node:url'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { checkTextSubset } from '../../../../scripts/utils/template.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { checkTextSubset } from '../../../scripts/utils/template.mjs'
 const HERE = dirname(fileURLToPath(import.meta.url))
-const SNIPPET_PATH = join(HERE, 'template', '.trufflehog-exclude.snippet.txt')
+const SNIPPET_PATH = join(HERE, 'templates', 'trufflehog', '.trufflehog-exclude.snippet.txt')
 /**
  * @returns {Promise<number>} exit-код перевірки

package/rules/security/security.mdc CHANGED Viewed

@@ -24,7 +24,7 @@ version: '2.1'
 ## `.trufflehog-exclude` (рекомендована основа)
-Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./js/trufflehog/template/.trufflehog-exclude.snippet.txt)
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./js/templates/trufflehog/.trufflehog-exclude.snippet.txt)
 **Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
@@ -45,7 +45,7 @@ Workflow обовʼязковий — забезпечує незалежний
 - Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
 - Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
-Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `js/sample_secret/check.mjs`.
+Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `js/sample_secret.mjs`.
 ## Перевірка

package/rules/style-lint/js/{tooling/check.mjs → tooling.mjs} RENAMED Viewed

@@ -19,7 +19,7 @@
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 /**
  * Альтернатива полю `stylelint` у `package.json` — зовнішній файл конфігу. Якщо

package/rules/tauri/js/{tooling/check.mjs → tooling.mjs} RENAMED Viewed

@@ -18,8 +18,8 @@
 import { existsSync, statSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { runConftestBatch } from '../../../scripts/utils/run-conftest-batch.mjs'
 /**
  * Чи є префікс `@tauri-apps/` у ключах `dependencies` або `devDependencies`.

package/rules/test/js/{location/check.mjs → location.mjs} RENAMED Viewed

@@ -9,9 +9,9 @@
  */
 import { basename, dirname, relative } from 'node:path'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 const TESTS_DIR_NAME = 'tests'

package/rules/text/js/{formatting/check.mjs → formatting.mjs} RENAMED Viewed

@@ -32,8 +32,8 @@
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { anyRunStepIncludes, parseWorkflowYaml } from '../../../../scripts/utils/gha-workflow.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { anyRunStepIncludes, parseWorkflowYaml } from '../../../scripts/utils/gha-workflow.mjs'
 /** Заголовок абзацу про апостроф у text.mdc / n-text.mdc. */
 const UK_APOSTROPHE_HEADING = '**Український апостроф:**'

package/rules/vue/js/{packages/check.mjs → packages.mjs} RENAMED Viewed

@@ -25,16 +25,16 @@ import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
 import { join, relative } from 'node:path'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 import {
   findForbiddenNodeImportsInVueFile,
   findForbiddenVueImportsInSourceFile,
   isVueImportScanSourceFile,
   shouldSkipFileForVueImportScan
-} from './vue-forbidden-imports.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
-import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'
+} from '../utils/vue-forbidden-imports.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+import { getMonorepoPackageRootDirs } from '../../../scripts/utils/workspaces.mjs'
 const ESBUILD_RE = /\besbuild\b/

package/scripts/auto-rules.mjs CHANGED Viewed

@@ -16,13 +16,13 @@ import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
 import { basename, join, relative } from 'node:path'
-import { textHasBunSqlImport } from '../rules/js-bun-db/js/safety/bun-sql-scan.mjs'
+import { textHasBunSqlImport } from '../rules/js-bun-db/utils/bun-sql-scan.mjs'
 import {
   isGqlScanSourceFile,
   shouldSkipFileForGqlScan,
   sourceFileHasGqlTaggedTemplate
-} from '../rules/graphql/js/tooling/graphql-gql-scan.mjs'
-import { contentForVueImportScan } from '../rules/vue/js/packages/vue-forbidden-imports.mjs'
+} from '../rules/graphql/utils/graphql-gql-scan.mjs'
+import { contentForVueImportScan } from '../rules/vue/utils/vue-forbidden-imports.mjs'
 /** Порядок автододавання правил відповідно до `rules/<rule>/auto.md`. */
 export const AUTO_RULE_ORDER = Object.freeze([

package/scripts/claude-stop-hook.mjs CHANGED Viewed

@@ -1,6 +1,6 @@
 /**
  * Stop-hook для Claude Code: запускається hook'ом із `.claude/settings.json` після того,
- * як агент сигналізує завершення ходу. Прозоро прокидає `npx \@nitra/cursor check`
+ * як агент сигналізує завершення ходу. Прозоро прокидає `npx \@nitra/cursor fix`
  * і повертає його exit code, щоб помилки правил блокували завершення.
  *
  * Захист від нескінченної рекурсії: якщо stdin містить `"stop_hook_active": true`
@@ -63,7 +63,7 @@ export async function runStopHookCli() {
     return 0
   }
-  const child = spawn('npx', ['--no', '@nitra/cursor', 'check'], { stdio: 'inherit' })
+  const child = spawn('npx', ['--no', '@nitra/cursor', 'fix'], { stdio: 'inherit' })
   try {
     const [code] = await once(child, 'exit')
     return code ?? 1

package/scripts/sync-claude-config.mjs CHANGED Viewed

@@ -1,14 +1,15 @@
 /**
  * Синхронізує конфігурацію Claude Code (`.claude/settings.json`,
- * slash-команди для checks, ADR Stop-hook) і Cursor hooks (`.cursor/hooks.json`)
- * у поточний проєкт із темплейтів пакету
+ * slash-команди з `commands/` темплейту, ADR Stop-hook) і Cursor hooks
+ * (`.cursor/hooks.json`) у поточний проєкт із темплейтів пакету
  * `npm/.claude-template/`.
  *
  * Архітектура:
  * - `settings.json` — **merge**: користувацькі поля зберігаються; наші hooks
  *   ідентифікуються командою-маркером (`MANAGED_HOOK_COMMAND_MARKERS`) і
  *   перезаписуються; permissions.allow зливається через union (із дедублікацією).
- * - `.claude/commands/n-check.md` — fully owned slash-команда.
+ * - `.claude/commands/*.md` — fully owned slash-команди з темплейту
+ *   `.claude-template/commands/` (зараз порожньо; sync no-op).
  * - `.claude/hooks/capture-decisions.sh` — fully owned bash-скрипт ADR capture Stop-hook;
  *   копіюється з `.claude-template/hooks/`, лише коли в `.n-cursor.json` `rules`
  *   присутнє `adr` (правило увімкнене за замовчуванням; вимикається через
@@ -56,7 +57,7 @@ const ADR_HOOK_SCRIPT_NAME = 'capture-decisions.sh'
 const ADR_NORMALIZE_HOOK_SCRIPT_NAME = 'normalize-decisions.sh'
 const TEMPLATE_DIR_NAME = '.claude-template'
 /** Відносний шлях до канонічного фрагмента `.gitignore` для ADR Stop-hook'ів у tarball пакета. */
-export const ADR_GITIGNORE_SNIPPET_REL = 'rules/adr/js/hooks/template/.gitignore.snippet'
+export const ADR_GITIGNORE_SNIPPET_REL = 'rules/adr/js/templates/hooks/.gitignore.snippet'
 const GITIGNORE_FILE = '.gitignore'
 const EOL_RE = /\r?\n/u

package/scripts/utils/discover-checkable-rules.mjs CHANGED Viewed

@@ -1,29 +1,26 @@
 /**
- * Discovery rules для CLI `check`. Шукає правила, для яких є щось «прогонне»:
- *   - JS concerns:   `rules/<id>/js/<concern>/<check.mjs | check-*.mjs>` — кожен concern окремий вузол.
+ * Discovery rules для CLI `fix`. Шукає правила, для яких є щось «прогонне»:
+ *   - JS concerns:   `rules/<id>/js/<concern>.mjs` — один файл = один concern.
  *   - Policy concerns: `rules/<id>/policy/<concern>/target.json` — пара з `<concern>.rego`.
  *
- * Каталог `js/utils/` свідомо пропускається — це хелпери, не концерни.
- * Файли `*.test.mjs` фільтруються regex (`^check(?:-.+)?\.mjs$`).
+ * Файли з префіксом `_` (зокрема каталог `_lib/`) і `*.test.mjs` пропускаються — це хелпери й тести.
  *
  * Намеренно НЕ парсимо `target.json` тут (це робить runner). Discovery — швидкий скан структури:
  * шляхи + назви, без I/O вмісту.
  *
- * Історичний контекст: convention пройшла еволюцію `js/` (до 1.11.12) → `fix/` (1.11.10–1.13.79)
- * → знову `js/` (1.13.80+, після появи кореневого `fix.mjs` як entry-point правила, щоб не плутати
- * з папкою `fix/`). Convention тепер за технологією: `js/` ↔ `policy/`.
+ * Історичний контекст: convention пройшла еволюцію
+ *   `js/<concern>/check.mjs` (1.13.80–1.13.89)
+ *   → `js/<concern>.mjs` (1.13.90+, flat: концерн = файл, не каталог)
+ * Helpers, tests, templates і data винесені в окремі топ-level папки правила (`js/_lib/`,
+ * `tests/`, `templates/`, `data/`).
  */
 import { existsSync } from 'node:fs'
 import { readdir } from 'node:fs/promises'
 import { join } from 'node:path'
-const CHECK_FILENAME_RE = /^check(?:-.+)?\.mjs$/u
-const TEST_SUFFIX = '.test.mjs'
 /**
  * @typedef {object} JsConcern
- * @property {string} name імʼя концерну (`<name>` у `js/<name>/`)
- * @property {string[]} files імена `check*.mjs` у концерні (відсортовані алфавітно)
+ * @property {string} name імʼя концерну (= basename файла `js/<name>.mjs` без розширення)
  */
 /**
@@ -39,30 +36,26 @@ const TEST_SUFFIX = '.test.mjs'
  */
 /**
- * Перелічує JS-концерни одного правила: підкаталоги `js/<name>/` з принаймні одним `check*.mjs`.
+ * Перелічує JS-концерни одного правила: файли `js/<name>.mjs` (один файл — один concern).
  *
- * `js/utils/` свідомо пропускається — це хелпери, а не концерни.
+ * Файли з префіксом `_` (наприклад каталог `_lib/`) і `*.test.mjs` пропускаються.
  * @param {string} jsDir абсолютний шлях `rules/<id>/js/`
  * @returns {Promise<JsConcern[]>} концерни в алфавітному порядку
  */
 async function listJsConcerns(jsDir) {
   if (!existsSync(jsDir)) return []
-  const topLevel = await readdir(jsDir, { withFileTypes: true })
+  const entries = await readdir(jsDir, { withFileTypes: true })
   /** @type {JsConcern[]} */
   const concerns = []
-  for (const entry of topLevel) {
-    if (!entry.isDirectory() || entry.name === 'utils' || entry.name.startsWith('.')) continue
-    const concernDir = join(jsDir, entry.name)
-    const dirContents = await readdir(concernDir)
-    const files = dirContents
-      .filter(n => CHECK_FILENAME_RE.test(n) && !n.endsWith(TEST_SUFFIX))
-      .toSorted((a, b) => a.localeCompare(b))
-    if (files.length > 0) {
-      concerns.push({ name: entry.name, files })
-    }
+  for (const entry of entries) {
+    if (!entry.isFile()) continue
+    if (!entry.name.endsWith('.mjs')) continue
+    if (entry.name.endsWith('.test.mjs')) continue
+    if (entry.name.startsWith('_')) continue
+    if (entry.name.startsWith('.')) continue
+    const name = entry.name.slice(0, -'.mjs'.length)
+    concerns.push({ name })
   }
   return concerns.toSorted((a, b) => a.name.localeCompare(b.name))
 }

package/scripts/utils/inline-template-links.mjs CHANGED Viewed

@@ -3,7 +3,7 @@ import { readFile } from 'node:fs/promises'
 import { basename, extname, join } from 'node:path'
 const MD_LINK_RE = /\[([^\]]{1,200})\]\((\.\/[^)]{1,500})\)/g
-const TEMPLATE_SEGMENT_RE = /\/template\//
+const TEMPLATE_SEGMENT_RE = /\/templates?\//
 /** Статичні regexp-літерали `^(.+)\.<slot>\.<ext>$` — без `RegExp(variable)`. */
 const SLOT_SUFFIX_RES = [/^(.+)\.snippet\.[^.]+$/, /^(.+)\.deny\.[^.]+$/, /^(.+)\.contains\.[^.]+$/]