npm - @nitra/cursor - Versions diffs - 1.13.89 → 1.15.0 - Mend

@nitra/cursor 1.13.89 → 1.15.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (91) hide show

package/rules/js-lint/js-lint.mdc CHANGED Viewed

@@ -2,7 +2,7 @@
 description: Перевірка JavaScript коду
 globs: "**/{.oxlintrc.json,eslint.config.js,.jscpd.json,knip.json,package.json},**/*.{js,mjs,cjs,jsx,ts,tsx}"
 alwaysApply: false
-version: '1.23'
+version: '1.24'
 ---
 **oxlint**, **ESLint**, **jscpd**, **knip**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`**, **`bunx knip`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd/knip не додавай без потреби монорепо.
@@ -79,6 +79,16 @@ version: '1.23'
 Але обов'язково перед рефакторингом перевір чи є тести на блоки які підлягають зміні, а саме Bun.test для js та playwright для vue. Якщо є, то перевір чи вони покривають блоки які підлягають зміні. Якщо не покривають або тестів немає — спочатку створи їх, перевір що вони покривають і відпрацьовують коректно, а потім роби рефакторинг і ще раз запускай тести, але якщо тести не відпрацьовують коректно після рефакторингу, то не роби рефакторинг.
+## Структура спільних модулів: `utils/` vs `lib/`
+Коли спільні методи виносяться з кількох JS-файлів в окремий каталог — назву каталога обирай за призначенням модулів усередині.
+- **`utils/`** — низькорівневі, чисті, generic helpers без бізнес-логіки і без залежностей від домену проєкту. Те, що могло б жити в окремому npm-пакеті. Приклади: `formatDate()`, `chunk(array, size)`, `retry(fn, opts)`, `deepMerge()`, `parseDuration('5m')`, `sleep(ms)`.
+- **`lib/`** — внутрішні модулі / підсистеми проєкту, які знають про домен. Більші за `utils/`, часто з власним state, конфігом або side effects. Приклади: `lib/gmail-client.js`, `lib/circuit-breaker.js`, `lib/skill-loader.js`, `lib/safety/dry-run.js`.
+Швидкий тест: якщо файл завтра можна опублікувати окремим npm-пакетом без переписування — це `utils/`; якщо він тримає domain-state, читає конфіг проєкту або викликає зовнішні сервіси/файли — це `lib/`. Не плутай із чужими каталогами на кшталт `shared/` чи `common/`: канонічні назви — лише `utils/` і `lib/`.
 Додай workflow:
 ```yaml title=".github/workflows/lint-js.yml"

package/rules/js-lint/{js/tooling → utils}/rebuild-oxlint-canonical.mjs RENAMED Viewed

@@ -2,14 +2,14 @@
  * Збирає `oxlint-canonical.json` з `oxlint-canonical-skeleton.json` (без поля rules) та списку
  * правил у `oxlint-rules.tsv` (колонки: ім’я правила, TAB, severity: deny | off | error).
  *
- * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/js/tooling/rebuild-oxlint-canonical.mjs`,
+ * Після змін у TSV або скелеті запускай з каталогу пакета: `bun ./rules/js-lint/utils/rebuild-oxlint-canonical.mjs`,
  * потім скопіюй оновлений канон у корінь споживача як `.oxlintrc.json` за потреби.
  */
 import { readFileSync, writeFileSync } from 'node:fs'
 import { dirname, join } from 'node:path'
 import { fileURLToPath } from 'node:url'
-const dir = dirname(fileURLToPath(import.meta.url))
+const dir = join(dirname(fileURLToPath(import.meta.url)), '..', 'js', 'data', 'tooling')
 const rules = {}
 for (const line of readFileSync(join(dir, 'oxlint-rules.tsv'), 'utf8').split('\n')) {
   const t = line.trim()

package/rules/js-mssql/js/{deps/check.mjs → deps.mjs} RENAMED Viewed

@@ -12,8 +12,8 @@ import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
 import { join, relative } from 'node:path'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { findAllPackageJsonPaths } from '../../../../scripts/utils/find-package-json-paths.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { findAllPackageJsonPaths } from '../../../scripts/utils/find-package-json-paths.mjs'
 import {
   findMssqlPerRequestConnectionInText,
   findSharedMssqlRequestInText,
@@ -22,9 +22,9 @@ import {
   findUnsafeMssqlInListUnparsedInText,
   findUnsafeMssqlInListMissingEmptyGuardInText,
   isMssqlScanSourceFile
-} from './mssql-pool-scan.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+} from '../utils/mssql-pool-scan.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 const VERSION_PREFIX_RE = /^[\^~>=<]+\s*/u
 const SEMVER_RE = /^(\d+)\.(\d+)\.(\d+)/u

package/rules/js-mssql/{js/deps → utils}/mssql-pool-scan.mjs RENAMED Viewed

@@ -30,7 +30,7 @@ import {
   normalizeSnippet,
   offsetToLine,
   walkAstWithAncestors
-} from '../../../../scripts/utils/ast-scan-utils.mjs'
+} from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
 const IN_PLACEHOLDER_END_RE = /\bin\s*\(\s*$/iu

package/rules/js-run/js/{runtime/check.mjs → runtime.mjs} RENAMED Viewed

@@ -40,24 +40,24 @@ import {
   findBunyanImportsInText,
   isBunyanScanSourceFile,
   shouldSkipFileForBunyanScan
-} from './bunyan-imports.mjs'
-import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './check-env-scan.mjs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './conn-file-rules.mjs'
+} from '../utils/bunyan-imports.mjs'
+import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from '../utils/check-env-scan.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { runConftestBatch } from '../../../scripts/utils/run-conftest-batch.mjs'
+import { findConnFileRuleViolations, isConnFileRulesSourceFile } from '../utils/conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
   isConnImportsScanSourceFile,
   isInsideConnDir,
   resolveConnDirFromPackageJson
-} from './conn-imports-scan.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
+} from '../utils/conn-imports-scan.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
 import {
   findPromiseSetTimeoutInText,
   isPromiseSetTimeoutScanSourceFile
-} from './promise-settimeout-scan.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
-import { getMonorepoPackageRootDirs } from '../../../../scripts/utils/workspaces.mjs'
+} from '../utils/promise-settimeout-scan.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+import { getMonorepoPackageRootDirs } from '../../../scripts/utils/workspaces.mjs'
 /**
  * Чи існує непорожній за змістом маркер каталогу `src/` (рекомендована структура js-run).

package/rules/js-run/{js/runtime → utils}/bunyan-imports.mjs RENAMED Viewed

@@ -18,7 +18,7 @@ import {
   offsetToLine,
   requireCallModule,
   walkAstWithAncestors
-} from '../../../../scripts/utils/ast-scan-utils.mjs'
+} from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const FORBIDDEN_MODULES = new Set(['@nitra/bunyan', 'bunyan'])

package/rules/js-run/{js/runtime → utils}/check-env-scan.mjs RENAMED Viewed

@@ -29,7 +29,7 @@
  * Якщо ключ обчислюваний (`process.env[varName]`) — пропускаємо без помилки,
  * бо за статичним AST неможливо встановити, яка саме змінна оточення використовується.
  */
-import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { offsetToLine, parseProgramOrNull, walkAstWithAncestors } from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u
 const IGNORE_DIRECTIVE_RE = /\/\/\s*@nitra\/cursor\s+ignore-next-line\s+checkEnv\b/u

package/rules/js-run/{js/runtime → utils}/conn-file-rules.mjs RENAMED Viewed

@@ -14,7 +14,7 @@
  * Парсимо через oxc-parser; коли файл не парситься — повертаємо порожні результати, щоб
  * не змішувати помилки синтаксису з порушеннями цього правила.
  */
-import { parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { parseProgramOrNull } from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u

package/rules/js-run/{js/runtime → utils}/conn-imports-scan.mjs RENAMED Viewed

@@ -16,7 +16,7 @@
  * використовується. Якщо файл не парситься — повертаємо порожній результат, спочатку
  * треба полагодити синтаксис.
  */
-import { langFromPath, normalizeSnippet, offsetToLine } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { langFromPath, normalizeSnippet, offsetToLine } from '../../../scripts/utils/ast-scan-utils.mjs'
 import { parseSync } from 'oxc-parser'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/u

package/rules/js-run/{js/runtime → utils}/promise-settimeout-scan.mjs RENAMED Viewed

@@ -12,7 +12,7 @@
  * Сканер не вимагає, щоб файл компілювався: при синтаксичних помилках повертається
  * порожній результат (як інші сканери — спочатку треба полагодити синтаксис).
  */
-import { normalizeSnippet, offsetToLine, parseProgramOrNull } from '../../../../scripts/utils/ast-scan-utils.mjs'
+import { normalizeSnippet, offsetToLine, parseProgramOrNull } from '../../../scripts/utils/ast-scan-utils.mjs'
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/

package/rules/k8s/js/{manifests/check.mjs → manifests.mjs} RENAMED Viewed

@@ -140,10 +140,10 @@ import { basename, dirname, join, relative, resolve } from 'node:path'
 import { isSeq, parseAllDocuments, parseDocument } from 'yaml'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { runConftestBatch } from '../../../scripts/utils/run-conftest-batch.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /** Версія набору схем yannh — узгоджено з k8s.mdc */
 const YAML_LS_MODELINE_RE = /^# yaml-language-server: \$schema=.*\n/

package/rules/k8s/k8s.mdc CHANGED Viewed

@@ -39,7 +39,7 @@ alwaysApply: false
 Якщо в **корені проєкту** є файл **`.kubescape-exceptions.json`** — `lint-k8s` автоматично передає його в `kubescape scan` через **`--exceptions`** ([postureExceptionPolicy](https://github.com/kubescape/kubescape/blob/master/docs/exceptions.md)). Файл — JSON-масив об'єктів з полями `name`, `policyType: "postureExceptionPolicy"`, `actions` (`["alertOnly"]` — знижує fail до alert, не блокує lint), `resources` (resource designator) і `posturePolicies` (масив `controlID`).
-Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./js/kubescape_exceptions/template/.kubescape-exceptions.json.snippet.json)
+Канонічний кейс — **C-0012** (`Applications credentials in configuration files`, High): control тригериться на **імʼя** env, що містить підрядок `secret`/`password`/`key`/`token`, а **не** на значення. Для `HASURA_GRAPHQL_JWT_SECRET` у ConfigMap значення — публічний JWT-конфіг (`jwk_url`, `issuer`), не credentials, але kubescape падає лише через імʼя. Точкове виключення для ConfigMap із цим env — канон: [.kubescape-exceptions.json.snippet.json](./js/templates/kubescape_exceptions/.kubescape-exceptions.json.snippet.json)
 Підстав свою `attributes.name` (рядок або regex), якщо ConfigMap зветься інакше; виключай контрольно, а не глобально (не додавай винятки без `attributes.name`/`labels`, бо тоді C-0012 знімається для усіх ConfigMap-ів проєкту і реальні витоки credentials теж пройдуть).

package/rules/nginx-default-tpl/js/{template/check.mjs → template.mjs} RENAMED Viewed

@@ -17,11 +17,11 @@ import { existsSync } from 'node:fs'
 import { readdir, readFile, rename, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative } from 'node:path'
-import { findDockerfilePaths } from '../../../docker/js/lint/check.mjs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { runConftestBatch } from '../../../../scripts/utils/run-conftest-batch.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { findDockerfilePaths } from '../../docker/js/lint.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { runConftestBatch } from '../../../scripts/utils/run-conftest-batch.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 const LINE_SPLIT_RE = /\r?\n/u
 const INI_KEY_RE = /^([A-Za-z_]\w*)\s*=/u

package/rules/npm-module/js/{package_structure/check.mjs → package_structure.mjs} RENAMED Viewed

@@ -37,10 +37,10 @@ import {
   langFromPath,
   requireCallModule,
   walkAstWithAncestors
-} from '../../../../scripts/utils/ast-scan-utils.mjs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+} from '../../../scripts/utils/ast-scan-utils.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 const execFileAsync = promisify(execFile)

package/rules/php/js/{tooling/check.mjs → tooling.mjs} RENAMED Viewed

@@ -11,7 +11,7 @@
  */
 import { existsSync } from 'node:fs'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 /**
  * Перевіряє відповідність проєкту правилам php.mdc.

package/rules/rego/js/{applies/check.mjs → applies.mjs} RENAMED Viewed

@@ -9,9 +9,9 @@
  * JS тут лишається лише як cross-file гейт: walkDir не виразити декларативно через `target.json`.
  * Друк короткого pass-повідомлення з контекстом робить `check()` (необовʼязковий).
  */
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { loadCursorIgnorePaths } from '../../../../scripts/utils/load-cursor-config.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/utils/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /**
  * Чи є хоча б один `.rego`-файл у дереві від `cwd`. Зупиняється на першому матчі.

package/rules/rust/auto.md ADDED Viewed

	@@ -0,0 +1 @@
1	+ якщо в проекті є хоч один Cargo.toml

package/rules/rust/fix.mjs ADDED Viewed

@@ -0,0 +1,19 @@
+import { runStandardRule } from '../../scripts/utils/run-standard-rule.mjs'
+/**
+ * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
+ * Library mode: викликається CLI orchestration через `import + run(ctx)`.
+ * @param {import('../../scripts/utils/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
+ * @returns {Promise<number>} 0 — OK, 1 — порушення
+ */
+export function run(ctx) {
+  return runStandardRule(import.meta.dirname, ctx)
+}
+if (import.meta.main) {
+  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
+  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
+  const { runRuleCli } = await import('../../scripts/utils/run-rule-cli.mjs')
+  // eslint-disable-next-line unicorn/no-process-exit -- standalone entry-point має повертати exit-code для CI/IDE
+  process.exit(await runRuleCli(import.meta.dirname))
+}

package/rules/rust/js/applies.mjs ADDED Viewed

@@ -0,0 +1,31 @@
+/**
+ * Applies-гейт правила rust: маркер — наявність `Cargo.toml` у `cwd` або
+ * в будь-якому workspace-підкаталозі (рекурсивний пошук з пропуском
+ * `node_modules`, `.git`, `.next`, `.turbo`). Якщо повертає `false` —
+ * `runStandardRule` пропускає всі концерни (JS і policy) цього правила.
+ * `check()` друкує тільки context-pass; реальна робота — у policy-концернах.
+ */
+import { existsSync } from 'node:fs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { hasCargoTomlInTree } from '../utils/has-cargo-toml.mjs'
+const IGNORED_DIR_NAMES = new Set(['node_modules', '.git', '.next', '.turbo'])
+/**
+ * @returns {Promise<boolean>} `true` — правило застосовне; `false` — пропустити
+ */
+export function applies() {
+  if (existsSync('Cargo.toml')) return Promise.resolve(true)
+  return Promise.resolve(hasCargoTomlInTree(process.cwd(), IGNORED_DIR_NAMES))
+}
+/**
+ * @returns {number} exit-код (0 — OK, 1 — порушення)
+ */
+export function check() {
+  const reporter = createCheckReporter()
+  reporter.pass('Знайдено Cargo.toml — застосовуємо правила rust.mdc')
+  return reporter.getExitCode()
+}

package/rules/rust/policy/lint_rust_yml/lint_rust_yml.rego ADDED Viewed

@@ -0,0 +1,55 @@
+# Перевірка `.github/workflows/lint-rust.yml` для правила rust (rust.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-rust.yml.snippet.yml.
+# Перевіряємо:
+#   - кожен `uses` з template (підмножина): actions/checkout@v6,
+#     dtolnay/rust-toolchain@stable, Swatinem/rust-cache@v2;
+#   - кожен `run` з template має бути присутнім (як substring) серед
+#     run-кроків input'а — drift-safe: зміна template одразу рухає перевірку.
+# Універсальні workflow-перевірки (name, concurrency, branches) — у `ga.workflow_common`.
+package rust.lint_rust_yml
+import rego.v1
+# Усі `uses` з канону workflow.
+expected_uses contains u if {
+	some step in data.template.snippet.jobs.lint.steps
+	u := object.get(step, "uses", "")
+	u != ""
+}
+# Усі `uses` з input workflow.
+actual_uses contains u if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	u := object.get(step, "uses", "")
+	u != ""
+}
+# Конкатенація всіх `run`-кроків з input workflow.
+all_run_text := concat("\n", [run_text |
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	run_text := step_run_to_text(step)
+])
+deny contains msg if {
+	some required_use in expected_uses
+	not required_use in actual_uses
+	msg := sprintf("lint-rust.yml: відсутній step з `uses: %s` (rust.mdc)", [required_use])
+}
+deny contains msg if {
+	some step in data.template.snippet.jobs.lint.steps
+	expected_run := object.get(step, "run", "")
+	expected_run != ""
+	not contains(all_run_text, expected_run)
+	msg := sprintf("lint-rust.yml: жоден крок run не містить %q (rust.mdc)", [expected_run])
+}
+step_run_to_text(step) := step.run if is_string(step.run)
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+else := ""

package/rules/rust/policy/lint_rust_yml/target.json ADDED Viewed

@@ -0,0 +1,5 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": ".github/workflows/lint-rust.yml", "required": true },
+  "missingMessage": ".github/workflows/lint-rust.yml не існує — створи з канонічним вмістом (rust.mdc)"
+}

package/rules/rust/policy/lint_rust_yml/template/lint-rust.yml.snippet.yml ADDED Viewed

@@ -0,0 +1,44 @@
+name: Lint Rust
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/*.rs'
+      - '**/Cargo.toml'
+      - '**/Cargo.lock'
+      - '**/rustfmt.toml'
+      - '**/clippy.toml'
+  pull_request:
+    branches:
+      - dev
+      - main
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+jobs:
+  lint:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+      - uses: dtolnay/rust-toolchain@stable
+        with:
+          components: rustfmt, clippy
+      - uses: Swatinem/rust-cache@v2
+      - name: Rustfmt
+        run: cargo fmt --all -- --check
+      - name: Clippy
+        run: cargo clippy --all-targets --all-features -- -D warnings

package/rules/rust/policy/package_json/package_json.rego ADDED Viewed

@@ -0,0 +1,18 @@
+# Перевірка `package.json` для правила rust (rust.mdc).
+#
+# Канон надходить через --data: { "template": { "contains": ... } }
+# Структура --data сформована з template/package.json.contains.json.
+# Перевіряємо substring-вимоги до scripts.lint-rust: усі три кроки
+# (`cargo fmt`, `cargo clippy --fix`, фінальний `cargo clippy ... -D warnings`)
+# мають бути присутніми у значенні скрипта.
+package rust.package_json
+import rego.v1
+deny contains msg if {
+	some script_name, needles in data.template.contains.scripts
+	actual := object.get(object.get(input, "scripts", {}), script_name, "")
+	some needle in needles
+	not contains(actual, needle)
+	msg := sprintf("package.json: scripts.%s має містити %q (rust.mdc)", [script_name, needle])
+}

package/rules/rust/policy/package_json/target.json ADDED Viewed

@@ -0,0 +1,5 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": "package.json", "required": true },
+  "missingMessage": "package.json не існує — створи зі scripts.lint-rust (rust.mdc)"
+}

package/rules/rust/policy/package_json/template/package.json.contains.json ADDED Viewed

@@ -0,0 +1,9 @@
+{
+  "scripts": {
+    "lint-rust": [
+      "cargo fmt --all",
+      "cargo clippy --fix --allow-staged --allow-dirty",
+      "cargo clippy --all-targets --all-features -- -D warnings"
+    ]
+  }
+}

package/rules/rust/policy/vscode_extensions/target.json ADDED Viewed

@@ -0,0 +1,5 @@
+{
+  "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "files": { "single": ".vscode/extensions.json", "required": true },
+  "missingMessage": ".vscode/extensions.json не існує — створи з recommendations \"rust-lang.rust-analyzer\" і \"tamasfe.even-better-toml\" (rust.mdc)"
+}

package/rules/rust/policy/vscode_extensions/template/extensions.json.snippet.json ADDED Viewed

	@@ -0,0 +1 @@
1	+ { "recommendations": ["rust-lang.rust-analyzer", "tamasfe.even-better-toml"] }

package/rules/rust/policy/vscode_extensions/vscode_extensions.rego ADDED Viewed

@@ -0,0 +1,15 @@
+# Перевірка `.vscode/extensions.json` для правила rust (rust.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/extensions.json.snippet.json.
+# Semantics: subset-of для recommendations — кожен з канону має бути присутнім,
+# інші екстеншени дозволені.
+package rust.vscode_extensions
+import rego.v1
+deny contains msg if {
+	some rec in data.template.snippet.recommendations
+	not rec in {r | some r in object.get(input, "recommendations", [])}
+	msg := sprintf(".vscode/extensions.json: recommendations має містити %q (rust.mdc)", [rec])
+}

package/rules/rust/rust.mdc ADDED Viewed

@@ -0,0 +1,27 @@
+---
+description: Перевірка Rust коду
+globs: "**/{Cargo.toml,Cargo.lock,rustfmt.toml,clippy.toml,.vscode/extensions.json,package.json},**/*.rs"
+alwaysApply: false
+version: '1.0'
+---
+**rustfmt** ([rust-lang/rustfmt](https://github.com/rust-lang/rustfmt)) — форматер; **clippy** ([rust-lang/rust-clippy](https://github.com/rust-lang/rust-clippy)) — лінтер. У скрипті **`lint-rust`** локально йдуть три кроки в одному рядку: `cargo fmt --all` → `cargo clippy --fix --allow-staged --allow-dirty --all-targets --all-features` → фінальний `cargo clippy --all-targets --all-features -- -D warnings`. У CI — без `--fix`: `cargo fmt --all -- --check` і `cargo clippy ... -- -D warnings` (див. `lint-rust.yml`).
+`cargo`, `rustfmt`, `clippy` не додавай у `devDependencies` — це Rust toolchain, ставиться через `rustup` локально або через `dtolnay/rust-toolchain@stable` у CI.
+Канон `scripts.lint-rust` (substring requirement): [package.json.contains.json](./policy/package_json/template/package.json.contains.json)
+У `.vscode/extensions.json` `recommendations` мають містити `rust-lang.rust-analyzer` і `tamasfe.even-better-toml`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+Канон workflow `.github/workflows/lint-rust.yml`: [lint-rust.yml.snippet.yml](./policy/lint_rust_yml/template/lint-rust.yml.snippet.yml)
+Перед **`./.github/actions/setup-bun-deps`** в інших workflows йде **`actions/checkout@v6`** (див. **ga.mdc**). У **lint-rust.yml** після checkout — `dtolnay/rust-toolchain@stable` (з `components: rustfmt, clippy`) + `Swatinem/rust-cache@v2` для кешу `~/.cargo` і `target/`. Bun composite дії тут не потрібен — toolchain ставиться напряму.
+## Композиція з Tauri
+Tauri-проєкт завжди має `src-tauri/Cargo.toml`, тому правило `rust` активується автоматично разом з `tauri`. Поділ обов'язків:
+- `rust` — `lint-rust` скрипт, `rust-analyzer`, `even-better-toml`, CI workflow.
+- `tauri` — `tauri-apps.tauri-vscode` (див. **tauri.mdc**).
+Обидва правила перевіряють `.vscode/extensions.json` за `contains`-семантикою; конкурентного запису немає.

package/rules/rust/utils/has-cargo-toml.mjs ADDED Viewed

@@ -0,0 +1,39 @@
+/**
+ * Rule-level applies-walker правила rust: рекурсивно шукає Cargo.toml у
+ * cwd або будь-якому workspace-підкаталозі. Пропускає `node_modules`, `.git`,
+ * `.next`, `.turbo` за тим самим списком, що `npm/scripts/auto-rules.mjs`.
+ *
+ * Утиліта rule-local, бо лише `rust` потребує "знайти Cargo.toml у дереві";
+ * якщо з'явиться другий споживач — підняти у `npm/scripts/utils/`.
+ */
+import { readdirSync } from 'node:fs'
+import { join } from 'node:path'
+/**
+ * Чи присутній хоч один Cargo.toml у дереві `root` (синхронно, з раннім return).
+ * @param {string} root абсолютний шлях кореня
+ * @param {Set<string>} ignoredDirNames імена директорій, в які НЕ заходимо
+ * @returns {boolean} true, якщо знайдено Cargo.toml
+ */
+export function hasCargoTomlInTree(root, ignoredDirNames) {
+  /**
+   * @param {string} dir абсолютний шлях каталогу для обходу
+   * @returns {boolean} true якщо в піддереві є Cargo.toml
+   */
+  function walk(dir) {
+    let entries
+    try {
+      entries = readdirSync(dir, { withFileTypes: true })
+    } catch {
+      return false
+    }
+    for (const entry of entries) {
+      if (entry.isFile() && entry.name === 'Cargo.toml') return true
+      if (entry.isDirectory() && !ignoredDirNames.has(entry.name)) {
+        if (walk(join(dir, entry.name))) return true
+      }
+    }
+    return false
+  }
+  return walk(root)
+}

package/rules/security/js/{sample_secret/check.mjs → sample_secret.mjs} RENAMED Viewed

@@ -29,8 +29,8 @@
 import { readFile } from 'node:fs/promises'
 import { relative, sep } from 'node:path'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { walkDir } from '../../../../scripts/utils/walkDir.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
 /** Суфікс basename'а прикладного файлу (`config.example`, `.env.dist`). */
 const EXAMPLE_SUFFIX_RE = /\.(?:example|sample|template|dist)$/iu

package/rules/security/js/{trufflehog/check.mjs → trufflehog.mjs} RENAMED Viewed

@@ -11,11 +11,11 @@ import { readFile } from 'node:fs/promises'
 import { dirname, join } from 'node:path'
 import { fileURLToPath } from 'node:url'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
-import { checkTextSubset } from '../../../../scripts/utils/template.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
+import { checkTextSubset } from '../../../scripts/utils/template.mjs'
 const HERE = dirname(fileURLToPath(import.meta.url))
-const SNIPPET_PATH = join(HERE, 'template', '.trufflehog-exclude.snippet.txt')
+const SNIPPET_PATH = join(HERE, 'templates', 'trufflehog', '.trufflehog-exclude.snippet.txt')
 /**
  * @returns {Promise<number>} exit-код перевірки

package/rules/security/security.mdc CHANGED Viewed

@@ -24,7 +24,7 @@ version: '2.1'
 ## `.trufflehog-exclude` (рекомендована основа)
-Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./js/trufflehog/template/.trufflehog-exclude.snippet.txt)
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./js/templates/trufflehog/.trufflehog-exclude.snippet.txt)
 **Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
@@ -45,7 +45,7 @@ Workflow обовʼязковий — забезпечує незалежний
 - Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
 - Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
-Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `js/sample_secret/check.mjs`.
+Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `js/sample_secret.mjs`.
 ## Перевірка

package/rules/style-lint/js/{tooling/check.mjs → tooling.mjs} RENAMED Viewed

@@ -19,7 +19,7 @@
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
-import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+import { createCheckReporter } from '../../../scripts/utils/check-reporter.mjs'
 /**
  * Альтернатива полю `stylelint` у `package.json` — зовнішній файл конфігу. Якщо