@nitra/cursor 1.19.2 → 1.21.0

package/rules/k8s/k8s.mdc

@@ -393,7 +393,7 @@ images:
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
-**Канонічний `base/networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace` (namespace додає `base/kustomization.yaml`); один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у тому ж `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns (UDP/TCP 53); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні, включно з metadata `169.254.169.254:80`); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові in-cluster порти можна додати вручну у `ports:` цього rule. Канон: [networkpolicy.snippet.yaml](./policy/network_policy/template/networkpolicy.snippet.yaml). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
+**Канонічний `base/networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace` (namespace додає `base/kustomization.yaml`); один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у тому ж `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns через `kube-system` namespaceSelector (UDP/TCP 53); link-local DNS `169.254.0.0/16` (UDP/TCP 53, GKE NodeLocal DNSCache); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). **StatefulSet** додатково має egress/ingress `to/from.podSelector: {}` для intra-replica реплікації. Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові правила можна дописати поряд — superset-підхід. Канон — два **повних** snippet-файли (без merge у runtime; JS-генератор/rego обирають один за `kind` workload-у через анотацію `metadata.annotations['nitra.dev/workload-kind']`): [deployment.snippet.yaml](./policy/network_policy/template/deployment.snippet.yaml) (для `Deployment`/`Job`/`CronJob`/`DaemonSet`) та [statefulset.snippet.yaml](./policy/network_policy/template/statefulset.snippet.yaml) (для `StatefulSet`; містить deployment-канон + intra-replica правила). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
 
@@ -490,6 +490,8 @@ apiVersion: networking.k8s.io/v1
 kind: NetworkPolicy
 metadata:
   name: backend-api
+  annotations:
+    nitra.dev/workload-kind: Deployment
 spec:
   podSelector:
     matchLabels:
@@ -513,6 +515,14 @@ spec:
           port: 53
         - protocol: TCP
           port: 53
+    - to:
+        - ipBlock:
+            cidr: 169.254.0.0/16
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
     - to:
         - ipBlock:
             cidr: 0.0.0.0/0

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -1,31 +1,35 @@
-# Пер-документна структурна перевірка NetworkPolicy (k8s.mdc).
-# Cross-file (metadata.name = workload, podSelector.app = мітка app) — JS
-# (`networkPolicyManifestViolations`, `validateNetworkPolicyForWorkload`).
+# Пер-документна структурна перевірка NetworkPolicy.
+# Cross-file (metadata.name = workload, podSelector.app = мітка app) — JS (validateNetworkPolicyForWorkload).
 #
-# Канон egress: kube-dns; TCP 80/443 на 0.0.0.0/0; інші порти — namespaceSelector: {}
-# (in-cluster, зокрема *.svc). Заборонено egress: [{}] (allow-all).
+# Superset-перевірка egress/ingress: кожне правило з обраного canon-snippet'у
+# має бути присутнє в input (extra-правила дозволені). Канон обирається за
+# анотацією `nitra.dev/workload-kind`:
+#   StatefulSet → data.template.statefulset_snippet (повний канон з intra-replica)
+#   решта      → data.template.deployment_snippet  (повний канон, default fallback)
 #
-# Запуск:
-#   conftest test path/to/networkpolicy.yaml -p npm/policy/k8s/network_policy \
-#     --namespace k8s.network_policy
+# Обидва snippets — самодостатні (без merge на runtime).
+#
+# Snippets передаються через templateData при виклику runConftestBatch для k8s.network_policy.
+#
+# Запуск (dev):
+#   conftest test path/to/networkpolicy.yaml -p npm/rules/k8s/policy/network_policy \
+#     --namespace k8s.network_policy \
+#     --data npm/rules/k8s/policy/network_policy/template/deployment.snippet.yaml \
+#     --data npm/rules/k8s/policy/network_policy/template/statefulset.snippet.yaml
 package k8s.network_policy
 
 import rego.v1
 
-np_kind_template := "kind має бути NetworkPolicy (зараз: %v) (k8s.mdc)"
-
-np_api_template := "apiVersion має бути networking.k8s.io/v1 (зараз: %v) (k8s.mdc)"
-
 deny contains msg if {
 	is_np_doc
 	input.kind != "NetworkPolicy"
-	msg := sprintf(np_kind_template, [input.kind])
+	msg := sprintf("kind має бути NetworkPolicy (зараз: %v) (k8s.mdc)", [input.kind])
 }
 
 deny contains msg if {
 	is_np_doc
 	input.apiVersion != "networking.k8s.io/v1"
-	msg := sprintf(np_api_template, [input.apiVersion])
+	msg := sprintf("apiVersion має бути networking.k8s.io/v1 (зараз: %v) (k8s.mdc)", [input.apiVersion])
 }
 
 deny contains "spec відсутній або некоректний (NetworkPolicy; k8s.mdc)" if {
@@ -42,6 +46,17 @@ deny contains "spec.podSelector.matchLabels відсутній (NetworkPolicy; k
 	not is_object(object.get(selector, "matchLabels", null))
 }
 
+deny contains "spec.podSelector.matchLabels.app відсутній або порожній (NetworkPolicy; k8s.mdc)" if {
+	is_np_doc
+	spec := object.get(input, "spec", null)
+	is_object(spec)
+	selector := object.get(spec, "podSelector", null)
+	is_object(selector)
+	ml := object.get(selector, "matchLabels", null)
+	is_object(ml)
+	object.get(ml, "app", null) == null
+}
+
 deny contains "spec.policyTypes має містити Ingress і Egress (NetworkPolicy; k8s.mdc)" if {
 	is_np_doc
 	spec := object.get(input, "spec", null)
@@ -57,39 +72,56 @@ deny contains "spec.ingress має містити from.podSelector (NetworkPolic
 	not ingress_has_pod_selector_rule(spec)
 }
 
-deny contains "spec.egress має бути непорожнім масивом (NetworkPolicy; k8s.mdc)" if {
-	is_np_doc
-	spec := object.get(input, "spec", null)
-	is_object(spec)
-	not is_non_empty_array(object.get(spec, "egress", null))
+# Dispatch на повний canon-snippet за анотацією nitra.dev/workload-kind.
+# StatefulSet → statefulset_snippet (з intra-replica), решта → deployment_snippet.
+canon_for_kind("StatefulSet") := data.template.statefulset_snippet
+
+canon_for_kind(kind) := data.template.deployment_snippet if {
+	kind != "StatefulSet"
 }
 
-deny contains "spec.egress: заборонено allow-all {} — канон k8s.mdc (80/443 назовні, інше — in-cluster)" if {
-	is_np_doc
-	spec := object.get(input, "spec", null)
-	is_object(spec)
-	egress_allows_all(object.get(spec, "egress", null))
+snippet_name_for_kind("StatefulSet") := "statefulset"
+
+snippet_name_for_kind(kind) := "deployment" if {
+	kind != "StatefulSet"
 }
 
-deny contains "spec.egress: потрібен ipBlock 0.0.0.0/0 з ports 80 і 443 (HTTP/HTTPS назовні; k8s.mdc)" if {
-	is_np_doc
-	spec := object.get(input, "spec", null)
-	is_object(spec)
-	not egress_has_internet_http_https(spec)
+workload_kind := kind if {
+	kind := object.get(object.get(input.metadata, "annotations", {}), "nitra.dev/workload-kind", "")
 }
 
-deny contains "spec.egress: потрібен to.namespaceSelector: {} (інші порти лише in-cluster / *.svc; k8s.mdc)" if {
+# Superset-check egress: кожне канонічне правило має бути в input.spec.egress.
+deny contains msg if {
 	is_np_doc
-	spec := object.get(input, "spec", null)
-	is_object(spec)
-	not egress_has_cluster_namespace_selector(spec)
+	is_object(object.get(input, "spec", null))
+	canon := canon_for_kind(workload_kind)
+	some canon_rule in canon.egress
+	not list_contains(object.get(input.spec, "egress", []), canon_rule)
+	msg := sprintf(
+		"NetworkPolicy %v: відсутнє обовʼязкове egress-правило (%v.snippet.yaml; k8s.mdc): %v",
+		[input.metadata.name, snippet_name_for_kind(workload_kind), json.marshal(canon_rule)],
+	)
 }
 
-deny contains "spec.egress: to.namespaceSelector: {} мусить мати непорожні ports — catch-all заборонено (k8s.mdc)" if {
+# Superset-check ingress.
+deny contains msg if {
 	is_np_doc
-	spec := object.get(input, "spec", null)
-	is_object(spec)
-	cluster_egress_rule_without_ports(spec)
+	is_object(object.get(input, "spec", null))
+	canon := canon_for_kind(workload_kind)
+	some canon_rule in canon.ingress
+	not list_contains(object.get(input.spec, "ingress", []), canon_rule)
+	msg := sprintf(
+		"NetworkPolicy %v: відсутнє обовʼязкове ingress-правило (%v.snippet.yaml; k8s.mdc): %v",
+		[input.metadata.name, snippet_name_for_kind(workload_kind), json.marshal(canon_rule)],
+	)
+}
+
+# Safety-net: allow-all `egress: [{}]` — заборонено навіть як extra-правило.
+deny contains "spec.egress: заборонено allow-all {} — додавай явні правила (k8s.mdc)" if {
+	is_np_doc
+	some rule in object.get(input.spec, "egress", [])
+	is_object(rule)
+	count(object.keys(rule)) == 0
 }
 
 is_np_doc if input.kind == "NetworkPolicy"
@@ -114,68 +146,8 @@ ingress_has_pod_selector_rule(spec) if {
 	object.get(peer, "podSelector", null) != null
 }
 
-is_non_empty_array(x) if {
-	is_array(x)
-	count(x) > 0
-}
-
-egress_allows_all(egress) if {
-	is_array(egress)
-	some rule in egress
-	is_object(rule)
-	count(object.keys(rule)) == 0
-}
-
-egress_has_internet_http_https(spec) if {
-	egress := object.get(spec, "egress", null)
-	is_array(egress)
-	some rule in egress
-	is_object(rule)
-	to_list := object.get(rule, "to", null)
-	is_array(to_list)
-	some peer in to_list
-	is_object(peer)
-	ipb := object.get(peer, "ipBlock", null)
-	is_object(ipb)
-	ipb.cidr == "0.0.0.0/0"
-	ports := object.get(rule, "ports", null)
-	is_array(ports)
-	egress_ports_include(ports, 80)
-	egress_ports_include(ports, 443)
-}
-
-egress_ports_include(ports, want) if {
-	some p in ports
-	is_object(p)
-	p.port == want
-}
-
-egress_has_cluster_namespace_selector(spec) if {
-	egress := object.get(spec, "egress", null)
-	is_array(egress)
-	some rule in egress
-	is_object(rule)
-	to_list := object.get(rule, "to", null)
-	is_array(to_list)
-	some peer in to_list
-	is_object(peer)
-	ns := object.get(peer, "namespaceSelector", null)
-	is_object(ns)
-	count(ns) == 0
-}
-
-cluster_egress_rule_without_ports(spec) if {
-	egress := object.get(spec, "egress", null)
-	is_array(egress)
-	some rule in egress
-	is_object(rule)
-	to_list := object.get(rule, "to", null)
-	is_array(to_list)
-	some peer in to_list
-	is_object(peer)
-	ns := object.get(peer, "namespaceSelector", null)
-	is_object(ns)
-	count(ns) == 0
-	ports := object.get(rule, "ports", [])
-	count(ports) == 0
+list_contains(items, item) if {
+	is_array(items)
+	some i
+	items[i] == item
 }

package/rules/k8s/policy/network_policy/template/{networkpolicy.snippet.yaml → deployment.snippet.yaml}

@@ -20,6 +20,14 @@ spec:
           port: 53
         - protocol: TCP
           port: 53
+    - to:
+        - ipBlock:
+            cidr: 169.254.0.0/16
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
     - to:
         - ipBlock:
             cidr: 0.0.0.0/0

package/rules/k8s/policy/network_policy/template/statefulset.snippet.yaml

@@ -0,0 +1,67 @@
+spec:
+  podSelector:
+    matchLabels: {}
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+    # intra-replica (StatefulSet pod ↔ pod у тому ж namespace — matchLabels:{} лишається без JS-substitution)
+    - from:
+        - podSelector:
+            matchLabels: {}
+  egress:
+    - to:
+        - namespaceSelector:
+            matchLabels:
+              kubernetes.io/metadata.name: kube-system
+          podSelector:
+            matchLabels:
+              k8s-app: kube-dns
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 169.254.0.0/16
+      ports:
+        - protocol: UDP
+          port: 53
+        - protocol: TCP
+          port: 53
+    - to:
+        - ipBlock:
+            cidr: 0.0.0.0/0
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+    - to:
+        - namespaceSelector: {}
+      ports:
+        - protocol: TCP
+          port: 80
+        - protocol: TCP
+          port: 443
+        - protocol: TCP
+          port: 5432
+        - protocol: TCP
+          port: 3306
+        - protocol: TCP
+          port: 1433
+        - protocol: TCP
+          port: 6379
+        - protocol: TCP
+          port: 8080
+        - protocol: TCP
+          port: 4317
+        - protocol: TCP
+          port: 4318
+    # intra-replica (StatefulSet pod ↔ pod у тому ж namespace — matchLabels:{} лишається без JS-substitution)
+    - to:
+        - podSelector:
+            matchLabels: {}

package/rules/test/coverage/coverage.mjs

@@ -70,9 +70,11 @@ export function formatScore({ caught, total }) {
 
 /**
  * Рендерить таблицю покриття + мутаційного тестування як Markdown.
+ * Якщо будь-який рядок містить непустий `survived`, додає секцію
+ * `## Вижилі мутанти` з JSON-блоком для `/n-fix-tests`.
  * Без timestamp, щоб git diff рухався лише при зміні метрик.
- * @param {Array<{area:string, coverage:{lines:{covered:number,total:number},functions:{covered:number,total:number}}, mutation:{caught:number,total:number}}>} rows рядки провайдерів
- * @returns {string} Markdown-таблиця з заголовком `# Coverage`
+ * @param {Array<{area:string, coverage:{lines:{covered:number,total:number},functions:{covered:number,total:number}}, mutation:{caught:number,total:number}, survived?: Array<{file:string,line:number,col:number,mutantType:string,original:string,replacement:string}>}>} rows рядки провайдерів
+ * @returns {string} Markdown з заголовком `# Coverage`
  */
 export function renderMarkdown(rows) {
   const lines = [
@@ -87,6 +89,28 @@ export function renderMarkdown(rows) {
         `${row.mutation.caught}/${row.mutation.total} | ${formatScore(row.mutation)} |`
     )
   }
+
+  const allSurvived = rows.flatMap(r => r.survived ?? [])
+  if (allSurvived.length > 0) {
+    lines.push('', '## Recommendations')
+    for (const group of allSurvived) {
+      lines.push('', `### ${group.file}`, '')
+      lines.push('| Рядок | Оригінал | Заміна | Тип |')
+      lines.push('| --- | --- | --- | --- |')
+      for (const m of group.mutants) {
+        lines.push(`| ${m.line} | \`${m.original}\` | \`${m.replacement}\` | ${m.mutantType} |`)
+      }
+      if (group.exampleTest) {
+        lines.push('', `**Приклад тесту** (\`${group.exampleTest.testFile}\`):`, '', '```js')
+        lines.push(group.exampleTest.code ?? '')
+        lines.push('```')
+      }
+      if (group.recommendationText) {
+        lines.push('', '**Що треба протестувати:**', '', group.recommendationText)
+      }
+    }
+  }
+
   return `${lines.join('\n')}\n`
 }
 
@@ -127,7 +151,9 @@ function buildTotalsRow(rows) {
 /**
  * Виконує coverage-pipeline: discovery провайдерів за `.n-cursor.json#rules`,
  * detect+collect для кожного, агрегація, запис COVERAGE.md.
- * @param {{cwd?:string, rulesDir?:string}} [opts] ін'єкція cwd/rulesDir для тестів
+ * При `opts.fix === true` після запису COVERAGE.md запускає агента (coverage-fix.mjs)
+ * для написання тестів по вижилих мутантах.
+ * @param {{cwd?:string, rulesDir?:string, fix?:boolean}} [opts] ін'єкція cwd/rulesDir для тестів; fix — --fix режим
  * @returns {Promise<number>} exit code (0 OK, 1 коли жоден провайдер не дав даних)
  */
 export async function runCoverageSteps(opts = {}) {
@@ -154,12 +180,32 @@ export async function runCoverageSteps(opts = {}) {
   const md = renderMarkdown(rows)
   await writeFile(join(cwd, 'COVERAGE.md'), md, 'utf8')
   console.log('✓ COVERAGE.md')
+
+  if (opts.fix) {
+    const allSurvived = rows.flatMap(r => r.survived ?? [])
+    // eslint-disable-next-line no-unsanitized/method -- шлях відносний до пакету, не user-input
+    const { fixSurvivedMutants } = await import(
+      new URL('../../scripts/coverage-fix.mjs', import.meta.url).href
+    )
+    await fixSurvivedMutants(allSurvived, cwd)
+  }
+
   return 0
 }
 
-// Один оркестратор, один callsite — `withLock` викликається напряму, без спільної
-// точки входу. Канонічне обмеження «не імпортуй withLock у lint.mjs/fix.mjs напряму»
-// (scripts.mdc § withLock) націлене на дедуплікацію preamble серед багатьох файлів —
-// для одного coverage-консумера не релевантне (див. C4 у
-// specs/2026-05-24-coverage-rule-design.md).
-export const runCoverageCli = () => withLock('coverage', runCoverageSteps)
+/**
+ * CLI entrypoint для `n-cursor coverage [--fix]`.
+ * Із `--fix`: збирає метрики → запускає агента → повторно збирає метрики.
+ * Без `--fix`: лише збирає метрики.
+ * Лок охоплює кожен coverage-прогін окремо.
+ * @param {{fix?:boolean}} [opts] прапор --fix
+ * @returns {Promise<number>} exit code
+ */
+export async function runCoverageCli(opts = {}) {
+  const code = await withLock('coverage', () => runCoverageSteps(opts))
+  if (code === 0 && opts.fix) {
+    console.log('\n♻️  Повторний coverage після агента…\n')
+    return withLock('coverage', () => runCoverageSteps({ fix: false }))
+  }
+  return code
+}

package/rules/test/js/data/stryker_config/stryker.config.baseline.mjs

@@ -8,5 +8,8 @@ export default {
   tempDirName: 'reports/stryker/.tmp',
   reporters: ['json', 'clear-text'],
   jsonReporter: { fileName: 'reports/stryker/mutation.json' },
-  coverageAnalysis: 'off'
+  coverageAnalysis: 'off',
+  // incremental: зберігає прогрес між прогонами — відновлення після переривання без старту з нуля.
+  incremental: true,
+  incrementalFile: 'reports/stryker/stryker-incremental.json',
 }

package/scripts/coverage-fix.mjs

@@ -0,0 +1,105 @@
+/**
+ * `n-cursor coverage --fix`: запускає Claude Code агента для написання тестів
+ * по вижилих мутантах Stryker. Агент отримує список мутантів з контекстом
+ * (file, line, оригінальний код, вижилий варіант, тип мутації) і самостійно
+ * знаходить або створює відповідні test-файли.
+ *
+ * Залежить від `@anthropic-ai/claude-code` (dependencies у npm/package.json).
+ */
+import { readFile } from 'node:fs/promises'
+import { join } from 'node:path'
+
+/**
+ * @typedef {{line:number, col:number, mutantType:string, original:string, replacement:string}} MutantDetail
+ * @typedef {{file:string, mutants:MutantDetail[], exampleTest:{testFile:string,code:string|null}|null, recommendationText:string|null}} SurvivedFileGroup
+ */
+
+/**
+ * Запускає Claude Code агента для написання тестів по вижилих мутантах.
+ * @param {SurvivedFileGroup[]} survived вижилі мутанти, згруповані по файлах
+ * @param {string} projectRoot абсолютний шлях до кореня проєкту
+ * @returns {Promise<void>}
+ */
+export async function fixSurvivedMutants(survived, projectRoot) {
+  const totalMutants = survived.reduce((s, g) => s + g.mutants.length, 0)
+  if (totalMutants === 0) {
+    console.log('✓ Всі мутанти вбиті — доповнення тестів не потрібне')
+    return
+  }
+
+  const prompt = await buildFixPrompt(survived, projectRoot)
+  console.log(`\n🤖 coverage --fix: запускаю агента для ${totalMutants} вижилих мутантів...\n`)
+
+  // Dynamic import: @anthropic-ai/claude-code завантажується лише при --fix,
+  // щоб не гальмувати звичайний coverage-прогін за відсутності пакету.
+  const { query } = await import('@anthropic-ai/claude-code')
+
+  for await (const msg of query({
+    prompt,
+    options: {
+      cwd: projectRoot,
+      maxTurns: 20,
+      allowedTools: ['Read', 'Edit', 'Bash'],
+    }
+  })) {
+    if (msg.type === 'text') process.stdout.write(msg.text)
+  }
+  process.stdout.write('\n')
+}
+
+/**
+ * Формує rich-промпт для агента: список вижилих мутантів згрупований по файлах,
+ * з контекстом ±3 рядки навколо кожного мутанта з source-файлу.
+ * @param {SurvivedFileGroup[]} survived
+ * @param {string} projectRoot
+ * @returns {Promise<string>}
+ */
+async function buildFixPrompt(survived, projectRoot) {
+  const sections = []
+
+  for (const { file, mutants, exampleTest } of survived) {
+    let srcLines = []
+    try {
+      srcLines = (await readFile(join(projectRoot, file), 'utf8')).split('\n')
+    } catch {
+      // файл може бути недоступним — пропускаємо контекст, але продовжуємо
+    }
+
+    const mutantDescs = mutants.map(m => {
+      const ctxStart = Math.max(0, m.line - 4)
+      const ctxEnd = Math.min(srcLines.length, m.line + 3)
+      const context = srcLines
+        .slice(ctxStart, ctxEnd)
+        .map((l, i) => `${ctxStart + i + 1}: ${l}`)
+        .join('\n')
+      return [
+        `  - Рядок ${m.line}, колонка ${m.col}, тип мутації \`${m.mutantType}\``,
+        `    Оригінал: \`${m.original}\``,
+        `    Вижив варіант: \`${m.replacement}\``,
+        context ? `    Контекст:\n\`\`\`\n${context}\n\`\`\`` : ''
+      ].filter(Boolean).join('\n')
+    }).join('\n')
+
+    const exampleSection = exampleTest?.code
+      ? `\n\nПриклад тесту з \`${exampleTest.testFile}\`:\n\`\`\`js\n${exampleTest.code}\n\`\`\``
+      : ''
+
+    sections.push(`### \`${file}\`${exampleSection}\n${mutantDescs}`)
+  }
+
+  return [
+    'Твоє завдання — написати unit-тести, що вбивають наступні вижилі мутанти Stryker.',
+    'Для кожного мутанта: знайди або створи відповідний test-файл, додай тест-кейс,',
+    'що явно перевіряє цю гілку/умову і провалиться якщо код замінити на "вижилий варіант".',
+    '',
+    '## Вижилі мутанти',
+    '',
+    ...sections,
+    '',
+    '## Правила',
+    '- Не змінюй source-файли — лише test-файли.',
+    '- Використовуй той самий test-фреймворк, що вже в проєкті.',
+    '- Запусти `bun test` (або відповідну команду) після кожного файлу — переконайся, що 0 fail.',
+    '- Якщо мутант охоплений іншим новим тестом — не дублюй.'
+  ].join('\n')
+}