@nitra/cursor 1.27.3 → 1.27.6

package/rules/k8s/js/manifests.mjs

@@ -46,7 +46,7 @@
  * (**`HTTPRoute`**, **`GRPCRoute`**, **`TCPRoute`**, **`TLSRoute`**, **`UDPRoute`**, група **`gateway.networking.k8s.io`**)
  * посилання **`backendRefs` / `backendRef`** на **Service** мають вказувати лише сервіси з суфіксом **`-hl`** у **`name`**.
  * Поле **`namespace`** у **`backendRef`**, що збігається з **`metadata.namespace`** самого маршруту, — надлишкове:
- * прибери його, бо за замовчуванням Gateway API резолвить backend у тому ж namespace, що й маршрут (див. k8s.mdc).
+ * прибери його, бо за замовчуванням Gateway API визначає backend у тому ж namespace, що й маршрут (див. k8s.mdc).
  * **HealthCheckPolicy** (**`networking.gke.io/v1`**, GKE): **`spec.targetRef`** на **Service** — **`name`** з суфіксом **`-hl`** (див. k8s.mdc).
  * Якщо **`kustomization.yaml`** посилається на **`svc.yaml`** (**`resources`**, **`bases`**, **`components`**, **`crds`**,
  * **`patches[].path`**, **`patchesStrategicMerge`**), у **тому ж** файлі має бути посилання на відповідний **`svc-hl.yaml`**
@@ -73,7 +73,7 @@
  *
  * **Зайві `group` / `version` у `patches[].target` / `patchesJson6902[].target`:** якщо в інвентарі **`resources`** /
  * **`bases`** / **`components`** / **`crds`** (рекурсивно) за **`kind`** + **`name`** немає колізії між різними
- * API-групами/версіями, поля **`group`** і **`version`** у **`target`** треба прибрати — Kustomize резолвить ціль
+ * API-групами/версіями, поля **`group`** і **`version`** у **`target`** треба прибрати — Kustomize визначає ціль
  * за **GVK + name**, а зайві поля ламаються мовчки під час змін API (k8s.mdc «patches[].target: лише kind і name»).
  *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
@@ -761,7 +761,7 @@ export function kustomizePathRefsForExistenceCheck(obj) {
  * @param {string} kustDir каталог kustomization.yaml
  * @param {string} rootNorm нормалізований корінь
  * @param {(msg: string) => void} fail callback при помилці
- * @returns {Promise<void>} резолвиться по завершенню перевірки
+ * @returns {Promise<void>} визначається по завершенню перевірки
  */
 async function validateKustomizationRef(rel, r, kustDir, rootNorm, fail) {
   const target = resolve(kustDir, r.trim())
@@ -889,7 +889,7 @@ async function validateOneKustomizationSvcHlWithSvc(root, kustAbs, fail) {
   try {
     docs = parseAllDocuments(body)
   } catch {
-    fail(`${rel}: не вдалося розпарсити YAML для перевірки svc.yaml/svc-hl.yaml у kustomization (див. k8s.mdc)`)
+    fail(`${rel}: не вдалося розібрати YAML для перевірки svc.yaml/svc-hl.yaml у kustomization (див. k8s.mdc)`)
     return
   }
   const first = docs[0]?.toJSON()
@@ -1703,7 +1703,7 @@ async function validatePatchTargetsOneKustomizationFile(root, kustAbs, rootNorm,
   try {
     docs = parseAllDocuments(body)
   } catch {
-    fail(`${rel}: не вдалося розпарсити YAML для перевірки patch target`)
+    fail(`${rel}: не вдалося розібрати YAML для перевірки patch target`)
     return
   }
   const first = docs[0]?.toJSON()
@@ -1833,7 +1833,7 @@ function updateBackendConfigKindFlags(kind, acc) {
 /**
  * Чи всі нетривіальні документи у тілі — **`kind: BackendConfig`**, чи є змішування з іншими kind.
  * @param {string} body YAML без обов’язкового modeline (див. `k8sYamlBodyForDocumentParse`)
- * @returns {'none' | 'only' | 'mixed' | 'unparsed'} unparsed — не вдалося розпарсити YAML
+ * @returns {'none' | 'only' | 'mixed' | 'unparsed'} unparsed — не вдалося розібрати YAML
  */
 export function classifyBackendConfigManifestPresence(body) {
   /**
@@ -2928,7 +2928,7 @@ export function collectGatewayApiRouteBackendServiceNames(spec) {
 /**
  * Збирає **`backendRef`** до **Service** з полем **`namespace`**, що збігається з namespace маршруту.
  *
- * Поле **`namespace`** у такому **`backendRef`** надлишкове: за замовчуванням Gateway API резолвить backend
+ * Поле **`namespace`** у такому **`backendRef`** надлишкове: за замовчуванням Gateway API визначає backend
  * у тому ж namespace, що й сам маршрут (див. k8s.mdc). Зайві поля у YAML — джерело розсинхрону між середовищами.
  * @param {unknown} spec значення **`spec`** маршруту
  * @param {string} routeNs **`metadata.namespace`** маршруту (непорожній рядок)
@@ -4245,7 +4245,7 @@ export function pdbManifestViolations(manifest, expectedAppLabel, isDevLike) {
 
 const NETWORK_POLICY_SNIPPET_URLS = {
   deployment: new URL('../policy/network_policy/template/deployment.snippet.yaml', import.meta.url),
-  statefulset: new URL('../policy/network_policy/template/statefulset.snippet.yaml', import.meta.url)
+  statefulSet: new URL('../policy/network_policy/template/stateful-set.snippet.yaml', import.meta.url)
 }
 
 /** @type {Record<string, Record<string, unknown>>} */
@@ -4255,7 +4255,7 @@ const _snippetCache = {}
  * Читає snippet-файл і повертає розпарсений spec. Результат кешується в пам'яті процесу.
  * Кожен snippet — повний самодостатній канон NetworkPolicy для своєї групи workload-типів
  * (без merge між snippets у runtime).
- * @param {'deployment' | 'statefulset'} snippetName ім'я сніпету
+ * @param {'deployment' | 'statefulSet'} snippetName ім'я snippet
  * @returns {{ podSelector?: Record<string, unknown>, policyTypes?: string[], ingress?: unknown[], egress?: unknown[] }} розпарсений spec
  */
 export function loadSnippetSpec(snippetName) {
@@ -4270,20 +4270,20 @@ export function loadSnippetSpec(snippetName) {
 /**
  * Mapping workload-kind → snippet name. Єдине джерело dispatch'а в JS;
  * rego використовує симетричний mapping через анотацію `nitra.dev/workload-kind`.
- * @type {Record<string, 'deployment' | 'statefulset'>}
+ * @type {Record<string, 'deployment' | 'statefulSet'>}
  */
 export const KIND_TO_SNIPPET = {
   Deployment: 'deployment',
   Job: 'deployment',
   CronJob: 'deployment',
   DaemonSet: 'deployment',
-  StatefulSet: 'statefulset'
+  StatefulSet: 'statefulSet'
 }
 
 /**
  * Обирає snippet name для конкретного workload-kind; throws на невідомий.
  * @param {string} kind workload-kind
- * @returns {'deployment' | 'statefulset'} snippet name
+ * @returns {'deployment' | 'statefulSet'} snippet name
  */
 export function snippetNameForKind(kind) {
   const name = KIND_TO_SNIPPET[kind]
@@ -4325,7 +4325,7 @@ const NETWORK_POLICY_GCLB_INGRESS_FROM = Object.freeze([
 /**
  * Канонічний YAML **NetworkPolicy** для workload з іменем `deployName`, міткою `app` і типом `kind`.
  * Snippet обирається за `kind` через `KIND_TO_SNIPPET` (без merge — кожен snippet самодостатній).
- * Анотація `nitra.dev/workload-kind` додається, щоб rego диспатчив на правильний канон.
+ * Анотація `nitra.dev/workload-kind` додається, щоб rego обрав на правильний канон.
  *
  * Якщо `gclbPorts` непорожній — після canon ingress-правил додається одне ingress-правило
  * з фіксованими CIDR-ами (GCP HC global + Envoy data-plane) і відсортованими унікальними TCP-портами
@@ -4407,7 +4407,7 @@ export async function collectHttpRouteIngressForWorkload(dir, appLabel, fail) {
       docs = parseAllDocuments(body)
     } catch (error) {
       const msg = error instanceof Error ? error.message : String(error)
-      fail(`${abs}: не вдалося розпарсити YAML для GCLB ingress (HTTPRoute → NetworkPolicy mapping; k8s.mdc): ${msg}`)
+      fail(`${abs}: не вдалося розібрати YAML для GCLB ingress (HTTPRoute → NetworkPolicy mapping; k8s.mdc): ${msg}`)
       continue
     }
     for (const doc of docs) {
@@ -4952,7 +4952,7 @@ async function verifyOverlayHpaPdbFileRefsRespectBaseDeployment(
  * @param {boolean} anyBaseHasDep чи є Deployment у base
  * @param {(msg: string) => void} fail callback при помилці
  * @param {(msg: string) => void} passFn callback при успіху
- * @returns {Promise<void>} резолвиться по завершенню перевірки
+ * @returns {Promise<void>} визначається по завершенню перевірки
  */
 async function checkOverlayRefHpaPdb(root, kustDir, rel, ref, baseDirs, anyBaseHasDep, fail, passFn) {
   const fAbs = resolve(kustDir, ref.trim())
@@ -5324,7 +5324,7 @@ async function validateComponentsKustomizationManifest(componentsDir, components
   }
   const obj = await readFirstYamlObject(kustAbs)
   if (obj === null) {
-    fail(`${componentsRel}/kustomization.yaml: не вдалося розпарсити перший YAML-документ (k8s.mdc)`)
+    fail(`${componentsRel}/kustomization.yaml: не вдалося розібрати перший YAML-документ (k8s.mdc)`)
     return
   }
   if (obj.apiVersion !== KUSTOMIZE_COMPONENT_API_VERSION) {
@@ -6178,7 +6178,7 @@ export async function convertImagePatchesToImagesInKustomization(kustAbs, rootNo
 /**
  * Парсить kustomization.yaml як Document і повертає його разом зі списком кандидатів-патчів
  * (по одному кандидату на кожну image-replace op у `patches[i].patch` — патч може містити кілька).
- * Повертає null, якщо документ не розпарсився, не є Kustomization або не має масиву `patches:`.
+ * Повертає null, якщо документ не розібрався, не є Kustomization або не має масиву `patches:`.
  * @param {string} raw текст файлу
  * @returns {{
  *   doc: ReturnType<typeof parseDocument>,
@@ -6389,7 +6389,7 @@ function appendConvertedImagesNode(doc, conversions) {
 
 /**
  * Видаляє ops за списком індексів з inline `patch:` (текст YAML-масиву JSON6902-ops)
- * і повертає переписаний текст. Зберігає block-style. Повертає null, якщо не вдалося розпарсити
+ * і повертає переписаний текст. Зберігає block-style. Повертає null, якщо не вдалося розібрати
  * або після видалення не лишилось ops.
  * @param {string} patchText текст YAML-масиву ops (literal block scalar)
  * @param {number[]} opIndices індекси ops, які треба видалити
@@ -6747,7 +6747,7 @@ function runAllK8sRego(root, yamlFiles, fail) {
       files: allYaml,
       templateData: {
         deployment_snippet: loadSnippetSpec('deployment'),
-        statefulset_snippet: loadSnippetSpec('statefulset')
+        stateful_set_snippet: loadSnippetSpec('statefulSet')
       }
     },
     { ns: 'k8s.kustomization', dir: 'k8s/kustomization', files: kustYaml },

package/rules/k8s/k8s.mdc

@@ -33,7 +33,7 @@ alwaysApply: false
 
 **Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`rules/k8s/fix.mjs`** (зараз **`-kubernetes-version 1.33.9`** — semver без префікса `v`, еквівалент релізу **v1.33.9**; набір схем **`v1.33.9-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
 
-**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Збірка через kustomize нормалізує namespace на workload-маніфестах і **NetworkPolicy у `base/networkpolicy.yaml`** (через `base/kustomization.yaml` `namespace:`), що дає коректний матчинг `podSelector` у `C-0260` (`Missing network policy`) і дозволяє kubescape бачити дерево overlays / components зі справжніми ресурсами. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
+**kubescape — вхід через зібраний kustomize-маніфест:** для кожного dir-у з `kustomization.yaml` (`kind: Kustomization`; **`kind: Component`** пропускається — він не білдиться окремо) `lint-k8s` виконує **`kubectl kustomize <dir>`** і передає stdout у **`kubescape scan <tmp-file>`** з порогом **`--severity-threshold high`** (вбудована в kubectl підкоманда `kustomize` — окремий бінарник `kustomize` не потрібен; рендеринг локальний і не потребує доступу до кластера). Маніфест проходить через тимчасовий файл, бо **`kubescape scan` у v4.x не читає stdin** (`-` як шлях → `no resources found to scan`; прапорця `--input`/`--stdin` немає); тимчасова директорія створюється під `os.tmpdir()` і прибирається після скану. Збірка через kustomize нормалізує namespace на workload-manifest-файлах і **NetworkPolicy у `base/networkpolicy.yaml`** (через `base/kustomization.yaml` `namespace:`), що дає коректний матчинг `podSelector` у `C-0260` (`Missing network policy`) і дозволяє kubescape бачити дерево overlays / components зі справжніми ресурсами. Якщо в дереві **`…/k8s`** немає жодного `kustomization.yaml` (проєкт без Kustomize) — fallback на старий dir-скан **`kubescape scan <каталог-k8s>`**. Перший запуск kubescape може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme). На відміну від kubeconform, у **kubescape scan** немає прапорця **`-kubernetes-version`**: перевірка йде за **framework/control** (NSA, MITRE, CIS тощо), а не проти OpenAPI-схеми конкретного релізу Kubernetes. **Орієнтир** для репозиторію той самий, що й для kubeconform — кластер **v1.33.9** (див. **`-kubernetes-version 1.33.9`** вище); для CIS і подібних наближень обирай актуальний framework під політику команди (**`kubescape list frameworks`**, див. [CLI reference](https://github.com/kubescape/kubescape/blob/master/docs/cli-reference.md)).
 
 ### Винятки kubescape: `.kubescape-exceptions.json`
 
@@ -121,7 +121,7 @@ resources:
     memory: '128Mi'
 ```
 
-**HPA і PDB у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` поруч із workload-маніфестами, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/`, який підключають лише прод-overlays (див. розділ нижче). **NetworkPolicy** — навпаки: **обов'язковий і у `base/`**, у вигляді `base/networkpolicy.yaml` поруч з workload-маніфестом, підключений через `base/kustomization.yaml` `resources:` — щоб обмеження діяли і на dev-середовищі.
+**HPA і PDB у base не тримаємо**: ні локальних `hpa.yaml` / `pdb.yaml` поруч із workload-manifest-файлами, ні через `resources` / `components` / `bases`. Канон — sibling каталог **`components/`** (Kustomize Component) поруч з `base/`, який підключають лише прод-overlays (див. розділ нижче). **NetworkPolicy** — навпаки: **обов'язковий і у `base/`**, у вигляді `base/networkpolicy.yaml` поруч з workload-маніфестом, підключений через `base/kustomization.yaml` `resources:` — щоб обмеження діяли і на dev-середовищі.
 
 ### Поза base (оверлеї, окремі каталоги)
 
@@ -258,7 +258,7 @@ spec:
 
 ### Gateway API: не дублюй namespace у `backendRef`
 
-У маршрутах Gateway API (**HTTPRoute**, **GRPCRoute**, **TCPRoute**, **TLSRoute**, **UDPRoute**) у `spec.rules[*].backendRefs[*]` **не** додавай поле **`namespace`**, якщо його значення збігається з **`metadata.namespace`** самого маршруту. За замовчуванням Gateway API резолвить backend у тому ж namespace, що й маршрут, тож такий рядок — мертвий: він плутає під час перенесень між середовищами і ламається мовчки, якщо overlay змінює namespace маршруту через Kustomize, а в backendRef залишився старий рядок. Прибери поле — поведінка не зміниться. **`check k8s`** падає на такому збігу.
+У маршрутах Gateway API (**HTTPRoute**, **GRPCRoute**, **TCPRoute**, **TLSRoute**, **UDPRoute**) у `spec.rules[*].backendRefs[*]` **не** додавай поле **`namespace`**, якщо його значення збігається з **`metadata.namespace`** самого маршруту. За замовчуванням Gateway API визначає backend у тому ж namespace, що й маршрут, тож такий рядок — мертвий: він плутає під час перенесень між середовищами і ламається мовчки, якщо overlay змінює namespace маршруту через Kustomize, а в backendRef залишився старий рядок. Прибери поле — поведінка не зміниться. **`check k8s`** падає на такому збігу.
 
 ```yaml
 # ❌ погано — namespace дублює metadata.namespace маршруту
@@ -329,7 +329,7 @@ data:
 
 ### Рядки, що змінюються між середовищами
 
-- У маніфестах у **`base`** для полів (або значень), які **будуть відрізнятися** в інших середовищах, на **тому самому рядку** додай коментар:
+- У manifest-файлах у **`base`** для полів (або значень), які **будуть відрізнятися** в інших середовищах, на **тому самому рядку** додай коментар:
 
   ```yaml
   image: my-app:dev-tag # буде замінено через kustomize
@@ -358,7 +358,7 @@ images:
 
 **`check k8s` автоматично** для кожного `kustomization.yaml`:
 
-1. конвертує кожну JSON6902-операцію `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у запис `images:` (резолвить оригінальний image у base через `resources:` / `bases` / `components` / `crds`). Якщо у `patches[i].patch` після конвертації не залишилось ops — патч прибирається повністю; інакше у `patches[i].patch` залишаються лише не-image ops у вихідному порядку;
+1. конвертує кожну JSON6902-операцію `op: replace` на `/spec/template/spec/containers/<N>/image` (target `kind: Deployment`) у запис `images:` (визначає оригінальний image у base через `resources:` / `bases` / `components` / `crds`). Якщо у `patches[i].patch` після конвертації не залишилось ops — патч прибирається повністю; інакше у `patches[i].patch` залишаються лише не-image ops у вихідному порядку;
 2. чистить існуючий блок `images:` — зрізає `:tag` з `name` і видаляє `newTag`, який збігається з відрізаним тегом.
 
 ## Ingress → Gateway API (GKE)
@@ -393,7 +393,7 @@ images:
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, **без** `metadata.namespace` (namespace задає kustomization-споживач), `spec.scaleTargetRef.name` **= `metadata.name`** Deployment з base, dev-like значення `minReplicas: 1`, `maxReplicas: 1`.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, **без** `metadata.namespace`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment, dev-like `minAvailable: 0`.
 
-**Канонічний `base/networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace` (namespace додає `base/kustomization.yaml`); один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у тому ж `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns через `kube-system` namespaceSelector (UDP/TCP 53); link-local DNS `169.254.0.0/16` (UDP/TCP 53, GKE NodeLocal DNSCache); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). **StatefulSet** додатково має egress/ingress `to/from.podSelector: {}` для intra-replica реплікації. Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові правила можна дописати поряд — superset-підхід. Канон — два **повних** snippet-файли (без merge у runtime; JS-генератор/rego обирають один за `kind` workload-у через анотацію `metadata.annotations['nitra.dev/workload-kind']`): [deployment.snippet.yaml](./policy/network_policy/template/deployment.snippet.yaml) (для `Deployment`/`Job`/`CronJob`/`DaemonSet`) та [statefulset.snippet.yaml](./policy/network_policy/template/statefulset.snippet.yaml) (для `StatefulSet`; містить deployment-канон + intra-replica правила). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
+**Канонічний `base/networkpolicy.yaml`** — `networking.k8s.io/v1`, `NetworkPolicy`, **без** `metadata.namespace` (namespace додає `base/kustomization.yaml`); один або кілька документів (`---`) — по одному на кожен workload (**Deployment** / **StatefulSet** / **DaemonSet** / **Job** / **CronJob**) у тому ж `base/`; `metadata.name` **= `metadata.name`** workload, `spec.podSelector.matchLabels.app` **= мітка `app`** workload. **Ingress:** `from.podSelector: {}` (інші Pod у namespace). **Egress (усі workload-и):** kube-dns через `kube-system` namespaceSelector (UDP/TCP 53); link-local DNS `169.254.0.0/16` (UDP/TCP 53, GKE NodeLocal DNSCache); **TCP 80 і 443** на `0.0.0.0/0` (HTTP/HTTPS назовні); **in-cluster** — `to.namespaceSelector: {}` з **явним списком TCP-портів** (`80, 443, 5432, 3306, 1433, 6379, 8080, 4317, 4318`; трафік на `*.svc` / Pod-и в кластері). **StatefulSet** додатково має egress/ingress `to/from.podSelector: {}` для intra-replica реплікації. Заборонено: `egress: [{}]`; `to.namespaceSelector: {}` без `ports:` (catch-all). Додаткові правила можна дописати поряд — superset-підхід. Канон — два **повних** snippet-файли (без merge у runtime; JS-генератор/rego обирають один за `kind` workload-у через анотацію `metadata.annotations['nitra.dev/workload-kind']`): [deployment.snippet.yaml](./policy/network_policy/template/deployment.snippet.yaml) (для `Deployment`/`Job`/`CronJob`/`DaemonSet`) та [stateful-set.snippet.yaml](./policy/network_policy/template/stateful-set.snippet.yaml) (для `StatefulSet`; містить deployment-канон + intra-replica правила). Якщо документа для workload немає — **`check k8s`** дописує його автоматично.
 
 Інші назви каталогу (`scale/`, `hpa-component/`, `pdb-component/`) — fail.
 
@@ -440,7 +440,7 @@ ingress:
       - { protocol: TCP, port: 8080 }
 ```
 
-Якщо workload не прив'язаний до жодного HTTPRoute — правило **не** додається; NP лишається baseline (intra-namespace + canon egress). Не-HTTP routes (`GRPCRoute`, `TCPRoute`, `TLSRoute`, `UDPRoute`) поки не покриті — додається лише за HTTPRoute. Алгоритм: функція `collectHttpRouteIngressForWorkload` у **`rules/k8s/js/manifests.mjs`** індексує `HTTPRoute.backendRefs` і `Service` у каталозі, резолвить через `selector.app`, дедуп TCP-портів. Виклики — з `appendNetworkPolicyDocuments` і `regenerateLegacyNetworkPolicyDocsInFile`.
+Якщо workload не прив'язаний до жодного HTTPRoute — правило **не** додається; NP лишається baseline (intra-namespace + canon egress). Не-HTTP routes (`GRPCRoute`, `TCPRoute`, `TLSRoute`, `UDPRoute`) поки не покриті — додається лише за HTTPRoute. Алгоритм: функція `collectHttpRouteIngressForWorkload` у **`rules/k8s/js/manifests.mjs`** індексує `HTTPRoute.backendRefs` і `Service` у каталозі, визначає через `selector.app`, дедуп TCP-портів. Виклики — з `appendNetworkPolicyDocuments` і `regenerateLegacyNetworkPolicyDocsInFile`.
 
 ### Env-залежні межі (за сегментом після `/k8s/`)
 
@@ -687,7 +687,7 @@ spec:
 
 ## HorizontalPodAutoscaler: `autoscaling/v2`
 
-У маніфестах під **`k8s`** заборонено **`apiVersion: autoscaling/v1`** (legacy HPA з єдиною метрикою CPU). Мігруй **HorizontalPodAutoscaler** на **`autoscaling/v2`**: поле **`spec.metrics`** (замість **`spec.targetCPUUtilizationPercentage`**) з **`type: Resource`** і **`target.type: Utilization`** / **`AverageUtilization`** — підтримує декілька метрик і зовнішні метрики. `check k8s` падає на будь-якому документі з **`apiVersion: autoscaling/v1`**.
+У manifest-файлах під **`k8s`** заборонено **`apiVersion: autoscaling/v1`** (legacy HPA з єдиною метрикою CPU). Мігруй **HorizontalPodAutoscaler** на **`autoscaling/v2`**: поле **`spec.metrics`** (замість **`spec.targetCPUUtilizationPercentage`**) з **`type: Resource`** і **`target.type: Utilization`** / **`AverageUtilization`** — підтримує декілька метрик і зовнішні метрики. `check k8s` падає на будь-якому документі з **`apiVersion: autoscaling/v1`**.
 
 Ресурси **batch** (наприклад **CronJob**, **Job**): застаріле **`apiVersion: batch/v1beta1`** у файлах під **`k8s` під час `check k8s` переписується** на **`apiVersion: batch/v1`**.
 
@@ -729,7 +729,7 @@ patches:
 
 ### `patches[].target`: лише `kind` і `name`
 
-У `patches[].target` залишай **тільки** **`kind`** і **`name`** — поля **`group`** і **`version`** прибирай. Kustomize резолвить ціль за GVK+name; `group`/`version` — звужувальні фільтри, потрібні лише за реальної колізії `kind+name` між різними API-групами або версіями. У межах одного namespace apiserver зберігає об'єкт у єдиному storage-GVK, тож для звичайних маніфестів така колізія неможлива, і `group`/`version` у `target` — мертвий шум, який ламається мовчки під час змін API (наприклад, перехід `v1beta1` → `v1`).
+У `patches[].target` залишай **тільки** **`kind`** і **`name`** — поля **`group`** і **`version`** прибирай. Kustomize визначає ціль за GVK+name; `group`/`version` — звужувальні фільтри, потрібні лише за реальної колізії `kind+name` між різними API-групами або версіями. У межах одного namespace apiserver зберігає об'єкт у єдиному storage-GVK, тож для звичайних маніфестів така колізія неможлива, і `group`/`version` у `target` — мертвий шум, який ламається мовчки під час змін API (наприклад, перехід `v1beta1` → `v1`).
 
 ```yaml
 # ❌ зайві group / version

package/rules/k8s/policy/network_policy/network_policy.rego

@@ -4,7 +4,7 @@
 # Superset-перевірка egress/ingress: кожне правило з обраного canon-snippet'у
 # має бути присутнє в input (extra-правила дозволені). Канон обирається за
 # анотацією `nitra.dev/workload-kind`:
-#   StatefulSet → data.template.statefulset_snippet (повний канон з intra-replica)
+#   StatefulSet → data.template.stateful_set_snippet (повний канон з intra-replica)
 #   решта      → data.template.deployment_snippet  (повний канон, default fallback)
 #
 # Обидва snippets — самодостатні (без merge на runtime).
@@ -15,7 +15,7 @@
 #   conftest test path/to/networkpolicy.yaml -p npm/rules/k8s/policy/network_policy \
 #     --namespace k8s.network_policy \
 #     --data npm/rules/k8s/policy/network_policy/template/deployment.snippet.yaml \
-#     --data npm/rules/k8s/policy/network_policy/template/statefulset.snippet.yaml
+#     --data npm/rules/k8s/policy/network_policy/template/stateful-set.snippet.yaml
 package k8s.network_policy
 
 import rego.v1
@@ -107,14 +107,14 @@ deny contains "spec.egress: заборонено allow-all {} — додавай
 }
 
 # Dispatch на повний canon-snippet за анотацією nitra.dev/workload-kind.
-# StatefulSet → statefulset_snippet (з intra-replica), решта → deployment_snippet.
-canon_for_kind("StatefulSet") := data.template.statefulset_snippet
+# StatefulSet → stateful_set_snippet (з intra-replica), решта → deployment_snippet.
+canon_for_kind("StatefulSet") := data.template.stateful_set_snippet
 
 canon_for_kind(kind) := data.template.deployment_snippet if {
 	kind != "StatefulSet"
 }
 
-snippet_name_for_kind("StatefulSet") := "statefulset"
+snippet_name_for_kind("StatefulSet") := "stateful-set"
 
 snippet_name_for_kind(kind) := "deployment" if {
 	kind != "StatefulSet"

package/rules/tauri/js/cargo_mutants_config.mjs

@@ -1,6 +1,6 @@
 /**
  * Концерн `cargo_mutants_config` правила tauri (tauri.mdc): для кожного
- * `<workspace>/src-tauri/Cargo.toml` ідемпотентно гарантує наявність
+ * `<workspace>/src-tauri/Cargo.toml` без дублювання гарантує наявність
  * Tauri-specific cargo-mutants налаштувань у `<workspace>/src-tauri/.cargo/mutants.toml`.
  *
  * Семантика (фіксована між Tauri-проєктами):
@@ -28,7 +28,7 @@ import { createCheckReporter } from '../../../scripts/lib/check-reporter.mjs'
 import { getMonorepoPackageRootDirs } from '../../../scripts/lib/workspaces.mjs'
 
 const TAURI_BASELINE_HEADER = `# .cargo/mutants.toml — Tauri canonical cargo-mutants config (tauri.mdc).
-# Виключаємо --bins і --doc щоб бінарник Tauri та doc-tests не перезбиралися
+# Виключаємо --bins і --doc щоб бінарник Tauri та doc-tests не збиралися повторно
 # з нуля під кожного мутанта (секунди → хвилини).
 `
 
@@ -103,7 +103,7 @@ function buildBaseline() {
 }
 
 /**
- * Обробляє один `src-tauri/` каталог: створює або ідемпотентно доповнює `.cargo/mutants.toml`.
+ * Обробляє один `src-tauri/` каталог: створює або без дублювання доповнює `.cargo/mutants.toml`.
  * @param {string} srcTauriDir абсолютний шлях до `src-tauri/`
  * @param {string} cwd корінь проєкту (для relative-шляхів у репортах)
  * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер концерну

package/rules/tauri/tauri.mdc

@@ -29,7 +29,7 @@ version: '1.3'
 
 ## Mutation-testing: семантика app shell та platform bridge
 
-`tauri` rule володіє Tauri-specific семантикою mutation-testing для каталога `src-tauri/`. Концерн `js/cargo_mutants_config.mjs` ідемпотентно додає у `<ws>/src-tauri/.cargo/mutants.toml` такі канонічні ключі:
+`tauri` rule володіє Tauri-specific семантикою mutation-testing для каталога `src-tauri/`. Концерн `js/cargo_mutants_config.mjs` без дублювання додає у `<ws>/src-tauri/.cargo/mutants.toml` такі канонічні ключі:
 
 ```toml title="<ws>/src-tauri/.cargo/mutants.toml"
 additional_cargo_test_args = ["--lib", "--tests"]
@@ -58,7 +58,7 @@ exclude_globs = [
 
 ### Ідемпотентність і взаємодія з `test`-rule
 
-- `test` rule створює універсальний нейтральний `.cargo/mutants.toml` (порожній з коментом) для кожного Cargo.toml-manifesta — без framework-specific exclude'ів. Це наш baseline.
+- `test` rule створює універсальний нейтральний `.cargo/mutants.toml` (порожній з коментарем) для кожного Cargo.toml-manifest-файла — без framework-specific exclude'ів. Це наш baseline.
 - `tauri` rule додає Tauri-канонічні ключі **поверх** того, що вже є у `<ws>/src-tauri/.cargo/mutants.toml`:
   - якщо файла немає — створює з повного Tauri-baseline;
   - якщо обидва канонічні ключі (`additional_cargo_test_args`, `exclude_globs`) вже присутні — `manual cargo-mutants config preserved`, нічого не зміниться;

package/rules/test/coverage/coverage.mjs

@@ -71,7 +71,7 @@ export function formatScore({ caught, total }) {
 /**
  * Рендерить таблицю покриття + мутаційного тестування як Markdown.
  * Якщо будь-який рядок містить непустий `survived`, додає секцію
- * `## Вижилі мутанти` з JSON-блоком для `/n-fix-tests`.
+ * `## Вцілілі мутанти` з JSON-блоком для `/n-fix-tests`.
  * Без timestamp, щоб git diff рухався лише при зміні метрик.
  * @param {Array<{area:string, coverage:{lines:{covered:number,total:number},functions:{covered:number,total:number}}, mutation:{caught:number,total:number}, survived?: Array<{file:string,line:number,col:number,mutantType:string,original:string,replacement:string}>}>} rows рядки провайдерів
  * @returns {string} Markdown з заголовком `# Coverage`
@@ -92,8 +92,8 @@ export function renderMarkdown(rows) {
 
   const allSurvived = rows.flatMap(r => r.survived ?? [])
   if (allSurvived.length > 0) {
-    lines.push('', '## Вижилі мутанти', '', '```json', JSON.stringify(allSurvived, null, 2), '```')
-    // Людиночитабельна таблиця
+    lines.push('', '## Вцілілі мутанти', '', '```json', JSON.stringify(allSurvived, null, 2), '```')
+    // Зрозуміла для людини таблиця
     for (const group of allSurvived) {
       lines.push('', `### ${group.file}`, '', '| Рядок | Оригінал | Заміна | Тип |', '| --- | --- | --- | --- |')
       for (const m of group.mutants) {
@@ -156,7 +156,7 @@ function buildTotalsRow(rows) {
  * Виконує coverage-pipeline: discovery провайдерів за `.n-cursor.json#rules`,
  * detect+collect для кожного, агрегація, запис COVERAGE.md.
  * При `opts.fix === true` після запису COVERAGE.md запускає агента (coverage-fix.mjs)
- * для написання тестів по вижилих мутантах.
+ * для написання тестів по вцілілих мутантах.
  * @param {{cwd?:string, rulesDir?:string, fix?:boolean}} [opts] ін'єкція cwd/rulesDir для тестів; fix — --fix режим
  * @returns {Promise<number>} exit code (0 OK, 1 коли жоден провайдер не дав даних)
  */

package/rules/test/js/cargo_mutants_config.mjs

@@ -1,6 +1,6 @@
 /**
  * Концерн `cargo_mutants_config` правила test (test.mdc): якщо `rust` присутнє
- * в `.n-cursor.json#rules` і не у `disable-rules` — резолвить ВСІ Cargo.toml
+ * в `.n-cursor.json#rules` і не у `disable-rules` — визначає ВСІ Cargo.toml
  * (cwd і всі workspaces, з підтримкою Tauri-патерну) і копіює canonical
  * baseline `.cargo/mutants.toml` у каталог кожного manifest'а, якщо файлу немає.
  *
@@ -8,7 +8,7 @@
  * Якщо `rust` enabled, але жодного Cargo.toml не знайдено — теж silently skip
  * (manifest може з'явитися пізніше; це не помилка).
  *
- * Baseline — порожній файл з коментом; cargo-mutants має робочі defaults.
+ * Baseline — порожній файл з коментарем; cargo-mutants має робочі defaults.
  */
 import { existsSync } from 'node:fs'
 import { copyFile, mkdir } from 'node:fs/promises'

package/rules/test/js/data/cargo_mutants_config/mutants.toml.baseline

@@ -2,6 +2,6 @@
 # Цей baseline нейтральний: він не робить припущень про framework/app shell,
 # не виключає platform glue, generated wrappers або binary entrypoints.
 # Framework-specific tuning (Tauri, Capacitor тощо) належить відповідним
-# правилам — вони ідемпотентно доповнюють цей файл, не перетирають його.
+# правилам — вони без дублювання доповнюють цей файл, не перетирають його.
 # cargo-mutants має робочі defaults; цей файл — стартова точка для customization.
 # Документація: https://mutants.rs/

package/rules/test/js/data/stryker_config/stryker.config.baseline.mjs

@@ -6,7 +6,7 @@ export default {
   // швидкості проти command runner (де треба було б ганяти ввесь test-suite на кожен мутант).
   coverageAnalysis: 'perTest',
   // concurrency: за замовч. Stryker обирає os.cpus().length - 1.
-  // inPlace більше не потрібен — vitest-runner ізолює мутантів у пам'яті через AST-патчінг,
+  // inPlace більше не потрібен — vitest-runner ізолює мутантів у пам'яті через AST-patching,
   // без копіювання node_modules у sandbox (стара проблема command runner у Bun monorepo).
   tempDirName: 'reports/stryker/.tmp',
   reporters: ['json', 'clear-text'],

package/rules/test/js/stryker_config.mjs

@@ -1,6 +1,6 @@
 /**
  * Концерн `stryker_config` правила test (test.mdc): якщо `js-lint` присутнє в
- * `.n-cursor.json#rules` і не у `disable-rules` — резолвить ВСІ JS-roots
+ * `.n-cursor.json#rules` і не у `disable-rules` — визначає ВСІ JS-roots
  * (всі workspaces з package.json, або cwd у single-package) і копіює canonical
  * baseline `stryker.config.mjs` + `vitest.config.js` у кожен root, де файлу немає.
  *
@@ -36,7 +36,7 @@ const STRYKER_GITIGNORE_ENTRIES = ['**/reports/stryker/']
  * @param {string} cwd корінь проєкту (для relative-шляхів у логах)
  * @param {string} baselinePath абсолютний шлях до canonical baseline
  * @param {string} target абсолютний шлях, куди копіювати
- * @param {string} label людиночитна мітка ("stryker.config.mjs" / "vitest.config.js")
+ * @param {string} label зрозуміла для людини мітка ("stryker.config.mjs" / "vitest.config.js")
  * @returns {Promise<void>}
  */
 async function ensureBaselineFile(reporter, cwd, baselinePath, target, label) {
@@ -85,7 +85,7 @@ export async function check() {
     await ensureBaselineFile(reporter, cwd, VITEST_BASELINE_PATH, join(jsRoot, 'vitest.config.js'), 'vitest.config.js')
   }
 
-  // Гарантуємо що Stryker temp/output ніколи не комітяться. Patterns
+  // Гарантуємо що Stryker temp/output ніколи не потрапляють у commit. Patterns
   // покривають усі workspaces через `**/`-префікс (єдиний root .gitignore).
   const { added } = await ensureGitignoreEntries(cwd, STRYKER_GITIGNORE_ENTRIES, 'Stryker mutation testing (test.mdc)')
   if (added.length > 0) {

package/rules/test/test.mdc

@@ -78,7 +78,7 @@ Recursive globs ловлять файли всередині `tests/` так с
 
 ### Vitest baseline та `package.json#scripts`
 
-Поряд зі Stryker концерн `stryker_config` ідемпотентно копіює `vitest.config.js` (теж тільки якщо файлу немає). Canonical: [vitest.config.baseline.js](./js/data/vitest_config/vitest.config.baseline.js) — `environment: 'node'`, `coverage.provider: 'v8'` з lcov+text-summary репортами, `include: ['**/*.test.{js,mjs}', 'tests/**/*.test.{js,mjs}']` (підхоплює обидві розкладки — тести у `tests/`-піддиректоріях і top-level integration suites у `<root>/tests/`).
+Поряд зі Stryker концерн `stryker_config` без дублювання копіює `vitest.config.js` (теж тільки якщо файлу немає). Canonical: [vitest.config.baseline.js](./js/data/vitest_config/vitest.config.baseline.js) — `environment: 'node'`, `coverage.provider: 'v8'` з lcov+text-summary репортами, `include: ['**/*.test.{js,mjs}', 'tests/**/*.test.{js,mjs}']` (підхоплює обидві розкладки — тести у `tests/`-піддиректоріях і top-level integration suites у `<root>/tests/`).
 
 У `package.json#scripts` має бути `"test": "vitest run"` (canonical contains-substring `vitest` — допустимо `vitest run` та інші локальні розширення); опційно — `"test:watch": "vitest"`.
 
@@ -86,7 +86,7 @@ Recursive globs ловлять файли всередині `tests/` так с
 
 ### Frontend-варіант (Vue/Vite + happy-dom)
 
-Для проєктів зі своїм `vite.config.js` `vitest.config.js` має реюзати vite-плагіни та aliases і перемкнути `environment` на `'happy-dom'` (або `'jsdom'`):
+Для проєктів зі своїм `vite.config.js` `vitest.config.js` має повторно використовувати vite-плагіни та aliases і перемкнути `environment` на `'happy-dom'` (або `'jsdom'`):
 
 ```js
 import { defineConfig, mergeConfig } from 'vitest/config'
@@ -113,11 +113,11 @@ Customization (mutate patterns, exclude rules, timeout) — відповідал
 
 Правило `test` відповідає лише за **універсальний baseline** mutation-testing:
 
-- створює `.cargo/mutants.toml` для Rust crates (порожній, з коментом);
+- створює `.cargo/mutants.toml` для Rust crates (порожній, з коментарем);
 - не робить припущень про framework/app shell;
 - не виключає platform glue, generated wrappers або binary entrypoints;
 - framework-specific tuning (`--lib`/`--tests`, `exclude_globs` для app-shell і platform bridge файлів) належить відповідним правилам (`tauri`, `capacitor` тощо).
 
-Якщо інше правило спеціалізує mutation-behavior — воно зобов'язане **доповнювати** існуючий `.cargo/mutants.toml` ідемпотентно (додавати лише відсутні ключі) і **не перетирати** ручні налаштування. Послідовний запуск `npx @nitra/cursor fix test` після `fix tauri` не має скидати tauri-tuning, і навпаки — повторний `fix tauri` не дублює секції.
+Якщо інше правило спеціалізує mutation-behavior — воно зобов'язане **доповнювати** існуючий `.cargo/mutants.toml` без дублювання (додавати лише відсутні ключі) і **не перетирати** ручні налаштування. Послідовний запуск `npx @nitra/cursor fix test` після `fix tauri` не має скидати tauri-tuning, і навпаки — повторний `fix tauri` не дублює секції.
 
-Додатково: коли `js-lint` enabled, концерн `stryker_config` ідемпотентно додає у кореневий `.gitignore` патерн `**/reports/stryker/` — увесь каталог Stryker-output-у (backup'и `tempDirName`, `mutation.json`, HTML/dashboard-репорти якщо додасте інші reporter-и). Це запобігає випадковому коміту build-артефактів.
+Додатково: коли `js-lint` enabled, концерн `stryker_config` без дублювання додає у кореневий `.gitignore` патерн `**/reports/stryker/` — увесь каталог Stryker-output-у (backup'и `tempDirName`, `mutation.json`, HTML/dashboard-репорти якщо додасте інші reporter-и). Це запобігає випадковому коміту build-артефактів.

package/rules/text/js/forbidden-prettier.mjs

@@ -0,0 +1,59 @@
+/**
+ * Suspect FS-перевірка: жоден Prettier-артефакт у корені проєкту не дозволений.
+ *
+ * `text.mdc` забороняє `prettier`, `@nitra/prettier-config` і всі прояви Prettier-конфігів.
+ * Rego-полісі `text.package_json` ловить scripts/dependencies/devDependencies; цей concern
+ * ловить FS-сторону — конфіги й ignore-файли, які runner Prettier зчитує автоматично.
+ *
+ * Список синхронізовано з конфіг-форматами Prettier 3.x
+ * (https://prettier.io/docs/configuration). Якщо Prettier додасть новий формат — додай рядок.
+ */
+import { existsSync } from 'node:fs'
+
+import { createCheckReporter } from '../../../scripts/lib/check-reporter.mjs'
+
+/** Файли, які Prettier шукає у корені; всі заборонені (text.mdc). */
+const FORBIDDEN_PRETTIER_FILES = [
+  '.prettierignore',
+  '.prettierrc',
+  '.prettierrc.json',
+  '.prettierrc.jsonc',
+  '.prettierrc.json5',
+  '.prettierrc.yaml',
+  '.prettierrc.yml',
+  '.prettierrc.toml',
+  '.prettierrc.js',
+  '.prettierrc.cjs',
+  '.prettierrc.mjs',
+  '.prettierrc.ts',
+  '.prettierrc.cts',
+  '.prettierrc.mts',
+  'prettier.config.js',
+  'prettier.config.cjs',
+  'prettier.config.mjs',
+  'prettier.config.ts',
+  'prettier.config.cts',
+  'prettier.config.mts'
+]
+
+/**
+ * Перевіряє, що жоден Prettier-конфіг чи ignore-файл не лежить у корені проєкту.
+ * @returns {number} 0 — все OK, 1 — знайдено заборонений файл
+ */
+export function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  let anyFound = false
+  for (const file of FORBIDDEN_PRETTIER_FILES) {
+    if (existsSync(file)) {
+      fail(`${file} заборонено — Prettier не використовуємо, перейди на oxfmt (text.mdc)`)
+      anyFound = true
+    }
+  }
+  if (!anyFound) {
+    pass('Prettier-конфігів і .prettierignore немає в корені')
+  }
+
+  return reporter.getExitCode()
+}

package/rules/text/js/formatting.mjs

@@ -7,7 +7,6 @@
  *    `.vscode/settings.json` (`editor.formatOnSave`, `[lang].editor.defaultFormatter`);
  *  - наявність FS-файлів `.oxfmtrc.json`, `.cspell.json`, `.markdownlint-cli2.jsonc`,
  *    `package.json` (саме *існування* — структуру вже валідує Rego);
- *  - конфіги Prettier у корені (заборонено — FS);
  *  - абзац про український апостроф у `.cursor/rules/n-text.mdc` /
  *    `npm/mdc/text.mdc` (markdown-текст, не JSON/YAML);
  *  - складна валідація скрипта `lint-text` (cspell, markdownlint, v8r у трьох
@@ -176,9 +175,7 @@ export async function check() {
   await checkV8rIgnore(pass, fail)
   await checkTextConfigsExistence(pass, fail)
 
-  for (const f of ['.prettierrc', '.prettierrc.json', '.prettierrc.js', 'prettier.config.js', '.prettierrc.yml']) {
-    if (existsSync(f)) fail(`Знайдено конфіг prettier: ${f} — видали його`)
-  }
+  // Prettier-конфіги/ignore — окремий concern `text.forbidden-prettier` (rules/text/js/forbidden-prettier.mjs).
 
   const textRulePaths = ['.cursor/rules/n-text.mdc', 'npm/mdc/text.mdc'].filter(p => existsSync(p))
   if (textRulePaths.length === 0) {

package/rules/text/policy/package_json/package_json.rego

@@ -42,9 +42,25 @@ deny contains msg if {
 	msg := sprintf("@nitra/cspell-dict має бути ^2.0.0 або новіший (зараз %q) (text.mdc)", [range])
 }
 
+# Будь-який scripts.* з токеном `prettier` (наприклад `bunx prettier`, `npx prettier`,
+# `prettier --write`) — заборонено: каноном форматування є oxfmt (text.mdc).
+deny contains msg if {
+	some name, cmd in object.get(input, "scripts", {})
+	is_string(cmd)
+	script_invokes_prettier(cmd)
+	msg := sprintf("package.json: scripts.%s містить prettier — використовуй oxfmt (text.mdc)", [name])
+}
+
 cspell_dict_major_at_least_2(range) if {
 	match := regex.find_n(`^[\^~>=<]*\s*(\d+)`, range, 1)
 	count(match) > 0
 	major := to_number(regex.replace(match[0], `^[\^~>=<]*\s*`, ""))
 	major >= 2
 }
+
+# Token-based, щоб уникнути false-positive на словах типу `not-prettier` чи
+# `prettier-ignore` всередині інших ідентифікаторів. Виконавчий runner: команда
+# або шлях, що закінчується на `prettier`, або `prettier` як аргумент CLI.
+script_invokes_prettier(cmd) if {
+	regex.match(`(^|[\s/"'])prettier($|[\s'"@])`, cmd)
+}

package/rules/text/text.mdc

@@ -262,4 +262,4 @@ kebab-case
 
 ## Перевірка
 
-`npx @nitra/cursor fix text` (охоплює oxfmt, cspell, shellcheck у `lint-text`, markdownlint, v8r, CI для `lint-text`)
+`npx @nitra/cursor fix text` (охоплює oxfmt, cspell, shellcheck у `lint-text`, markdownlint, v8r, CI для `lint-text`). Зокрема падає, якщо у корені є `.prettierignore`, `.prettierrc*`, `prettier.config.*` або у `package.json#scripts` зустрічається команда з `prettier` — Prettier повністю заборонено, форматування лише через **oxfmt**.

package/rules/vue/vue.mdc

@@ -104,7 +104,7 @@ const additionalInstructions = `
 
 ### Тестування
 
-- **Unit + Component / DOM:** **Vitest** (`vitest`) + **Vue Test Utils** з **happy-dom** як DOM-середовищем. Це канон, узгоджений з `test.mdc` (Stryker з vitest-runner + `perTest`-аналіз покриття). `vitest.config.js` реюзає `vite.config.js` через `mergeConfig` і перемикає `environment` на `'happy-dom'`:
+- **Unit + Component / DOM:** **Vitest** (`vitest`) + **Vue Test Utils** з **happy-dom** як DOM-середовищем. Це канон, узгоджений з `test.mdc` (Stryker з vitest-runner + `perTest`-аналіз покриття). `vitest.config.js` повторно використовує `vite.config.js` через `mergeConfig` і перемикає `environment` на `'happy-dom'`:
 
 ```js title="vitest.config.js"
 import { defineConfig, mergeConfig } from 'vitest/config'