@nitra/cursor 1.6.11 → 1.6.23

package/README.md

@@ -15,7 +15,8 @@
 ```json
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/n-cursor.json",
-  "rules": ["js-format", "npm-module", "text"]
+  "rules": ["js-format", "npm-module", "text"],
+  "skills": ["fix"]
 }
 ```
 
@@ -33,10 +34,15 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/n-cursor.json",
   "version": "2.5.0",
-  "rules": ["js-format", "text"]
+  "rules": ["js-format", "text"],
+  "skills": ["fix"]
 }
 ```
 
+### v8r і власний каталог схем
+
+Скрипт `scripts/run-v8r.mjs` передає в v8r каталог **`schemas/v8r-catalog.json`** пакета автоматично (у репозиторії той самий файл, що й `npm/schemas/v8r-catalog.json` від кореня монорепо). Якщо викликаєш `bunx v8r` напряму, передай `-c`: локально `node_modules/@nitra/cursor/schemas/v8r-catalog.json` або [unpkg](https://unpkg.com/@nitra/cursor/schemas/v8r-catalog.json). JSON Schema конфігурації: [n-cursor.json](https://unpkg.com/@nitra/cursor/schemas/n-cursor.json).
+
 ## Запуск
 
 ```bash

package/mdc/bun.mdc

@@ -85,3 +85,5 @@ FROM oven/bun:alpine AS build-env
 ## lint
 
 Якщо в кореневому @package.json  існують скрипти з префіксом `lint-`, обов'язково створюй `lint` скрипт, який буде запускати всі ці скрипти з лінт-префіксом.
+
+У кінці скрипта `lint` додай `&& oxfmt .`.

package/mdc/docker.mdc

@@ -1,6 +1,6 @@
 ---
-description: Dockerfile — лінт через hadolint (локально або Docker); перевірка check-docker
-version: '1.0'
+description: Dockerfile — lint-docker / hadolint; перевірка check-docker
+version: '1.5'
 globs: "**/Dockerfile*"
 alwaysApply: false
 ---
@@ -14,17 +14,100 @@ alwaysApply: false
 - Усі файли з іменем **`Dockerfile`** або **`Dockerfile.*`** (наприклад `Dockerfile.prod`) у репозиторії, крім ігнорованих каталогів (`node_modules`, `.git`, `dist`, …) — як у **`check-docker.mjs`**.
 - Також скрипт перевірки обробляє **`Containerfile`** та **`Containerfile.*`** (Podman / альтернативні імена), навіть якщо glob правила спрацьовує переважно на `Dockerfile*`.
 
+## lint-docker
+
+CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE...]` у **`hadolint --help`**); обхід репозиторію робить скрипт **`npm/scripts/run-docker.mjs`**.
+
+**Область lint-docker (вужча, ніж `check docker`):** лише файли з іменем **`Dockerfile`** та **`*.Dockerfile`** (суфікс **`.dockerfile`** без урахування регістру, наприклад **`api.Dockerfile`**). Файли **`Dockerfile.prod`**, **`Containerfile`** тощо **не** входять у **`lint-docker`**; їх ловить **`check docker`** (`check-docker.mjs`).
+
+Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`check-docker.mjs`**. Виклик **`hadolint`**: **`PATH`**, інакше **`docker run`** — спільна логіка **`npm/scripts/utils/docker-hadolint.mjs`**.
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-docker": "bun ./npm/scripts/run-docker.mjs"
+  }
+}
+```
+
+Додай workflow **`.github/workflows/lint-docker.yml`** (гілка **`dev`**, лише **`.yml`**, узгоджено з **`ga.mdc`**):
+
+```yaml title=".github/workflows/lint-docker.yml"
+name: Lint Docker
+
+on:
+  push:
+    branches:
+      - dev
+    paths:
+      - '**/Dockerfile'
+      - '**/*.Dockerfile'
+      - '**/*.dockerfile'
+      - '.hadolint.yaml'
+      - 'npm/scripts/run-docker.mjs'
+      - 'npm/scripts/utils/docker-hadolint.mjs'
+      - 'npm/scripts/check-docker.mjs'
+      - 'npm/mdc/docker.mdc'
+      - 'package.json'
+
+  pull_request:
+    branches:
+      - dev
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  lint-docker:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v4
+        with:
+          persist-credentials: false
+
+      - name: Install hadolint
+        run: |
+          curl -sSL -o /tmp/hadolint https://github.com/hadolint/hadolint/releases/download/v2.12.0/hadolint-Linux-x86_64
+          chmod +x /tmp/hadolint
+          sudo mv /tmp/hadolint /usr/local/bin/hadolint
+
+      - uses: oven-sh/setup-bun@v2
+
+      - name: Cache Bun dependencies
+        uses: actions/cache@v4
+        with:
+          path: |
+            ~/.bun/install/cache
+            node_modules
+          key: ${{ runner.os }}-bun-${{ hashFiles('**/bun.lock') }}
+          restore-keys: |
+            ${{ runner.os }}-bun-
+
+      - name: Install dependencies
+        run: bun install --frozen-lockfile
+
+      - name: Lint Docker
+        run: bun run lint-docker
+```
+
+Версія бінарника **v2.12.0** узгоджуй з **`HADOLINT_IMAGE`** у **`npm/scripts/utils/docker-hadolint.mjs`**.
+
+Кореневий скрипт **`lint`** (див. **`n-bun.mdc`**) має викликати **`lint-docker`**, якщо він існує.
+
 ## Запуск
 
-1. **`npx @nitra/cursor check docker`** — те саме, що рекомендовано після змін у Dockerfile.
-2. Спочатку викликається бінарник **`hadolint`** з `PATH`; якщо його немає — **`docker run`** з образом **`hadolint/hadolint:v2.12.0`** (тег узгоджуй з **`HADOLINT_IMAGE`** у `npm/scripts/check-docker.mjs`).
+1. **`bun run lint-docker`** — **`run-docker.mjs`**: **`Dockerfile`** та **`*.Dockerfile`** (див. **`lint-docker`**); у CI встанови бінарник (приклад у workflow).
+2. **`npx @nitra/cursor check docker`** — **`check-docker.mjs`**, виклик hadolint як у **`docker-hadolint.mjs`** (**`PATH`** або **`docker run`** з **`hadolint/hadolint:v2.12.0`**).
 3. Кореневий **`.hadolint.yaml`**: вимкнення правил, trusted registries — [документація](https://github.com/hadolint/hadolint#configure).
 
-Якщо в репозиторії немає жодного відповідного файлу — перевірка пропускається (exit 0).
+Якщо немає файлів у межах відповідного набору (**`lint-docker`** або **`check docker`**) — перевірка пропускається (exit 0).
 
 ## Агентам
 
-- Після правок у Dockerfile проганяй **`check docker`**.
+- Після правок у Dockerfile проганяй **`bun run lint-docker`** і/або **`check docker`**.
 - Винятки: **`# hadolint ignore=DL3008`** (або інший код) у Dockerfile або правила в **`.hadolint.yaml`**.
 - Образи на базі Bun — див. **`n-bun.mdc`**.
 
@@ -36,4 +119,6 @@ alwaysApply: false
 
 `npx @nitra/cursor check docker`
 
+Після змін у Dockerfile: **`bun run lint-docker`**, якщо скрипт додано в проєкт.
+
 Kubernetes YAML і `$schema` у `k8s/` — окреме правило **`k8s.mdc`**, **`check k8s`**.

package/mdc/js-lint.mdc

@@ -119,6 +119,9 @@ jobs:
 import { getConfig } from '@nitra/eslint-config'
 
 export default [
+  {
+    ignores: ['**/auto-imports.d.ts']
+  },
   ...getConfig({
     node: ['npm']
   })

package/mdc/k8s.mdc

@@ -1,6 +1,6 @@
 ---
-description: K8s YAML — перший рядок yaml-language-server $schema; перевірка check-k8s за apiVersion/kind
-version: '1.3'
+description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
+version: '1.5'
 globs: "**/k8s/**/*.{yaml,yml}"
 alwaysApply: false
 ---
@@ -19,13 +19,103 @@ alwaysApply: false
 
 **Dockerfile / hadolint** — окреме правило **`docker.mdc`** і **`npx @nitra/cursor check docker`**.
 
+## lint-k8s: kubeconform і kubescape
+
+Окремо від modeline `$schema` у редакторі варто ганяти CLI-лінтери по тих самих дерев’ях **`…/k8s`**.
+
+- **[kubeconform](https://github.com/yannh/kubeconform#readme)** — швидка валідація маніфестів проти OpenAPI-схем Kubernetes (аналог kubeval, з підтримкою власних реєстрів схем і CRD). Не покриває серверні перевірки кластера; для gap див. README проєкту ([`kubectl --dry-run=server`](https://github.com/yannh/kubeconform#readme) тощо).
+- **[kubescape](https://github.com/kubescape/kubescape#readme)** — сканування misconfiguration / compliance (NSA-CISA, MITRE ATT&CK, CIS тощо) по файлах, Helm, Kustomize або кластеру.
+
+**Залежності:** виконувані файли kubeconform і kubescape у **PATH**; не додавай їх у **devDependencies** npm (аналогія до `v8r` у `n-text.mdc`). Локально: наприклад `brew install kubeconform kubescape` або релізи з GitHub.
+
+**Версія Kubernetes для kubeconform** має відповідати PIN yannh у цьому правилі та в **`check-k8s.mjs`** (зараз **`-kubernetes-version 1.29.1`** для набору **`v1.29.1-standalone-strict`**). Для CRD додатково підключай реєстр [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog) другим **`-schema-location`**, як у [прикладах kubeconform](https://github.com/yannh/kubeconform#readme). За потреби **`-ignore-missing-schemas`**, якщо частина CRD ще без публічної схеми.
+
+**kubescape:** типово **`kubescape scan <каталог-k8s>`**; поріг серйозності підлаштуй під проєкт (наприклад **`--severity-threshold high`**). Перший запуск може завантажувати артефакти — у CI потрібна мережа або [offline](https://github.com/kubescape/kubescape#readme).
+
+У репозиторії пакета **`@nitra/cursor`** скрипт **`lint-k8s`** делегує обхід дерев і виклики **`npm/scripts/run-k8s.mjs`**. У інших проєктах можна скопіювати цей скрипт або зібрати еквівалентні команди в **`package.json`**.
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-k8s": "bun ./npm/scripts/run-k8s.mjs"
+  }
+}
+```
+
+Шлях до скрипта підстав свій (`./scripts/…` після копіювання, `node_modules/@nitra/cursor/scripts/…` якщо пакет у залежностях).
+
+Додай workflow **`.github/workflows/lint-k8s.yml`** (гілка **`dev`**, лише **`.yml`**, узгоджено з **`ga.mdc`**):
+
+```yaml title=".github/workflows/lint-k8s.yml"
+name: Lint K8s
+
+on:
+  push:
+    branches:
+      - dev
+    paths:
+      - '**/k8s/**/*.yml'
+
+  pull_request:
+    branches:
+      - dev
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  lint-k8s:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v4
+        with:
+          persist-credentials: false
+
+      - name: Install kubeconform
+        run: |
+          curl -sSL "https://github.com/yannh/kubeconform/releases/download/v0.7.0/kubeconform-linux-amd64.tar.gz" | tar xz
+          sudo mv kubeconform /usr/local/bin/
+
+      - name: Install kubescape
+        run: |
+          curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash
+          echo "$HOME/.kubescape/bin" >> $GITHUB_PATH
+
+      - uses: oven-sh/setup-bun@v2
+
+      - name: Cache Bun dependencies
+        uses: actions/cache@v4
+        with:
+          path: |
+            ~/.bun/install/cache
+            node_modules
+          key: ${{ runner.os }}-bun-${{ hashFiles('**/bun.lock') }}
+          restore-keys: |
+            ${{ runner.os }}-bun-
+
+      - name: Install dependencies
+        run: bun install --frozen-lockfile
+
+      - name: Lint K8s
+        run: bun run lint-k8s
+```
+
+Після **`install.sh`** kubescape може опинитися поза стандартним PATH; за потреби додай крок **`echo "$HOME/.kubescape/bin" >> $GITHUB_PATH`** (див. документацію [kubescape](https://github.com/kubescape/kubescape#readme)).
+
+Кореневий скрипт **`lint`** (див. **`n-bun.mdc`**) має викликати **`lint-k8s`**, якщо він існує.
+
 ## Перевірка
 
 **`npx @nitra/cursor check k8s`** — узгодженість першого рядка (`$schema`), один рядок `# yaml-language-server` на файл, правило для `.yml`, відповідність URL першому YAML-документу (до `---`) за логікою нижче. Якщо під `k8s` немає yaml/yml — перевірку пропущено. Синтаксис YAML і зміст маніфесту скрипт не перевіряє — вручну.
 
+Після змін у маніфестах: **`bun run lint-k8s`** (kubeconform + kubescape), якщо скрипт додано в проєкт.
+
 ## Що закодовано в `check-k8s.mjs`
 
-При зміні правил синхронно оновлюй **`YANNH_PIN`**, **`YANNH_GROUPS`**.
+При зміні правил синхронно оновлюй **`YANNH_PIN`**, **`YANNH_GROUPS`**, а в **`run-k8s.mjs`** — константу **`KUBERNETES_VERSION`** (число з PIN, наприклад `v1.29.1-standalone-strict` → **`1.29.1`**).
 
 - Обхід з пропуском `node_modules`, `.git`, `dist`, `coverage`, `.turbo`, `.next`.
 - **`file:`** у `$schema` — URL до apiVersion/kind не звіряється; **`https:`** — kustomization за іменем файлу → Schema Store; `v1` → yannh; група з `YANNH_GROUPS` → yannh; інакше → datree.
@@ -40,13 +130,13 @@ alwaysApply: false
 Орієнтир — **перший документ** (до наступного `---`).
 
 1. **Ім’я** `kustomization.yaml` або `kustomization.yml` → `https://json.schemastore.org/kustomization.json`.
-2. **`apiVersion: v1`** → yannh, PIN **`v1.29.1-standalone-strict`**:  
-   `https://raw.githubusercontent.com/yannh/kubernetes-json-schema/<PIN>/<kind>-v1.json`  
+2. **`apiVersion: v1`** → yannh, PIN **`v1.29.1-standalone-strict`**:
+   `https://raw.githubusercontent.com/yannh/kubernetes-json-schema/<PIN>/<kind>-v1.json`
    `<kind>`: літери в нижньому регістрі без роздільників між CamelCase (наприклад `Service` → `service`).
-3. **`apiVersion: group/version`** і **group** у **`YANNH_GROUPS`** у скрипті → yannh:  
-   `https://raw.githubusercontent.com/yannh/kubernetes-json-schema/<PIN>/<kind>-<group-з-крапками-як-дефіси>-<version>.json`  
+3. **`apiVersion: group/version`** і **group** у **`YANNH_GROUPS`** у скрипті → yannh:
+   `https://raw.githubusercontent.com/yannh/kubernetes-json-schema/<PIN>/<kind>-<group-з-крапками-як-дефіси>-<version>.json`
    Приклади: `apps/v1` + `Deployment` → `deployment-apps-v1.json`; `networking.k8s.io/v1` + `Ingress` → `ingress-networking-k8s-io-v1.json`.
-4. **Інакше** (CRD тощо) → [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog):  
+4. **Інакше** (CRD тощо) → [datreeio/CRDs-catalog](https://github.com/datreeio/CRDs-catalog):
    `https://raw.githubusercontent.com/datreeio/CRDs-catalog/main/CRDs/<group>/<kind>_<version>.json`
 5. **Немає надійного публічного URL** — не вигадуй: залиш коректний `$schema` або `file:` за узгодженням.
 

package/mdc/text.mdc

@@ -1,7 +1,7 @@
 ---
 description: Обробка та перевірка текстових файлів (cspell, markdownlint-cli2, v8r, CI)
 alwaysApply: true
-version: '1.17'
+version: '1.22'
 ---
 
 **cspell**, **markdownlint-cli2**, **[v8r](https://chris48s.github.io/v8r/)** ([Schema Store](https://www.schemastore.org/)), розширення **DavidAnson.vscode-markdownlint**, workflow **`lint-text`**.
@@ -18,12 +18,14 @@ version: '1.17'
 }
 ```
 
-**`package.json`:** скрипт **`lint-text`** і devDependencies **`@nitra/cspell-dict`**, **`markdownlint-cli2`**. Для української додай **`@cspell/dict-uk-ua`**. **`v8r`** лише через **`bunx`**, не в devDependencies. Окремий пакет **`markdownlint`** не потрібний.
+**`package.json`:** скрипт **`lint-text`** і devDependencies **`@nitra/cspell-dict`**, **`markdownlint-cli2`**. Для української додай **`@cspell/dict-uk-ua`**. **`v8r`** лише через **`bun x v8r`** (зазвичай **`bunx v8r`**), не в devDependencies. Окремий пакет **`markdownlint`** не потрібний.
+
+У v8r **немає** прапорця тихого режиму; рекомендовано скрипт **`run-v8r.mjs`** з репозиторію пакета `@nitra/cursor` (`npm/scripts/run-v8r.mjs`): один виклик у `lint-text` — під капотом послідовні **`bun x v8r`** для кожного типу (**json**, **json5**, **yml**, **yaml**, **toml**), бо один процес v8r з кількома глобами падає з **98**, якщо хоч один glob порожній, і тоді інші розширення не перевіряються. Вивід при кодах **0** і **98** не показується. Каталог схем **`schemas/v8r-catalog.json`** пакета `@nitra/cursor` скрипт підставляє в v8r сам. За бажання можна передати власні glob-и аргументами скрипта. Шлях до скрипта: `./npm/scripts/…`, `./scripts/…` після копіювання, або `node_modules/@nitra/cursor/scripts/…`.
 
 ```json title="package.json"
 {
   "scripts": {
-    "lint-text": "npx cspell . && bunx markdownlint-cli2 --fix \"**/*.md\" \"**/*.mdc\" && (bunx v8r \"**/*.json\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.yml\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.yaml\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.toml\" || [ $? -eq 98 ])"
+    "lint-text": "npx cspell . && bunx markdownlint-cli2 --fix \"**/*.md\" \"**/*.mdc\" && bun ./npm/scripts/run-v8r.mjs"
   },
   "devDependencies": {
     "@nitra/cspell-dict": "^1.0.185"
@@ -31,13 +33,14 @@ version: '1.17'
 }
 ```
 
-**v8r:** чотири виклики `(bunx v8r "<glob>" || [ $? -eq 98 ])` — exit **98**, якщо glob порожній. Враховує `.gitignore`.
+**v8r:** без обгортки — чотири виклики `(bunx v8r "<glob>" || [ $? -eq 98 ])` для **`**/*.json`**, **`**/*.yml`**, **`**/*.yaml`**, **`**/*.toml`** (за потреби окремо **json5**). Враховує `.gitignore`. Для **`**/*.json`** опційно додай **власний каталог схем** [`--catalogs`](https://chris48s.github.io/v8r/usage-examples/#using-a-custom-catlog) (наприклад `-c npm/schemas/v8r-catalog.json` у репозиторії пакета `@nitra/cursor` або `-c https://unpkg.com/@nitra/cursor/schemas/v8r-catalog.json`), щоб перевіряти **`.n-cursor.json`** за схемою з [unpkg](https://unpkg.com/@nitra/cursor/schemas/n-cursor.json).
 
-У корені проєкту має бути **`.v8rignore`**: **v8r** шукає схему в [Schema Store](https://www.schemastore.org/); для JSON без запису там перевірка завершується помилкою. Мінімум виключи **`.vscode/extensions.json`** і **`.vscode/settings.json`** (немає стабільної схеми в каталозі). Інші файли без схеми — за тією ж логікою; не розширюй ignore, щоб приховати проблеми там, де схема є.
+У корені проєкту має бути **`.v8rignore`**: **v8r** шукає схему в [Schema Store](https://www.schemastore.org/); для JSON без запису там перевірка завершується помилкою. Мінімум виключи **`.vscode/extensions.json`** і **`.vscode/settings.json`** (немає стабільної схеми в каталозі). Інші файли без схеми — за тією ж логікою; не розширюй ignore, щоб приховати проблеми там, де схема є. За потреби додай **`.git/**`** (службові JSON під `.git`) та **`npm/schemas/n-cursor.json`** у репозиторії `@nitra/cursor`, якщо для цього файлу немає стабільної схеми в ланцюжку v8r.
 
 ```text title=".v8rignore"
 .vscode/extensions.json
 .vscode/settings.json
+.git/**
 ```
 
 ```json title=".markdownlint-cli2.jsonc"
@@ -150,7 +153,7 @@ jobs:
 ```json title="package.json"
 {
   "scripts": {
-    "lint-text": "npx cspell . && bunx markdownlint-cli2 --fix \"**/*.md\" \"**/*.mdc\" && (bunx v8r \"**/*.json\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.yml\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.yaml\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.toml\" || [ $? -eq 98 ])"
+    "lint-text": "npx cspell . && bunx markdownlint-cli2 --fix \"**/*.md\" \"**/*.mdc\" && bun ./npm/scripts/run-v8r.mjs"
   },
   "devDependencies": {
     "@nitra/cspell-dict": "^1.0.185",
@@ -168,7 +171,7 @@ jobs:
 ```json title="package.json"
 {
   "scripts": {
-    "lint-text": "npx cspell . && bunx markdownlint-cli2 --fix \"**/*.md\" \"**/*.mdc\" && (bunx v8r \"**/*.json\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.yml\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.yaml\" || [ $? -eq 98 ]) && (bunx v8r \"**/*.toml\" || [ $? -eq 98 ])"
+    "lint-text": "npx cspell . && bunx markdownlint-cli2 --fix \"**/*.md\" \"**/*.mdc\" && bun ./npm/scripts/run-v8r.mjs"
   },
   "devDependencies": {
     "@nitra/cspell-dict": "^1.0.185",

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.6.11",
+  "version": "1.6.23",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/schemas/n-cursor.json

@@ -4,11 +4,12 @@
   "title": "n-cursor project config",
   "description": "Конфігурація правил і skills для CLI @nitra/cursor (файл .n-cursor.json у корені репозиторію).",
   "type": "object",
-  "additionalProperties": true,
+  "additionalProperties": false,
   "properties": {
     "$schema": {
       "type": "string",
-      "description": "Посилання на JSON Schema для автодоповнення та валідації в IDE; має збігатися з $id цієї схеми (рекомендовано завжди вказувати)."
+      "format": "uri",
+      "description": "Посилання на JSON Schema для автодоповнення та валідації в IDE; очікувано https://unpkg.com/@nitra/cursor/schemas/n-cursor.json"
     },
     "rules": {
       "type": "array",
@@ -20,12 +21,16 @@
     },
     "skills": {
       "type": "array",
-      "description": "Ідентифікатори skills без префікса n- (каталог .cursor/skills).",
+      "description": "Ідентифікатори skills без префікса n- (каталог .cursor/skills). Якщо відсутній, CLI доповнить списком skills з пакету.",
       "items": {
         "type": "string",
         "minLength": 1
       }
+    },
+    "version": {
+      "type": "string",
+      "description": "Версія пакету @nitra/cursor на unpkg для завантаження правил (необов'язково, інакше latest)."
     }
   },
-  "required": ["rules", "skills"]
+  "required": ["rules"]
 }

package/schemas/v8r-catalog.json

@@ -0,0 +1,18 @@
+{
+  "$schema": "https://json.schemastore.org/schema-catalog.json",
+  "version": 1,
+  "schemas": [
+    {
+      "name": "n-cursor.json",
+      "description": "Конфігурація @nitra/cursor (.n-cursor.json у корені репозиторію)",
+      "url": "https://unpkg.com/@nitra/cursor/schemas/n-cursor.json",
+      "fileMatch": [".n-cursor.json", "**/.n-cursor.json", ".n-cursor.example.json", "**/.n-cursor.example.json"]
+    },
+    {
+      "name": "schema-catalog",
+      "description": "Каталог схем Schema Store (v8r-catalog.json у пакеті)",
+      "url": "https://json.schemastore.org/schema-catalog.json",
+      "fileMatch": ["npm/schemas/v8r-catalog.json"]
+    }
+  ]
+}

package/scripts/check-bun.mjs

@@ -5,7 +5,8 @@
  * і поле `packageManager` у кореневому `package.json`.
  *
  * Якщо в кореневому `package.json` є скрипти з префіксом `lint-`, перевіряє наявність агрегованого
- * скрипта `lint`, у якому через `bun run <ім’я>` викликаються всі такі скрипти.
+ * скрипта `lint`, у якому через `bun run <ім’я>` викликаються всі такі скрипти, і що рядок `lint`
+ * закінчується на `&& oxfmt .`.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -63,6 +64,11 @@ export async function check() {
           )
         } else {
           pass('package.json: агрегований `lint` покриває всі `lint-*` скрипти')
+          if (/\s*&&\s+oxfmt\s+\.\s*$/.test(aggregate.trim())) {
+            pass('package.json: `lint` завершується `&& oxfmt .`')
+          } else {
+            fail('Скрипт `lint` має закінчуватися на `&& oxfmt .`')
+          }
         }
       } else {
         fail(

package/scripts/check-docker.mjs

@@ -5,15 +5,12 @@
  * тощо. Спочатку бінарник hadolint з PATH, інакше docker run з образом hadolint/hadolint.
  * Кореневий .hadolint.yaml підхоплюється hadolint автоматично.
  */
-import { spawnSync } from 'node:child_process'
-import { basename, relative, sep } from 'node:path'
+import { basename } from 'node:path'
 
+import { lintDockerfileWithHadolint, posixRel } from './utils/docker-hadolint.mjs'
 import { pass } from './utils/pass.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
-/** Тег образу для резервного запуску (узгоджуй з docker.mdc). */
-const HADOLINT_IMAGE = 'hadolint/hadolint:v2.12.0'
-
 /**
  * Чи є basename Dockerfile / Containerfile (у т.ч. Dockerfile.prod).
  * @param {string} name basename шляху
@@ -40,75 +37,6 @@ async function findDockerfilePaths(root) {
   return out.toSorted((a, b) => a.localeCompare(b))
 }
 
-/**
- * Відносний шлях від root з прямими слешами (hadolint у контейнері).
- * @param {string} root корінь
- * @param {string} absPath абсолютний шлях
- * @returns {string} відносний шлях з прямими слешами
- */
-function posixRel(root, absPath) {
-  return relative(root, absPath).split(sep).join('/')
-}
-
-/**
- * Запуск hadolint: спочатку PATH, інакше Docker.
- * @param {string} root корінь репозиторію
- * @param {string} absPath абсолютний шлях до Dockerfile
- * @returns {{ ok: boolean, stdout: string, stderr: string, via: string }} результат перевірки hadolint та канал запуску
- */
-function lintDockerfileWithHadolint(root, absPath) {
-  const rel = posixRel(root, absPath)
-  const local = spawnSync('hadolint', [rel], {
-    cwd: root,
-    encoding: 'utf8',
-    maxBuffer: 10 * 1024 * 1024
-  })
-  if (!local.error) {
-    const ok = local.status === 0
-    return {
-      ok,
-      stdout: local.stdout ?? '',
-      stderr: local.stderr ?? '',
-      via: 'hadolint'
-    }
-  }
-  if (local.error.code !== 'ENOENT') {
-    return {
-      ok: false,
-      stdout: '',
-      stderr: local.error.message,
-      via: 'hadolint'
-    }
-  }
-
-  const docker = spawnSync(
-    'docker',
-    ['run', '--rm', '-v', `${root}:/workdir`, '-w', '/workdir', HADOLINT_IMAGE, rel],
-    {
-      cwd: root,
-      encoding: 'utf8',
-      maxBuffer: 10 * 1024 * 1024
-    }
-  )
-  if (docker.error) {
-    return {
-      ok: false,
-      stdout: '',
-      stderr:
-        `Не знайдено hadolint у PATH і не вдалося запустити Docker (${docker.error.message}). ` +
-        `Встанови hadolint (наприклад brew install hadolint) або Docker (див. docker.mdc).`,
-      via: 'docker'
-    }
-  }
-  const ok = docker.status === 0
-  return {
-    ok,
-    stdout: docker.stdout ?? '',
-    stderr: docker.stderr ?? '',
-    via: 'docker'
-  }
-}
-
 /**
  * Перевіряє Dockerfile / Containerfile через hadolint (docker.mdc).
  * @returns {Promise<number>} 0 — все OK, 1 — є зауваження або помилка запуску

package/scripts/check-k8s.mjs

@@ -224,9 +224,7 @@ async function checkK8sYamlFile(abs, root, fail, pass) {
 
   const m = lines[0].match(MODELINE_RE)
   if (!m) {
-    fail(
-      `${rel}: перший рядок має бути коментарем # yaml-language-server: $schema=<url> (без префіксів перед #)`
-    )
+    fail(`${rel}: перший рядок має бути коментарем # yaml-language-server: $schema=<url> (без префіксів перед #)`)
     return
   }
 

package/scripts/check-text.mjs

@@ -1,7 +1,8 @@
 /**
  * Перевіряє текстовий стек за правилом text.mdc.
  *
- * cspell, markdownlint-cli2, скрипт `lint-text` з чотирма викликами v8r, `.v8rignore` (vscode JSON),
+ * cspell, markdownlint-cli2, скрипт `lint-text` з v8r (`run-v8r.mjs` або чотири `bunx v8r`),
+ * `.v8rignore` (vscode JSON),
  * workflow `lint-text.yml`, розширення VSCode для markdownlint.
  */
 import { existsSync } from 'node:fs'
@@ -23,10 +24,12 @@ export async function check() {
   const v8rIgnoreRequired = ['.vscode/extensions.json', '.vscode/settings.json']
   if (existsSync('.v8rignore')) {
     const raw = await readFile('.v8rignore', 'utf8')
-    const lines = new Set(raw
-      .split('\n')
-      .map(l => l.trim())
-      .filter(l => l.length > 0 && !l.startsWith('#')))
+    const lines = new Set(
+      raw
+        .split('\n')
+        .map(l => l.trim())
+        .filter(l => l.length > 0 && !l.startsWith('#'))
+    )
     for (const path of v8rIgnoreRequired) {
       if (lines.has(path)) {
         pass(`.v8rignore містить ${path}`)
@@ -119,23 +122,31 @@ export async function check() {
 
     const lintText = pkg.scripts?.['lint-text']
     const v8rCalls = typeof lintText === 'string' ? (lintText.match(/bunx v8r/g) || []).length : 0
+    const quietCalls = typeof lintText === 'string' ? (lintText.match(/run-v8r?\.mjs/g) || []).length : 0
     const eq98Hints = typeof lintText === 'string' ? (lintText.match(/eq 98/g) || []).length : 0
-    if (
+    const globsOk =
       typeof lintText === 'string' &&
-      lintText.includes('cspell') &&
-      lintText.includes('bunx markdownlint-cli2') &&
-      lintText.includes('**/*.mdc') &&
-      v8rCalls >= 4 &&
-      eq98Hints >= 4 &&
       lintText.includes('**/*.json') &&
       lintText.includes('**/*.yml') &&
       lintText.includes('**/*.yaml') &&
       lintText.includes('**/*.toml')
+    const legacyV8r = v8rCalls >= 4 && eq98Hints >= 4
+    const quietBundled = quietCalls === 1
+    const quietLegacy4x = quietCalls >= 4
+    const v8rTextOk = legacyV8r || quietBundled || quietLegacy4x
+    const globsRequired = legacyV8r || quietLegacy4x
+    if (
+      typeof lintText === 'string' &&
+      lintText.includes('cspell') &&
+      lintText.includes('bunx markdownlint-cli2') &&
+      lintText.includes('**/*.mdc') &&
+      v8rTextOk &&
+      (!globsRequired || globsOk)
     ) {
-      pass('package.json: lint-text — чотири виклики v8r з || [ $? -eq 98 ] для json/yml/yaml/toml')
+      pass('package.json: lint-text — v8r: run-v8r.mjs (один виклик або чотири) або чотири bunx v8r з || [ $? -eq 98 ]')
     } else {
       fail(
-        'package.json: lint-text — чотири (bunx v8r "<glob>" || [ $? -eq 98 ]) для **/*.json **/*.yml **/*.yaml **/*.toml (див. n-text.mdc)'
+        'package.json: lint-text — v8r: bun ./…/run-v8r.mjs або чотири (bunx v8r "<glob>" || [ $? -eq 98 ]) для json/yml/yaml/toml (див. n-text.mdc)'
       )
     }
 

package/scripts/run-docker.mjs

@@ -0,0 +1,76 @@
+/**
+ * run-docker (скрипт lint-docker): hadolint лише для файлів з іменем Dockerfile та суфіксом .dockerfile (див. docker.mdc).
+ *
+ * Обхід дерева як у check-docker (walkDir, ті самі пропуски каталогів). На відміну від
+ * check docker, не обробляються Dockerfile.*, Containerfile тощо — лише канонічне ім’я
+ * Dockerfile та варіанти виду app.Dockerfile (регістр суфікса не важливий).
+ *
+ * Виклик hadolint — через utils/docker-hadolint.mjs (PATH або docker run).
+ */
+import { basename } from 'node:path'
+
+import { lintDockerfileWithHadolint, posixRel } from './utils/docker-hadolint.mjs'
+import { pass } from './utils/pass.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+/**
+ * Чи входить файл до набору lint-docker: Dockerfile або *.Dockerfile (*.dockerfile).
+ * @param {string} name basename шляху
+ * @returns {boolean} true, якщо ім’я підходить під lint-docker
+ */
+function isLintDockerfileName(name) {
+  const n = name.toLowerCase()
+  if (n === 'dockerfile') return true
+  return n.endsWith('.dockerfile') && n.length > '.dockerfile'.length
+}
+
+/**
+ * Збирає абсолютні шляхи для lint-docker.
+ * @param {string} root корінь репозиторію
+ * @returns {Promise<string[]>} відсортовані абсолютні шляхи
+ */
+async function findLintDockerfilePaths(root) {
+  /** @type {string[]} */
+  const out = []
+  await walkDir(root, p => {
+    if (isLintDockerfileName(basename(p))) out.push(p)
+  })
+  return out.toSorted((a, b) => a.localeCompare(b))
+}
+
+/**
+ * Запуск hadolint по Dockerfile та *.Dockerfile.
+ * @returns {Promise<number>} 0 — OK, 1 — зауваження або помилка
+ */
+async function main() {
+  let exitCode = 0
+  const fail = msg => {
+    console.log(`  ❌ ${msg}`)
+    exitCode = 1
+  }
+
+  const root = process.cwd()
+  const files = await findLintDockerfilePaths(root)
+
+  if (files.length === 0) {
+    pass('lint-docker: немає Dockerfile / *.Dockerfile — hadolint пропущено')
+    return 0
+  }
+
+  pass(`lint-docker: файлів для hadolint: ${files.length}`)
+
+  for (const abs of files) {
+    const rel = posixRel(root, abs) || basename(abs)
+    const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
+    const tail = (stdout + stderr).trim()
+    if (ok) {
+      pass(`${rel} (${via})`)
+    } else {
+      fail(`${rel} (${via})${tail ? `:\n${tail}` : ''}`)
+    }
+  }
+
+  return exitCode
+}
+
+process.exitCode = await main()

package/scripts/run-k8s.mjs

@@ -0,0 +1,137 @@
+/**
+ * Запуск kubeconform та kubescape для каталогів `…/k8s`, де є YAML-маніфести (див. k8s.mdc).
+ *
+ * Знаходить унікальні корені каталогів із іменем `k8s` за шляхами файлів `*.yaml` / `*.yml`
+ * (той самий принцип сегмента `k8s`, що й у check-k8s.mjs). Якщо таких файлів немає — вихід 0
+ * без виклику зовнішніх CLI.
+ *
+ * kubeconform перевіряє маніфести проти OpenAPI-схем Kubernetes; kubescape — сканування на
+ * misconfiguration / compliance (NSA, MITRE, CIS тощо). Обидва бінарники очікуються в PATH
+ * (локально: Homebrew, релізи GitHub; у CI — крок установки з k8s.mdc).
+ *
+ * Версія `-kubernetes-version` для kubeconform узгоджена з PIN yannh у check-k8s.mjs / k8s.mdc.
+ */
+import { spawnSync } from 'node:child_process'
+import { basename, dirname } from 'node:path'
+
+import { walkDir } from './utils/walkDir.mjs'
+
+/** Версія Kubernetes для kubeconform — синхронно з YANNH_PIN (без префікса v і суфікса -standalone-strict). */
+const KUBERNETES_VERSION = '1.29.1'
+
+/** Додатковий реєстр схем для CRD (як у README kubeconform). */
+const DATREE_CRD_SCHEMA_LOCATION =
+  'https://raw.githubusercontent.com/datreeio/CRDs-catalog/main/{{.Group}}/{{.ResourceKind}}_{{.ResourceAPIVersion}}.json'
+
+/**
+ * Чи містить шлях сегмент директорії `k8s`.
+ * @param {string} filePath шлях до файлу
+ * @returns {boolean} true, якщо серед компонентів шляху є каталог `k8s`
+ */
+function pathHasK8sSegment(filePath) {
+  const parts = filePath.split(/[/\\]/u)
+  return parts.includes('k8s')
+}
+
+/**
+ * Каталог `…/k8s`, що містить маніфест (йдемо вгору від файлу до компонента `k8s`).
+ * @param {string} absFile абсолютний шлях до yaml
+ * @returns {string | null} абсолютний шлях до `…/k8s` або null, якщо сегмента `k8s` у ланцюжку немає
+ */
+function k8sRootFromFile(absFile) {
+  let dir = dirname(absFile)
+  for (let i = 0; i < 64; i++) {
+    if (basename(dir) === 'k8s') return dir
+    const parent = dirname(dir)
+    if (parent === dir) break
+    dir = parent
+  }
+  return null
+}
+
+/**
+ * Унікальні корені `k8s` з yaml/yml під деревом cwd.
+ * @param {string} root корінь репозиторію
+ * @returns {Promise<string[]>} відсортовані абсолютні шляхи до каталогів `k8s`
+ */
+async function findK8sRoots(root) {
+  /** @type {Set<string>} */
+  const roots = new Set()
+  await walkDir(root, p => {
+    if (!pathHasK8sSegment(p)) return
+    if (!/\.ya?ml$/iu.test(p)) return
+    const k8sRoot = k8sRootFromFile(p)
+    if (k8sRoot) roots.add(k8sRoot)
+  })
+  return [...roots].toSorted((a, b) => a.localeCompare(b))
+}
+
+/**
+ * Запускає kubeconform для переліку каталогів.
+ * @param {string[]} dirs абсолютні шляхи до `…/k8s`
+ * @returns {number} код виходу процесу kubeconform (127, якщо бінарник не знайдено)
+ */
+function runKubeconform(dirs) {
+  const args = [
+    '-summary',
+    '-kubernetes-version',
+    KUBERNETES_VERSION,
+    '-schema-location',
+    'default',
+    '-schema-location',
+    DATREE_CRD_SCHEMA_LOCATION,
+    '-ignore-missing-schemas',
+    ...dirs
+  ]
+  const r = spawnSync('kubeconform', args, { stdio: 'inherit', shell: false })
+  if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
+    console.error('kubeconform не знайдено в PATH. Встанови з https://github.com/yannh/kubeconform#readme')
+    return 127
+  }
+  return r.status ?? 1
+}
+
+/**
+ * Запускає kubescape scan для кожного каталогу окремо (узгоджено з прикладами CLI).
+ * @param {string[]} dirs абсолютні шляхи до `…/k8s`
+ * @returns {number} 0 при успіху, інакше код останнього невдалого scan або 127, якщо бінарник не знайдено
+ */
+function runKubescape(dirs) {
+  for (const d of dirs) {
+    const r = spawnSync('kubescape', ['scan', d, '--severity-threshold', 'high'], {
+      stdio: 'inherit',
+      shell: false
+    })
+    if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
+      console.error('kubescape не знайдено в PATH. Встанови з https://github.com/kubescape/kubescape#readme')
+      return 127
+    }
+    if (r.status !== 0) return r.status ?? 1
+  }
+  return 0
+}
+
+/**
+ * Головна точка входу: kubeconform + kubescape для усіх знайдених дерев `k8s`.
+ * @returns {Promise<number>} код виходу для `process.exitCode` (0 — успіх або пропуск)
+ */
+async function main() {
+  const root = process.cwd()
+  const dirs = await findK8sRoots(root)
+
+  if (dirs.length === 0) {
+    console.log('run-k8s: немає yaml/yml під k8s — kubeconform і kubescape пропущено')
+    return 0
+  }
+
+  console.log(`run-k8s: каталоги k8s (${dirs.length}):`)
+  for (const d of dirs) console.log(`  ${d}`)
+
+  const kc = runKubeconform(dirs)
+  if (kc !== 0) return kc
+
+  const ks = runKubescape(dirs)
+  return ks
+}
+
+process.exitCode = await main()

package/scripts/run-v8r.mjs

@@ -0,0 +1,62 @@
+/**
+ * Тихий запуск v8r для усіх типів файлів, які підтримує v8r (json, json5, yaml, yml, toml).
+ *
+ * Один виклик цього скрипта з `lint-text` замість чотирьох окремих викликів v8r: під капотом для
+ * кожного glob окремий `bun x v8r`, бо v8r у одному процесі падає з кодом 98, якщо хоч один із
+ * переданих глобів не знаходить файлів — тоді решта розширень не перевіряються.
+ *
+ * Каталог схем `@nitra/cursor` (`v8r-catalog.json` у каталозі `schemas` пакета) передається в v8r
+ * як `-c` автоматично (те саме, що в репозиторії шлях `npm/schemas/v8r-catalog.json` від кореня).
+ * Опційно можна передати власні glob-и як аргументи; якщо їх немає — типові для `.json`, `.json5`,
+ * `.yml`, `.yaml`, `.toml` у дереві проєкту.
+ *
+ * Якщо код виходу 0 або 98 (успіх або порожній glob), вивід v8r не показується; інакше
+ * вивід друкується, процес завершується з тим самим кодом, що й перший невдалий v8r.
+ */
+import { spawnSync } from 'node:child_process'
+import { existsSync } from 'node:fs'
+import { dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
+
+/** Типові glob-и для форматів, які обробляє v8r (див. опис CLI v8r). */
+const DEFAULT_GLOBS = ['**/*.json', '**/*.json5', '**/*.yml', '**/*.yaml', '**/*.toml']
+
+/** Абсолютний шлях до `schemas/v8r-catalog.json` поруч з цим скриптом у пакеті `@nitra/cursor`. */
+const V8R_CATALOG_PATH = join(dirname(fileURLToPath(import.meta.url)), '../schemas/v8r-catalog.json')
+
+if (existsSync(V8R_CATALOG_PATH)) {
+  const globs = process.argv.length > 2 ? process.argv.slice(2) : DEFAULT_GLOBS
+
+  for (const pattern of globs) {
+    // Порядок важливий: glob має бути перед -c, інакше yargs у v8r не отримує позиційні patterns.
+    const result = spawnSync('bun', ['x', 'v8r', pattern, '-c', V8R_CATALOG_PATH], {
+      encoding: 'utf8',
+      maxBuffer: 50 * 1024 * 1024,
+      shell: false,
+      stdio: ['ignore', 'pipe', 'pipe']
+    })
+
+    if (result.error) {
+      process.stderr.write(`${result.error.message}\n`)
+      process.exitCode = 1
+      break
+    }
+
+    const exitCode = result.status ?? 1
+    if (exitCode !== 0 && exitCode !== 98) {
+      if (result.stdout?.length) {
+        process.stdout.write(result.stdout)
+      }
+      if (result.stderr?.length) {
+        process.stderr.write(result.stderr)
+      }
+      process.exitCode = exitCode
+      break
+    }
+  }
+} else {
+  process.stderr.write(
+    `run-v8r: не знайдено каталог схем за шляхом ${V8R_CATALOG_PATH} (очікується npm/schemas/v8r-catalog.json у пакеті)\n`
+  )
+  process.exitCode = 2
+}

package/scripts/utils/docker-hadolint.mjs

@@ -0,0 +1,77 @@
+/**
+ * Спільна логіка виклику hadolint для шляхів до Dockerfile (див. docker.mdc).
+ *
+ * Відносні шляхи з прямими слешами для контейнера; спочатку бінарник hadolint з PATH,
+ * інакше docker run з образом HADOLINT_IMAGE. Використовується check-docker.mjs та
+ * run-docker.mjs.
+ */
+import { spawnSync } from 'node:child_process'
+import { relative, sep } from 'node:path'
+
+/** Тег образу для резервного запуску (узгоджуй з docker.mdc). */
+export const HADOLINT_IMAGE = 'hadolint/hadolint:v2.12.0'
+
+/**
+ * Відносний шлях від root з прямими слешами (hadolint у контейнері).
+ * @param {string} root корінь
+ * @param {string} absPath абсолютний шлях
+ * @returns {string} відносний шлях з прямими слешами
+ */
+export function posixRel(root, absPath) {
+  return relative(root, absPath).split(sep).join('/')
+}
+
+/**
+ * Запуск hadolint: спочатку PATH, інакше Docker.
+ * @param {string} root корінь репозиторію
+ * @param {string} absPath абсолютний шлях до Dockerfile
+ * @returns {{ ok: boolean, stdout: string, stderr: string, via: string }} результат перевірки hadolint та канал запуску
+ */
+export function lintDockerfileWithHadolint(root, absPath) {
+  const rel = posixRel(root, absPath)
+  const local = spawnSync('hadolint', [rel], {
+    cwd: root,
+    encoding: 'utf8',
+    maxBuffer: 10 * 1024 * 1024
+  })
+  if (!local.error) {
+    const ok = local.status === 0
+    return {
+      ok,
+      stdout: local.stdout ?? '',
+      stderr: local.stderr ?? '',
+      via: 'hadolint'
+    }
+  }
+  if (local.error.code !== 'ENOENT') {
+    return {
+      ok: false,
+      stdout: '',
+      stderr: local.error.message,
+      via: 'hadolint'
+    }
+  }
+
+  const docker = spawnSync('docker', ['run', '--rm', '-v', `${root}:/workdir`, '-w', '/workdir', HADOLINT_IMAGE, rel], {
+    cwd: root,
+    encoding: 'utf8',
+    maxBuffer: 10 * 1024 * 1024
+  })
+  if (docker.error) {
+    return {
+      ok: false,
+      stdout: '',
+      stderr:
+        `Не знайдено hadolint у PATH і не вдалося запустити Docker (${docker.error.message}). ` +
+        `Встанови hadolint (наприклад brew install hadolint) або Docker (див. docker.mdc).`,
+      via: 'docker'
+    }
+  }
+  const ok = docker.status === 0
+  return {
+    ok,
+    stdout: docker.stdout ?? '',
+    stderr: docker.stderr ?? '',
+    via: 'docker'
+  }
+}