@nitra/cursor 1.8.130 → 1.8.131

package/bin/auto-rules.md

@@ -18,6 +18,8 @@ js-lint - якщо присутній хоч один js файл
 
 js-pino - якщо присутній хоч один js файл, не в монорепо проекті з vue та директорії tempo
 
+js-mssql - якщо в хоч одному package.json в секції dependencies присутній пакет mssql
+
 k8s - якщо присутня хоч одна директорія k8s
 
 nginx-default-tpl - якщо присутній хоч один файл з переліку - default.conf.template, default.conf, nginx.conf

package/mdc/docker.mdc

@@ -14,7 +14,7 @@ alwaysApply: false
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
 
 - **backend**: `mirror.gcr.io/library/alpine:*`
-- **frontend**: `mirror.gcr.io/library/nginx:*`
+- **frontend**: `mirror.gcr.io/library/nginx:*` aбо `mirror.gcr.io/openresty/openresty:*`
 
 Це гарантує, що результуючий образ містить лише runtime (alpine) або nginx, без build tooling і node_modules.
 

package/mdc/js-mssql.mdc

@@ -0,0 +1,59 @@
+---
+description: Використання mssql в nodejs
+alwaysApply: true
+version: '1.1'
+---
+
+Якщо в проекті в будь-якому `package.json` в секції `dependencies` присутній пакет **`mssql`**,
+то його версія повинна бути не менше **12.5.0**.
+
+Потрібно використовувати connection pool (sql.ConnectionPool) як singleton, а НЕ створювати підключення на кожен запит.
+
+tagged template треба викликати на request-обʼєкті цього пулу:
+```javascript
+javascript// db.js
+import sql from 'mssql';
+
+let poolPromise;
+
+export function getPool() {
+  if (!poolPromise) {
+    const pool = new sql.ConnectionPool(config);
+    poolPromise = pool.connect().catch(err => {
+      poolPromise = undefined; // дозволити повторну спробу
+      throw err;
+    });
+  }
+  return poolPromise;
+}
+```
+
+```javascript
+// usage
+import { getPool } from './db.js';
+
+const pool = await getPool();
+const userId = 42;
+const status = 'active';
+
+// Tagged template на request — це працює
+const result = await pool.request().query`
+  SELECT * FROM users
+  WHERE id = ${userId} AND status = ${status}
+`;
+
+```
+
+Ключове: pool.request().query\...`— бекті́ки післяquery`, без круглих дужок. Це той самий tagged template, тільки контекст — конкретний пул, а не глобальний.
+
+Що НЕ робити
+javascript// ❌ Це не tagged template — це конкатенація рядка перед викликом
+```javascript
+await pool.request().query(`SELECT * FROM users WHERE id = ${userId}`);
+// ↑ круглі дужки замість бекті́ків = звичайна інтерполяція = SQL injection
+```
+
+Різниця між query\...`іquery(`...`)` — критична. Перше безпечне, друге — діра.
+Потрібно використовувати перше. Потрібно шукати в коді друге і заміняти на перше.
+
+Перевірка: `npx @nitra/cursor check js-mssql`.

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.130",
+  "version": "1.8.131",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/auto-rules.mjs

@@ -25,6 +25,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'ga',
   'graphql',
   'js-lint',
+  'js-mssql',
   'js-pino',
   'k8s',
   'nginx-default-tpl',
@@ -45,6 +46,54 @@ const NGINX_DEFAULT_FILES = new Set(['default.conf.template', 'default.conf', 'n
 const IGNORED_DIR_NAMES = new Set(['node_modules', '.git', '.next', '.turbo'])
 const DEFAULT_DISABLED_LIST = Object.freeze([])
 
+/**
+ * Чи є `mssql` у `dependencies` хоча б одного `package.json` у репозиторії.
+ * @param {string} root абсолютний шлях до кореня репозиторію
+ * @returns {Promise<boolean>} true, якщо знайдено `dependencies.mssql`
+ */
+async function hasMssqlDependencyInAnyPackageJson(root) {
+  let found = false
+
+  /**
+   * Рекурсивний обхід каталогу з пропуском службових директорій.
+   * @param {string} dir абсолютний шлях каталогу
+   * @returns {Promise<void>}
+   */
+  async function walk(dir) {
+    if (found) return
+    let entries
+    try {
+      entries = await readdir(dir, { withFileTypes: true })
+    } catch {
+      return
+    }
+    for (const entry of entries) {
+      if (found) return
+      const absPath = join(dir, entry.name)
+      if (entry.isDirectory()) {
+        const isIgnoredDir = IGNORED_DIR_NAMES.has(entry.name)
+        if (!isIgnoredDir) {
+          await walk(absPath)
+        }
+      } else if (entry.isFile() && entry.name === 'package.json') {
+        try {
+          const parsed = JSON.parse(await readFile(absPath, 'utf8'))
+          const deps = parsed?.dependencies
+          if (deps && typeof deps === 'object' && !Array.isArray(deps) && Object.prototype.hasOwnProperty.call(deps, 'mssql')) {
+            found = true
+            return
+          }
+        } catch {
+          /* ігноруємо пошкоджені/недоступні package.json */
+        }
+      }
+    }
+  }
+
+  await walk(root)
+  return found
+}
+
 /**
  * Фіксує ознаки, що залежать лише від імені підкаталогу.
  * @param {string} dirName імʼя каталогу
@@ -295,6 +344,7 @@ export async function detectAutoRulesAndSkills({
   )
   const isAbie = typeof repositoryUrl === 'string' && repositoryUrl.toLowerCase().includes(ABIE_REPOSITORY_URL_MARKER)
   const isMonorepo = isMonorepoPackage(packageJsonParsed)
+  const hasMssqlDependency = await hasMssqlDependencyInAnyPackageJson(root)
 
   /** @type {string[]} */
   const detectedRules = []
@@ -332,6 +382,7 @@ export async function detectAutoRulesAndSkills({
     { enabled: facts.hasGaWorkflowsDir, id: 'ga' },
     { enabled: facts.hasGqlTaggedTemplates, id: 'graphql' },
     { enabled: facts.hasJsLikeSource, id: 'js-lint' },
+    { enabled: hasMssqlDependency, id: 'js-mssql' },
     { enabled: facts.hasJsLikeSource && !(isMonorepo && facts.hasVueSource && facts.hasTempoDir), id: 'js-pino' },
     { enabled: facts.hasK8sDir, id: 'k8s' },
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },

package/scripts/check-docker.mjs

@@ -7,10 +7,10 @@
  * Також перевіряє, що Dockerfile/Containerfile має **multistage build** і що фінальний stage
  * використовує мінімальний runtime-образ:
  * - backend: `mirror.gcr.io/library/alpine:*`
- * - frontend: `mirror.gcr.io/library/nginx:*`
+ * - frontend: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
  *
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
- * runtime (alpine) або nginx.
+ * runtime (alpine), nginx або openresty.
  *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
  * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
@@ -74,12 +74,16 @@ export function parseFromStages(fileContent) {
   return out
 }
 
-const RUNTIME_IMAGES = /** @type {const} */ (['mirror.gcr.io/library/alpine', 'mirror.gcr.io/library/nginx'])
+const RUNTIME_IMAGES = /** @type {const} */ ([
+  'mirror.gcr.io/library/alpine',
+  'mirror.gcr.io/library/nginx',
+  'mirror.gcr.io/openresty/openresty'
+])
 
 /**
  * Перевіряє базові вимоги до структури Dockerfile:
  * - multistage: мінімум 2 FROM
- * - фінальний FROM: alpine або nginx з mirror.gcr.io
+ * - фінальний FROM: alpine/nginx/openresty з mirror.gcr.io
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */

package/scripts/check-ga.mjs

@@ -19,6 +19,7 @@
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
+import { execFileSync } from 'node:child_process'
 import { join } from 'node:path'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
@@ -54,6 +55,82 @@ const FORBIDDEN_BUN_PATTERNS = [
 /** Обовʼязкові workflow-файли (ga.mdc). */
 const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml', 'git-ai.yml']
 
+/**
+ * Повертає true, якщо glob у GitHub Actions `on.*.paths` матчитсья хоча б на один tracked файл у репозиторії.
+ *
+ * Використовує `git ls-files` з pathspec-магiєю `:(glob)`, щоб не реалізовувати glob engine вручну
+ * і не сканувати файлову систему рекурсивно.
+ *
+ * @param {string} globPattern glob з workflow (наприклад "files/**" або "image-migration-new/**")
+ * @returns {boolean} true, якщо є хоча б один збіг
+ */
+function gitHasAnyTrackedFileMatchingGlob(globPattern) {
+  const p = String(globPattern ?? '').trim()
+  if (!p) return false
+  if (p.startsWith('!')) return true
+  try {
+    const out = execFileSync('git', ['ls-files', '-z', '--', `:(glob)${p}`], { encoding: 'utf8' })
+    return out.length > 0
+  } catch {
+    return false
+  }
+}
+
+/**
+ * Чи варто перевіряти glob з `on.*.paths` на наявність збігів у репозиторії.
+ *
+ * У багатьох workflow (особливо лінтерах) `paths` часто містить “широкі” шаблони по розширеннях
+ * (наприклад `*.vue`, `*.php`), які можуть бути відсутні в конкретному репозиторії й це ок.
+ * Запит цієї перевірки — ловити посилання на неіснуючі директорії/шляхи (типово `some-dir/**`).
+ *
+ * @param {string} p glob з workflow
+ * @returns {boolean} true, якщо треба валідувати наявність файлів
+ */
+function shouldValidateWorkflowPathsGlob(p) {
+  // Негативні патерни — лише виключають, їх існування не перевіряємо.
+  if (p.startsWith('!')) return false
+
+  // “Розширення-фільтри” (або brace-варіанти) пропускаємо: вони можуть бути заготовками.
+  if (p.includes('*.')) return false
+
+  return true
+}
+
+/**
+ * Валідує `on.push.paths` / `on.pull_request.paths`: кожен позитивний glob має мати збіги в репозиторії.
+ * @param {string} relPath шлях workflow для повідомлень
+ * @param {Record<string, unknown>} root parsed YAML workflow
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function verifyWorkflowEventPathsGlobsExist(relPath, root, passFn, failFn) {
+  const on = getObjKey(root, 'on')
+  if (!on || typeof on !== 'object') return
+
+  /** @type {Array<[eventName: string, paths: unknown]>} */
+  const candidates = [
+    ['push', getObjKey(getObjKey(on, 'push'), 'paths')],
+    ['pull_request', getObjKey(getObjKey(on, 'pull_request'), 'paths')]
+  ]
+
+  for (const [eventName, paths] of candidates) {
+    if (!Array.isArray(paths)) continue
+    for (const raw of paths) {
+      const p = String(raw ?? '').trim()
+      if (!p) continue
+      if (!shouldValidateWorkflowPathsGlob(p)) {
+        passFn(`${relPath}: on.${eventName}.paths glob пропущено для перевірки існування: ${JSON.stringify(p)}`)
+        continue
+      }
+      if (gitHasAnyTrackedFileMatchingGlob(p)) {
+        passFn(`${relPath}: on.${eventName}.paths glob матчитсья: ${JSON.stringify(p)}`)
+      } else {
+        failFn(`${relPath}: on.${eventName}.paths glob не матчитсья ні на один файл: ${JSON.stringify(p)}`)
+      }
+    }
+  }
+}
+
 /**
  * Безпечний доступ до вкладеного поля (лише для обʼєктів).
  * @param {unknown} obj значення-кандидат на обʼєкт
@@ -61,7 +138,7 @@ const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml',
  * @returns {unknown} значення поля або undefined
  */
 function getObjKey(obj, key) {
-  if (!obj || typeof obj !== 'object' || Array.isArray(obj)) return undefined
+  if (!obj || typeof obj !== 'object' || Array.isArray(obj)) return
   return /** @type {Record<string, unknown>} */ (obj)[key]
 }
 
@@ -75,6 +152,32 @@ function isExactString(v, expected) {
   return typeof v === 'string' && v === expected
 }
 
+/**
+ * Перевіряє крок dmvict/clean-workflow-runs@v1 у `clean-ga-workflows.yml`.
+ * @param {unknown} step0 перший крок workflow
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateCleanGaWorkflowsStep0(step0, passFn, failFn) {
+  if (!isExactString(getObjKey(step0, 'name'), 'Delete workflow runs')) {
+    failFn('clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)')
+  }
+  if (!isExactString(getObjKey(step0, 'uses'), 'dmvict/clean-workflow-runs@v1')) {
+    failFn('clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)')
+  }
+  const withObj = getObjKey(step0, 'with')
+  const githubToken = ['$', '{{ github.token }}'].join('')
+  if (
+    getObjKey(withObj, 'token') === githubToken &&
+    getObjKey(withObj, 'save_period') === 31 &&
+    getObjKey(withObj, 'save_min_runs_number') === 0
+  ) {
+    passFn('clean-ga-workflows.yml: jobs/steps OK')
+  } else {
+    failFn('clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc')
+  }
+}
+
 /**
  * Перевіряє структуру workflow `clean-ga-workflows.yml` (ga.mdc).
  * @param {Record<string, unknown> | null} root parsed YAML
@@ -87,10 +190,10 @@ function validateCleanGaWorkflows(root, passFn, failFn) {
     return
   }
 
-  if (!isExactString(root.name, 'Clean action for removing completed workflow runs')) {
-    failFn('clean-ga-workflows.yml: name має бути "Clean action for removing completed workflow runs" (ga.mdc)')
-  } else {
+  if (isExactString(root.name, 'Clean action for removing completed workflow runs')) {
     passFn('clean-ga-workflows.yml: name OK')
+  } else {
+    failFn('clean-ga-workflows.yml: name має бути "Clean action for removing completed workflow runs" (ga.mdc)')
   }
 
   const on = root.on
@@ -101,10 +204,10 @@ function validateCleanGaWorkflows(root, passFn, failFn) {
     Array.isArray(schedule) &&
     schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 16 * *')
 
-  if (!hasCron) {
-    failFn("clean-ga-workflows.yml: on.schedule має містити cron: '0 1 16 * *' (ga.mdc)")
-  } else {
+  if (hasCron) {
     passFn('clean-ga-workflows.yml: cron OK')
+  } else {
+    failFn("clean-ga-workflows.yml: on.schedule має містити cron: '0 1 16 * *' (ga.mdc)")
   }
 
   if (!wfDispatch || typeof wfDispatch !== 'object') {
@@ -136,21 +239,58 @@ function validateCleanGaWorkflows(root, passFn, failFn) {
     return
   }
 
-  if (!isExactString(getObjKey(step0, 'name'), 'Delete workflow runs')) {
-    failFn('clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)')
+  validateCleanGaWorkflowsStep0(step0, passFn, failFn)
+}
+
+/**
+ * Перевіряє крок `phpdocker-io/github-actions-delete-abandoned-branches` у `clean-merged-branch.yml`.
+ * @param {unknown} step0 перший крок workflow
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateCleanMergedBranchStep0(step0, failFn) {
+  if (!isExactString(getObjKey(step0, 'id'), 'delete_stuff')) {
+    failFn('clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)')
   }
-  if (!isExactString(getObjKey(step0, 'uses'), 'dmvict/clean-workflow-runs@v1')) {
-    failFn('clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)')
+  if (!isExactString(getObjKey(step0, 'uses'), 'phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3')) {
+    failFn('clean-merged-branch.yml: перший крок має uses як у ga.mdc')
   }
   const withObj = getObjKey(step0, 'with')
-  if (
-    !(getObjKey(withObj, 'token') === '${{ github.token }}' &&
-      getObjKey(withObj, 'save_period') === 31 &&
-      getObjKey(withObj, 'save_min_runs_number') === 0)
-  ) {
-    failFn('clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc')
+  const ghToken = ['$', '{{ github.token }}'].join('')
+  if (getObjKey(withObj, 'github_token') !== ghToken) {
+    failFn(['clean-merged-branch.yml: with.github_token має бути $', '{{ github.token }} (ga.mdc)'].join(''))
+  }
+  if (getObjKey(withObj, 'last_commit_age_days') !== 90) {
+    failFn('clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)')
+  }
+  const ignoreBranches = String(getObjKey(withObj, 'ignore_branches') ?? '')
+  if (!(ignoreBranches.includes('main') && ignoreBranches.includes('dev'))) {
+    failFn('clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)')
+  }
+  if (getObjKey(withObj, 'dry_run') !== 'no') {
+    failFn('clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)')
+  }
+}
+
+/**
+ * Перевіряє крок виводу в `clean-merged-branch.yml`.
+ * @param {unknown} step1 другий крок workflow
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateCleanMergedBranchStep1(step1, passFn, failFn) {
+  if (!isExactString(getObjKey(step1, 'name'), 'Get output')) {
+    failFn('clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)')
+  }
+  const env = getObjKey(step1, 'env')
+  const deletedBranchesExpr = ['$', '{{ steps.delete_stuff.outputs.deleted_branches }}'].join('')
+  if (getObjKey(env, 'DELETED_BRANCHES') !== deletedBranchesExpr) {
+    failFn('clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc')
+  }
+  const echoDeletedBranches = ['echo "Deleted branches: $', '{DELETED_BRANCHES}"'].join('')
+  if (String(getObjKey(step1, 'run') ?? '').includes(echoDeletedBranches)) {
+    passFn('clean-merged-branch.yml: jobs/steps OK')
   } else {
-    passFn('clean-ga-workflows.yml: jobs/steps OK')
+    failFn('clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc')
   }
 }
 
@@ -166,10 +306,10 @@ function validateCleanMergedBranch(root, passFn, failFn) {
     return
   }
 
-  if (!isExactString(root.name, 'Clean abandoned branches')) {
-    failFn('clean-merged-branch.yml: name має бути "Clean abandoned branches" (ga.mdc)')
-  } else {
+  if (isExactString(root.name, 'Clean abandoned branches')) {
     passFn('clean-merged-branch.yml: name OK')
+  } else {
+    failFn('clean-merged-branch.yml: name має бути "Clean abandoned branches" (ga.mdc)')
   }
 
   const on = root.on
@@ -179,10 +319,10 @@ function validateCleanMergedBranch(root, passFn, failFn) {
     Array.isArray(schedule) &&
     schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 15 * *')
 
-  if (!hasCron) {
-    failFn("clean-merged-branch.yml: on.schedule має містити cron: '0 1 15 * *' (ga.mdc)")
-  } else {
+  if (hasCron) {
     passFn('clean-merged-branch.yml: cron OK')
+  } else {
+    failFn("clean-merged-branch.yml: on.schedule має містити cron: '0 1 15 * *' (ga.mdc)")
   }
 
   if (!wfDispatch || typeof wfDispatch !== 'object') {
@@ -197,7 +337,7 @@ function validateCleanMergedBranch(root, passFn, failFn) {
   }
 
   const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'contents') === 'write')) {
+  if (getObjKey(perm, 'contents') !== 'write') {
     failFn('clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)')
   }
 
@@ -212,47 +352,39 @@ function validateCleanMergedBranch(root, passFn, failFn) {
     failFn('clean-merged-branch.yml: перший крок невалідний (ga.mdc)')
     return
   }
-
-  if (!isExactString(getObjKey(step0, 'id'), 'delete_stuff')) {
-    failFn('clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3')) {
-    failFn('clean-merged-branch.yml: перший крок має uses як у ga.mdc')
-  }
-  const withObj = getObjKey(step0, 'with')
-  if (getObjKey(withObj, 'github_token') !== '${{ github.token }}') {
-    failFn('clean-merged-branch.yml: with.github_token має бути ${{ github.token }} (ga.mdc)')
-  }
-  if (getObjKey(withObj, 'last_commit_age_days') !== 90) {
-    failFn('clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)')
-  }
-
-  const ignoreBranches = String(getObjKey(withObj, 'ignore_branches') ?? '')
-  if (!(ignoreBranches.includes('main') && ignoreBranches.includes('dev'))) {
-    failFn('clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)')
-  }
-
-  if (getObjKey(withObj, 'dry_run') !== 'no') {
-    failFn('clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)')
-  }
+  validateCleanMergedBranchStep0(step0, failFn)
 
   const step1 = steps[1]
   if (!step1 || typeof step1 !== 'object') {
     failFn('clean-merged-branch.yml: другий крок невалідний (ga.mdc)')
     return
   }
+  validateCleanMergedBranchStep1(step1, passFn, failFn)
+}
 
-  if (!isExactString(getObjKey(step1, 'name'), 'Get output')) {
-    failFn('clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)')
+/**
+ * Перевіряє тригери `on.push` / `on.pull_request` у `lint-ga.yml`.
+ * @param {unknown} on корінь `on:` з YAML
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateLintGaOnTriggers(on, failFn) {
+  const push = getObjKey(on, 'push')
+  const pr = getObjKey(on, 'pull_request')
+  const pushBranches = getObjKey(push, 'branches')
+  const pushPaths = getObjKey(push, 'paths')
+  const prBranches = getObjKey(pr, 'branches')
+
+  if (!Array.isArray(pushBranches) || !(pushBranches.includes('dev') && pushBranches.includes('main'))) {
+    failFn('lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)')
   }
-  const env = getObjKey(step1, 'env')
-  if (getObjKey(env, 'DELETED_BRANCHES') !== '${{ steps.delete_stuff.outputs.deleted_branches }}') {
-    failFn('clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc')
+  if (!Array.isArray(prBranches) || !(prBranches.includes('dev') && prBranches.includes('main'))) {
+    failFn('lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)')
   }
-  if (!String(getObjKey(step1, 'run') ?? '').includes('echo "Deleted branches: ${DELETED_BRANCHES}"')) {
-    failFn('clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc')
-  } else {
-    passFn('clean-merged-branch.yml: jobs/steps OK')
+  if (
+    !Array.isArray(pushPaths) ||
+    !(pushPaths.includes('.github/actions/**') && pushPaths.includes('.github/workflows/**'))
+  ) {
+    failFn('lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)')
   }
 }
 
@@ -272,25 +404,10 @@ function validateLintGaWorkflowStructure(root, passFn, failFn) {
     failFn('lint-ga.yml: name має бути "Lint GA" (ga.mdc)')
   }
 
-  const on = root.on
-  const push = getObjKey(on, 'push')
-  const pr = getObjKey(on, 'pull_request')
-  const pushBranches = getObjKey(push, 'branches')
-  const pushPaths = getObjKey(push, 'paths')
-  const prBranches = getObjKey(pr, 'branches')
-
-  if (!Array.isArray(pushBranches) || !(pushBranches.includes('dev') && pushBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)')
-  }
-  if (!Array.isArray(prBranches) || !(prBranches.includes('dev') && prBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)')
-  }
-  if (!Array.isArray(pushPaths) || !(pushPaths.includes('.github/actions/**') && pushPaths.includes('.github/workflows/**'))) {
-    failFn('lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)')
-  }
+  validateLintGaOnTriggers(root.on, failFn)
 
   const conc = getObjKey(root, 'concurrency')
-  if (!(getObjKey(conc, 'cancel-in-progress') === true)) {
+  if (getObjKey(conc, 'cancel-in-progress') !== true) {
     failFn('lint-ga.yml: concurrency.cancel-in-progress має бути true (ga.mdc)')
   }
 
@@ -305,7 +422,7 @@ function validateLintGaWorkflowStructure(root, passFn, failFn) {
     failFn('lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)')
   }
   const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'contents') === 'read')) {
+  if (getObjKey(perm, 'contents') !== 'read') {
     failFn('lint-ga.yml: permissions мають бути contents: read (ga.mdc)')
   }
 
@@ -316,22 +433,22 @@ function validateLintGaWorkflowStructure(root, passFn, failFn) {
   }
 
   const flat = flattenWorkflowSteps(root)
-  const usesList = flat.map(s => getStepUses(s.step))
+  const usesList = new Set(flat.map(s => getStepUses(s.step)))
   const runBlob = flat.map(s => getStepRun(s.step)).join('\n')
 
-  if (!usesList.includes('actions/checkout@v6')) {
+  if (!usesList.has('actions/checkout@v6')) {
     failFn('lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)')
   }
-  if (!usesList.includes('./.github/actions/setup-bun-deps')) {
+  if (!usesList.has('./.github/actions/setup-bun-deps')) {
     failFn('lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)')
   }
-  if (!usesList.includes('astral-sh/setup-uv@v8.0.0')) {
+  if (!usesList.has('astral-sh/setup-uv@v8.0.0')) {
     failFn('lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)')
   }
-  if (!runBlob.includes('bun run lint-ga')) {
-    failFn('lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)')
-  } else {
+  if (runBlob.includes('bun run lint-ga')) {
     passFn('lint-ga.yml: структура jobs/steps OK')
+  } else {
+    failFn('lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)')
   }
 }
 
@@ -370,7 +487,7 @@ function validateGitAiWorkflowStructure(root, passFn, failFn) {
   }
 
   const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'contents') === 'write')) {
+  if (getObjKey(perm, 'contents') !== 'write') {
     failFn('git-ai.yml: permissions мають бути contents: write (ga.mdc)')
   }
 
@@ -379,10 +496,10 @@ function validateGitAiWorkflowStructure(root, passFn, failFn) {
   if (!runBlob.includes('curl -fsSL https://usegitai.com/install.sh | bash')) {
     failFn('git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)')
   }
-  if (!runBlob.includes('git-ai ci github run')) {
-    failFn('git-ai.yml: має виконувати git-ai ci github run (ga.mdc)')
-  } else {
+  if (runBlob.includes('git-ai ci github run')) {
     passFn('git-ai.yml: структура jobs/steps OK')
+  } else {
+    failFn('git-ai.yml: має виконувати git-ai ci github run (ga.mdc)')
   }
 }
 
@@ -837,6 +954,10 @@ export async function check() {
     verifyCheckoutBeforeLocalSetupBunDeps(`${wfDir}/${f}`, content, fail, pass)
     verifyNoDirectBunOrCache(`${wfDir}/${f}`, content, fail, pass)
     verifyNoRunShellLineContinuationBackslash(`${wfDir}/${f}`, content, fail, pass)
+    const parsed = parseWorkflowYaml(content)
+    if (parsed) {
+      verifyWorkflowEventPathsGlobsExist(`${wfDir}/${f}`, parsed, pass, fail)
+    }
   }
 
   await checkCanonicalWorkflowsMatchRule(wfDir, pass, fail)

package/scripts/check-js-mssql.mjs

@@ -0,0 +1,203 @@
+/**
+ * Перевіряє правило js-mssql.mdc.
+ *
+ * Якщо в будь-якому `package.json` у репозиторії (включно з workspace-пакетами) в секції `dependencies`
+ * присутній пакет `mssql`, його версія має бути не менше 12.5.0.
+ *
+ * Додатково, якщо `mssql` використовується в репозиторії, перевіряє що підключення
+ * не створюється “на кожен запит”: `new sql.ConnectionPool(...)` не має знаходитись
+ * всередині функцій. Пул має бути singleton (на рівні модуля) і повторно використовуватись.
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { join, relative, sep } from 'node:path'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import {
+  findMssqlPerRequestConnectionInText,
+  findUnsafeMssqlQueryTemplateCallInText,
+  isMssqlScanSourceFile
+} from './utils/mssql-pool-scan.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+const VERSION_PREFIX_RE = /^[\^~>=<]+\s*/u
+const SEMVER_RE = /^(\d+)\.(\d+)\.(\d+)/u
+
+/** Мінімальна дозволена версія mssql (js-mssql.mdc). */
+const MIN_MSSQL_VERSION = { major: 12, minor: 5, patch: 0 }
+
+/**
+ * Знаходить всі `package.json` у репозиторії (крім пропущених директорій у walkDir).
+ * @param {string} repoRoot абсолютний шлях до кореня репозиторію
+ * @returns {Promise<string[]>} абсолютні шляхи, відсортовані за відносним шляхом
+ */
+async function findAllPackageJsonPaths(repoRoot) {
+  /** @type {string[]} */
+  const paths = []
+  await walkDir(repoRoot, absPath => {
+    if (absPath.endsWith(`${sep}package.json`)) {
+      paths.push(absPath)
+    }
+  })
+  paths.sort((a, b) => relative(repoRoot, a).localeCompare(relative(repoRoot, b)))
+  return paths
+}
+
+/**
+ * Збирає абсолютні шляхи JS/TS джерел у репозиторії для скану mssql.
+ * @param {string} repoRoot абсолютний шлях до кореня репозиторію
+ * @returns {Promise<string[]>} абсолютні шляхи, відсортовані за відносним шляхом
+ */
+async function findAllSourcePathsForMssqlScan(repoRoot) {
+  /** @type {string[]} */
+  const paths = []
+  await walkDir(repoRoot, absPath => {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    if (isMssqlScanSourceFile(rel)) {
+      paths.push(absPath)
+    }
+  })
+  paths.sort((a, b) => relative(repoRoot, a).localeCompare(relative(repoRoot, b)))
+  return paths
+}
+
+/**
+ * @param {unknown} v parsed JSON
+ * @returns {Record<string, unknown>} object або {}
+ */
+function asObject(v) {
+  if (!v || typeof v !== 'object' || Array.isArray(v)) return {}
+  return /** @type {Record<string, unknown>} */ (v)
+}
+
+/**
+ * Витягає рядок версії `dependencies.mssql`, якщо він існує.
+ * @param {unknown} deps deps з package.json
+ * @returns {string | null} версія або null
+ */
+function getMssqlDependencyRange(deps) {
+  const o = asObject(deps)
+  const v = o.mssql
+  return typeof v === 'string' && v.trim() ? v.trim() : null
+}
+
+/**
+ * Парсить першу semver з діапазону виду "^12.5.0", ">=12.5.0", "12.5.0".
+ * @param {string} range версійний діапазон
+ * @returns {{ major: number, minor: number, patch: number } | null} semver або null
+ */
+function parseLeadingSemver(range) {
+  const cleaned = String(range).trim().replace(VERSION_PREFIX_RE, '')
+  const m = cleaned.match(SEMVER_RE)
+  if (!m) return null
+  const major = Number(m[1])
+  const minor = Number(m[2])
+  const patch = Number(m[3])
+  if ([major, minor, patch].some(n => Number.isNaN(n))) return null
+  return { major, minor, patch }
+}
+
+/**
+ * @param {{ major: number, minor: number, patch: number }} a
+ * @param {{ major: number, minor: number, patch: number }} b
+ * @returns {boolean} true, якщо a >= b
+ */
+function semverGte(a, b) {
+  if (a.major !== b.major) return a.major > b.major
+  if (a.minor !== b.minor) return a.minor > b.minor
+  return a.patch >= b.patch
+}
+
+/**
+ * Перевіряє відповідність проєкту правилу js-mssql.mdc
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const repoRoot = process.cwd()
+  const rootPkg = join(repoRoot, 'package.json')
+  if (!existsSync(rootPkg)) {
+    pass('js-mssql: package.json у корені відсутній — перевірку пропущено')
+    return reporter.getExitCode()
+  }
+
+  const pkgJsonPaths = await findAllPackageJsonPaths(repoRoot)
+  if (pkgJsonPaths.length === 0) {
+    pass('js-mssql: package.json не знайдено — перевірку пропущено')
+    return reporter.getExitCode()
+  }
+
+  let found = 0
+  let bad = 0
+  for (const absPath of pkgJsonPaths) {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    let parsed
+    try {
+      parsed = JSON.parse(await readFile(absPath, 'utf8'))
+    } catch {
+      fail(`js-mssql: ${rel} — невалідний JSON`)
+      continue
+    }
+    const range = getMssqlDependencyRange(parsed.dependencies)
+    if (range) {
+      found++
+      const parsedVer = parseLeadingSemver(range)
+      if (!parsedVer) {
+        bad++
+        fail(`js-mssql: ${rel}: dependencies.mssql має нечитабельну версію: ${JSON.stringify(range)} (js-mssql.mdc)`)
+        continue
+      }
+      if (semverGte(parsedVer, MIN_MSSQL_VERSION)) {
+        pass(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} (>=12.5.0)`)
+      } else {
+        bad++
+        fail(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} — має бути >=12.5.0 (js-mssql.mdc)`)
+      }
+    }
+  }
+
+  if (found === 0) {
+    pass('js-mssql: пакет mssql не знайдено в dependencies жодного package.json')
+  } else if (bad === 0) {
+    pass(`js-mssql: всі знайдені dependencies.mssql відповідають мінімальній версії 12.5.0 (${found})`)
+  }
+
+  if (found > 0) {
+    const sourcePaths = await findAllSourcePathsForMssqlScan(repoRoot)
+    if (sourcePaths.length === 0) {
+      pass('js-mssql: немає JS/TS файлів для скану singleton ConnectionPool')
+      return reporter.getExitCode()
+    }
+
+    let violations = 0
+    let unsafeQueryCalls = 0
+    for (const absPath of sourcePaths) {
+      const rel = relative(repoRoot, absPath).split('\\').join('/')
+      const content = await readFile(absPath, 'utf8')
+      for (const v of findMssqlPerRequestConnectionInText(content, rel)) {
+        violations++
+        fail(
+          `js-mssql: ${rel}:${v.line} — не створюй new sql.ConnectionPool(...) на кожен запит; використовуй singleton sql.ConnectionPool: ${v.snippet}`
+        )
+      }
+      for (const v of findUnsafeMssqlQueryTemplateCallInText(content, rel)) {
+        unsafeQueryCalls++
+        fail(
+          `js-mssql: ${rel}:${v.line} — заборонено query(\`...\`): це не tagged template; використовуй pool.request().query\`...\` (js-mssql.mdc): ${v.snippet}`
+        )
+      }
+    }
+
+    if (violations === 0) {
+      pass('js-mssql: немає створення new sql.ConnectionPool(...) всередині функцій (singleton pool)')
+    }
+    if (unsafeQueryCalls === 0) {
+      pass('js-mssql: немає небезпечних викликів query(`...`) (потрібно query`...`)')
+    }
+  }
+
+  return reporter.getExitCode()
+}
+

package/scripts/check-k8s.mjs

@@ -370,9 +370,9 @@ function pushStringPaths(arr, acc) {
 const KUSTOMIZE_CONFIG_API_PREFIX = 'kustomize.config.k8s.io/'
 
 /**
- * Чи послідовність непорожніх рядків зростаюча за `localeCompare` (en).
- * @param {string[]} paths
- * @returns {boolean}
+ * Чи послідовність непорожніх рядків відсортована за `localeCompare` (en, ascending).
+ * @param {string[]} paths рядки для перевірки
+ * @returns {boolean} `true` якщо послідовність відсортована
  */
 function stringPathsAreSortedEn(paths) {
   for (let i = 1; i < paths.length; i++) {
@@ -402,8 +402,7 @@ export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
   }
   /** @type {string[]} */
   const paths = []
-  for (let i = 0; i < res.length; i++) {
-    const item = res[i]
+  for (const [i, item] of res.entries()) {
     if (typeof item !== 'string') {
       return `Kustomization.resources[${i}] — очікується рядок-шлях (k8s.mdc)`
     }
@@ -412,7 +411,7 @@ export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
   }
   if (paths.length < 2) return null
   if (!stringPathsAreSortedEn(paths)) {
-    const want = [...paths].sort((a, b) => a.localeCompare(b, 'en', { sensitivity: 'base' }))
+    const want = paths.toSorted((a, b) => a.localeCompare(b, 'en', { sensitivity: 'base' }))
     return `Kustomization.resources має бути за алфавітом (en). Зараз: ${paths.join(', ')}; очікувано: ${want.join(', ')} (k8s.mdc)`
   }
   return null
@@ -422,17 +421,18 @@ export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
  * Усі **`kustomization.yaml`**: **`resources`**, відсортовані за en.
  * @param {string} root корінь репо
  * @param {string[]} yamlFilesAbs yaml під k8s
- * @param {(msg: string) => void} fail
- * @returns {Promise<void>}
+ * @param {(msg: string) => void} fail функція для фіксації порушення
+ * @returns {Promise<void>} завершується після перевірки всіх kustomization.yaml
  */
 async function validateKustomizationResourcesSortedAlphabetically(root, yamlFilesAbs, fail) {
   for (const kustAbs of yamlFilesAbs.filter(p => basename(p).toLowerCase() === 'kustomization.yaml')) {
     const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
     const kust = await readFirstYamlObject(kustAbs)
-    if (kust === null) continue
-    const v = kustomizationResourcesSortedAlphabeticallyViolation(kust)
-    if (v !== null) {
-      fail(`${rel}: ${v}`)
+    if (kust !== null) {
+      const v = kustomizationResourcesSortedAlphabeticallyViolation(kust)
+      if (v !== null) {
+        fail(`${rel}: ${v}`)
+      }
     }
   }
 }

package/scripts/utils/mssql-pool-scan.mjs

@@ -0,0 +1,208 @@
+/**
+ * Знаходить небезпечні патерни використання `mssql`, які створюють підключення/пул
+ * всередині функцій (наприклад handler на кожен запит), замість того щоб мати один
+ * singleton `sql.ConnectionPool` на рівні модуля та повторно використовувати його.
+ *
+ * Також знаходить небезпечний виклик `query(\`...\`)` — це НЕ tagged template, а звичайний
+ * виклик з інтерполяцією рядка, який може призвести до SQL injection. Натомість має
+ * використовуватись tagged template `query\`...\`` (див. js-mssql.mdc).
+ *
+ * Семантика береться з **oxc-parser** по AST, щоб не покладатися на regex.
+ * Якщо файл не парситься або містить синтаксичні помилки — повертаємо порожній
+ * результат (спочатку треба полагодити синтаксис, потім перезапустити перевірку).
+ */
+import { parseSync } from 'oxc-parser'
+
+const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
+
+/**
+ * Мова для Oxc за шляхом файлу (розширення).
+ * @param {string} filePath віртуальний або реальний шлях до файлу
+ * @returns {'js' | 'jsx' | 'ts' | 'tsx'} значення опції `lang` для `parseSync`
+ */
+function langFromPath(filePath) {
+  const lower = filePath.toLowerCase()
+  if (lower.endsWith('.tsx')) return 'tsx'
+  if (lower.endsWith('.ts') || lower.endsWith('.mts') || lower.endsWith('.cts')) return 'ts'
+  if (lower.endsWith('.jsx')) return 'jsx'
+  return 'js'
+}
+
+/**
+ * Номер рядка (1-based) за зміщенням у буфері.
+ * @param {string} content повний текст файлу
+ * @param {number} offset байтове зміщення початку фрагмента
+ * @returns {number} номер рядка від 1
+ */
+function offsetToLine(content, offset) {
+  let line = 1
+  const n = Math.min(offset, content.length)
+  for (let i = 0; i < n; i++) {
+    if (content.codePointAt(i) === 10) line++
+  }
+  return line
+}
+
+/**
+ * Стискає пробіли для повідомлення про порушення.
+ * @param {string} s фрагмент коду
+ * @returns {string} скорочений однорядковий рядок
+ */
+function normalizeSnippet(s) {
+  return s.replaceAll(/\s+/g, ' ').trim().slice(0, 180)
+}
+
+/**
+ * Чи є вузол функцією.
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це будь-який вузол-функція
+ */
+function isFunctionNode(node) {
+  return (
+    !!node &&
+    typeof node === 'object' &&
+    typeof node.type === 'string' &&
+    (node.type === 'FunctionDeclaration' ||
+      node.type === 'FunctionExpression' ||
+      node.type === 'ArrowFunctionExpression')
+  )
+}
+
+/**
+ * Рекурсивний обхід AST з предками, щоб визначати контекст (всередині функції чи ні).
+ * @param {unknown} node поточний вузол
+ * @param {unknown[]} ancestors масив предків від кореня до parent
+ * @param {(n: Record<string, unknown>, ancestors: unknown[]) => void} visit відвідувач для вузлів з `type`
+ * @returns {void}
+ */
+function walkAstWithAncestors(node, ancestors, visit) {
+  if (!node || typeof node !== 'object') return
+  if (Array.isArray(node)) {
+    for (const item of node) walkAstWithAncestors(item, ancestors, visit)
+    return
+  }
+
+  const rec = /** @type {Record<string, unknown>} */ (node)
+  if (typeof rec.type === 'string') {
+    visit(rec, ancestors)
+    ancestors = [...ancestors, rec]
+  }
+
+  for (const key of Object.keys(node)) {
+    if (key === 'parent') {
+      continue
+    }
+    const v = rec[key]
+    if (v && typeof v === 'object') {
+      walkAstWithAncestors(v, ancestors, visit)
+    }
+  }
+}
+
+/**
+ * Чи це `new sql.ConnectionPool(...)` або `new mssql.ConnectionPool(...)`.
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це створення ConnectionPool
+ */
+function isNewConnectionPool(node) {
+  if (!node || node.type !== 'NewExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const obj = callee.object
+  const prop = callee.property
+  if (!obj || obj.type !== 'Identifier') return false
+  if (!prop || prop.type !== 'Identifier' || prop.name !== 'ConnectionPool') return false
+  return obj.name === 'sql' || obj.name === 'mssql'
+}
+
+/**
+ * Чи це виклик `.query(...)` з TemplateLiteral як першим аргументом (`query(\`...\`)`).
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це небезпечний патерн `query(\`...\`)`
+ */
+function isUnsafeQueryCallWithTemplateLiteral(node) {
+  if (!node || node.type !== 'CallExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const prop = callee.property
+  if (!prop || prop.type !== 'Identifier' || prop.name !== 'query') return false
+  const args = node.arguments
+  if (!Array.isArray(args) || args.length === 0) return false
+  const first = args[0]
+  return !!first && typeof first === 'object' && first.type === 'TemplateLiteral'
+}
+
+/**
+ * Знаходить створення `ConnectionPool` всередині функцій.
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang` (наприклад `pkg/src/db.ts`)
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findMssqlPerRequestConnectionInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+
+  walkAstWithAncestors(result.program, [], (node, ancestors) => {
+    const insideFunction = ancestors.some(n => isFunctionNode(n))
+    if (!insideFunction) return
+
+    if (isNewConnectionPool(node)) {
+      out.push({
+        line: offsetToLine(content, node.start),
+        snippet: normalizeSnippet(content.slice(node.start, node.end))
+      })
+    }
+  })
+
+  return out
+}
+
+/**
+ * Знаходить небезпечні виклики `query(\`...\`)` (CallExpression з TemplateLiteral-аргументом).
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang` (наприклад `pkg/src/db.ts`)
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findUnsafeMssqlQueryTemplateCallInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+  walkAstWithAncestors(result.program, [], node => {
+    if (isUnsafeQueryCallWithTemplateLiteral(node)) {
+      out.push({
+        line: offsetToLine(content, node.start),
+        snippet: normalizeSnippet(content.slice(node.start, node.end))
+      })
+    }
+  })
+  return out
+}
+
+/**
+ * Чи сканувати цей файл за розширенням (JS/TS-сім'я).
+ * @param {string} relativePathPosix відносний шлях (posix)
+ * @returns {boolean} `true`, якщо розширення підходить для AST-скану
+ */
+export function isMssqlScanSourceFile(relativePathPosix) {
+  return SOURCE_FILE_RE.test(relativePathPosix) && !relativePathPosix.endsWith('.d.ts')
+}
+