@nitra/cursor 1.8.130 → 1.8.132

package/scripts/check-ga.mjs

@@ -19,6 +19,7 @@
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
+import { execFileSync } from 'node:child_process'
 import { join } from 'node:path'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
@@ -54,6 +55,82 @@ const FORBIDDEN_BUN_PATTERNS = [
 /** Обовʼязкові workflow-файли (ga.mdc). */
 const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml', 'git-ai.yml']
 
+/**
+ * Повертає true, якщо glob у GitHub Actions `on.*.paths` матчитсья хоча б на один tracked файл у репозиторії.
+ *
+ * Використовує `git ls-files` з pathspec-магiєю `:(glob)`, щоб не реалізовувати glob engine вручну
+ * і не сканувати файлову систему рекурсивно.
+ *
+ * @param {string} globPattern glob з workflow (наприклад "files/**" або "image-migration-new/**")
+ * @returns {boolean} true, якщо є хоча б один збіг
+ */
+function gitHasAnyTrackedFileMatchingGlob(globPattern) {
+  const p = String(globPattern ?? '').trim()
+  if (!p) return false
+  if (p.startsWith('!')) return true
+  try {
+    const out = execFileSync('git', ['ls-files', '-z', '--', `:(glob)${p}`], { encoding: 'utf8' })
+    return out.length > 0
+  } catch {
+    return false
+  }
+}
+
+/**
+ * Чи варто перевіряти glob з `on.*.paths` на наявність збігів у репозиторії.
+ *
+ * У багатьох workflow (особливо лінтерах) `paths` часто містить “широкі” шаблони по розширеннях
+ * (наприклад `*.vue`, `*.php`), які можуть бути відсутні в конкретному репозиторії й це ок.
+ * Запит цієї перевірки — ловити посилання на неіснуючі директорії/шляхи (типово `some-dir/**`).
+ *
+ * @param {string} p glob з workflow
+ * @returns {boolean} true, якщо треба валідувати наявність файлів
+ */
+function shouldValidateWorkflowPathsGlob(p) {
+  // Негативні патерни — лише виключають, їх існування не перевіряємо.
+  if (p.startsWith('!')) return false
+
+  // “Розширення-фільтри” (або brace-варіанти) пропускаємо: вони можуть бути заготовками.
+  if (p.includes('*.')) return false
+
+  return true
+}
+
+/**
+ * Валідує `on.push.paths` / `on.pull_request.paths`: кожен позитивний glob має мати збіги в репозиторії.
+ * @param {string} relPath шлях workflow для повідомлень
+ * @param {Record<string, unknown>} root parsed YAML workflow
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function verifyWorkflowEventPathsGlobsExist(relPath, root, passFn, failFn) {
+  const on = getObjKey(root, 'on')
+  if (!on || typeof on !== 'object') return
+
+  /** @type {Array<[eventName: string, paths: unknown]>} */
+  const candidates = [
+    ['push', getObjKey(getObjKey(on, 'push'), 'paths')],
+    ['pull_request', getObjKey(getObjKey(on, 'pull_request'), 'paths')]
+  ]
+
+  for (const [eventName, paths] of candidates) {
+    if (!Array.isArray(paths)) continue
+    for (const raw of paths) {
+      const p = String(raw ?? '').trim()
+      if (!p) continue
+      if (!shouldValidateWorkflowPathsGlob(p)) {
+        passFn(`${relPath}: on.${eventName}.paths glob пропущено для перевірки існування: ${JSON.stringify(p)}`)
+        continue
+      }
+      if (gitHasAnyTrackedFileMatchingGlob(p)) {
+        passFn(`${relPath}: on.${eventName}.paths glob матчитсья: ${JSON.stringify(p)}`)
+      } else {
+        failFn(`${relPath}: on.${eventName}.paths glob не матчитсья ні на один файл: ${JSON.stringify(p)}`)
+      }
+    }
+  }
+}
+
 /**
  * Безпечний доступ до вкладеного поля (лише для обʼєктів).
  * @param {unknown} obj значення-кандидат на обʼєкт
@@ -61,7 +138,7 @@ const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml',
  * @returns {unknown} значення поля або undefined
  */
 function getObjKey(obj, key) {
-  if (!obj || typeof obj !== 'object' || Array.isArray(obj)) return undefined
+  if (!obj || typeof obj !== 'object' || Array.isArray(obj)) return
   return /** @type {Record<string, unknown>} */ (obj)[key]
 }
 
@@ -75,6 +152,32 @@ function isExactString(v, expected) {
   return typeof v === 'string' && v === expected
 }
 
+/**
+ * Перевіряє крок dmvict/clean-workflow-runs@v1 у `clean-ga-workflows.yml`.
+ * @param {unknown} step0 перший крок workflow
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateCleanGaWorkflowsStep0(step0, passFn, failFn) {
+  if (!isExactString(getObjKey(step0, 'name'), 'Delete workflow runs')) {
+    failFn('clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)')
+  }
+  if (!isExactString(getObjKey(step0, 'uses'), 'dmvict/clean-workflow-runs@v1')) {
+    failFn('clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)')
+  }
+  const withObj = getObjKey(step0, 'with')
+  const githubToken = ['$', '{{ github.token }}'].join('')
+  if (
+    getObjKey(withObj, 'token') === githubToken &&
+    getObjKey(withObj, 'save_period') === 31 &&
+    getObjKey(withObj, 'save_min_runs_number') === 0
+  ) {
+    passFn('clean-ga-workflows.yml: jobs/steps OK')
+  } else {
+    failFn('clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc')
+  }
+}
+
 /**
  * Перевіряє структуру workflow `clean-ga-workflows.yml` (ga.mdc).
  * @param {Record<string, unknown> | null} root parsed YAML
@@ -87,10 +190,10 @@ function validateCleanGaWorkflows(root, passFn, failFn) {
     return
   }
 
-  if (!isExactString(root.name, 'Clean action for removing completed workflow runs')) {
-    failFn('clean-ga-workflows.yml: name має бути "Clean action for removing completed workflow runs" (ga.mdc)')
-  } else {
+  if (isExactString(root.name, 'Clean action for removing completed workflow runs')) {
     passFn('clean-ga-workflows.yml: name OK')
+  } else {
+    failFn('clean-ga-workflows.yml: name має бути "Clean action for removing completed workflow runs" (ga.mdc)')
   }
 
   const on = root.on
@@ -101,10 +204,10 @@ function validateCleanGaWorkflows(root, passFn, failFn) {
     Array.isArray(schedule) &&
     schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 16 * *')
 
-  if (!hasCron) {
-    failFn("clean-ga-workflows.yml: on.schedule має містити cron: '0 1 16 * *' (ga.mdc)")
-  } else {
+  if (hasCron) {
     passFn('clean-ga-workflows.yml: cron OK')
+  } else {
+    failFn("clean-ga-workflows.yml: on.schedule має містити cron: '0 1 16 * *' (ga.mdc)")
   }
 
   if (!wfDispatch || typeof wfDispatch !== 'object') {
@@ -136,21 +239,58 @@ function validateCleanGaWorkflows(root, passFn, failFn) {
     return
   }
 
-  if (!isExactString(getObjKey(step0, 'name'), 'Delete workflow runs')) {
-    failFn('clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)')
+  validateCleanGaWorkflowsStep0(step0, passFn, failFn)
+}
+
+/**
+ * Перевіряє крок `phpdocker-io/github-actions-delete-abandoned-branches` у `clean-merged-branch.yml`.
+ * @param {unknown} step0 перший крок workflow
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateCleanMergedBranchStep0(step0, failFn) {
+  if (!isExactString(getObjKey(step0, 'id'), 'delete_stuff')) {
+    failFn('clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)')
   }
-  if (!isExactString(getObjKey(step0, 'uses'), 'dmvict/clean-workflow-runs@v1')) {
-    failFn('clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)')
+  if (!isExactString(getObjKey(step0, 'uses'), 'phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3')) {
+    failFn('clean-merged-branch.yml: перший крок має uses як у ga.mdc')
   }
   const withObj = getObjKey(step0, 'with')
-  if (
-    !(getObjKey(withObj, 'token') === '${{ github.token }}' &&
-      getObjKey(withObj, 'save_period') === 31 &&
-      getObjKey(withObj, 'save_min_runs_number') === 0)
-  ) {
-    failFn('clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc')
+  const ghToken = ['$', '{{ github.token }}'].join('')
+  if (getObjKey(withObj, 'github_token') !== ghToken) {
+    failFn(['clean-merged-branch.yml: with.github_token має бути $', '{{ github.token }} (ga.mdc)'].join(''))
+  }
+  if (getObjKey(withObj, 'last_commit_age_days') !== 90) {
+    failFn('clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)')
+  }
+  const ignoreBranches = String(getObjKey(withObj, 'ignore_branches') ?? '')
+  if (!(ignoreBranches.includes('main') && ignoreBranches.includes('dev'))) {
+    failFn('clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)')
+  }
+  if (getObjKey(withObj, 'dry_run') !== 'no') {
+    failFn('clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)')
+  }
+}
+
+/**
+ * Перевіряє крок виводу в `clean-merged-branch.yml`.
+ * @param {unknown} step1 другий крок workflow
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateCleanMergedBranchStep1(step1, passFn, failFn) {
+  if (!isExactString(getObjKey(step1, 'name'), 'Get output')) {
+    failFn('clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)')
+  }
+  const env = getObjKey(step1, 'env')
+  const deletedBranchesExpr = ['$', '{{ steps.delete_stuff.outputs.deleted_branches }}'].join('')
+  if (getObjKey(env, 'DELETED_BRANCHES') !== deletedBranchesExpr) {
+    failFn('clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc')
+  }
+  const echoDeletedBranches = ['echo "Deleted branches: $', '{DELETED_BRANCHES}"'].join('')
+  if (String(getObjKey(step1, 'run') ?? '').includes(echoDeletedBranches)) {
+    passFn('clean-merged-branch.yml: jobs/steps OK')
   } else {
-    passFn('clean-ga-workflows.yml: jobs/steps OK')
+    failFn('clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc')
   }
 }
 
@@ -166,10 +306,10 @@ function validateCleanMergedBranch(root, passFn, failFn) {
     return
   }
 
-  if (!isExactString(root.name, 'Clean abandoned branches')) {
-    failFn('clean-merged-branch.yml: name має бути "Clean abandoned branches" (ga.mdc)')
-  } else {
+  if (isExactString(root.name, 'Clean abandoned branches')) {
     passFn('clean-merged-branch.yml: name OK')
+  } else {
+    failFn('clean-merged-branch.yml: name має бути "Clean abandoned branches" (ga.mdc)')
   }
 
   const on = root.on
@@ -179,10 +319,10 @@ function validateCleanMergedBranch(root, passFn, failFn) {
     Array.isArray(schedule) &&
     schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 15 * *')
 
-  if (!hasCron) {
-    failFn("clean-merged-branch.yml: on.schedule має містити cron: '0 1 15 * *' (ga.mdc)")
-  } else {
+  if (hasCron) {
     passFn('clean-merged-branch.yml: cron OK')
+  } else {
+    failFn("clean-merged-branch.yml: on.schedule має містити cron: '0 1 15 * *' (ga.mdc)")
   }
 
   if (!wfDispatch || typeof wfDispatch !== 'object') {
@@ -197,7 +337,7 @@ function validateCleanMergedBranch(root, passFn, failFn) {
   }
 
   const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'contents') === 'write')) {
+  if (getObjKey(perm, 'contents') !== 'write') {
     failFn('clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)')
   }
 
@@ -212,47 +352,39 @@ function validateCleanMergedBranch(root, passFn, failFn) {
     failFn('clean-merged-branch.yml: перший крок невалідний (ga.mdc)')
     return
   }
-
-  if (!isExactString(getObjKey(step0, 'id'), 'delete_stuff')) {
-    failFn('clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3')) {
-    failFn('clean-merged-branch.yml: перший крок має uses як у ga.mdc')
-  }
-  const withObj = getObjKey(step0, 'with')
-  if (getObjKey(withObj, 'github_token') !== '${{ github.token }}') {
-    failFn('clean-merged-branch.yml: with.github_token має бути ${{ github.token }} (ga.mdc)')
-  }
-  if (getObjKey(withObj, 'last_commit_age_days') !== 90) {
-    failFn('clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)')
-  }
-
-  const ignoreBranches = String(getObjKey(withObj, 'ignore_branches') ?? '')
-  if (!(ignoreBranches.includes('main') && ignoreBranches.includes('dev'))) {
-    failFn('clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)')
-  }
-
-  if (getObjKey(withObj, 'dry_run') !== 'no') {
-    failFn('clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)')
-  }
+  validateCleanMergedBranchStep0(step0, failFn)
 
   const step1 = steps[1]
   if (!step1 || typeof step1 !== 'object') {
     failFn('clean-merged-branch.yml: другий крок невалідний (ga.mdc)')
     return
   }
+  validateCleanMergedBranchStep1(step1, passFn, failFn)
+}
 
-  if (!isExactString(getObjKey(step1, 'name'), 'Get output')) {
-    failFn('clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)')
+/**
+ * Перевіряє тригери `on.push` / `on.pull_request` у `lint-ga.yml`.
+ * @param {unknown} on корінь `on:` з YAML
+ * @param {(msg: string) => void} failFn fail
+ */
+function validateLintGaOnTriggers(on, failFn) {
+  const push = getObjKey(on, 'push')
+  const pr = getObjKey(on, 'pull_request')
+  const pushBranches = getObjKey(push, 'branches')
+  const pushPaths = getObjKey(push, 'paths')
+  const prBranches = getObjKey(pr, 'branches')
+
+  if (!Array.isArray(pushBranches) || !(pushBranches.includes('dev') && pushBranches.includes('main'))) {
+    failFn('lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)')
   }
-  const env = getObjKey(step1, 'env')
-  if (getObjKey(env, 'DELETED_BRANCHES') !== '${{ steps.delete_stuff.outputs.deleted_branches }}') {
-    failFn('clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc')
+  if (!Array.isArray(prBranches) || !(prBranches.includes('dev') && prBranches.includes('main'))) {
+    failFn('lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)')
   }
-  if (!String(getObjKey(step1, 'run') ?? '').includes('echo "Deleted branches: ${DELETED_BRANCHES}"')) {
-    failFn('clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc')
-  } else {
-    passFn('clean-merged-branch.yml: jobs/steps OK')
+  if (
+    !Array.isArray(pushPaths) ||
+    !(pushPaths.includes('.github/actions/**') && pushPaths.includes('.github/workflows/**'))
+  ) {
+    failFn('lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)')
   }
 }
 
@@ -272,25 +404,10 @@ function validateLintGaWorkflowStructure(root, passFn, failFn) {
     failFn('lint-ga.yml: name має бути "Lint GA" (ga.mdc)')
   }
 
-  const on = root.on
-  const push = getObjKey(on, 'push')
-  const pr = getObjKey(on, 'pull_request')
-  const pushBranches = getObjKey(push, 'branches')
-  const pushPaths = getObjKey(push, 'paths')
-  const prBranches = getObjKey(pr, 'branches')
-
-  if (!Array.isArray(pushBranches) || !(pushBranches.includes('dev') && pushBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)')
-  }
-  if (!Array.isArray(prBranches) || !(prBranches.includes('dev') && prBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)')
-  }
-  if (!Array.isArray(pushPaths) || !(pushPaths.includes('.github/actions/**') && pushPaths.includes('.github/workflows/**'))) {
-    failFn('lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)')
-  }
+  validateLintGaOnTriggers(root.on, failFn)
 
   const conc = getObjKey(root, 'concurrency')
-  if (!(getObjKey(conc, 'cancel-in-progress') === true)) {
+  if (getObjKey(conc, 'cancel-in-progress') !== true) {
     failFn('lint-ga.yml: concurrency.cancel-in-progress має бути true (ga.mdc)')
   }
 
@@ -305,7 +422,7 @@ function validateLintGaWorkflowStructure(root, passFn, failFn) {
     failFn('lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)')
   }
   const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'contents') === 'read')) {
+  if (getObjKey(perm, 'contents') !== 'read') {
     failFn('lint-ga.yml: permissions мають бути contents: read (ga.mdc)')
   }
 
@@ -316,22 +433,22 @@ function validateLintGaWorkflowStructure(root, passFn, failFn) {
   }
 
   const flat = flattenWorkflowSteps(root)
-  const usesList = flat.map(s => getStepUses(s.step))
+  const usesList = new Set(flat.map(s => getStepUses(s.step)))
   const runBlob = flat.map(s => getStepRun(s.step)).join('\n')
 
-  if (!usesList.includes('actions/checkout@v6')) {
+  if (!usesList.has('actions/checkout@v6')) {
     failFn('lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)')
   }
-  if (!usesList.includes('./.github/actions/setup-bun-deps')) {
+  if (!usesList.has('./.github/actions/setup-bun-deps')) {
     failFn('lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)')
   }
-  if (!usesList.includes('astral-sh/setup-uv@v8.0.0')) {
+  if (!usesList.has('astral-sh/setup-uv@v8.0.0')) {
     failFn('lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)')
   }
-  if (!runBlob.includes('bun run lint-ga')) {
-    failFn('lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)')
-  } else {
+  if (runBlob.includes('bun run lint-ga')) {
     passFn('lint-ga.yml: структура jobs/steps OK')
+  } else {
+    failFn('lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)')
   }
 }
 
@@ -370,7 +487,7 @@ function validateGitAiWorkflowStructure(root, passFn, failFn) {
   }
 
   const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'contents') === 'write')) {
+  if (getObjKey(perm, 'contents') !== 'write') {
     failFn('git-ai.yml: permissions мають бути contents: write (ga.mdc)')
   }
 
@@ -379,10 +496,10 @@ function validateGitAiWorkflowStructure(root, passFn, failFn) {
   if (!runBlob.includes('curl -fsSL https://usegitai.com/install.sh | bash')) {
     failFn('git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)')
   }
-  if (!runBlob.includes('git-ai ci github run')) {
-    failFn('git-ai.yml: має виконувати git-ai ci github run (ga.mdc)')
-  } else {
+  if (runBlob.includes('git-ai ci github run')) {
     passFn('git-ai.yml: структура jobs/steps OK')
+  } else {
+    failFn('git-ai.yml: має виконувати git-ai ci github run (ga.mdc)')
   }
 }
 
@@ -837,6 +954,10 @@ export async function check() {
     verifyCheckoutBeforeLocalSetupBunDeps(`${wfDir}/${f}`, content, fail, pass)
     verifyNoDirectBunOrCache(`${wfDir}/${f}`, content, fail, pass)
     verifyNoRunShellLineContinuationBackslash(`${wfDir}/${f}`, content, fail, pass)
+    const parsed = parseWorkflowYaml(content)
+    if (parsed) {
+      verifyWorkflowEventPathsGlobsExist(`${wfDir}/${f}`, parsed, pass, fail)
+    }
   }
 
   await checkCanonicalWorkflowsMatchRule(wfDir, pass, fail)

package/scripts/check-js-mssql.mjs

@@ -0,0 +1,203 @@
+/**
+ * Перевіряє правило js-mssql.mdc.
+ *
+ * Якщо в будь-якому `package.json` у репозиторії (включно з workspace-пакетами) в секції `dependencies`
+ * присутній пакет `mssql`, його версія має бути не менше 12.5.0.
+ *
+ * Додатково, якщо `mssql` використовується в репозиторії, перевіряє що підключення
+ * не створюється “на кожен запит”: `new sql.ConnectionPool(...)` не має знаходитись
+ * всередині функцій. Пул має бути singleton (на рівні модуля) і повторно використовуватись.
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { join, relative, sep } from 'node:path'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import {
+  findMssqlPerRequestConnectionInText,
+  findUnsafeMssqlQueryTemplateCallInText,
+  isMssqlScanSourceFile
+} from './utils/mssql-pool-scan.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+const VERSION_PREFIX_RE = /^[\^~>=<]+\s*/u
+const SEMVER_RE = /^(\d+)\.(\d+)\.(\d+)/u
+
+/** Мінімальна дозволена версія mssql (js-mssql.mdc). */
+const MIN_MSSQL_VERSION = { major: 12, minor: 5, patch: 0 }
+
+/**
+ * Знаходить всі `package.json` у репозиторії (крім пропущених директорій у walkDir).
+ * @param {string} repoRoot абсолютний шлях до кореня репозиторію
+ * @returns {Promise<string[]>} абсолютні шляхи, відсортовані за відносним шляхом
+ */
+async function findAllPackageJsonPaths(repoRoot) {
+  /** @type {string[]} */
+  const paths = []
+  await walkDir(repoRoot, absPath => {
+    if (absPath.endsWith(`${sep}package.json`)) {
+      paths.push(absPath)
+    }
+  })
+  paths.sort((a, b) => relative(repoRoot, a).localeCompare(relative(repoRoot, b)))
+  return paths
+}
+
+/**
+ * Збирає абсолютні шляхи JS/TS джерел у репозиторії для скану mssql.
+ * @param {string} repoRoot абсолютний шлях до кореня репозиторію
+ * @returns {Promise<string[]>} абсолютні шляхи, відсортовані за відносним шляхом
+ */
+async function findAllSourcePathsForMssqlScan(repoRoot) {
+  /** @type {string[]} */
+  const paths = []
+  await walkDir(repoRoot, absPath => {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    if (isMssqlScanSourceFile(rel)) {
+      paths.push(absPath)
+    }
+  })
+  paths.sort((a, b) => relative(repoRoot, a).localeCompare(relative(repoRoot, b)))
+  return paths
+}
+
+/**
+ * @param {unknown} v parsed JSON
+ * @returns {Record<string, unknown>} object або {}
+ */
+function asObject(v) {
+  if (!v || typeof v !== 'object' || Array.isArray(v)) return {}
+  return /** @type {Record<string, unknown>} */ (v)
+}
+
+/**
+ * Витягає рядок версії `dependencies.mssql`, якщо він існує.
+ * @param {unknown} deps deps з package.json
+ * @returns {string | null} версія або null
+ */
+function getMssqlDependencyRange(deps) {
+  const o = asObject(deps)
+  const v = o.mssql
+  return typeof v === 'string' && v.trim() ? v.trim() : null
+}
+
+/**
+ * Парсить першу semver з діапазону виду "^12.5.0", ">=12.5.0", "12.5.0".
+ * @param {string} range версійний діапазон
+ * @returns {{ major: number, minor: number, patch: number } | null} semver або null
+ */
+function parseLeadingSemver(range) {
+  const cleaned = String(range).trim().replace(VERSION_PREFIX_RE, '')
+  const m = cleaned.match(SEMVER_RE)
+  if (!m) return null
+  const major = Number(m[1])
+  const minor = Number(m[2])
+  const patch = Number(m[3])
+  if ([major, minor, patch].some(n => Number.isNaN(n))) return null
+  return { major, minor, patch }
+}
+
+/**
+ * @param {{ major: number, minor: number, patch: number }} a
+ * @param {{ major: number, minor: number, patch: number }} b
+ * @returns {boolean} true, якщо a >= b
+ */
+function semverGte(a, b) {
+  if (a.major !== b.major) return a.major > b.major
+  if (a.minor !== b.minor) return a.minor > b.minor
+  return a.patch >= b.patch
+}
+
+/**
+ * Перевіряє відповідність проєкту правилу js-mssql.mdc
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const repoRoot = process.cwd()
+  const rootPkg = join(repoRoot, 'package.json')
+  if (!existsSync(rootPkg)) {
+    pass('js-mssql: package.json у корені відсутній — перевірку пропущено')
+    return reporter.getExitCode()
+  }
+
+  const pkgJsonPaths = await findAllPackageJsonPaths(repoRoot)
+  if (pkgJsonPaths.length === 0) {
+    pass('js-mssql: package.json не знайдено — перевірку пропущено')
+    return reporter.getExitCode()
+  }
+
+  let found = 0
+  let bad = 0
+  for (const absPath of pkgJsonPaths) {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    let parsed
+    try {
+      parsed = JSON.parse(await readFile(absPath, 'utf8'))
+    } catch {
+      fail(`js-mssql: ${rel} — невалідний JSON`)
+      continue
+    }
+    const range = getMssqlDependencyRange(parsed.dependencies)
+    if (range) {
+      found++
+      const parsedVer = parseLeadingSemver(range)
+      if (!parsedVer) {
+        bad++
+        fail(`js-mssql: ${rel}: dependencies.mssql має нечитабельну версію: ${JSON.stringify(range)} (js-mssql.mdc)`)
+        continue
+      }
+      if (semverGte(parsedVer, MIN_MSSQL_VERSION)) {
+        pass(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} (>=12.5.0)`)
+      } else {
+        bad++
+        fail(`js-mssql: ${rel}: dependencies.mssql ${JSON.stringify(range)} — має бути >=12.5.0 (js-mssql.mdc)`)
+      }
+    }
+  }
+
+  if (found === 0) {
+    pass('js-mssql: пакет mssql не знайдено в dependencies жодного package.json')
+  } else if (bad === 0) {
+    pass(`js-mssql: всі знайдені dependencies.mssql відповідають мінімальній версії 12.5.0 (${found})`)
+  }
+
+  if (found > 0) {
+    const sourcePaths = await findAllSourcePathsForMssqlScan(repoRoot)
+    if (sourcePaths.length === 0) {
+      pass('js-mssql: немає JS/TS файлів для скану singleton ConnectionPool')
+      return reporter.getExitCode()
+    }
+
+    let violations = 0
+    let unsafeQueryCalls = 0
+    for (const absPath of sourcePaths) {
+      const rel = relative(repoRoot, absPath).split('\\').join('/')
+      const content = await readFile(absPath, 'utf8')
+      for (const v of findMssqlPerRequestConnectionInText(content, rel)) {
+        violations++
+        fail(
+          `js-mssql: ${rel}:${v.line} — не створюй new sql.ConnectionPool(...) на кожен запит; використовуй singleton sql.ConnectionPool: ${v.snippet}`
+        )
+      }
+      for (const v of findUnsafeMssqlQueryTemplateCallInText(content, rel)) {
+        unsafeQueryCalls++
+        fail(
+          `js-mssql: ${rel}:${v.line} — заборонено query(\`...\`): це не tagged template; використовуй pool.request().query\`...\` (js-mssql.mdc): ${v.snippet}`
+        )
+      }
+    }
+
+    if (violations === 0) {
+      pass('js-mssql: немає створення new sql.ConnectionPool(...) всередині функцій (singleton pool)')
+    }
+    if (unsafeQueryCalls === 0) {
+      pass('js-mssql: немає небезпечних викликів query(`...`) (потрібно query`...`)')
+    }
+  }
+
+  return reporter.getExitCode()
+}
+