@nitra/cursor 1.8.131 → 1.8.132

package/bin/auto-rules.md

@@ -26,6 +26,8 @@ nginx-default-tpl - якщо присутній хоч один файл з пе
 
 npm-module - якщо в корені присутня директорія npm
 
+php - якщо присутній хоч один php файл
+
 style-lint - якщо присутній хоч один vue або css файл
 
 text - завжди

package/mdc/docker.mdc

@@ -18,6 +18,71 @@ alwaysApply: false
 
 Це гарантує, що результуючий образ містить лише runtime (alpine) або nginx, без build tooling і node_modules.
 
+## компіляція
+
+Якщо проект має bun install крок, та не є фронтенд проектом (тобто не має bun build крок), то потрібно щоб була компіляція коду, і далі у фінальному образі був тільки бінарник і Цей образ не містив компілятора, npm, Bun — тільки runtime libs. Наприклад:
+
+```dockerfile
+FROM mirror.gcr.io/oven/bun:alpine AS build-env
+
+WORKDIR /app
+
+ENV NODE_ENV=production
+
+COPY package.json .
+COPY bunfig.toml .
+
+RUN bun install --production
+
+COPY ./src ./src
+
+# Компілюємо в бінарник
+RUN bun build --compile --outfile app ./src/index.js
+
+FROM mirror.gcr.io/library/alpine:latest
+
+# (libstdc++ libgcc) для Bun runtime, (tzdata) для часового поясу
+RUN apk add --no-cache libstdc++ libgcc tzdata
+
+WORKDIR /app
+
+COPY --from=build-env /app/app ./app
+
+CMD ["./app"]
+```
+
+## не превілейований образ
+
+Для всих образів потрібно щоб використовувся non root принцип, наприклад:
+
+```dockerfile
+# Stage 1
+FROM oven/bun:alpine AS build-env
+WORKDIR /app
+COPY package.json bunfig.toml .
+RUN bun install --production
+COPY ./src ./src
+RUN bun build --compile --outfile app ./src/index.js
+
+# Stage 2
+FROM alpine:latest
+RUN apk add --no-cache libstdc++ libgcc tzdata
+
+# ✅ Додати non-root user
+RUN addgroup -g 1000 app && adduser -D -u 1000 -G app app
+
+WORKDIR /app
+
+# ✅ Змінити власника файлу
+COPY --from=build-env --chown=app:app /app/app ./app
+
+# ✅ Запускати як non-root
+USER app
+
+CMD ["./app"]
+
+```
+
 ## Область
 
 - Усі файли з іменем **`Dockerfile`** або **`Dockerfile.*`** (наприклад `Dockerfile.prod`) у репозиторії, крім ігнорованих каталогів (`node_modules`, `.git`, `dist`, …) — як у **`check-docker.mjs`**.

package/mdc/php.mdc

@@ -0,0 +1,132 @@
+---
+description: PHP
+alwaysApply: true
+version: '1.0'
+---
+
+Весь код повинен відповідати PHP 8.5, перевіряти за допомогою PHPCompatibility, конвертувати за допомогою Rector.
+
+Код повинен бути добре документований за допомогою phpDoc-ів:
+
+```php
+/** @param array<int, string> $items */
+function process($items) {
+    foreach ($items as $id => $name) {
+        // PHPStan знає, що $id — int, $name — string
+    }
+}
+```
+
+## Потрібно додати до lint-php
+
+### PHP_CodeSniffer (phpcs) і пакет `squizlabs/php_codesniffer`
+
+Стиль, базові ризики, за потреби окремі стандарти. Для **SQL injection**, **XSS**, **небезпечні функції** — PHPCS + **php-security-audit** (стандарт `Security`).
+
+```bash
+phpcs --standard=Security app/
+```
+
+### PHPStan
+
+Статичний аналіз типів і смертельних слабких місць; **PHPStan Taint Analysis** (`phpstan/phpstan-taint-analysis`) — для потоку даних (taint) у стилі security-аналізу.
+
+```bash
+vendor/bin/phpstan analyse
+# після підключення розширення taint — у phpstan.neon/ neon.dist
+```
+
+### PHP-CS-Fixer
+
+Форматтер/фіксер коду; у **lint** зазвичай перевірка без змін (`--dry-run`).
+
+```bash
+vendor/bin/php-cs-fixer fix --dry-run --diff
+```
+
+### Psalm
+
+Альтернативний/додатковий аналізатор; **Psalm Security Plugin** (`vimeo/psalm` + пакет на кшталт `psalm/plugin-security` залежно від вибраної збірки) — для security-орієнтованих правил.
+
+```bash
+vendor/bin/psalm
+```
+
+### `composer audit`
+
+Перевірка відомих вразливостей залежностей за даними **Packagist/security-advisories**.
+
+```bash
+composer audit
+```
+
+## lint-php
+
+`composer`-інструмененти не мають єдиного CLI, який сам обходить репозиторій, тому `lint-php` зручно делегувати у JS-скрипт-обгортку (як `lint-docker`, `lint-k8s`).
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-php": "bun ./npm/scripts/run-php.mjs"
+  }
+}
+```
+
+Скрипт `run-php.mjs`:
+
+- якщо `composer.json` у корені відсутній — вихід 0 (перевірка пропущена);
+- якщо `composer.json` є, але `composer` не знайдено в PATH — це помилка;
+- `composer audit` — обовʼязковий;
+- `vendor/bin/php-cs-fixer`, `vendor/bin/phpcs`, `vendor/bin/phpstan`, `vendor/bin/psalm` — запускаються лише якщо встановлені (інакше крок пропускається з повідомленням).
+
+## CI: `.github/workflows/lint-php.yml`
+
+```yaml title=".github/workflows/lint-php.yml"
+name: Lint PHP
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/*.php'
+      - 'composer.json'
+      - 'composer.lock'
+      - 'phpstan.neon'
+      - 'phpstan.neon.dist'
+      - 'psalm.xml'
+      - '.github/workflows/lint-php.yml'
+
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  php:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - name: Install PHP
+        uses: shivammathur/setup-php@v2
+        with:
+          php-version: '8.5'
+
+      - name: Install Composer dependencies
+        run: composer install --no-interaction --no-progress --prefer-dist
+
+      - name: Lint PHP
+        run: bun run lint-php
+```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.131",
+  "version": "1.8.132",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/auto-rules.mjs

@@ -30,6 +30,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'k8s',
   'nginx-default-tpl',
   'npm-module',
+  'php',
   'style-lint',
   'text',
   'vue'
@@ -42,6 +43,7 @@ const ABIE_REPOSITORY_URL_MARKER = 'https://github.com/abinbevefes/'
 const JS_LIKE_RE = /\.(?:mjs|cjs|js|jsx|ts|tsx)$/iu
 const STYLE_RE = /\.(?:css|vue)$/iu
 const VUE_RE = /\.vue$/iu
+const PHP_RE = /\.php$/iu
 const NGINX_DEFAULT_FILES = new Set(['default.conf.template', 'default.conf', 'nginx.conf'])
 const IGNORED_DIR_NAMES = new Set(['node_modules', '.git', '.next', '.turbo'])
 const DEFAULT_DISABLED_LIST = Object.freeze([])
@@ -79,7 +81,7 @@ async function hasMssqlDependencyInAnyPackageJson(root) {
         try {
           const parsed = JSON.parse(await readFile(absPath, 'utf8'))
           const deps = parsed?.dependencies
-          if (deps && typeof deps === 'object' && !Array.isArray(deps) && Object.prototype.hasOwnProperty.call(deps, 'mssql')) {
+          if (deps && typeof deps === 'object' && !Array.isArray(deps) && Object.hasOwn(deps, 'mssql')) {
             found = true
             return
           }
@@ -120,6 +122,7 @@ function updateDirFacts(dirName, facts) {
  *   hasDockerfile: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasPhpSource: boolean,
  *   hasVueOrCssSource: boolean,
  *   hasVueSource: boolean
  * }} facts агреговані факти
@@ -138,6 +141,9 @@ function updateFileFacts(fileName, relPath, facts) {
   if (VUE_RE.test(relPath)) {
     facts.hasVueSource = true
   }
+  if (PHP_RE.test(relPath)) {
+    facts.hasPhpSource = true
+  }
   if (STYLE_RE.test(relPath)) {
     facts.hasVueOrCssSource = true
   }
@@ -262,6 +268,7 @@ export function isMonorepoPackage(packageJson) {
  *   hasK8sDir: boolean,
  *   hasNginxDefaultTplFile: boolean,
  *   hasTempoDir: boolean,
+ *   hasPhpSource: boolean,
  *   hasVueSource: boolean,
  *   hasVueOrCssSource: boolean
  * }>} агреговані факти
@@ -275,6 +282,7 @@ export async function collectAutoRuleFacts(root) {
     hasK8sDir: false,
     hasNginxDefaultTplFile: false,
     hasTempoDir: false,
+    hasPhpSource: false,
     hasVueSource: false,
     hasVueOrCssSource: false
   }
@@ -387,6 +395,7 @@ export async function detectAutoRulesAndSkills({
     { enabled: facts.hasK8sDir, id: 'k8s' },
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },
     { enabled: npmDirExists, id: 'npm-module' },
+    { enabled: facts.hasPhpSource, id: 'php' },
     { enabled: facts.hasVueOrCssSource, id: 'style-lint' }
   ]
   for (const item of autoRuleChecks) {

package/scripts/check-docker.mjs

@@ -9,6 +9,10 @@
  * - backend: `mirror.gcr.io/library/alpine:*`
  * - frontend: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
  *
+ * Якщо в Dockerfile є крок `bun install` і це не frontend-образ (фінальний stage — alpine),
+ * то очікується компіляція в один бінарник через `bun build --compile` у build stage, а у
+ * фінальному stage не повинно залишатися build tooling (Bun/Node).
+ *
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
  * runtime (alpine), nginx або openresty.
  *
@@ -25,6 +29,10 @@ import { createCheckReporter } from './utils/check-reporter.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
 const NEWLINE_RE = /\r?\n/
+const BUN_INSTALL_RE = /\bbun\s+(?:install|i)\b/iu
+const BUN_BUILD_COMPILE_RE = /\bbun\s+build\b[^\n]*\s--compile\b/iu
+const BUN_WORD_RE = /\bbun\b/iu
+const USER_LINE_RE = /^\s*USER\s+([^\s#]+)/iu
 
 /**
  * @typedef {{
@@ -80,6 +88,28 @@ const RUNTIME_IMAGES = /** @type {const} */ ([
   'mirror.gcr.io/openresty/openresty'
 ])
 
+/**
+ * Розбиває Dockerfile на stages за `FROM` (порожній масив, якщо FROM немає).
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {Array<{ from: FromStage, stageContent: string }>} stages з `FROM` і вмістом stage
+ */
+export function splitDockerfileStages(fileContent) {
+  const stages = parseFromStages(fileContent)
+  if (stages.length === 0) return []
+
+  const lines = fileContent.split(NEWLINE_RE)
+  /** @type {Array<{ from: FromStage, stageContent: string }>} */
+  const out = []
+
+  for (const [idx, from] of stages.entries()) {
+    const startLineIdx = Math.max(0, from.line - 1)
+    const next = stages[idx + 1]
+    const endLineExclusive = next ? Math.max(0, next.line - 1) : lines.length
+    out.push({ from, stageContent: lines.slice(startLineIdx, endLineExclusive).join('\n') })
+  }
+  return out
+}
+
 /**
  * Перевіряє базові вимоги до структури Dockerfile:
  * - multistage: мінімум 2 FROM
@@ -107,6 +137,88 @@ export function getMultistageAndRuntimeHint(fileContent) {
   return null
 }
 
+/**
+ * Перевіряє вимогу "компіляція в бінарник" для bun-проєктів на backend runtime.
+ *
+ * Тригер:
+ * - у Dockerfile є крок `bun install` (або `bun i`);
+ * - фінальний FROM — `mirror.gcr.io/library/alpine:*` (тобто не nginx/openresty frontend).
+ *
+ * Очікування:
+ * - у build stage є `bun build --compile`;
+ * - у фінальному stage немає викликів `bun` (залишків build tooling).
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getBunCompileHint(fileContent) {
+  const stages = splitDockerfileStages(fileContent)
+  if (stages.length === 0) return null
+
+  const last = stages.at(-1)
+  const lastImage = (last?.from.image || '').split('@')[0] || ''
+  const lastLower = lastImage.toLowerCase()
+
+  const hasBunInstall = BUN_INSTALL_RE.test(fileContent)
+  const isFinalAlpine = lastLower.startsWith('mirror.gcr.io/library/alpine:')
+  const isFinalFrontend =
+    lastLower.startsWith('mirror.gcr.io/library/nginx:') || lastLower.startsWith('mirror.gcr.io/openresty/openresty:')
+
+  if (!hasBunInstall) return null
+  if (!isFinalAlpine) return null
+  if (isFinalFrontend) return null
+
+  const hasCompile = BUN_BUILD_COMPILE_RE.test(fileContent)
+  if (!hasCompile) {
+    return 'є `bun install`, але немає `bun build --compile` — для backend-образу потрібно компілювати застосунок у бінарник (docker.mdc: компіляція)'
+  }
+
+  const lastStageContent = last?.stageContent || ''
+  if (BUN_WORD_RE.test(lastStageContent)) {
+    return 'фінальний stage не має містити Bun (RUN/CMD/ENTRYPOINT з `bun`) — залиш у runtime stage лише бінарник і runtime libs (docker.mdc: компіляція)'
+  }
+
+  return null
+}
+
+/**
+ * Перевіряє вимогу "non-root" у фінальному runtime stage (docker.mdc).
+ *
+ * Очікування:
+ * - у фінальному stage має бути інструкція `USER <name|uid>`;
+ * - користувач не має бути `root` і не має бути `0`.
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getNonRootRuntimeHint(fileContent) {
+  const stages = splitDockerfileStages(fileContent)
+  if (stages.length === 0) return null
+
+  const last = stages.at(-1)
+  const lastStageContent = last?.stageContent || ''
+
+  /** @type {string | null} */
+  let lastUserToken = null
+  for (const line of lastStageContent.split(NEWLINE_RE)) {
+    const m = line.match(USER_LINE_RE)
+    if (m) {
+      lastUserToken = (m[1] || '').replaceAll('"', '').replaceAll("'", '')
+    }
+  }
+
+  if (!lastUserToken) {
+    return 'у фінальному stage має бути `USER <non-root>` (наприклад `USER app`) — принцип non-root (docker.mdc: не превілейований образ)'
+  }
+
+  const normalized = lastUserToken.trim().toLowerCase()
+  if (normalized === 'root' || normalized === '0') {
+    return `фінальний stage має запускатися не від root: зараз \`USER ${lastUserToken}\` (docker.mdc: не превілейований образ)`
+  }
+
+  return null
+}
+
 /**
  * Перевіряє Dockerfile / Containerfile через hadolint (docker.mdc).
  * @returns {Promise<number>} 0 — все OK, 1 — є зауваження або помилка запуску
@@ -138,6 +250,16 @@ export async function check() {
       fail(`${rel} (multistage): ${multistageHint}`)
     }
 
+    const compileHint = getBunCompileHint(content)
+    if (compileHint) {
+      fail(`${rel} (compile): ${compileHint}`)
+    }
+
+    const nonRootHint = getNonRootRuntimeHint(content)
+    if (nonRootHint) {
+      fail(`${rel} (non-root): ${nonRootHint}`)
+    }
+
     const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
     const tail = (stdout + stderr).trim()
     if (ok) {

package/scripts/check-php.mjs

@@ -0,0 +1,80 @@
+/**
+ * Перевіряє вимоги правила php.mdc для PHP-проєктів.
+ *
+ * Очікування:
+ * - у корені є `composer.json`;
+ * - у `package.json` є скрипт `lint-php` (рекомендовано делегувати в `run-php.mjs`);
+ * - у `.github/workflows/lint-php.yml` є крок `run: bun run lint-php` (для Bun-репозиторіїв).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { anyRunStepIncludes, parseWorkflowYaml } from './utils/gha-workflow.mjs'
+
+/**
+ * Перевіряє наявність `composer.json`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+function checkComposer(reporter) {
+  const { pass, fail } = reporter
+  if (existsSync('composer.json')) {
+    pass('composer.json існує')
+  } else {
+    fail('composer.json не знайдено в корені — додай (php.mdc)')
+  }
+}
+
+/**
+ * Перевіряє кореневий `package.json` на скрипт `lint-php`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+async function checkPackageJson(reporter) {
+  const { pass, fail } = reporter
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (php.mdc)')
+    return
+  }
+  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
+  const lintPhp = pkg.scripts?.['lint-php']
+  if (lintPhp) {
+    pass('package.json містить скрипт lint-php')
+  } else {
+    fail('package.json: додай скрипт "lint-php" (php.mdc)')
+  }
+}
+
+/**
+ * Перевіряє workflow `lint-php.yml`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+async function checkWorkflow(reporter) {
+  const { pass, fail } = reporter
+  const wfPath = '.github/workflows/lint-php.yml'
+  if (!existsSync(wfPath)) {
+    fail(`${wfPath} не існує — створи згідно php.mdc`)
+    return
+  }
+  const content = await readFile(wfPath, 'utf8')
+  pass('lint-php.yml існує')
+  const root = parseWorkflowYaml(content)
+  const ok = root ? anyRunStepIncludes(root, 'bun run lint-php') : content.includes('bun run lint-php')
+  if (ok) {
+    pass('lint-php.yml викликає bun run lint-php')
+  } else {
+    fail('lint-php.yml має містити крок run: bun run lint-php (php.mdc)')
+  }
+}
+
+/**
+ * Перевіряє відповідність проєкту правилам php.mdc.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  checkComposer(reporter)
+  await checkPackageJson(reporter)
+  await checkWorkflow(reporter)
+  return reporter.getExitCode()
+}
+

package/scripts/run-php.mjs

@@ -0,0 +1,125 @@
+/**
+ * Запуск `lint-php` за правилом php.mdc: `composer audit` і, якщо встановлені пакети, запуск
+ * PHPStan, Psalm, PHP-CS-Fixer (dry-run) та PHPCS зі стандартом Security.
+ *
+ * Скрипт не вимагає, щоб усі інструменти були встановлені: якщо відповідного файла
+ * `vendor/bin/<tool>` немає, крок пропускається з повідомленням. Але якщо в корені є
+ * `composer.json`, то `composer` має бути доступний у PATH (інакше це помилка).
+ *
+ * Якщо `composer.json` у корені відсутній — вихід 0 без запуску інструментів.
+ */
+import { spawnSync } from 'node:child_process'
+import { existsSync, statSync } from 'node:fs'
+import { join, resolve } from 'node:path'
+
+import { isRunAsCli } from './cli-entry.mjs'
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { resolveCmd } from './utils/resolve-cmd.mjs'
+
+const PHPCS_CODE_DIR_CANDIDATES = ['app', 'src', 'lib', 'public', 'www']
+
+/**
+ * Каталоги коду для PHPCS (якщо типових директорій немає — перевіряємо `.`).
+ * @param {string} root корінь репозиторію
+ * @returns {string[]} перелік шляхів (відносно root), які варто передати у `phpcs`
+ */
+export function getPhpcsCodePaths(root) {
+  const out = []
+  for (const d of PHPCS_CODE_DIR_CANDIDATES) {
+    const p = join(root, d)
+    if (existsSync(p) && statSync(p).isDirectory()) out.push(d)
+  }
+  return out.length > 0 ? out : ['.']
+}
+
+/**
+ * @param {string} root корінь репозиторію
+ * @param {string} name імʼя файла у vendor/bin
+ * @returns {string | null} абсолютний шлях або null, якщо файла немає
+ */
+function vendorBin(root, name) {
+  const p = resolve(root, 'vendor', 'bin', name)
+  return existsSync(p) ? p : null
+}
+
+/**
+ * @param {string} label назва кроку для повідомлень
+ * @param {string} abs абсолютний шлях до CLI
+ * @param {string[]} args аргументи
+ * @param {(msg: string) => void} pass callback pass
+ * @param {(msg: string) => void} fail callback fail
+ * @returns {boolean} true якщо OK
+ */
+function runTool(label, abs, args, pass, fail) {
+  const r = spawnSync(abs, args, { stdio: 'inherit', shell: false })
+  if (r.status === 0) {
+    pass(`lint-php: ${label} — OK`)
+    return true
+  }
+  const code = typeof r.status === 'number' ? r.status : 1
+  fail(`lint-php: ${label} — помилка (код ${code}, php.mdc)`)
+  return false
+}
+
+/**
+ * Запускає `lint-php`.
+ * @returns {number} 0 — OK, 1 — є помилки
+ */
+export function run() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const root = process.cwd()
+  if (!existsSync(join(root, 'composer.json'))) {
+    pass('lint-php: немає composer.json у корені — кроки PHP пропущено')
+    return reporter.getExitCode()
+  }
+
+  const composer = resolveCmd('composer')
+  if (!composer) {
+    fail('lint-php: `composer` не знайдено в PATH (потрібен при наявному composer.json, php.mdc)')
+    return reporter.getExitCode()
+  }
+
+  if (!runTool('composer audit', composer, ['audit', '--no-interaction'], pass, fail)) return reporter.getExitCode()
+
+  /**
+   * Запускає інструмент з `vendor/bin`, якщо він встановлений.
+   * @param {string} binName імʼя файла у vendor/bin
+   * @param {string} label назва кроку
+   * @param {string[]} args аргументи CLI
+   * @returns {boolean} true, якщо крок успішний або пропущений
+   */
+  function runOptionalVendorTool(binName, label, args) {
+    const abs = vendorBin(root, binName)
+    if (!abs) {
+      pass(`lint-php: vendor/bin/${binName} — відсутній, крок пропущено`)
+      return true
+    }
+    return runTool(label, abs, args, pass, fail)
+  }
+
+  if (!runOptionalVendorTool('php-cs-fixer', 'PHP-CS-Fixer (dry-run)', ['fix', '--dry-run', '--diff'])) {
+    return reporter.getExitCode()
+  }
+
+  const phpcsPaths = getPhpcsCodePaths(root)
+  if (
+    !runOptionalVendorTool('phpcs', 'phpcs (Security)', [
+      '--standard=Security',
+      '--ignore=*/vendor/*,*/node_modules/*,*/.git/*',
+      ...phpcsPaths
+    ])
+  ) {
+    return reporter.getExitCode()
+  }
+
+  if (!runOptionalVendorTool('phpstan', 'PHPStan', ['analyse', '--no-progress'])) return reporter.getExitCode()
+  if (!runOptionalVendorTool('psalm', 'Psalm', ['--no-cache'])) return reporter.getExitCode()
+
+  return reporter.getExitCode()
+}
+
+if (isRunAsCli()) {
+  process.exitCode = run()
+}