@nitra/cursor 1.8.131 → 1.8.135

package/bin/auto-rules.md

@@ -8,6 +8,8 @@ abie - якщо в кореневому package.json в секції "repository
 
 bun - якщо в корені проекту є package.json
 
+capacitor - якщо в проекті є хоч один файл capacitor.config.json
+
 docker - якщо в проекті є хоч один Dockerfile
 
 ga - якщо присутня директорія .github/workflows
@@ -26,6 +28,8 @@ nginx-default-tpl - якщо присутній хоч один файл з пе
 
 npm-module - якщо в корені присутня директорія npm
 
+php - якщо присутній хоч один php файл
+
 style-lint - якщо присутній хоч один vue або css файл
 
 text - завжди

package/mdc/capacitor.mdc

@@ -0,0 +1,18 @@
+---
+description: Правила для проєктів Capacitor
+alwaysApply: true
+version: '1.0'
+---
+
+## Версія Capacitor
+
+У `package.json` (у **корені** репозиторію чи **workspace**-пакеті) оголошення **`@capacitor/core`**
+має вказувати діапазон, **сумісний лише з мажорною версією 8 і вище** (наприклад `^8.0.0`).
+**`*`**, `latest` і діапазони, де можлива 7-мажор, — неприйнятні. Програма перевірки — **`check-capacitor.mjs`**
+(репозиторій **@nitra/cursor**).
+
+## iOS: лише SPM
+
+Нативний iOS-шар **не** повинен використовувати **CocoaPods** (наприклад файл **`Podfile`**
+поза каталогом `Pods/`) — **Swift Package Manager (SPM)**. Якщо каталога **`ios/`** немає, перевірка iOS
+у цьому кроці пропускається.

package/mdc/docker.mdc

@@ -18,6 +18,71 @@ alwaysApply: false
 
 Це гарантує, що результуючий образ містить лише runtime (alpine) або nginx, без build tooling і node_modules.
 
+## компіляція
+
+Якщо проект має bun install крок, та не є фронтенд проектом (тобто не має bun build крок), то потрібно щоб була компіляція коду, і далі у фінальному образі був тільки бінарник і Цей образ не містив компілятора, npm, Bun — тільки runtime libs. Наприклад:
+
+```dockerfile
+FROM mirror.gcr.io/oven/bun:alpine AS build-env
+
+WORKDIR /app
+
+ENV NODE_ENV=production
+
+COPY package.json .
+COPY bunfig.toml .
+
+RUN bun install --production
+
+COPY ./src ./src
+
+# Компілюємо в бінарник
+RUN bun build --compile --outfile app ./src/index.js
+
+FROM mirror.gcr.io/library/alpine:latest
+
+# (libstdc++ libgcc) для Bun runtime, (tzdata) для часового поясу
+RUN apk add --no-cache libstdc++ libgcc tzdata
+
+WORKDIR /app
+
+COPY --from=build-env /app/app ./app
+
+CMD ["./app"]
+```
+
+## не превілейований образ
+
+Для всих образів потрібно щоб використовувся non root принцип, наприклад:
+
+```dockerfile
+# Stage 1
+FROM oven/bun:alpine AS build-env
+WORKDIR /app
+COPY package.json bunfig.toml .
+RUN bun install --production
+COPY ./src ./src
+RUN bun build --compile --outfile app ./src/index.js
+
+# Stage 2
+FROM alpine:latest
+RUN apk add --no-cache libstdc++ libgcc tzdata
+
+# ✅ Додати non-root user
+RUN addgroup -g 1000 app && adduser -D -u 1000 -G app app
+
+WORKDIR /app
+
+# ✅ Змінити власника файлу
+COPY --from=build-env --chown=app:app /app/app ./app
+
+# ✅ Запускати як non-root
+USER app
+
+CMD ["./app"]
+
+```
+
 ## Область
 
 - Усі файли з іменем **`Dockerfile`** або **`Dockerfile.*`** (наприклад `Dockerfile.prod`) у репозиторії, крім ігнорованих каталогів (`node_modules`, `.git`, `dist`, …) — як у **`check-docker.mjs`**.

package/mdc/k8s.mdc

@@ -416,6 +416,8 @@ spec:
 
 У маніфестах під **`k8s`** заборонено **`apiVersion: autoscaling/v1`** (legacy HPA з єдиною метрикою CPU). Мігруй **HorizontalPodAutoscaler** на **`autoscaling/v2`**: поле **`spec.metrics`** (замість **`spec.targetCPUUtilizationPercentage`**) з **`type: Resource`** і **`target.type: Utilization`** / **`AverageUtilization`** — підтримує декілька метрик і зовнішні метрики. `check k8s` падає на будь-якому документі з **`apiVersion: autoscaling/v1`**.
 
+Ресурси **batch** (наприклад **CronJob**, **Job**): застаріле **`apiVersion: batch/v1beta1`** у файлах під **`k8s` під час `check k8s` переписується** на **`apiVersion: batch/v1`**.
+
 ```yaml
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2

package/mdc/php.mdc

@@ -0,0 +1,132 @@
+---
+description: PHP
+alwaysApply: true
+version: '1.0'
+---
+
+Весь код повинен відповідати PHP 8.5, перевіряти за допомогою PHPCompatibility, конвертувати за допомогою Rector.
+
+Код повинен бути добре документований за допомогою phpDoc-ів:
+
+```php
+/** @param array<int, string> $items */
+function process($items) {
+    foreach ($items as $id => $name) {
+        // PHPStan знає, що $id — int, $name — string
+    }
+}
+```
+
+## Потрібно додати до lint-php
+
+### PHP_CodeSniffer (phpcs) і пакет `squizlabs/php_codesniffer`
+
+Стиль, базові ризики, за потреби окремі стандарти. Для **SQL injection**, **XSS**, **небезпечні функції** — PHPCS + **php-security-audit** (стандарт `Security`).
+
+```bash
+phpcs --standard=Security app/
+```
+
+### PHPStan
+
+Статичний аналіз типів і смертельних слабких місць; **PHPStan Taint Analysis** (`phpstan/phpstan-taint-analysis`) — для потоку даних (taint) у стилі security-аналізу.
+
+```bash
+vendor/bin/phpstan analyse
+# після підключення розширення taint — у phpstan.neon/ neon.dist
+```
+
+### PHP-CS-Fixer
+
+Форматтер/фіксер коду; у **lint** зазвичай перевірка без змін (`--dry-run`).
+
+```bash
+vendor/bin/php-cs-fixer fix --dry-run --diff
+```
+
+### Psalm
+
+Альтернативний/додатковий аналізатор; **Psalm Security Plugin** (`vimeo/psalm` + пакет на кшталт `psalm/plugin-security` залежно від вибраної збірки) — для security-орієнтованих правил.
+
+```bash
+vendor/bin/psalm
+```
+
+### `composer audit`
+
+Перевірка відомих вразливостей залежностей за даними **Packagist/security-advisories**.
+
+```bash
+composer audit
+```
+
+## lint-php
+
+`composer`-інструмененти не мають єдиного CLI, який сам обходить репозиторій, тому `lint-php` зручно делегувати у JS-скрипт-обгортку (як `lint-docker`, `lint-k8s`).
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-php": "bun ./npm/scripts/run-php.mjs"
+  }
+}
+```
+
+Скрипт `run-php.mjs`:
+
+- якщо `composer.json` у корені відсутній — вихід 0 (перевірка пропущена);
+- якщо `composer.json` є, але `composer` не знайдено в PATH — це помилка;
+- `composer audit` — обовʼязковий;
+- `vendor/bin/php-cs-fixer`, `vendor/bin/phpcs`, `vendor/bin/phpstan`, `vendor/bin/psalm` — запускаються лише якщо встановлені (інакше крок пропускається з повідомленням).
+
+## CI: `.github/workflows/lint-php.yml`
+
+```yaml title=".github/workflows/lint-php.yml"
+name: Lint PHP
+
+on:
+  push:
+    branches:
+      - dev
+      - main
+    paths:
+      - '**/*.php'
+      - 'composer.json'
+      - 'composer.lock'
+      - 'phpstan.neon'
+      - 'phpstan.neon.dist'
+      - 'psalm.xml'
+      - '.github/workflows/lint-php.yml'
+
+  pull_request:
+    branches:
+      - dev
+      - main
+
+concurrency:
+  group: ${{ github.ref }}-${{ github.workflow }}
+  cancel-in-progress: true
+
+jobs:
+  php:
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+    steps:
+      - uses: actions/checkout@v6
+        with:
+          persist-credentials: false
+
+      - uses: ./.github/actions/setup-bun-deps
+
+      - name: Install PHP
+        uses: shivammathur/setup-php@v2
+        with:
+          php-version: '8.5'
+
+      - name: Install Composer dependencies
+        run: composer install --no-interaction --no-progress --prefer-dist
+
+      - name: Lint PHP
+        run: bun run lint-php
+```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.131",
+  "version": "1.8.135",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/auto-rules.mjs

@@ -21,6 +21,7 @@ import {
 export const AUTO_RULE_ORDER = Object.freeze([
   'abie',
   'bun',
+  'capacitor',
   'docker',
   'ga',
   'graphql',
@@ -30,6 +31,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'k8s',
   'nginx-default-tpl',
   'npm-module',
+  'php',
   'style-lint',
   'text',
   'vue'
@@ -42,6 +44,7 @@ const ABIE_REPOSITORY_URL_MARKER = 'https://github.com/abinbevefes/'
 const JS_LIKE_RE = /\.(?:mjs|cjs|js|jsx|ts|tsx)$/iu
 const STYLE_RE = /\.(?:css|vue)$/iu
 const VUE_RE = /\.vue$/iu
+const PHP_RE = /\.php$/iu
 const NGINX_DEFAULT_FILES = new Set(['default.conf.template', 'default.conf', 'nginx.conf'])
 const IGNORED_DIR_NAMES = new Set(['node_modules', '.git', '.next', '.turbo'])
 const DEFAULT_DISABLED_LIST = Object.freeze([])
@@ -79,7 +82,7 @@ async function hasMssqlDependencyInAnyPackageJson(root) {
         try {
           const parsed = JSON.parse(await readFile(absPath, 'utf8'))
           const deps = parsed?.dependencies
-          if (deps && typeof deps === 'object' && !Array.isArray(deps) && Object.prototype.hasOwnProperty.call(deps, 'mssql')) {
+          if (deps && typeof deps === 'object' && !Array.isArray(deps) && Object.hasOwn(deps, 'mssql')) {
             found = true
             return
           }
@@ -117,15 +120,20 @@ function updateDirFacts(dirName, facts) {
  * @param {string} fileName базове імʼя файлу
  * @param {string} relPath шлях відносно кореня
  * @param {{
+ *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasPhpSource: boolean,
  *   hasVueOrCssSource: boolean,
  *   hasVueSource: boolean
  * }} facts агреговані факти
  * @returns {void}
  */
 function updateFileFacts(fileName, relPath, facts) {
+  if (fileName === 'capacitor.config.json') {
+    facts.hasCapacitorConfig = true
+  }
   if (fileName === 'Dockerfile' || fileName.startsWith('Dockerfile.')) {
     facts.hasDockerfile = true
   }
@@ -138,6 +146,9 @@ function updateFileFacts(fileName, relPath, facts) {
   if (VUE_RE.test(relPath)) {
     facts.hasVueSource = true
   }
+  if (PHP_RE.test(relPath)) {
+    facts.hasPhpSource = true
+  }
   if (STYLE_RE.test(relPath)) {
     facts.hasVueOrCssSource = true
   }
@@ -176,6 +187,7 @@ async function updateGqlFactFromFile(absPath, relPath, facts) {
  * @param {string} absPath абсолютний шлях до файлу
  * @param {string} root абсолютний шлях кореня
  * @param {{
+ *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasGqlTaggedTemplates: boolean,
  *   hasJsLikeSource: boolean,
@@ -255,6 +267,7 @@ export function isMonorepoPackage(packageJson) {
  * Обходить дерево проєкту, збираючи факти для автоувімкнення правил.
  * @param {string} root абсолютний шлях кореня репозиторію
  * @returns {Promise<{
+ *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasGaWorkflowsDir: boolean,
  *   hasGqlTaggedTemplates: boolean,
@@ -262,12 +275,14 @@ export function isMonorepoPackage(packageJson) {
  *   hasK8sDir: boolean,
  *   hasNginxDefaultTplFile: boolean,
  *   hasTempoDir: boolean,
+ *   hasPhpSource: boolean,
  *   hasVueSource: boolean,
  *   hasVueOrCssSource: boolean
  * }>} агреговані факти
  */
 export async function collectAutoRuleFacts(root) {
   const facts = {
+    hasCapacitorConfig: false,
     hasDockerfile: false,
     hasGaWorkflowsDir: existsSync(join(root, '.github', 'workflows')),
     hasGqlTaggedTemplates: false,
@@ -275,6 +290,7 @@ export async function collectAutoRuleFacts(root) {
     hasK8sDir: false,
     hasNginxDefaultTplFile: false,
     hasTempoDir: false,
+    hasPhpSource: false,
     hasVueSource: false,
     hasVueOrCssSource: false
   }
@@ -378,6 +394,7 @@ export async function detectAutoRulesAndSkills({
   const autoRuleChecks = [
     { enabled: isAbie, id: 'abie' },
     { enabled: packageJsonExists, id: 'bun' },
+    { enabled: facts.hasCapacitorConfig, id: 'capacitor' },
     { enabled: facts.hasDockerfile, id: 'docker' },
     { enabled: facts.hasGaWorkflowsDir, id: 'ga' },
     { enabled: facts.hasGqlTaggedTemplates, id: 'graphql' },
@@ -387,6 +404,7 @@ export async function detectAutoRulesAndSkills({
     { enabled: facts.hasK8sDir, id: 'k8s' },
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },
     { enabled: npmDirExists, id: 'npm-module' },
+    { enabled: facts.hasPhpSource, id: 'php' },
     { enabled: facts.hasVueOrCssSource, id: 'style-lint' }
   ]
   for (const item of autoRuleChecks) {

package/scripts/check-capacitor.mjs

@@ -0,0 +1,350 @@
+/**
+ * Перевіряє відповідність проєкту правилам capacitor.mdc для застосунків **Capacitor**.
+ *
+ * Якщо у репозиторії **немає** ознак Capacitor (див. наведене) — вихід **0**, перевірка не застосовується.
+ *
+ * **Ознака Capacitor:** наявні **`capacitor.config.json`**, **`capacitor.config.ts`**, **`capacitor.config.mjs`**
+ * (у корені) **або** у будь-якому `package.json` (рекурсивно, з пропуском типових каталогів) оголошено
+ * хоча б одну залежність **`@capacitor/…`** (у **`dependencies`**, **`devDependencies`**, опційно
+ * **`optionalDependencies`**, **`peerDependencies`**).
+ *
+ * **Версія мінімум 8:** у кожному `package.json`, де вказано **`@capacitor/core`**, діапазон версії
+ * мусить допускати лише **Capacitor 8+** (оцінка мінімального **major** з рядка діапазону npm, зокрема
+ * `||` і діапазонів через `-` у спрощеному вигляді). **`*`**, **latest** та нерозпізнані випадки — **порушення**:
+ * варто задати явний діапазон, наприклад **`^8.0.0`**. Якщо оголошено `capacitor.config.*` без жодного
+ * **`@capacitor/core`** у дереві `package.json` — також помилка.
+ *
+ * **iOS лише через SPM (Swift Package Manager):** якщо в корні є каталог **`ios/`** — у ньому **не** має
+ * бути файлів **Podfile** (CocoaPods) **поза** каталогом **Pods** (тобто не використовувати **Podfile**
+ * у вихідному iOS-шарі; присутній **Podfile** — порушення). Якщо **немає** `ios/` — вимогу iOS у цьому
+ * прогоні пропущено.
+ */
+import { existsSync } from 'node:fs'
+import { readdir, readFile } from 'node:fs/promises'
+import { join, relative } from 'node:path'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+
+/** Мінімальна допустима мажорна версія Capacitor (capacitor.mdc) */
+const MIN_CAPACITOR_MAJOR = 8
+
+/** @type {Set<string>} */
+const IGNORED_DIRS_FOR_PACKAGE_JSON = new Set([
+  'node_modules',
+  '.git',
+  'dist',
+  'coverage',
+  'Pods',
+  '.turbo',
+  '.next',
+  'build'
+])
+
+/** `||` у діапазоні npm-версій */
+const NPM_OR_PARTS_RE = /\s*\|\|\s*/
+
+/** `a - b` (діапазон діапазонів) */
+const NPM_HYPHEN_RANGE_RE = /^(.+?)\s+-\s+(.+)$/
+
+const FIRST_VERSION_NUM_RE = /^(?:v)?(\d+)/i
+
+const PREFIX_GEQ_RE = /^>=\s*/u
+const PREFIX_GT_RE = /^>\s*/u
+const STRIP_CARET_TILDE_EQ_RE = /^[=^~]+\s*/u
+
+/**
+ * Мінімальний **major** (нижня межа) для **однієї** OR-частини діапазону npm (без `||` всередині).
+ * @param {string} segment одна частина після `||` або весь рядок
+ * @returns {number | null} null, якщо **`*` / `x` / `latest`**, або **major** **нижньої** межі
+ */
+export function capacitorSegmentMinMajor(segment) {
+  if (typeof segment !== 'string') {
+    return null
+  }
+  const s0 = segment.trim()
+  if (!s0) {
+    return null
+  }
+  const low = s0.toLowerCase()
+  if (s0 === '*' || low === 'x' || low === 'latest') {
+    return null
+  }
+  if (s0.startsWith('<') || s0.startsWith('<=')) {
+    return 0
+  }
+  if (s0.startsWith('>') && !s0.startsWith('>=')) {
+    return firstVersionMajorFromNpmValue(s0.replace(PREFIX_GT_RE, ''))
+  }
+  const rangeHyphen = s0.match(NPM_HYPHEN_RANGE_RE)
+  if (rangeHyphen) {
+    return firstVersionMajorFromNpmValue(rangeHyphen[1].trim())
+  }
+  if (s0.startsWith('^') || s0.startsWith('~') || s0.startsWith('=')) {
+    return firstVersionMajorFromNpmValue(s0.replace(STRIP_CARET_TILDE_EQ_RE, ''))
+  }
+  if (s0.startsWith('>=')) {
+    return firstVersionMajorFromNpmValue(s0.replace(PREFIX_GEQ_RE, ''))
+  }
+  return firstVersionMajorFromNpmValue(s0)
+}
+
+/**
+ * Витягує **major** з першого числа у вигляді **X** або **X.Y** / **X.Y.Z** (опційно **v**).
+ * @param {string} t рядок ділянки **версії** (без префікса **операторів**)
+ * @returns {number | null} перше **ціле** (major) або **null**
+ */
+function firstVersionMajorFromNpmValue(t) {
+  const s = t.trim()
+  if (!s) {
+    return null
+  }
+  const m = s.match(FIRST_VERSION_NUM_RE)
+  if (!m) {
+    return null
+  }
+  return Number.parseInt(m[1], 10)
+}
+
+/**
+ * Мінімальна можлива (нижня) **major**-версія для повного діапазону npm, у т. ч. з `||`.
+ * @param {string} versionRange повне поле `package.json` для **@capacitor/core**
+ * @returns {number | null} **null** якщо **`*` / latest** в одній з частин
+ */
+export function capacitorVersionRangeMinMajor(versionRange) {
+  if (typeof versionRange !== 'string') {
+    return null
+  }
+  const parts = versionRange.split(NPM_OR_PARTS_RE)
+  let overallMin = /** @type {number | null} */ (null)
+  for (const p of parts) {
+    const m = capacitorSegmentMinMajor(p)
+    if (m === null) {
+      return null
+    }
+    if (overallMin === null || m < overallMin) {
+      overallMin = m
+    }
+  }
+  return overallMin
+}
+
+/**
+ * @param {string} versionRange рядок **версії** з `package.json`
+ * @param {number} [min] мінімальний **major** (за замовчуванням `MIN_CAPACITOR_MAJOR`)
+ * @returns {boolean} **true**, якщо нижня межа **≥** **min**
+ */
+export function isCapacitorCoreVersionAtLeast8(versionRange, min = MIN_CAPACITOR_MAJOR) {
+  const low = capacitorVersionRangeMinMajor(versionRange)
+  if (low === null) {
+    return false
+  }
+  return low >= min
+}
+
+/**
+ * @param {(m: string) => void} fail друк помилки
+ * @param {(m: string) => void} pass друк успіху
+ * @param {string} rel відносний **posix**-шлях `package.json`
+ * @param {string} range поле `version` для **@capacitor/core**
+ * @returns {void}
+ */
+function reportOneCapacitorCoreRange(fail, pass, rel, range) {
+  if (isCapacitorCoreVersionAtLeast8(range)) {
+    pass(`«${rel}»: @capacitor/core — діапазон сумісний з ${MIN_CAPACITOR_MAJOR}+`)
+  } else {
+    fail(
+      `«${rel}»: @capacitor/core «${range}» — мінімальна допустима мажорна версія Capacitor ${MIN_CAPACITOR_MAJOR} (capacitor.mdc). Вкажи, наприклад, ^${MIN_CAPACITOR_MAJOR}.0.0`
+    )
+  }
+}
+
+/**
+ * @param {string} absPath шлях до `package.json`
+ * @param {string} root корінь репозиторію
+ * @param {{ byPath: Map<string, string>, anyCapacitor: boolean }} out накопичувач **byPath** і **anyCapacitor**
+ * @returns {Promise<void>}
+ */
+export async function recordCapacitorFromOnePackageJson(absPath, root, out) {
+  let raw
+  try {
+    raw = await readFile(absPath, 'utf8')
+  } catch {
+    return
+  }
+  let pkg
+  try {
+    pkg = JSON.parse(raw)
+  } catch {
+    return
+  }
+  const rel = (relative(root, absPath) || absPath).replaceAll('\\', '/')
+  for (const block of ['dependencies', 'devDependencies', 'optionalDependencies', 'peerDependencies']) {
+    const rec = pkg?.[block]
+    if (rec !== null && rec !== undefined && typeof rec === 'object' && !Array.isArray(rec)) {
+      const obj = /** @type {Record<string, unknown>} */ (rec)
+      for (const [name, val] of Object.entries(obj)) {
+        if (typeof name === 'string' && name.startsWith('@capacitor/')) {
+          out.anyCapacitor = true
+        }
+        if (name === '@capacitor/core' && typeof val === 'string' && val !== '') {
+          out.byPath.set(rel, val)
+        }
+      }
+    }
+  }
+}
+
+/**
+ * Зчитує всі `package.json` з дерева, накопичує `byPath` і `anyCapacitor`.
+ * @param {string} root корінь репозиторію
+ * @param {{ byPath: Map<string, string>, anyCapacitor: boolean }} out накопичувач
+ * @returns {Promise<void>}
+ */
+export async function collectCapacitorDataFromAllPackageJson(root, out) {
+  out.anyCapacitor = false
+  if (out.byPath) {
+    out.byPath.clear()
+  } else {
+    out.byPath = new Map()
+  }
+
+  /**
+   * @param {string} dir абсолютний **каталог** для `readdir`
+   * @returns {Promise<void>}
+   */
+  async function walk(dir) {
+    let entries
+    try {
+      entries = await readdir(dir, { withFileTypes: true })
+    } catch {
+      return
+    }
+    for (const entry of entries) {
+      const absPath = join(dir, entry.name)
+      if (entry.isDirectory() && !IGNORED_DIRS_FOR_PACKAGE_JSON.has(entry.name)) {
+        await walk(absPath)
+      } else if (entry.isFile() && entry.name === 'package.json') {
+        await recordCapacitorFromOnePackageJson(absPath, root, out)
+      }
+    }
+  }
+
+  await walk(root)
+}
+
+/**
+ * @param {string} root абсолютний або **cwd**-відносний **корінь** репозиторію
+ * @returns {boolean} **true** якщо `capacitor.config.{json,ts,mjs}` існує
+ */
+export function hasCapacitorConfigInRoot(root) {
+  return (
+    existsSync(join(root, 'capacitor.config.json')) ||
+    existsSync(join(root, 'capacitor.config.ts')) ||
+    existsSync(join(root, 'capacitor.config.mjs'))
+  )
+}
+
+/**
+ * Чи варто застосовувати правила: конфіг **або** **@capacitor/** у залежностях.
+ * @param {string} root корінь
+ * @param {boolean} anyCapacitor чи зустрілось **@capacitor/** у **package.json**
+ * @returns {boolean} **true** якщо застосовуємо **check capacitor**
+ */
+export function isCapacitorRelevantForCheck(root, anyCapacitor) {
+  return hasCapacitorConfigInRoot(root) || anyCapacitor
+}
+
+/**
+ * Рекурсивно шукає `Podfile` у **ios/**, **не** заходячи в **Pods** (кеш CocoaPods) і типові build-каталоги.
+ * @param {string} root корінь репозиторію
+ * @param {string} dir абсолютний каталог
+ * @param {(rel: string) => void} onPodfileRelative **callback** з **posix**-шляхом `Podfile` від **root**
+ * @returns {Promise<boolean>} **true** — знайдено **хоча б один** `Podfile`
+ */
+export async function walkIosForPodfileSkipPods(root, dir, onPodfileRelative) {
+  let entries
+  try {
+    entries = await readdir(dir, { withFileTypes: true })
+  } catch {
+    return false
+  }
+  for (const e of entries) {
+    if (e.name !== 'Pods' && e.name !== 'build' && e.name !== 'DerivedData') {
+      const abs = join(dir, e.name)
+      if (e.isFile() && e.name === 'Podfile') {
+        onPodfileRelative((relative(root, abs) || abs).replaceAll('\\', '/'))
+        return true
+      }
+      if (e.isDirectory()) {
+        const found = await walkIosForPodfileSkipPods(root, abs, onPodfileRelative)
+        if (found) {
+          return true
+        }
+      }
+    }
+  }
+  return false
+}
+
+/**
+ * @param {string} root корінь
+ * @returns {Promise<string | null>} **relative**-шлях `Podfile` (або **null**)
+ */
+export async function findFirstPodfileUnderIosExcludingPods(root) {
+  const iosDir = join(root, 'ios')
+  if (!existsSync(iosDir)) {
+    return null
+  }
+  let first = /** @type {string | null} */ (null)
+  await walkIosForPodfileSkipPods(root, iosDir, rel => {
+    if (first === null || rel.length < first.length) {
+      first = rel
+    }
+  })
+  return first
+}
+
+/**
+ * @returns {Promise<number>} **0** — **ok**; **1** — **fail** (див. **capacitor.mdc**)
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail, getExitCode } = reporter
+  const root = process.cwd()
+
+  const acc = { byPath: new Map(), anyCapacitor: false }
+  await collectCapacitorDataFromAllPackageJson(root, acc)
+  const { byPath, anyCapacitor } = acc
+
+  if (!isCapacitorRelevantForCheck(root, anyCapacitor)) {
+    pass('Capacitor не виявлено (без capacitor.config у корені, без @capacitor/ у package.json) — check capacitor пропущено')
+    return getExitCode()
+  }
+
+  pass('Проєкт з ознаками Capacitor — застосовую capacitor.mdc')
+
+  if (byPath.size === 0) {
+    fail(
+      `додай залежність @capacitor/core з діапазоном ^${MIN_CAPACITOR_MAJOR}.0.0 (або іншим, сумісним лише з ${MIN_CAPACITOR_MAJOR}+) у package.json (capacitor.mdc)`
+    )
+  } else {
+    for (const [rel, range] of byPath) {
+      reportOneCapacitorCoreRange(fail, pass, rel, range)
+    }
+  }
+
+  const podfileRel = await findFirstPodfileUnderIosExcludingPods(root)
+  if (podfileRel === null) {
+    if (existsSync(join(root, 'ios'))) {
+      pass('ios/ без Podfile поза Pods/ (лише SPM, capacitor.mdc)')
+    } else {
+      pass('каталог ios/ не знайдено — вимогу iOS/SPM пропущено')
+    }
+  } else {
+    fail(
+      `iOS: знайдено Podfile «${podfileRel}» — для Capacitor використовуй лише SPM, без CocoaPods (прибери Podfile, capacitor.mdc)`
+    )
+  }
+
+  return getExitCode()
+}

package/scripts/check-docker.mjs

@@ -9,6 +9,10 @@
  * - backend: `mirror.gcr.io/library/alpine:*`
  * - frontend: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
  *
+ * Якщо в Dockerfile є крок `bun install` і це не frontend-образ (фінальний stage — alpine),
+ * то очікується компіляція в один бінарник через `bun build --compile` у build stage, а у
+ * фінальному stage не повинно залишатися build tooling (Bun/Node).
+ *
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
  * runtime (alpine), nginx або openresty.
  *
@@ -25,6 +29,10 @@ import { createCheckReporter } from './utils/check-reporter.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
 const NEWLINE_RE = /\r?\n/
+const BUN_INSTALL_RE = /\bbun\s+(?:install|i)\b/iu
+const BUN_BUILD_COMPILE_RE = /\bbun\s+build\b[^\n]*\s--compile\b/iu
+const BUN_WORD_RE = /\bbun\b/iu
+const USER_LINE_RE = /^\s*USER\s+([^\s#]+)/iu
 
 /**
  * @typedef {{
@@ -80,6 +88,28 @@ const RUNTIME_IMAGES = /** @type {const} */ ([
   'mirror.gcr.io/openresty/openresty'
 ])
 
+/**
+ * Розбиває Dockerfile на stages за `FROM` (порожній масив, якщо FROM немає).
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {Array<{ from: FromStage, stageContent: string }>} stages з `FROM` і вмістом stage
+ */
+export function splitDockerfileStages(fileContent) {
+  const stages = parseFromStages(fileContent)
+  if (stages.length === 0) return []
+
+  const lines = fileContent.split(NEWLINE_RE)
+  /** @type {Array<{ from: FromStage, stageContent: string }>} */
+  const out = []
+
+  for (const [idx, from] of stages.entries()) {
+    const startLineIdx = Math.max(0, from.line - 1)
+    const next = stages[idx + 1]
+    const endLineExclusive = next ? Math.max(0, next.line - 1) : lines.length
+    out.push({ from, stageContent: lines.slice(startLineIdx, endLineExclusive).join('\n') })
+  }
+  return out
+}
+
 /**
  * Перевіряє базові вимоги до структури Dockerfile:
  * - multistage: мінімум 2 FROM
@@ -107,6 +137,88 @@ export function getMultistageAndRuntimeHint(fileContent) {
   return null
 }
 
+/**
+ * Перевіряє вимогу "компіляція в бінарник" для bun-проєктів на backend runtime.
+ *
+ * Тригер:
+ * - у Dockerfile є крок `bun install` (або `bun i`);
+ * - фінальний FROM — `mirror.gcr.io/library/alpine:*` (тобто не nginx/openresty frontend).
+ *
+ * Очікування:
+ * - у build stage є `bun build --compile`;
+ * - у фінальному stage немає викликів `bun` (залишків build tooling).
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getBunCompileHint(fileContent) {
+  const stages = splitDockerfileStages(fileContent)
+  if (stages.length === 0) return null
+
+  const last = stages.at(-1)
+  const lastImage = (last?.from.image || '').split('@')[0] || ''
+  const lastLower = lastImage.toLowerCase()
+
+  const hasBunInstall = BUN_INSTALL_RE.test(fileContent)
+  const isFinalAlpine = lastLower.startsWith('mirror.gcr.io/library/alpine:')
+  const isFinalFrontend =
+    lastLower.startsWith('mirror.gcr.io/library/nginx:') || lastLower.startsWith('mirror.gcr.io/openresty/openresty:')
+
+  if (!hasBunInstall) return null
+  if (!isFinalAlpine) return null
+  if (isFinalFrontend) return null
+
+  const hasCompile = BUN_BUILD_COMPILE_RE.test(fileContent)
+  if (!hasCompile) {
+    return 'є `bun install`, але немає `bun build --compile` — для backend-образу потрібно компілювати застосунок у бінарник (docker.mdc: компіляція)'
+  }
+
+  const lastStageContent = last?.stageContent || ''
+  if (BUN_WORD_RE.test(lastStageContent)) {
+    return 'фінальний stage не має містити Bun (RUN/CMD/ENTRYPOINT з `bun`) — залиш у runtime stage лише бінарник і runtime libs (docker.mdc: компіляція)'
+  }
+
+  return null
+}
+
+/**
+ * Перевіряє вимогу "non-root" у фінальному runtime stage (docker.mdc).
+ *
+ * Очікування:
+ * - у фінальному stage має бути інструкція `USER <name|uid>`;
+ * - користувач не має бути `root` і не має бути `0`.
+ *
+ * @param {string} fileContent вміст Dockerfile/Containerfile
+ * @returns {string | null} повідомлення помилки або null
+ */
+export function getNonRootRuntimeHint(fileContent) {
+  const stages = splitDockerfileStages(fileContent)
+  if (stages.length === 0) return null
+
+  const last = stages.at(-1)
+  const lastStageContent = last?.stageContent || ''
+
+  /** @type {string | null} */
+  let lastUserToken = null
+  for (const line of lastStageContent.split(NEWLINE_RE)) {
+    const m = line.match(USER_LINE_RE)
+    if (m) {
+      lastUserToken = (m[1] || '').replaceAll('"', '').replaceAll("'", '')
+    }
+  }
+
+  if (!lastUserToken) {
+    return 'у фінальному stage має бути `USER <non-root>` (наприклад `USER app`) — принцип non-root (docker.mdc: не превілейований образ)'
+  }
+
+  const normalized = lastUserToken.trim().toLowerCase()
+  if (normalized === 'root' || normalized === '0') {
+    return `фінальний stage має запускатися не від root: зараз \`USER ${lastUserToken}\` (docker.mdc: не превілейований образ)`
+  }
+
+  return null
+}
+
 /**
  * Перевіряє Dockerfile / Containerfile через hadolint (docker.mdc).
  * @returns {Promise<number>} 0 — все OK, 1 — є зауваження або помилка запуску
@@ -138,6 +250,16 @@ export async function check() {
       fail(`${rel} (multistage): ${multistageHint}`)
     }
 
+    const compileHint = getBunCompileHint(content)
+    if (compileHint) {
+      fail(`${rel} (compile): ${compileHint}`)
+    }
+
+    const nonRootHint = getNonRootRuntimeHint(content)
+    if (nonRootHint) {
+      fail(`${rel} (non-root): ${nonRootHint}`)
+    }
+
     const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
     const tail = (stdout + stderr).trim()
     if (ok) {

package/scripts/check-k8s.mjs

@@ -23,6 +23,8 @@
  *
  * **`kind: Ingress`** заборонено (потрібен перехід на Gateway API).
  * **`apiVersion: autoscaling/v1`** заборонено (мігруй **HorizontalPodAutoscaler** на **`autoscaling/v2`**).
+ * Рядок **`apiVersion: batch/v1beta1`** (CronJob, Job) **автоматично** переписується на **`apiVersion: batch/v1`**
+ * (окрім рядків-коментарів і рядків, де після значення йде наприклад `# …`).
  *
  * Файли під **`k8s`**, де всі YAML-документи — лише **`kind: BackendConfig`**, **видаляються** автоматично.
  * Якщо **BackendConfig** змішано з іншими ресурсами в одному файлі — перевірка завершується помилкою (розділи маніфести).
@@ -93,7 +95,7 @@
  * не з’явиться `Deployment` (k8s.mdc).
  */
 import { existsSync } from 'node:fs'
-import { readFile, readdir, stat, unlink } from 'node:fs/promises'
+import { readFile, readdir, stat, unlink, writeFile } from 'node:fs/promises'
 import { basename, dirname, join, relative, resolve } from 'node:path'
 
 import { parseAllDocuments } from 'yaml'
@@ -1561,6 +1563,73 @@ async function removeBackendConfigOnlyK8sYamlFiles(root, fail, pass) {
   }
 }
 
+/**
+ * Один рядок YAML: якщо це `apiVersion` зі значенням **`batch/v1beta1`**, повертає той самий рядок із **`batch/v1`**
+ * (з тими самими відступами/пробілами після `apiVersion:`, крім випадків з лапками — нормалізується до `apiVersion: batch/v1`).
+ * Рядки, що після trim починаються з `#`, не змінюються.
+ * @param {string} line
+ * @returns {string}
+ */
+function rewriteLineBatchV1beta1ApiVersion(line) {
+  const t = line.trimStart()
+  if (t.startsWith('#')) {
+    return line
+  }
+  const m = line.match(/^(\s*apiVersion:\s*)(?:"|')?batch\/v1beta1(?:"|')?(\s*)$/)
+  if (m) {
+    return `${m[1]}batch/v1${m[2]}`
+  }
+  return line
+}
+
+/**
+ * У повному тексті YAML замінює всі **цілі** рядки `apiVersion: batch/v1beta1` (за потреби в лапках) на `apiVersion: batch/v1`.
+ * Зберігає **CRLF** / **LF** як у вихідному рядку.
+ * @param {string} raw вміст файлу
+ * @returns {{ changed: boolean, content: string }}
+ */
+export function replaceBatchV1beta1ApiVersionInYamlText(raw) {
+  const eol = raw.includes('\r\n') ? '\r\n' : '\n'
+  const lines = raw.split(/\r?\n/)
+  let changed = false
+  const out = lines.map(line => {
+    const n = rewriteLineBatchV1beta1ApiVersion(line)
+    if (n !== line) {
+      changed = true
+    }
+    return n
+  })
+  if (!changed) {
+    return { changed: false, content: raw }
+  }
+  return { changed: true, content: out.join(eol) }
+}
+
+/**
+ * Проходить усі `*.yaml` / `*.yml` під сегментом `k8s` і на диску застосовує **`replaceBatchV1beta1ApiVersionInYamlText`**.
+ * @param {string} root корінь репозиторію
+ * @param {(msg: string) => void} fail
+ * @param {(msg: string) => void} pass
+ * @returns {Promise<void>}
+ */
+async function rewriteBatchV1beta1ApiVersionInK8sYamlFiles(root, fail, pass) {
+  const yamlFiles = await findK8sYamlFiles(root)
+  for (const abs of yamlFiles) {
+    const rel = (relative(root, abs) || abs).replaceAll('\\', '/')
+    try {
+      const raw = await readFile(abs, 'utf8')
+      const { changed, content } = replaceBatchV1beta1ApiVersionInYamlText(raw)
+      if (changed) {
+        await writeFile(abs, content, 'utf8')
+        pass(`${rel}: оновлено apiVersion batch/v1beta1 → batch/v1 (k8s.mdc)`)
+      }
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати/записати при заміні batch/v1beta1 → batch/v1 (${msg})`)
+    }
+  }
+}
+
 /**
  * Прибирає BOM і ділить на рядки.
  * @param {string} content вміст файлу
@@ -4819,6 +4888,8 @@ export async function check() {
 
   const root = process.cwd()
 
+  await rewriteBatchV1beta1ApiVersionInK8sYamlFiles(root, fail, pass)
+
   await removeBackendConfigOnlyK8sYamlFiles(root, fail, pass)
 
   const yamlFiles = await findK8sYamlFiles(root)

package/scripts/check-php.mjs

@@ -0,0 +1,80 @@
+/**
+ * Перевіряє вимоги правила php.mdc для PHP-проєктів.
+ *
+ * Очікування:
+ * - у корені є `composer.json`;
+ * - у `package.json` є скрипт `lint-php` (рекомендовано делегувати в `run-php.mjs`);
+ * - у `.github/workflows/lint-php.yml` є крок `run: bun run lint-php` (для Bun-репозиторіїв).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { anyRunStepIncludes, parseWorkflowYaml } from './utils/gha-workflow.mjs'
+
+/**
+ * Перевіряє наявність `composer.json`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+function checkComposer(reporter) {
+  const { pass, fail } = reporter
+  if (existsSync('composer.json')) {
+    pass('composer.json існує')
+  } else {
+    fail('composer.json не знайдено в корені — додай (php.mdc)')
+  }
+}
+
+/**
+ * Перевіряє кореневий `package.json` на скрипт `lint-php`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+async function checkPackageJson(reporter) {
+  const { pass, fail } = reporter
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (php.mdc)')
+    return
+  }
+  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
+  const lintPhp = pkg.scripts?.['lint-php']
+  if (lintPhp) {
+    pass('package.json містить скрипт lint-php')
+  } else {
+    fail('package.json: додай скрипт "lint-php" (php.mdc)')
+  }
+}
+
+/**
+ * Перевіряє workflow `lint-php.yml`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
+ */
+async function checkWorkflow(reporter) {
+  const { pass, fail } = reporter
+  const wfPath = '.github/workflows/lint-php.yml'
+  if (!existsSync(wfPath)) {
+    fail(`${wfPath} не існує — створи згідно php.mdc`)
+    return
+  }
+  const content = await readFile(wfPath, 'utf8')
+  pass('lint-php.yml існує')
+  const root = parseWorkflowYaml(content)
+  const ok = root ? anyRunStepIncludes(root, 'bun run lint-php') : content.includes('bun run lint-php')
+  if (ok) {
+    pass('lint-php.yml викликає bun run lint-php')
+  } else {
+    fail('lint-php.yml має містити крок run: bun run lint-php (php.mdc)')
+  }
+}
+
+/**
+ * Перевіряє відповідність проєкту правилам php.mdc.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  checkComposer(reporter)
+  await checkPackageJson(reporter)
+  await checkWorkflow(reporter)
+  return reporter.getExitCode()
+}
+

package/scripts/run-php.mjs

@@ -0,0 +1,125 @@
+/**
+ * Запуск `lint-php` за правилом php.mdc: `composer audit` і, якщо встановлені пакети, запуск
+ * PHPStan, Psalm, PHP-CS-Fixer (dry-run) та PHPCS зі стандартом Security.
+ *
+ * Скрипт не вимагає, щоб усі інструменти були встановлені: якщо відповідного файла
+ * `vendor/bin/<tool>` немає, крок пропускається з повідомленням. Але якщо в корені є
+ * `composer.json`, то `composer` має бути доступний у PATH (інакше це помилка).
+ *
+ * Якщо `composer.json` у корені відсутній — вихід 0 без запуску інструментів.
+ */
+import { spawnSync } from 'node:child_process'
+import { existsSync, statSync } from 'node:fs'
+import { join, resolve } from 'node:path'
+
+import { isRunAsCli } from './cli-entry.mjs'
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { resolveCmd } from './utils/resolve-cmd.mjs'
+
+const PHPCS_CODE_DIR_CANDIDATES = ['app', 'src', 'lib', 'public', 'www']
+
+/**
+ * Каталоги коду для PHPCS (якщо типових директорій немає — перевіряємо `.`).
+ * @param {string} root корінь репозиторію
+ * @returns {string[]} перелік шляхів (відносно root), які варто передати у `phpcs`
+ */
+export function getPhpcsCodePaths(root) {
+  const out = []
+  for (const d of PHPCS_CODE_DIR_CANDIDATES) {
+    const p = join(root, d)
+    if (existsSync(p) && statSync(p).isDirectory()) out.push(d)
+  }
+  return out.length > 0 ? out : ['.']
+}
+
+/**
+ * @param {string} root корінь репозиторію
+ * @param {string} name імʼя файла у vendor/bin
+ * @returns {string | null} абсолютний шлях або null, якщо файла немає
+ */
+function vendorBin(root, name) {
+  const p = resolve(root, 'vendor', 'bin', name)
+  return existsSync(p) ? p : null
+}
+
+/**
+ * @param {string} label назва кроку для повідомлень
+ * @param {string} abs абсолютний шлях до CLI
+ * @param {string[]} args аргументи
+ * @param {(msg: string) => void} pass callback pass
+ * @param {(msg: string) => void} fail callback fail
+ * @returns {boolean} true якщо OK
+ */
+function runTool(label, abs, args, pass, fail) {
+  const r = spawnSync(abs, args, { stdio: 'inherit', shell: false })
+  if (r.status === 0) {
+    pass(`lint-php: ${label} — OK`)
+    return true
+  }
+  const code = typeof r.status === 'number' ? r.status : 1
+  fail(`lint-php: ${label} — помилка (код ${code}, php.mdc)`)
+  return false
+}
+
+/**
+ * Запускає `lint-php`.
+ * @returns {number} 0 — OK, 1 — є помилки
+ */
+export function run() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const root = process.cwd()
+  if (!existsSync(join(root, 'composer.json'))) {
+    pass('lint-php: немає composer.json у корені — кроки PHP пропущено')
+    return reporter.getExitCode()
+  }
+
+  const composer = resolveCmd('composer')
+  if (!composer) {
+    fail('lint-php: `composer` не знайдено в PATH (потрібен при наявному composer.json, php.mdc)')
+    return reporter.getExitCode()
+  }
+
+  if (!runTool('composer audit', composer, ['audit', '--no-interaction'], pass, fail)) return reporter.getExitCode()
+
+  /**
+   * Запускає інструмент з `vendor/bin`, якщо він встановлений.
+   * @param {string} binName імʼя файла у vendor/bin
+   * @param {string} label назва кроку
+   * @param {string[]} args аргументи CLI
+   * @returns {boolean} true, якщо крок успішний або пропущений
+   */
+  function runOptionalVendorTool(binName, label, args) {
+    const abs = vendorBin(root, binName)
+    if (!abs) {
+      pass(`lint-php: vendor/bin/${binName} — відсутній, крок пропущено`)
+      return true
+    }
+    return runTool(label, abs, args, pass, fail)
+  }
+
+  if (!runOptionalVendorTool('php-cs-fixer', 'PHP-CS-Fixer (dry-run)', ['fix', '--dry-run', '--diff'])) {
+    return reporter.getExitCode()
+  }
+
+  const phpcsPaths = getPhpcsCodePaths(root)
+  if (
+    !runOptionalVendorTool('phpcs', 'phpcs (Security)', [
+      '--standard=Security',
+      '--ignore=*/vendor/*,*/node_modules/*,*/.git/*',
+      ...phpcsPaths
+    ])
+  ) {
+    return reporter.getExitCode()
+  }
+
+  if (!runOptionalVendorTool('phpstan', 'PHPStan', ['analyse', '--no-progress'])) return reporter.getExitCode()
+  if (!runOptionalVendorTool('psalm', 'Psalm', ['--no-cache'])) return reporter.getExitCode()
+
+  return reporter.getExitCode()
+}
+
+if (isRunAsCli()) {
+  process.exitCode = run()
+}