@nitra/cursor 1.8.144 → 1.8.147

package/bin/auto-rules.md

@@ -22,6 +22,8 @@ js-pino - якщо присутній хоч один js файл, не в мо
 
 js-mssql - якщо в хоч одному package.json в секції dependencies присутній пакет mssql
 
+js-bun-db - якщо в хоч одному package.json в секції dependencies присутній пакет pg або mysql2 або є імпорт sql/SQL з Bun (приклад: import { sql } from "bun")
+
 k8s - якщо присутня хоч одна директорія k8s
 
 nginx-default-tpl - якщо присутній хоч один файл з переліку - default.conf.template, default.conf, nginx.conf

package/bin/n-cursor.js

@@ -1036,6 +1036,7 @@ async function runChecks(requestedRules) {
     const scriptPath = join(BUNDLED_SCRIPTS_DIR, `check-${rule}.mjs`)
     console.log(`📋 ${rule}:`)
     try {
+      // eslint-disable-next-line no-unsanitized/method -- rule валідовано проти available, scriptPath будується з фіксованої BUNDLED_SCRIPTS_DIR
       const { check } = await import(scriptPath)
       const code = await check()
       if (code !== 0) totalFailed++

package/bin/rename-yaml-extensions.mjs

@@ -1,4 +1,3 @@
-#!/usr/bin/env node
 
 /**
  * CLI для перейменування розширень YAML (k8s та `.github`). Бізнес-логіка — у **`scripts/rename-yaml-extensions.mjs`**.

package/mdc/js-bun-db.mdc

@@ -0,0 +1,118 @@
+---
+description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
+alwaysApply: true
+version: '1.1'
+---
+
+## Підтримувані версії баз даних
+
+PostgreSQL 18+, MariaDB 10.6+ (сумісний з MySQL-протоколом, підключаємось як `mysql://`).
+
+## Заміна на Bun native SQL
+
+Якщо в проєкті використовуються бібліотеки `pg` або `mysql2`, їх потрібно замінити на Bun native SQL: <https://bun.com/docs/runtime/sql>.
+
+- Видалити з `dependencies`: `pg`, `pg-pool`, `pg-native`, `mysql`, `mysql2`.
+- Видалити з коду: усі `import` / `require` цих пакетів та власні обгортки над ними.
+- Замінити на `import { sql, SQL } from 'bun'` — Bun має вбудований клієнт із пулом, prepared statements та tagged templates.
+
+## Підключення (singleton + env)
+
+Дефолтний експорт `sql` з `'bun'` сам читає змінні середовища (`DATABASE_URL`, `POSTGRES_URL`, `MYSQL_URL`, `PGHOST`/`PGUSER`/... та `MYSQL_HOST`/`MYSQL_USER`/...) і керує пулом — окремий `Pool` як у `pg` створювати не треба.
+
+Для явного конфігу — `new SQL(...)` як **singleton** на рівні модуля, а не на кожен запит:
+
+```javascript
+// db.js
+import { SQL } from 'bun'
+
+export const sql = new SQL({
+  url: process.env.DATABASE_URL,
+  max: 20,
+  idleTimeout: 30,
+  connectionTimeout: 10
+})
+```
+
+Connection string обирає адаптер автоматично:
+
+- `postgres://...` / `postgresql://...` → PostgreSQL
+- `mysql://...` / `mysql2://...` → MySQL/MariaDB
+- `sqlite://...` / `file://...` / `:memory:` → SQLite
+
+## Як виконувати запити (безпечно)
+
+Тільки **tagged template** з `${...}` — Bun сам біндить позиційні параметри й захищає від SQL injection:
+
+```javascript
+import { sql } from 'bun'
+
+const userId = 42
+const status = 'active'
+
+const users = await sql`
+  SELECT * FROM users
+  WHERE id = ${userId} AND status = ${status}
+`
+```
+
+Об'єктний INSERT/UPDATE та `IN (...)` — через helper `sql(...)`:
+
+```javascript
+const user = { name: 'Alice', email: 'a@example.com' }
+
+const [created] = await sql`
+  INSERT INTO users ${sql(user)}
+  RETURNING *
+`
+
+await sql`UPDATE users SET ${sql(user, 'name', 'email')} WHERE id = ${created.id}`
+
+const ids = [1, 2, 3]
+await sql`SELECT * FROM users WHERE id IN ${sql(ids)}`
+```
+
+Транзакції — через `sql.begin` (auto-commit/rollback), вкладені — через `tx.savepoint`:
+
+```javascript
+await sql.begin(async tx => {
+  await tx`INSERT INTO users ${sql(user)}`
+  await tx`UPDATE accounts SET balance = balance - ${100} WHERE user_id = ${user.id}`
+})
+```
+
+## Що НЕ робити
+
+### Не використовувати `sql.unsafe(...)` з конкатенацією
+
+```javascript
+// ❌ конкатенація даних у SQL — SQL injection
+await sql.unsafe(`SELECT * FROM users WHERE id = ${userId}`)
+
+// ❌ навіть у tagged template — динамічний список через .join(',')
+await sql`SELECT * FROM users WHERE id IN (${ids.join(',')})`
+```
+
+`sql.unsafe(text, params)` допустимий лише для **статичного** SQL без даних від користувача (наприклад, разовий DDL-скрипт), і обов'язково з масивом параметрів — ніяких `${...}` у самому рядку.
+
+Для динамічних списків — `sql([...])` або `sql(rows, 'colA', 'colB')`, **не** `.join(',')`.
+
+### Не створювати підключення на кожен запит
+
+```javascript
+// ❌ нове підключення/інстанс на кожен виклик
+function getUser(id) {
+  const sql = new SQL(process.env.DATABASE_URL)
+  return sql`SELECT * FROM users WHERE id = ${id}`
+}
+```
+
+`new SQL(...)` має створюватись **один раз** на рівні модуля. Bun сам тримає пул (`max`, `idleTimeout`, `maxLifetime`) — окремих `Pool`/`Client` як у `pg` не потрібно.
+
+### Не лишати `pg` / `mysql2` поряд із Bun SQL
+
+Якщо в коді з'явився `import { sql } from 'bun'`, то `pg` та `mysql2` мають бути прибрані і з `dependencies`, і з імпортів — щоб не лишалось двох паралельних шляхів до БД.
+
+## Перевірка
+
+`npx @nitra/cursor check js-bun-db`.

package/mdc/js-lint.mdc

@@ -1,10 +1,10 @@
 ---
 description: Перевірка JavaScript коду
 alwaysApply: true
-version: '1.14'
+version: '1.15'
 ---
 
-**oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.5.0`** (з ним транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
+**oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.6.12`** (з ним транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
 
 ```json title=".vscode/extensions.json"
 {
@@ -25,7 +25,7 @@ version: '1.14'
     "lint-js": "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd ."
   },
   "devDependencies": {
-    "@nitra/eslint-config": "^3.5.0"
+    "@nitra/eslint-config": "^3.6.12"
   },
   "engines": {
     "node": ">=24"
@@ -33,7 +33,9 @@ version: '1.14'
 }
 ```
 
-У корені має бути **`.oxlintrc.json`** з підключенням **`@e18e/eslint-plugin`** через **`jsPlugins`** і правилом **`e18e/prefer-includes`** зі значенням **`error`**. Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.5.0**), oxlint підвантажує його з **`node_modules`**.
+У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/scripts/utils/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**, **`ignorePatterns`**). Оновити можна з репозиторію пакета або скопіювавши файл після **`bun ./scripts/utils/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.6.12**), oxlint підвантажує його з **`node_modules`**.
+
+Мінімум для розуміння структури (реальний корінь конфігу має збігатися з каноном повністю):
 
 ```json title=".oxlintrc.json (фрагмент)"
 {

package/mdc/js-mssql.mdc

@@ -1,7 +1,7 @@
 ---
 description: Використання mssql в nodejs
 alwaysApply: true
-version: '1.1'
+version: '1.2'
 ---
 
 ## Підтримувана версія SQL Server
@@ -160,4 +160,30 @@ WHERE NOT EXISTS (
 - ліміт на кількість елементів (наприклад 5k/10k — залежить від вашого потоку).
 - `supplierId`/ID: число/BigInt, валідне та скінченне.
 
+## Парсинг значень для `IN (${...})`
+
+Якщо `IN (...)` все ж використовується (а не `JOIN` на TVP), значення в `${...}` **обовʼязково** мають бути попередньо приведені числовим парсером і відфільтровані від `NaN`. Це знімає будь-яку можливість SQL injection: SQL-метасимволи в `Number`/`parseInt(...)` перетворюються на `NaN` і відсіюються.
+
+```javascript
+// ❌ НЕ МОЖНА: значення з req.body / зовнішнього джерела без парсингу
+const outIds = pgQ.rows.flatMap(x => x.req_body.Orders.map(o => o.OutletId))
+await pool.query(/* sql */ String.raw`
+  SELECT ... WHERE so.OutletId IN (${outIds})
+`)
+```
+
+```javascript
+// ✅ МОЖНА: parseInt + filter(!isNaN) гарантує, що в SQL потраплять лише числа
+const outIds = pgQ.rows
+  .flatMap(x => x.req_body.Orders.map(o => parseInt(o.OutletId)))
+  .filter(n => !isNaN(n))
+await pool.request().query`
+  SELECT ... WHERE so.OutletId IN (${outIds})
+`
+```
+
+Допустимі парсери: `parseInt(...)`, `parseFloat(...)`, `Number(...)`, `BigInt(...)` або унарний `+x`. Літеральні масиви чисел (`[1, 2, 3]`) теж безпечні — без парсера, але без жодних рядків.
+
+Це правило діє і для безпечного `pool.request().query\`...\`` (де mssql сам параметризує масив), і поготів для `pool.query(String.raw\`...\`)` чи `pool.query(\`...\`)`, де такий парсинг — єдиний бар'єр.
+
 Перевірка: `npx @nitra/cursor check js-mssql`.

package/mdc/k8s.mdc

@@ -288,13 +288,13 @@ data:
 
 ## Deployment: обов'язкові `hpa.yaml`, `pdb.yaml`, `topologySpreadConstraints`
 
-Для **кожного** `kind: Deployment` під **`k8s/`** у тому ж каталозі мають бути **`hpa.yaml`** (HPA) і **`pdb.yaml`** (PDB), а сам Deployment — мати канонічні **`spec.template.spec.topologySpreadConstraints`**. Скрипт звіряє прив'язку за іменами:
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у **тому ж каталозі** мають бути **`hpa.yaml`** (HPA) і **`pdb.yaml`** (PDB), а сам Deployment — канонічні **`spec.template.spec.topologySpreadConstraints`**. Інші workload-и (**CronJob**, **Job** тощо) або каталоги без шару **`base`** цими вимогами не охоплюються — **`check k8s`** їх не змушує додавати HPA/PDB поруч. Скрипт звіряє прив’язку за іменами:
 
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є **Deployment**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться `Deployment`. Перевіряє **`check-k8s.mjs`**.
+**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є хоча б один **`Deployment`** у YAML під **`…/k8s/…/base/`**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться такий Deployment. Перевіряє **`check-k8s.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 

package/mdc/vue.mdc

@@ -156,7 +156,7 @@ export default {
   "private": true,
   "type": "module",
   "dependencies": {
-    "vue": "^3.5.0"
+    "vue": "^3.6.12"
   },
   "devDependencies": {
     "vite": "^8.0.0",
@@ -224,7 +224,7 @@ export default defineConfig({
 
 ## npm_lifecycle_event
 
-у більшості проектів в файлі vite.config.js 
+у більшості проектів в файлі vite.config.js
 є  конструкція виду
 
 switch (process.env.npm_lifecycle_event) {
@@ -253,7 +253,7 @@ function getProxy(mode) {
 }
 ```
 
-і викликати всередині 
+і викликати всередині
 
 ```javascript title="vite.config.js"
 export default defineConfig(({ mode, command }) => {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.144",
+  "version": "1.8.147",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -39,10 +39,10 @@
     "rename-yaml-extensions": "bun ./bin/n-cursor.js rename-yaml-extensions"
   },
   "dependencies": {
-    "oxc-parser": "^0.124.0",
+    "oxc-parser": "^0.128.0",
     "yaml": "^2.8.3"
   },
   "engines": {
-    "node": ">=24"
+    "node": ">=25"
   }
 }

package/scripts/auto-rules.mjs

@@ -1,7 +1,8 @@
 /**
  * Автовизначення правил і skills для `.n-cursor.json` за умовами з `npm/bin/auto-rules.md`.
  *
- * Модуль аналізує дерево проєкту (наявність файлів/директорій, `gql\`...\`` у source, кореневий
+ * Модуль аналізує дерево проєкту (наявність файлів/директорій, `gql\`...\`` у source,
+ * залежності `mssql` / `pg` / `mysql2` у `package.json`, імпорт `sql`/`SQL` з `bun`, кореневий
  * `package.json`) та повертає ідентифікатори правил і skills, які потрібно автододати.
  *
  * Також враховує винятки `disable-rules` і `disable-skills`: елементи з цих списків не
@@ -11,11 +12,13 @@ import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
 import { basename, join, relative } from 'node:path'
 
+import { textHasBunSqlImport } from './utils/bun-sql-scan.mjs'
 import {
   isGqlScanSourceFile,
   shouldSkipFileForGqlScan,
   sourceFileHasGqlTaggedTemplate
 } from './utils/graphql-gql-scan.mjs'
+import { contentForVueImportScan } from './utils/vue-forbidden-imports.mjs'
 
 /** Порядок автододавання правил відповідно до `auto-rules.md`. */
 export const AUTO_RULE_ORDER = Object.freeze([
@@ -27,6 +30,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'graphql',
   'js-lint',
   'js-mssql',
+  'js-bun-db',
   'js-pino',
   'k8s',
   'nginx-default-tpl',
@@ -50,12 +54,66 @@ const IGNORED_DIR_NAMES = new Set(['node_modules', '.git', '.next', '.turbo'])
 const DEFAULT_DISABLED_LIST = Object.freeze([])
 
 /**
- * Чи є `mssql` у `dependencies` хоча б одного `package.json` у репозиторії.
+ * Чи містить текст джерела імпорт імені `sql` або `SQL` з `"bun"` (після витягування `<script>` у `.vue`).
+ * @param {string} content вміст файлу
+ * @param {string} relativePath шлях posix відносно кореня
+ * @returns {boolean} true, якщо знайдено `import { sql }` або `import { SQL }` з `"bun"`
+ */
+function sourceContentHasBunSqlImport(content, relativePath) {
+  return textHasBunSqlImport(contentForVueImportScan(content, relativePath))
+}
+
+/**
+ * Зчитує `package.json` і додає в `found` усі ключі з `wanted`, що присутні в `dependencies`.
+ * @param {string} absPath абсолютний шлях до package.json
+ * @param {Set<string>} wanted множина ключів-цілей
+ * @param {Set<string>} found буфер знайдених ключів
+ * @returns {Promise<void>}
+ */
+async function collectFoundDependencyKeysFromPackageJson(absPath, wanted, found) {
+  try {
+    const parsed = JSON.parse(await readFile(absPath, 'utf8'))
+    const deps = parsed?.dependencies
+    if (!deps || typeof deps !== 'object' || Array.isArray(deps)) return
+    for (const key of wanted) {
+      if (Object.hasOwn(deps, key)) {
+        found.add(key)
+      }
+    }
+  } catch {
+    /* ігноруємо пошкоджені/недоступні package.json */
+  }
+}
+
+/**
+ * Збирає, які з переданих ключів присутні в `dependencies` хоча б одного `package.json`.
  * @param {string} root абсолютний шлях до кореня репозиторію
- * @returns {Promise<boolean>} true, якщо знайдено `dependencies.mssql`
+ * @param {string[]} dependencyKeys імена залежностей (наприклад `mssql`, `pg`)
+ * @returns {Promise<Set<string>>} множина знайдених ключів
  */
-async function hasMssqlDependencyInAnyPackageJson(root) {
-  let found = false
+async function collectDependencyKeysPresentInPackageJsonTree(root, dependencyKeys) {
+  const wanted = new Set(dependencyKeys)
+  /** @type {Set<string>} */
+  const found = new Set()
+
+  /**
+   * Обробка одного запису з readdir: рекурсія в підкаталог або зчитування package.json.
+   * @param {import('node:fs').Dirent} entry елемент readdir
+   * @param {string} dir абсолютний шлях каталогу-власника entry
+   * @returns {Promise<void>}
+   */
+  async function processEntry(entry, dir) {
+    const absPath = join(dir, entry.name)
+    if (entry.isDirectory()) {
+      if (!IGNORED_DIR_NAMES.has(entry.name)) {
+        await walk(absPath)
+      }
+      return
+    }
+    if (entry.isFile() && entry.name === 'package.json') {
+      await collectFoundDependencyKeysFromPackageJson(absPath, wanted, found)
+    }
+  }
 
   /**
    * Рекурсивний обхід каталогу з пропуском службових директорій.
@@ -63,7 +121,7 @@ async function hasMssqlDependencyInAnyPackageJson(root) {
    * @returns {Promise<void>}
    */
   async function walk(dir) {
-    if (found) return
+    if (found.size === wanted.size) return
     let entries
     try {
       entries = await readdir(dir, { withFileTypes: true })
@@ -71,25 +129,8 @@ async function hasMssqlDependencyInAnyPackageJson(root) {
       return
     }
     for (const entry of entries) {
-      if (found) return
-      const absPath = join(dir, entry.name)
-      if (entry.isDirectory()) {
-        const isIgnoredDir = IGNORED_DIR_NAMES.has(entry.name)
-        if (!isIgnoredDir) {
-          await walk(absPath)
-        }
-      } else if (entry.isFile() && entry.name === 'package.json') {
-        try {
-          const parsed = JSON.parse(await readFile(absPath, 'utf8'))
-          const deps = parsed?.dependencies
-          if (deps && typeof deps === 'object' && !Array.isArray(deps) && Object.hasOwn(deps, 'mssql')) {
-            found = true
-            return
-          }
-        } catch {
-          /* ігноруємо пошкоджені/недоступні package.json */
-        }
-      }
+      if (found.size === wanted.size) return
+      await processEntry(entry, dir)
     }
   }
 
@@ -182,11 +223,40 @@ async function updateGqlFactFromFile(absPath, relPath, facts) {
   }
 }
 
+/**
+ * Чи сканувати файл на імпорт `sql`/`SQL` з `bun` (ті самі розширення й skip, що для gql).
+ * @param {string} relPath шлях posix відносно кореня
+ * @param {{ hasBunSqlImport: boolean }} facts агреговані факти
+ * @returns {boolean} true, якщо файл варто сканувати
+ */
+function shouldScanFileForBunSql(relPath, facts) {
+  return !facts.hasBunSqlImport && isGqlScanSourceFile(relPath) && !shouldSkipFileForGqlScan(relPath)
+}
+
+/**
+ * Оновлює ознаку `hasBunSqlImport` за вмістом файлу.
+ * @param {string} absPath абсолютний шлях до файлу
+ * @param {string} relPath шлях posix відносно кореня
+ * @param {{ hasBunSqlImport: boolean }} facts агреговані факти
+ * @returns {Promise<void>}
+ */
+async function updateBunSqlFactFromFile(absPath, relPath, facts) {
+  try {
+    const content = await readFile(absPath, 'utf8')
+    if (sourceContentHasBunSqlImport(content, relPath)) {
+      facts.hasBunSqlImport = true
+    }
+  } catch {
+    /* ігноруємо пошкоджені/недоступні файли */
+  }
+}
+
 /**
  * Обробляє файл під час обходу дерева.
  * @param {string} absPath абсолютний шлях до файлу
  * @param {string} root абсолютний шлях кореня
  * @param {{
+ *   hasBunSqlImport: boolean,
  *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasGqlTaggedTemplates: boolean,
@@ -204,6 +274,9 @@ async function processFileEntry(absPath, root, facts) {
   if (shouldScanFileForGql(rel, facts)) {
     await updateGqlFactFromFile(absPath, rel, facts)
   }
+  if (shouldScanFileForBunSql(rel, facts)) {
+    await updateBunSqlFactFromFile(absPath, rel, facts)
+  }
 }
 
 /**
@@ -270,6 +343,7 @@ export function isMonorepoPackage(packageJson) {
  *   hasCapacitorConfig: boolean,
  *   hasDockerfile: boolean,
  *   hasGaWorkflowsDir: boolean,
+ *   hasBunSqlImport: boolean,
  *   hasGqlTaggedTemplates: boolean,
  *   hasJsLikeSource: boolean,
  *   hasK8sDir: boolean,
@@ -282,6 +356,7 @@ export function isMonorepoPackage(packageJson) {
  */
 export async function collectAutoRuleFacts(root) {
   const facts = {
+    hasBunSqlImport: false,
     hasCapacitorConfig: false,
     hasDockerfile: false,
     hasGaWorkflowsDir: existsSync(join(root, '.github', 'workflows')),
@@ -360,7 +435,9 @@ export async function detectAutoRulesAndSkills({
   )
   const isAbie = typeof repositoryUrl === 'string' && repositoryUrl.toLowerCase().includes(ABIE_REPOSITORY_URL_MARKER)
   const isMonorepo = isMonorepoPackage(packageJsonParsed)
-  const hasMssqlDependency = await hasMssqlDependencyInAnyPackageJson(root)
+  const depHits = await collectDependencyKeysPresentInPackageJsonTree(root, ['mssql', 'pg', 'mysql2'])
+  const hasMssqlDependency = depHits.has('mssql')
+  const hasJsBunDbSignal = depHits.has('pg') || depHits.has('mysql2') || facts.hasBunSqlImport
 
   /** @type {string[]} */
   const detectedRules = []
@@ -400,6 +477,7 @@ export async function detectAutoRulesAndSkills({
     { enabled: facts.hasGqlTaggedTemplates, id: 'graphql' },
     { enabled: facts.hasJsLikeSource, id: 'js-lint' },
     { enabled: hasMssqlDependency, id: 'js-mssql' },
+    { enabled: hasJsBunDbSignal, id: 'js-bun-db' },
     { enabled: facts.hasJsLikeSource && !(isMonorepo && facts.hasVueSource && facts.hasTempoDir), id: 'js-pino' },
     { enabled: facts.hasK8sDir, id: 'k8s' },
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },

package/scripts/check-ga.mjs

@@ -60,7 +60,6 @@ const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml',
  *
  * Використовує `git ls-files` з pathspec-магiєю `:(glob)`, щоб не реалізовувати glob engine вручну
  * і не сканувати файлову систему рекурсивно.
- *
  * @param {string} globPattern glob з workflow (наприклад "files/**" або "image-migration-new/**")
  * @returns {boolean} true, якщо є хоча б один збіг
  */
@@ -69,6 +68,7 @@ function gitHasAnyTrackedFileMatchingGlob(globPattern) {
   if (!p) return false
   if (p.startsWith('!')) return true
   try {
+    // eslint-disable-next-line sonarjs/no-os-command-from-path -- git як стандартне dev-середовище через PATH; альтернативи (хардкод шляху) непортативні
     const out = execFileSync('git', ['ls-files', '-z', '--', `:(glob)${p}`], { encoding: 'utf8' })
     return out.length > 0
   } catch {
@@ -82,7 +82,6 @@ function gitHasAnyTrackedFileMatchingGlob(globPattern) {
  * У багатьох workflow (особливо лінтерах) `paths` часто містить “широкі” шаблони по розширеннях
  * (наприклад `*.vue`, `*.php`), які можуть бути відсутні в конкретному репозиторії й це ок.
  * Запит цієї перевірки — ловити посилання на неіснуючі директорії/шляхи (типово `some-dir/**`).
- *
  * @param {string} p glob з workflow
  * @returns {boolean} true, якщо треба валідувати наявність файлів
  */
@@ -96,6 +95,28 @@ function shouldValidateWorkflowPathsGlob(p) {
   return true
 }
 
+/**
+ * Перевіряє один glob з `on.<event>.paths` на наявність збігів у репо.
+ * @param {string} relPath шлях workflow для повідомлень
+ * @param {string} eventName назва події (push / pull_request)
+ * @param {unknown} raw сирий елемент масиву paths
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function verifyOnePathsGlob(relPath, eventName, raw, passFn, failFn) {
+  const p = String(raw ?? '').trim()
+  if (!p) return
+  if (!shouldValidateWorkflowPathsGlob(p)) {
+    passFn(`${relPath}: on.${eventName}.paths glob пропущено для перевірки існування: ${JSON.stringify(p)}`)
+    return
+  }
+  if (gitHasAnyTrackedFileMatchingGlob(p)) {
+    passFn(`${relPath}: on.${eventName}.paths glob матчитсья: ${JSON.stringify(p)}`)
+  } else {
+    failFn(`${relPath}: on.${eventName}.paths glob не матчитсья ні на один файл: ${JSON.stringify(p)}`)
+  }
+}
+
 /**
  * Валідує `on.push.paths` / `on.pull_request.paths`: кожен позитивний glob має мати збіги в репозиторії.
  * @param {string} relPath шлях workflow для повідомлень
@@ -116,17 +137,7 @@ function verifyWorkflowEventPathsGlobsExist(relPath, root, passFn, failFn) {
   for (const [eventName, paths] of candidates) {
     if (!Array.isArray(paths)) continue
     for (const raw of paths) {
-      const p = String(raw ?? '').trim()
-      if (!p) continue
-      if (!shouldValidateWorkflowPathsGlob(p)) {
-        passFn(`${relPath}: on.${eventName}.paths glob пропущено для перевірки існування: ${JSON.stringify(p)}`)
-        continue
-      }
-      if (gitHasAnyTrackedFileMatchingGlob(p)) {
-        passFn(`${relPath}: on.${eventName}.paths glob матчитсья: ${JSON.stringify(p)}`)
-      } else {
-        failFn(`${relPath}: on.${eventName}.paths glob не матчитсья ні на один файл: ${JSON.stringify(p)}`)
-      }
+      verifyOnePathsGlob(relPath, eventName, raw, passFn, failFn)
     }
   }
 }
@@ -138,8 +149,9 @@ function verifyWorkflowEventPathsGlobsExist(relPath, root, passFn, failFn) {
  * @returns {unknown} значення поля або undefined
  */
 function getObjKey(obj, key) {
-  if (!obj || typeof obj !== 'object' || Array.isArray(obj)) return
-  return /** @type {Record<string, unknown>} */ (obj)[key]
+  return obj && typeof obj === 'object' && !Array.isArray(obj)
+    ? /** @type {Record<string, unknown>} */ (obj)[key]
+    : undefined
 }
 
 /**