@nitra/cursor 1.8.144 → 1.8.147

package/scripts/check-js-bun-db.mjs

@@ -0,0 +1,213 @@
+/**
+ * Перевіряє правило js-bun-db.mdc.
+ *
+ * 1) У жодному `package.json` (включно з workspace-пакетами) у `dependencies` не повинно
+ *    бути `pg` чи `mysql2` — ці бібліотеки треба замінити на Bun native SQL
+ *    (`import { sql, SQL } from 'bun'`, https://bun.com/docs/runtime/sql).
+ *
+ * 2) Якщо в коді використовується Bun SQL (імпорт `sql`/`SQL` з `'bun'`), додатково
+ *    перевіряє небезпечні патерни:
+ *    - `new SQL(...)` всередині функції (пул має бути singleton на рівні модуля).
+ *    - `sql.unsafe(\`...${expr}...\`)` (інтерполяція даних у `unsafe` ламає параметризацію).
+ *    - Динамічні SQL-списки через `.join(',')` у `IN (...)` / `VALUES (...)`
+ *      (треба `sql([...])`).
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+import { join, relative, sep } from 'node:path'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import {
+  findBunSqlPerRequestConnectionInText,
+  findUnsafeBunSqlDynamicSqlListInText,
+  findUnsafeBunSqlUnsafeCallInText,
+  isBunSqlScanSourceFile,
+  textHasBunSqlImport
+} from './utils/bun-sql-scan.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+/** Імена забороненої залежності у будь-якому `package.json`. */
+const FORBIDDEN_DEPENDENCIES = Object.freeze(['pg', 'mysql2'])
+
+/**
+ * @param {unknown} v parsed JSON
+ * @returns {Record<string, unknown>} object або {}
+ */
+function asObject(v) {
+  if (!v || typeof v !== 'object' || Array.isArray(v)) return {}
+  return /** @type {Record<string, unknown>} */ (v)
+}
+
+/**
+ * Знаходить всі `package.json` у репозиторії (крім пропущених директорій у walkDir).
+ * @param {string} repoRoot абсолютний шлях до кореня репозиторію
+ * @returns {Promise<string[]>} абсолютні шляхи, відсортовані за відносним шляхом
+ */
+async function findAllPackageJsonPaths(repoRoot) {
+  /** @type {string[]} */
+  const paths = []
+  await walkDir(repoRoot, absPath => {
+    if (absPath.endsWith(`${sep}package.json`)) {
+      paths.push(absPath)
+    }
+  })
+  paths.sort((a, b) => relative(repoRoot, a).localeCompare(relative(repoRoot, b)))
+  return paths
+}
+
+/**
+ * Збирає абсолютні шляхи JS/TS джерел у репозиторії для скану Bun SQL патернів.
+ * @param {string} repoRoot абсолютний шлях до кореня репозиторію
+ * @returns {Promise<string[]>} абсолютні шляхи, відсортовані за відносним шляхом
+ */
+async function findAllSourcePathsForBunSqlScan(repoRoot) {
+  /** @type {string[]} */
+  const paths = []
+  await walkDir(repoRoot, absPath => {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    if (isBunSqlScanSourceFile(rel)) {
+      paths.push(absPath)
+    }
+  })
+  paths.sort((a, b) => relative(repoRoot, a).localeCompare(relative(repoRoot, b)))
+  return paths
+}
+
+/**
+ * Перевіряє, чи в кореневому `package.json` присутні заборонені пакети у `dependencies`.
+ * @param {string[]} pkgJsonPaths абсолютні шляхи всіх `package.json` у репо
+ * @param {string} repoRoot абсолютний шлях до кореня
+ * @param {{ pass: (m: string) => void, fail: (m: string) => void }} reporter колбеки pass і fail з перевірки
+ * @returns {Promise<number>} кількість знайдених порушень
+ */
+async function checkForbiddenDependencies(pkgJsonPaths, repoRoot, reporter) {
+  const { pass, fail } = reporter
+  let bad = 0
+  for (const absPath of pkgJsonPaths) {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    let parsed
+    try {
+      parsed = JSON.parse(await readFile(absPath, 'utf8'))
+    } catch {
+      fail(`js-bun-db: ${rel} — невалідний JSON`)
+      bad++
+      continue
+    }
+    const deps = asObject(parsed.dependencies)
+    for (const name of FORBIDDEN_DEPENDENCIES) {
+      if (Object.hasOwn(deps, name)) {
+        bad++
+        fail(
+          `js-bun-db: ${rel}: dependencies.${name} — замінити на Bun native SQL ` +
+            `(import { sql, SQL } from 'bun', https://bun.com/docs/runtime/sql) (js-bun-db.mdc)`
+        )
+      }
+    }
+  }
+  if (bad === 0) {
+    pass(`js-bun-db: жоден package.json не містить ${FORBIDDEN_DEPENDENCIES.join(' / ')} у dependencies`)
+  }
+  return bad
+}
+
+/**
+ * Сканує JS/TS-джерела на небезпечні патерни Bun SQL.
+ * @param {string[]} sourcePaths абсолютні шляхи джерел
+ * @param {string} repoRoot абсолютний шлях до кореня
+ * @param {{ pass: (m: string) => void, fail: (m: string) => void }} reporter колбеки pass і fail з перевірки
+ * @returns {Promise<{ hasBunSqlImport: boolean, perRequest: number, unsafeCall: number, dynamicList: number }>}
+ *   `hasBunSqlImport` — чи знайдено хоч один `import { sql|SQL } from 'bun'` у джерелах;
+ *   решта — кількість порушень кожного типу.
+ */
+async function scanSourcesForBunSqlPatterns(sourcePaths, repoRoot, reporter) {
+  const { fail } = reporter
+  let hasBunSqlImport = false
+  let perRequest = 0
+  let unsafeCall = 0
+  let dynamicList = 0
+
+  for (const absPath of sourcePaths) {
+    const rel = relative(repoRoot, absPath).split('\\').join('/')
+    const content = await readFile(absPath, 'utf8')
+    if (!hasBunSqlImport && textHasBunSqlImport(content)) {
+      hasBunSqlImport = true
+    }
+
+    for (const v of findBunSqlPerRequestConnectionInText(content, rel)) {
+      perRequest++
+      fail(
+        `js-bun-db: ${rel}:${v.line} — не створюй new SQL(...) всередині функцій; ` +
+          `тримай singleton на рівні модуля (js-bun-db.mdc): ${v.snippet}`
+      )
+    }
+    for (const v of findUnsafeBunSqlUnsafeCallInText(content, rel)) {
+      unsafeCall++
+      fail(
+        `js-bun-db: ${rel}:${v.line} — sql.unsafe(\`...\${...}...\`) недопустимо: ` +
+          `використовуй tagged template sql\`...\${value}...\` або sql.unsafe('static', [params]) (js-bun-db.mdc): ${v.snippet}`
+      )
+    }
+    for (const v of findUnsafeBunSqlDynamicSqlListInText(content, rel)) {
+      dynamicList++
+      fail(
+        `js-bun-db: ${rel}:${v.line} — заборонено підставляти у SQL динамічні списки через .join(',') ` +
+          `у IN (...) / VALUES (...); використовуй sql([...]) (js-bun-db.mdc): ${v.snippet}`
+      )
+    }
+  }
+
+  return { hasBunSqlImport, perRequest, unsafeCall, dynamicList }
+}
+
+/**
+ * Перевіряє відповідність проєкту правилу js-bun-db.mdc
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass } = reporter
+
+  const repoRoot = process.cwd()
+  const rootPkg = join(repoRoot, 'package.json')
+  if (!existsSync(rootPkg)) {
+    pass('js-bun-db: package.json у корені відсутній — перевірку пропущено')
+    return reporter.getExitCode()
+  }
+
+  const pkgJsonPaths = await findAllPackageJsonPaths(repoRoot)
+  if (pkgJsonPaths.length === 0) {
+    pass('js-bun-db: package.json не знайдено — перевірку пропущено')
+    return reporter.getExitCode()
+  }
+
+  await checkForbiddenDependencies(pkgJsonPaths, repoRoot, reporter)
+
+  const sourcePaths = await findAllSourcePathsForBunSqlScan(repoRoot)
+  if (sourcePaths.length === 0) {
+    pass('js-bun-db: немає JS/TS файлів для скану патернів Bun SQL')
+    return reporter.getExitCode()
+  }
+
+  const { hasBunSqlImport, perRequest, unsafeCall, dynamicList } = await scanSourcesForBunSqlPatterns(
+    sourcePaths,
+    repoRoot,
+    reporter
+  )
+
+  if (!hasBunSqlImport) {
+    pass("js-bun-db: Bun SQL не використовується в коді (немає import { sql|SQL } from 'bun')")
+    return reporter.getExitCode()
+  }
+
+  if (perRequest === 0) {
+    pass('js-bun-db: немає створення new SQL(...) всередині функцій (singleton на рівні модуля)')
+  }
+  if (unsafeCall === 0) {
+    pass('js-bun-db: немає небезпечних викликів sql.unsafe з інтерполяцією в шаблонному рядку')
+  }
+  if (dynamicList === 0) {
+    pass("js-bun-db: немає небезпечних динамічних SQL-списків через .join(',') у IN/VALUES")
+  }
+
+  return reporter.getExitCode()
+}

package/scripts/check-js-lint.mjs

@@ -2,18 +2,24 @@
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
  * Канонічний `lint-js`, flat ESLint з getConfig і ignore для auto-imports, рекомендації VSCode,
- * `.oxlintrc.json` з `jsPlugins` (`@e18e/eslint-plugin`) і правилом `e18e/prefer-includes: error`,
- * `@nitra/eslint-config` у devDependencies мінімум **3.5.0** (транзитивний `@e18e/eslint-plugin` для oxlint), `.jscpd.json`
- * (gitignore, exitCode, reporters, minLines), workflow `lint-js.yml` (checkout@v6, setup-bun-deps,
- * bunx без --fix), без prettier, `engines.node` >= 24, `"type": "module"` у кореневому
- * і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
+ * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
+ * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
+ * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.6.12** (транзитивний
+ * `@e18e/eslint-plugin` для oxlint), `.jscpd.json` (gitignore, exitCode, reporters, minLines), workflow
+ * `lint-js.yml` (checkout@v6, setup-bun-deps, bunx без --fix), без prettier, `engines.node` >= 24,
+ * `"type": "module"` у кореневому і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
+import { dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
 
 import { parseWorkflowYaml, verifyLintJsWorkflowStructure } from './utils/gha-workflow.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 
+/** Шлях до канонічного oxlint JSON у цьому пакеті (для перевірки та тестів). */
+export const OXLINT_CANONICAL_JSON_PATH = join(dirname(fileURLToPath(import.meta.url)), 'utils', 'oxlint-canonical.json')
+
 /** Очікуваний локальний скрипт. */
 export const CANONICAL_LINT_JS = 'bunx oxlint --fix && bunx eslint --fix . && bunx jscpd .'
 
@@ -43,9 +49,9 @@ export function isCanonicalLintJs(script) {
 }
 
 /**
- * Чи діапазон `@nitra/eslint-config` у `package.json` передбачає версію з транзитивним `@e18e/eslint-plugin` (>=3.5.0).
+ * Чи діапазон `@nitra/eslint-config` у `package.json` передбачає версію з транзитивним `@e18e/eslint-plugin` (>=3.6.12).
  * @param {unknown} versionSpec значення `devDependencies['@nitra/eslint-config']`
- * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.5.0
+ * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.6.12
  */
 export function nitraEslintConfigDeclaresE18eTransitive(versionSpec) {
   const s = String(versionSpec).trim()
@@ -64,29 +70,97 @@ export function nitraEslintConfigDeclaresE18eTransitive(versionSpec) {
 }
 
 /**
- * Перевіряє потрібні поля `.oxlintrc.json` для розширення e18e (js-lint.mdc).
- * @param {unknown} cfg корінь JSON-конфігурації oxlint
- * @returns {{ ok: boolean, failures: string[] }} `ok` і перелік повідомлень для `fail`
+ * Рекурсивне порівняння фрагментів канону oxlint (масиви — порядок як у каноні; об’єкти — той самий набір ключів і вкладеність).
+ * @param {unknown} actual значення з `.oxlintrc.json`
+ * @param {unknown} expected значення з канону
+ * @returns {boolean} true, якщо значення збігаються за правилами канону
+ */
+function deepEqualOxlintCanonical(actual, expected) {
+  if (expected === null || typeof expected !== 'object') {
+    return actual === expected
+  }
+  if (Array.isArray(expected)) {
+    return Array.isArray(actual) && JSON.stringify(actual) === JSON.stringify(expected)
+  }
+  if (typeof actual !== 'object' || actual === null || Array.isArray(actual)) {
+    return false
+  }
+  const exp = /** @type {Record<string, unknown>} */ (expected)
+  const act = /** @type {Record<string, unknown>} */ (actual)
+  const expKeys = Object.keys(exp)
+  const actKeys = Object.keys(act)
+  if (expKeys.length !== actKeys.length) {
+    return false
+  }
+  for (const k of expKeys) {
+    if (!(k in act) || !deepEqualOxlintCanonical(act[k], exp[k])) {
+      return false
+    }
+  }
+  return true
+}
+
+/**
+ * Безпечний доступ як до plain-object запису.
+ * @param {unknown} v будь-яке значення
+ * @returns {Record<string, unknown>} запис або пустий обʼєкт, якщо `v` не plain-object
+ */
+function asRecordOrEmpty(v) {
+  return v && typeof v === 'object' && !Array.isArray(v) ? /** @type {Record<string, unknown>} */ (v) : {}
+}
+
+/**
+ * Звіряє блок `rules`: кожне правило з канону має точне збіжне значення в actual.
+ * @param {unknown} expected канонічне значення для `rules`
+ * @param {unknown} actual поточне значення для `rules`
+ * @param {string[]} failures буфер для помилок
+ */
+function compareOxlintRules(expected, actual, failures) {
+  const er = asRecordOrEmpty(expected)
+  const ar = asRecordOrEmpty(actual)
+  for (const ruleKey of Object.keys(er)) {
+    if (ar[ruleKey] !== er[ruleKey]) {
+      failures.push(
+        `.oxlintrc.json: rules["${ruleKey}"] очікується ${JSON.stringify(er[ruleKey])}, зараз ${JSON.stringify(ar[ruleKey])}`
+      )
+    }
+  }
+}
+
+/**
+ * Перевіряє `.oxlintrc.json` проти канону пакета `@nitra/cursor` (усі правила з канону та інші поля з `oxlint-canonical.json`).
+ * Додаткові ключі лише в `rules` дозволені; інші поля мають збігатися з каноном.
+ * @param {unknown} cfg корінь JSON з `.oxlintrc.json`
+ * @param {unknown} canonical розпарений `oxlint-canonical.json`
+ * @returns {{ ok: boolean, failures: string[] }} статус і повідомлення для `fail`
  */
-export function verifyOxlintRcE18e(cfg) {
+export function verifyOxlintRcAgainstCanonical(cfg, canonical) {
   const failures = []
   if (!cfg || typeof cfg !== 'object' || Array.isArray(cfg)) {
     return { ok: false, failures: ['.oxlintrc.json: корінь має бути значенням типу object'] }
   }
-  const o = /** @type {Record<string, unknown>} */ (cfg)
-  const jsPlugins = o.jsPlugins
-  if (!Array.isArray(jsPlugins) || !jsPlugins.includes('@e18e/eslint-plugin')) {
-    failures.push('.oxlintrc.json: jsPlugins має містити "@e18e/eslint-plugin"')
+  if (!canonical || typeof canonical !== 'object' || Array.isArray(canonical)) {
+    return { ok: false, failures: ['внутрішня помилка: канон oxlint має бути object'] }
   }
-  const rules = o.rules
-  if (!rules || typeof rules !== 'object' || Array.isArray(rules)) {
-    failures.push('.oxlintrc.json: поле rules має бути значенням типу object')
-  } else {
-    const r = /** @type {Record<string, unknown>} */ (rules)
-    if (r['e18e/prefer-includes'] !== 'error') {
-      failures.push('.oxlintrc.json: у rules має бути "e18e/prefer-includes": "error"')
+  const o = /** @type {Record<string, unknown>} */ (cfg)
+  const c = /** @type {Record<string, unknown>} */ (canonical)
+
+  for (const key of Object.keys(c)) {
+    const expected = c[key]
+    const actual = o[key]
+
+    if (key === 'rules') {
+      compareOxlintRules(expected, actual, failures)
+      continue
+    }
+
+    if (!deepEqualOxlintCanonical(actual, expected)) {
+      failures.push(
+        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/scripts/utils/oxlint-canonical.json)`
+      )
     }
   }
+
   return { ok: failures.length === 0, failures }
 }
 
@@ -96,7 +170,7 @@ export function verifyOxlintRcE18e(cfg) {
  * @param {(msg: string) => void} failFn callback при помилці
  */
 async function checkEslintConfig(passFn, failFn) {
-  let eslintPath = ''
+  let eslintPath
   if (existsSync('eslint.config.js')) {
     eslintPath = 'eslint.config.js'
     passFn('eslint.config.js існує')
@@ -157,10 +231,12 @@ function checkPackageJsonLintDeps(pkg, passFn, failFn) {
   if (nitraEslint) {
     passFn('@nitra/eslint-config є в devDependencies')
     if (nitraEslintConfigDeclaresE18eTransitive(nitraEslint)) {
-      passFn('@nitra/eslint-config: мінімум 3.5.0 (транзитивний @e18e/eslint-plugin для oxlint jsPlugins, js-lint.mdc)')
+      passFn(
+        '@nitra/eslint-config: мінімум 3.6.12 (транзитивний @e18e/eslint-plugin для oxlint jsPlugins, js-lint.mdc)'
+      )
     } else {
       failFn(
-        '@nitra/eslint-config: онови до мінімум "^3.5.0" — з цієї версії постачається @e18e/eslint-plugin для .oxlintrc.json (js-lint.mdc)'
+        '@nitra/eslint-config: онови до мінімум "^3.6.12" — з цієї версії постачається @e18e/eslint-plugin для .oxlintrc.json (js-lint.mdc)'
       )
     }
   } else {
@@ -269,9 +345,16 @@ async function checkOxlintRc(passFn, failFn) {
     return
   }
   passFn('.oxlintrc.json існує')
-  const oxV = verifyOxlintRcE18e(oxCfg)
+  let canonical
+  try {
+    canonical = JSON.parse(await readFile(OXLINT_CANONICAL_JSON_PATH, 'utf8'))
+  } catch {
+    failFn('внутрішня помилка: не вдалося прочитати канон oxlint з пакета @nitra/cursor')
+    return
+  }
+  const oxV = verifyOxlintRcAgainstCanonical(oxCfg, canonical)
   if (oxV.ok) {
-    passFn('.oxlintrc.json: jsPlugins з @e18e/eslint-plugin і e18e/prefer-includes: error')
+    passFn('.oxlintrc.json збігається з каноном oxlint (@nitra/cursor)')
   } else {
     for (const msg of oxV.failures) {
       failFn(msg)