@nitra/cursor 1.8.145 → 1.8.150

package/bin/n-cursor.js

@@ -561,7 +561,7 @@ function buildClaudeLintParallelismSectionLines() {
     '## Лінт і ESLint (без паралельних запусків)',
     '',
     'Щоб не запускати **кілька** одночасних **`eslint`** (і не перевантажувати диск/CPU), **заборонено** стартувати `bun run lint` / `lint-js` / `eslint` **паралельно** в різних Bash-задачах, **фонових** shells чи **субагентах** (Task тощо). Має бути **один** послідовний прогон на сесію; команда **`/n-lint`** — **не** ділити на паралельні підзадачі. Деталі: `.cursor/skills/n-lint/SKILL.md`.',
-    '',
+    ''
   ]
 }
 
@@ -1036,6 +1036,7 @@ async function runChecks(requestedRules) {
     const scriptPath = join(BUNDLED_SCRIPTS_DIR, `check-${rule}.mjs`)
     console.log(`📋 ${rule}:`)
     try {
+      // eslint-disable-next-line no-unsanitized/method -- rule валідовано проти available, scriptPath будується з фіксованої BUNDLED_SCRIPTS_DIR
       const { check } = await import(scriptPath)
       const code = await check()
       if (code !== 0) totalFailed++

package/bin/rename-yaml-extensions.mjs

@@ -1,5 +1,3 @@
-#!/usr/bin/env node
-
 /**
  * CLI для перейменування розширень YAML (k8s та `.github`). Бізнес-логіка — у **`scripts/rename-yaml-extensions.mjs`**.
  *

package/mdc/docker.mdc

@@ -189,8 +189,10 @@ jobs:
 ```yaml title=".hadolint.yaml"
 ignored:
   - DL3007
+  - DL3008
   - DL3018
 ```
+
 Де DL3007 - «Не використовуй тег latest у FROM»
 Де DL3018 - «Піни версії пакетів у apk add»
 

package/mdc/js-lint.mdc

@@ -1,10 +1,10 @@
 ---
 description: Перевірка JavaScript коду
 alwaysApply: true
-version: '1.14'
+version: '1.15'
 ---
 
-**oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.5.0`** (з ним транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
+**oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.6.12`** (з ним транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
 
 ```json title=".vscode/extensions.json"
 {
@@ -25,7 +25,7 @@ version: '1.14'
     "lint-js": "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd ."
   },
   "devDependencies": {
-    "@nitra/eslint-config": "^3.5.0"
+    "@nitra/eslint-config": "^3.6.12"
   },
   "engines": {
     "node": ">=24"
@@ -33,7 +33,9 @@ version: '1.14'
 }
 ```
 
-У корені має бути **`.oxlintrc.json`** з підключенням **`@e18e/eslint-plugin`** через **`jsPlugins`** і правилом **`e18e/prefer-includes`** зі значенням **`error`**. Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.5.0**), oxlint підвантажує його з **`node_modules`**.
+У корені має бути **`.oxlintrc.json`**, який **збігається з каноном** oxlint з пакета **`@nitra/cursor`**: файл **`npm/scripts/utils/oxlint-canonical.json`** (plugins, jsPlugins з **`@e18e/eslint-plugin`**, categories, повний набір **rules** із канону — додаткові записи в **`rules`** дозволені; також **`settings`**, **`env`**, **`globals`**, **`ignorePatterns`**). Оновити можна з репозиторію пакета або скопіювавши файл після **`bun ./scripts/utils/rebuild-oxlint-canonical.mjs`** (джерело правил — **`oxlint-rules.tsv`** + скелет **`oxlint-canonical-skeleton.json`**). Модуль **`@e18e/eslint-plugin`** не оголошуй окремо в **`package.json`** — він уже в залежностях **`@nitra/eslint-config`** (з **3.6.12**), oxlint підвантажує його з **`node_modules`**.
+
+Мінімум для розуміння структури (реальний корінь конфігу має збігатися з каноном повністю):
 
 ```json title=".oxlintrc.json (фрагмент)"
 {

package/mdc/js-mssql.mdc

@@ -17,6 +17,7 @@ version: '1.2'
 ## Як виконувати запити (безпечно)
 
 tagged template треба викликати на request-обʼєкті цього пулу:
+
 ```javascript
 javascript// db.js
 import sql from 'mssql';
@@ -58,6 +59,7 @@ const result = await pool.request().query`
 ### Не робити `query(\`...\`)`
 
 javascript// ❌ Це не tagged template — це конкатенація рядка перед викликом
+
 ```javascript
 await pool.request().query(`SELECT * FROM users WHERE id = ${userId}`);
 // ↑ круглі дужки замість бекті́ків = звичайна інтерполяція = SQL injection

package/mdc/k8s.mdc

@@ -288,13 +288,13 @@ data:
 
 ## Deployment: обов'язкові `hpa.yaml`, `pdb.yaml`, `topologySpreadConstraints`
 
-Для **кожного** `kind: Deployment` під **`k8s/`** у тому ж каталозі мають бути **`hpa.yaml`** (HPA) і **`pdb.yaml`** (PDB), а сам Deployment — мати канонічні **`spec.template.spec.topologySpreadConstraints`**. Скрипт звіряє прив'язку за іменами:
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у **тому ж каталозі** мають бути **`hpa.yaml`** (HPA) і **`pdb.yaml`** (PDB), а сам Deployment — канонічні **`spec.template.spec.topologySpreadConstraints`**. Інші workload-и (**CronJob**, **Job** тощо) або каталоги без шару **`base`** цими вимогами не охоплюються — **`check k8s`** їх не змушує додавати HPA/PDB поруч. Скрипт звіряє прив’язку за іменами:
 
 - **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
 
-**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є **Deployment**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться `Deployment`. Перевіряє **`check-k8s.mjs`**.
+**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є хоча б один **`Deployment`** у YAML під **`…/k8s/…/base/`**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться такий Deployment. Перевіряє **`check-k8s.mjs`**.
 
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
 
@@ -314,7 +314,7 @@ data:
 
 ### Прод-оверрайди у `kustomization.yaml`
 
-Оскільки `base/` (і dev-like середовища) тримають dev-значення (`1`/`1`/`0`), у **кожному** прод-накладенні `kustomization.yaml` у `patches[]` **обов'язково** має бути перевизначення:
+Оскільки `base/` (і dev-like середовища) тримають dev-значення (`1`/`1`/`0`), у **кожному** прод-накладенні `kustomization.yaml` у `patches[]` **обов'язково** має бути перевизначення **лише якщо** цей оверлей наслідує base-дерево, де є **Deployment** і **HPA/PDB** (тобто base реально дає dev-like HPA/PDB, які треба підняти в проді):
 
 - для `HorizontalPodAutoscaler`: `spec.minReplicas` **і** `spec.maxReplicas` (щоб у проді вийшло ≥2).
 - для `PodDisruptionBudget`: `spec.minAvailable` (щоб у проді вийшло ≥1).

package/mdc/vue.mdc

@@ -156,7 +156,7 @@ export default {
   "private": true,
   "type": "module",
   "dependencies": {
-    "vue": "^3.5.0"
+    "vue": "^3.6.12"
   },
   "devDependencies": {
     "vite": "^8.0.0",
@@ -224,7 +224,7 @@ export default defineConfig({
 
 ## npm_lifecycle_event
 
-у більшості проектів в файлі vite.config.js 
+у більшості проектів в файлі vite.config.js
 є  конструкція виду
 
 switch (process.env.npm_lifecycle_event) {
@@ -253,7 +253,7 @@ function getProxy(mode) {
 }
 ```
 
-і викликати всередині 
+і викликати всередині
 
 ```javascript title="vite.config.js"
 export default defineConfig(({ mode, command }) => {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.145",
+  "version": "1.8.150",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -39,10 +39,10 @@
     "rename-yaml-extensions": "bun ./bin/n-cursor.js rename-yaml-extensions"
   },
   "dependencies": {
-    "oxc-parser": "^0.124.0",
+    "oxc-parser": "^0.128.0",
     "yaml": "^2.8.3"
   },
   "engines": {
-    "node": ">=24"
+    "node": ">=25"
   }
 }

package/scripts/auto-rules.mjs

@@ -57,12 +57,34 @@ const DEFAULT_DISABLED_LIST = Object.freeze([])
  * Чи містить текст джерела імпорт імені `sql` або `SQL` з `"bun"` (після витягування `<script>` у `.vue`).
  * @param {string} content вміст файлу
  * @param {string} relativePath шлях posix відносно кореня
- * @returns {boolean}
+ * @returns {boolean} true, якщо знайдено `import { sql }` або `import { SQL }` з `"bun"`
  */
 function sourceContentHasBunSqlImport(content, relativePath) {
   return textHasBunSqlImport(contentForVueImportScan(content, relativePath))
 }
 
+/**
+ * Зчитує `package.json` і додає в `found` усі ключі з `wanted`, що присутні в `dependencies`.
+ * @param {string} absPath абсолютний шлях до package.json
+ * @param {Set<string>} wanted множина ключів-цілей
+ * @param {Set<string>} found буфер знайдених ключів
+ * @returns {Promise<void>}
+ */
+async function collectFoundDependencyKeysFromPackageJson(absPath, wanted, found) {
+  try {
+    const parsed = JSON.parse(await readFile(absPath, 'utf8'))
+    const deps = parsed?.dependencies
+    if (!deps || typeof deps !== 'object' || Array.isArray(deps)) return
+    for (const key of wanted) {
+      if (Object.hasOwn(deps, key)) {
+        found.add(key)
+      }
+    }
+  } catch {
+    /* ігноруємо пошкоджені/недоступні package.json */
+  }
+}
+
 /**
  * Збирає, які з переданих ключів присутні в `dependencies` хоча б одного `package.json`.
  * @param {string} root абсолютний шлях до кореня репозиторію
@@ -74,15 +96,32 @@ async function collectDependencyKeysPresentInPackageJsonTree(root, dependencyKey
   /** @type {Set<string>} */
   const found = new Set()
 
+  /**
+   * Обробка одного запису з readdir: рекурсія в підкаталог або зчитування package.json.
+   * @param {import('node:fs').Dirent} entry елемент readdir
+   * @param {string} dir абсолютний шлях каталогу-власника entry
+   * @returns {Promise<void>}
+   */
+  async function processEntry(entry, dir) {
+    const absPath = join(dir, entry.name)
+    if (entry.isDirectory()) {
+      if (!IGNORED_DIR_NAMES.has(entry.name)) {
+        await walk(absPath)
+      }
+      return
+    }
+    if (entry.isFile() && entry.name === 'package.json') {
+      await collectFoundDependencyKeysFromPackageJson(absPath, wanted, found)
+    }
+  }
+
   /**
    * Рекурсивний обхід каталогу з пропуском службових директорій.
    * @param {string} dir абсолютний шлях каталогу
    * @returns {Promise<void>}
    */
   async function walk(dir) {
-    if (found.size === wanted.size) {
-      return
-    }
+    if (found.size === wanted.size) return
     let entries
     try {
       entries = await readdir(dir, { withFileTypes: true })
@@ -90,30 +129,8 @@ async function collectDependencyKeysPresentInPackageJsonTree(root, dependencyKey
       return
     }
     for (const entry of entries) {
-      if (found.size === wanted.size) {
-        return
-      }
-      const absPath = join(dir, entry.name)
-      if (entry.isDirectory()) {
-        const isIgnoredDir = IGNORED_DIR_NAMES.has(entry.name)
-        if (!isIgnoredDir) {
-          await walk(absPath)
-        }
-      } else if (entry.isFile() && entry.name === 'package.json') {
-        try {
-          const parsed = JSON.parse(await readFile(absPath, 'utf8'))
-          const deps = parsed?.dependencies
-          if (deps && typeof deps === 'object' && !Array.isArray(deps)) {
-            for (const key of wanted) {
-              if (Object.hasOwn(deps, key)) {
-                found.add(key)
-              }
-            }
-          }
-        } catch {
-          /* ігноруємо пошкоджені/недоступні package.json */
-        }
-      }
+      if (found.size === wanted.size) return
+      await processEntry(entry, dir)
     }
   }
 
@@ -210,7 +227,7 @@ async function updateGqlFactFromFile(absPath, relPath, facts) {
  * Чи сканувати файл на імпорт `sql`/`SQL` з `bun` (ті самі розширення й skip, що для gql).
  * @param {string} relPath шлях posix відносно кореня
  * @param {{ hasBunSqlImport: boolean }} facts агреговані факти
- * @returns {boolean}
+ * @returns {boolean} true, якщо файл варто сканувати
  */
 function shouldScanFileForBunSql(relPath, facts) {
   return !facts.hasBunSqlImport && isGqlScanSourceFile(relPath) && !shouldSkipFileForGqlScan(relPath)

package/scripts/check-capacitor.mjs

@@ -376,9 +376,7 @@ function extractNitraObjectBodySource(source) {
  * @returns {boolean} **true**, якщо в тілі є **iosCocoaPods**…**:** **true**
  */
 function nitraObjectBodyStringAllowsCocoaPodsExempt(objectBody) {
-  return (
-    RE_COCOAPODS_EXEMPT_SPM.test(objectBody) === true || RE_COCOAPODS_EXEMPT_ALLOW.test(objectBody) === true
-  )
+  return RE_COCOAPODS_EXEMPT_SPM.test(objectBody) === true || RE_COCOAPODS_EXEMPT_ALLOW.test(objectBody) === true
 }
 
 /**
@@ -443,7 +441,9 @@ export async function check() {
   const { byPath, anyCapacitor } = acc
 
   if (!isCapacitorRelevantForCheck(root, anyCapacitor)) {
-    pass('Capacitor не виявлено (без capacitor.config у корені, без @capacitor/ у package.json) — check capacitor пропущено')
+    pass(
+      'Capacitor не виявлено (без capacitor.config у корені, без @capacitor/ у package.json) — check capacitor пропущено'
+    )
     return getExitCode()
   }
 

package/scripts/check-ga.mjs

@@ -60,7 +60,6 @@ const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml',
  *
  * Використовує `git ls-files` з pathspec-магiєю `:(glob)`, щоб не реалізовувати glob engine вручну
  * і не сканувати файлову систему рекурсивно.
- *
  * @param {string} globPattern glob з workflow (наприклад "files/**" або "image-migration-new/**")
  * @returns {boolean} true, якщо є хоча б один збіг
  */
@@ -69,6 +68,7 @@ function gitHasAnyTrackedFileMatchingGlob(globPattern) {
   if (!p) return false
   if (p.startsWith('!')) return true
   try {
+    // eslint-disable-next-line sonarjs/no-os-command-from-path -- git як стандартне dev-середовище через PATH; альтернативи (хардкод шляху) непортативні
     const out = execFileSync('git', ['ls-files', '-z', '--', `:(glob)${p}`], { encoding: 'utf8' })
     return out.length > 0
   } catch {
@@ -82,7 +82,6 @@ function gitHasAnyTrackedFileMatchingGlob(globPattern) {
  * У багатьох workflow (особливо лінтерах) `paths` часто містить “широкі” шаблони по розширеннях
  * (наприклад `*.vue`, `*.php`), які можуть бути відсутні в конкретному репозиторії й це ок.
  * Запит цієї перевірки — ловити посилання на неіснуючі директорії/шляхи (типово `some-dir/**`).
- *
  * @param {string} p glob з workflow
  * @returns {boolean} true, якщо треба валідувати наявність файлів
  */
@@ -96,6 +95,28 @@ function shouldValidateWorkflowPathsGlob(p) {
   return true
 }
 
+/**
+ * Перевіряє один glob з `on.<event>.paths` на наявність збігів у репо.
+ * @param {string} relPath шлях workflow для повідомлень
+ * @param {string} eventName назва події (push / pull_request)
+ * @param {unknown} raw сирий елемент масиву paths
+ * @param {(msg: string) => void} passFn pass
+ * @param {(msg: string) => void} failFn fail
+ */
+function verifyOnePathsGlob(relPath, eventName, raw, passFn, failFn) {
+  const p = String(raw ?? '').trim()
+  if (!p) return
+  if (!shouldValidateWorkflowPathsGlob(p)) {
+    passFn(`${relPath}: on.${eventName}.paths glob пропущено для перевірки існування: ${JSON.stringify(p)}`)
+    return
+  }
+  if (gitHasAnyTrackedFileMatchingGlob(p)) {
+    passFn(`${relPath}: on.${eventName}.paths glob матчитсья: ${JSON.stringify(p)}`)
+  } else {
+    failFn(`${relPath}: on.${eventName}.paths glob не матчитсья ні на один файл: ${JSON.stringify(p)}`)
+  }
+}
+
 /**
  * Валідує `on.push.paths` / `on.pull_request.paths`: кожен позитивний glob має мати збіги в репозиторії.
  * @param {string} relPath шлях workflow для повідомлень
@@ -116,17 +137,7 @@ function verifyWorkflowEventPathsGlobsExist(relPath, root, passFn, failFn) {
   for (const [eventName, paths] of candidates) {
     if (!Array.isArray(paths)) continue
     for (const raw of paths) {
-      const p = String(raw ?? '').trim()
-      if (!p) continue
-      if (!shouldValidateWorkflowPathsGlob(p)) {
-        passFn(`${relPath}: on.${eventName}.paths glob пропущено для перевірки існування: ${JSON.stringify(p)}`)
-        continue
-      }
-      if (gitHasAnyTrackedFileMatchingGlob(p)) {
-        passFn(`${relPath}: on.${eventName}.paths glob матчитсья: ${JSON.stringify(p)}`)
-      } else {
-        failFn(`${relPath}: on.${eventName}.paths glob не матчитсья ні на один файл: ${JSON.stringify(p)}`)
-      }
+      verifyOnePathsGlob(relPath, eventName, raw, passFn, failFn)
     }
   }
 }
@@ -138,8 +149,9 @@ function verifyWorkflowEventPathsGlobsExist(relPath, root, passFn, failFn) {
  * @returns {unknown} значення поля або undefined
  */
 function getObjKey(obj, key) {
-  if (!obj || typeof obj !== 'object' || Array.isArray(obj)) return
-  return /** @type {Record<string, unknown>} */ (obj)[key]
+  return obj && typeof obj === 'object' && !Array.isArray(obj)
+    ? /** @type {Record<string, unknown>} */ (obj)[key]
+    : undefined
 }
 
 /**

package/scripts/check-js-bun-db.mjs

@@ -77,7 +77,7 @@ async function findAllSourcePathsForBunSqlScan(repoRoot) {
  * Перевіряє, чи в кореневому `package.json` присутні заборонені пакети у `dependencies`.
  * @param {string[]} pkgJsonPaths абсолютні шляхи всіх `package.json` у репо
  * @param {string} repoRoot абсолютний шлях до кореня
- * @param {{ pass: (m: string) => void, fail: (m: string) => void }} reporter
+ * @param {{ pass: (m: string) => void, fail: (m: string) => void }} reporter колбеки pass і fail з перевірки
  * @returns {Promise<number>} кількість знайдених порушень
  */
 async function checkForbiddenDependencies(pkgJsonPaths, repoRoot, reporter) {
@@ -114,7 +114,7 @@ async function checkForbiddenDependencies(pkgJsonPaths, repoRoot, reporter) {
  * Сканує JS/TS-джерела на небезпечні патерни Bun SQL.
  * @param {string[]} sourcePaths абсолютні шляхи джерел
  * @param {string} repoRoot абсолютний шлях до кореня
- * @param {{ pass: (m: string) => void, fail: (m: string) => void }} reporter
+ * @param {{ pass: (m: string) => void, fail: (m: string) => void }} reporter колбеки pass і fail з перевірки
  * @returns {Promise<{ hasBunSqlImport: boolean, perRequest: number, unsafeCall: number, dynamicList: number }>}
  *   `hasBunSqlImport` — чи знайдено хоч один `import { sql|SQL } from 'bun'` у джерелах;
  *   решта — кількість порушень кожного типу.
@@ -203,7 +203,7 @@ export async function check() {
     pass('js-bun-db: немає створення new SQL(...) всередині функцій (singleton на рівні модуля)')
   }
   if (unsafeCall === 0) {
-    pass('js-bun-db: немає небезпечних викликів sql.unsafe(`...${...}...`)')
+    pass('js-bun-db: немає небезпечних викликів sql.unsafe з інтерполяцією в шаблонному рядку')
   }
   if (dynamicList === 0) {
     pass("js-bun-db: немає небезпечних динамічних SQL-списків через .join(',') у IN/VALUES")

package/scripts/check-js-lint.mjs

@@ -2,18 +2,28 @@
  * Перевіряє лінт JavaScript за правилом js-lint.mdc.
  *
  * Канонічний `lint-js`, flat ESLint з getConfig і ignore для auto-imports, рекомендації VSCode,
- * `.oxlintrc.json` з `jsPlugins` (`@e18e/eslint-plugin`) і правилом `e18e/prefer-includes: error`,
- * `@nitra/eslint-config` у devDependencies мінімум **3.5.0** (транзитивний `@e18e/eslint-plugin` для oxlint), `.jscpd.json`
- * (gitignore, exitCode, reporters, minLines), workflow `lint-js.yml` (checkout@v6, setup-bun-deps,
- * bunx без --fix), без prettier, `engines.node` >= 24, `"type": "module"` у кореневому
- * і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
+ * `.oxlintrc.json` має збігатися з каноном oxlint у пакеті (`npm/scripts/utils/oxlint-canonical.json`):
+ * plugins, jsPlugins, categories, усі правила з канону (додаткові записи в `rules` дозволені), settings, env,
+ * globals, ignorePatterns. `@nitra/eslint-config` у devDependencies мінімум **3.6.12** (транзитивний
+ * `@e18e/eslint-plugin` для oxlint), `.jscpd.json` (gitignore, exitCode, reporters, minLines), workflow
+ * `lint-js.yml` (checkout@v6, setup-bun-deps, bunx без --fix), без prettier, `engines.node` >= 24,
+ * `"type": "module"` у кореневому і всіх workspace `package.json`. Дубль перевірки JS у `lint.yml` — заборонено.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
+import { dirname, join } from 'node:path'
+import { fileURLToPath } from 'node:url'
 
 import { parseWorkflowYaml, verifyLintJsWorkflowStructure } from './utils/gha-workflow.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 
+/** Шлях до канонічного oxlint JSON у цьому пакеті (для перевірки та тестів). */
+export const OXLINT_CANONICAL_JSON_PATH = join(
+  dirname(fileURLToPath(import.meta.url)),
+  'utils',
+  'oxlint-canonical.json'
+)
+
 /** Очікуваний локальний скрипт. */
 export const CANONICAL_LINT_JS = 'bunx oxlint --fix && bunx eslint --fix . && bunx jscpd .'
 
@@ -43,9 +53,9 @@ export function isCanonicalLintJs(script) {
 }
 
 /**
- * Чи діапазон `@nitra/eslint-config` у `package.json` передбачає версію з транзитивним `@e18e/eslint-plugin` (>=3.5.0).
+ * Чи діапазон `@nitra/eslint-config` у `package.json` передбачає версію з транзитивним `@e18e/eslint-plugin` (>=3.6.12).
  * @param {unknown} versionSpec значення `devDependencies['@nitra/eslint-config']`
- * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.5.0
+ * @returns {boolean} true для `workspace:*` або першої semver у рядку >= 3.6.12
  */
 export function nitraEslintConfigDeclaresE18eTransitive(versionSpec) {
   const s = String(versionSpec).trim()
@@ -64,29 +74,97 @@ export function nitraEslintConfigDeclaresE18eTransitive(versionSpec) {
 }
 
 /**
- * Перевіряє потрібні поля `.oxlintrc.json` для розширення e18e (js-lint.mdc).
- * @param {unknown} cfg корінь JSON-конфігурації oxlint
- * @returns {{ ok: boolean, failures: string[] }} `ok` і перелік повідомлень для `fail`
+ * Рекурсивне порівняння фрагментів канону oxlint (масиви — порядок як у каноні; об’єкти — той самий набір ключів і вкладеність).
+ * @param {unknown} actual значення з `.oxlintrc.json`
+ * @param {unknown} expected значення з канону
+ * @returns {boolean} true, якщо значення збігаються за правилами канону
+ */
+function deepEqualOxlintCanonical(actual, expected) {
+  if (expected === null || typeof expected !== 'object') {
+    return actual === expected
+  }
+  if (Array.isArray(expected)) {
+    return Array.isArray(actual) && JSON.stringify(actual) === JSON.stringify(expected)
+  }
+  if (typeof actual !== 'object' || actual === null || Array.isArray(actual)) {
+    return false
+  }
+  const exp = /** @type {Record<string, unknown>} */ (expected)
+  const act = /** @type {Record<string, unknown>} */ (actual)
+  const expKeys = Object.keys(exp)
+  const actKeys = Object.keys(act)
+  if (expKeys.length !== actKeys.length) {
+    return false
+  }
+  for (const k of expKeys) {
+    if (!(k in act) || !deepEqualOxlintCanonical(act[k], exp[k])) {
+      return false
+    }
+  }
+  return true
+}
+
+/**
+ * Безпечний доступ як до plain-object запису.
+ * @param {unknown} v будь-яке значення
+ * @returns {Record<string, unknown>} запис або пустий обʼєкт, якщо `v` не plain-object
+ */
+function asRecordOrEmpty(v) {
+  return v && typeof v === 'object' && !Array.isArray(v) ? /** @type {Record<string, unknown>} */ (v) : {}
+}
+
+/**
+ * Звіряє блок `rules`: кожне правило з канону має точне збіжне значення в actual.
+ * @param {unknown} expected канонічне значення для `rules`
+ * @param {unknown} actual поточне значення для `rules`
+ * @param {string[]} failures буфер для помилок
+ */
+function compareOxlintRules(expected, actual, failures) {
+  const er = asRecordOrEmpty(expected)
+  const ar = asRecordOrEmpty(actual)
+  for (const ruleKey of Object.keys(er)) {
+    if (ar[ruleKey] !== er[ruleKey]) {
+      failures.push(
+        `.oxlintrc.json: rules["${ruleKey}"] очікується ${JSON.stringify(er[ruleKey])}, зараз ${JSON.stringify(ar[ruleKey])}`
+      )
+    }
+  }
+}
+
+/**
+ * Перевіряє `.oxlintrc.json` проти канону пакета `@nitra/cursor` (усі правила з канону та інші поля з `oxlint-canonical.json`).
+ * Додаткові ключі лише в `rules` дозволені; інші поля мають збігатися з каноном.
+ * @param {unknown} cfg корінь JSON з `.oxlintrc.json`
+ * @param {unknown} canonical розпарений `oxlint-canonical.json`
+ * @returns {{ ok: boolean, failures: string[] }} статус і повідомлення для `fail`
  */
-export function verifyOxlintRcE18e(cfg) {
+export function verifyOxlintRcAgainstCanonical(cfg, canonical) {
   const failures = []
   if (!cfg || typeof cfg !== 'object' || Array.isArray(cfg)) {
     return { ok: false, failures: ['.oxlintrc.json: корінь має бути значенням типу object'] }
   }
-  const o = /** @type {Record<string, unknown>} */ (cfg)
-  const jsPlugins = o.jsPlugins
-  if (!Array.isArray(jsPlugins) || !jsPlugins.includes('@e18e/eslint-plugin')) {
-    failures.push('.oxlintrc.json: jsPlugins має містити "@e18e/eslint-plugin"')
+  if (!canonical || typeof canonical !== 'object' || Array.isArray(canonical)) {
+    return { ok: false, failures: ['внутрішня помилка: канон oxlint має бути object'] }
   }
-  const rules = o.rules
-  if (!rules || typeof rules !== 'object' || Array.isArray(rules)) {
-    failures.push('.oxlintrc.json: поле rules має бути значенням типу object')
-  } else {
-    const r = /** @type {Record<string, unknown>} */ (rules)
-    if (r['e18e/prefer-includes'] !== 'error') {
-      failures.push('.oxlintrc.json: у rules має бути "e18e/prefer-includes": "error"')
+  const o = /** @type {Record<string, unknown>} */ (cfg)
+  const c = /** @type {Record<string, unknown>} */ (canonical)
+
+  for (const key of Object.keys(c)) {
+    const expected = c[key]
+    const actual = o[key]
+
+    if (key === 'rules') {
+      compareOxlintRules(expected, actual, failures)
+      continue
+    }
+
+    if (!deepEqualOxlintCanonical(actual, expected)) {
+      failures.push(
+        `.oxlintrc.json: поле "${key}" має збігатися з каноном пакета @nitra/cursor (npm/scripts/utils/oxlint-canonical.json)`
+      )
     }
   }
+
   return { ok: failures.length === 0, failures }
 }
 
@@ -96,7 +174,7 @@ export function verifyOxlintRcE18e(cfg) {
  * @param {(msg: string) => void} failFn callback при помилці
  */
 async function checkEslintConfig(passFn, failFn) {
-  let eslintPath = ''
+  let eslintPath
   if (existsSync('eslint.config.js')) {
     eslintPath = 'eslint.config.js'
     passFn('eslint.config.js існує')
@@ -157,10 +235,12 @@ function checkPackageJsonLintDeps(pkg, passFn, failFn) {
   if (nitraEslint) {
     passFn('@nitra/eslint-config є в devDependencies')
     if (nitraEslintConfigDeclaresE18eTransitive(nitraEslint)) {
-      passFn('@nitra/eslint-config: мінімум 3.5.0 (транзитивний @e18e/eslint-plugin для oxlint jsPlugins, js-lint.mdc)')
+      passFn(
+        '@nitra/eslint-config: мінімум 3.6.12 (транзитивний @e18e/eslint-plugin для oxlint jsPlugins, js-lint.mdc)'
+      )
     } else {
       failFn(
-        '@nitra/eslint-config: онови до мінімум "^3.5.0" — з цієї версії постачається @e18e/eslint-plugin для .oxlintrc.json (js-lint.mdc)'
+        '@nitra/eslint-config: онови до мінімум "^3.6.12" — з цієї версії постачається @e18e/eslint-plugin для .oxlintrc.json (js-lint.mdc)'
       )
     }
   } else {
@@ -269,9 +349,16 @@ async function checkOxlintRc(passFn, failFn) {
     return
   }
   passFn('.oxlintrc.json існує')
-  const oxV = verifyOxlintRcE18e(oxCfg)
+  let canonical
+  try {
+    canonical = JSON.parse(await readFile(OXLINT_CANONICAL_JSON_PATH, 'utf8'))
+  } catch {
+    failFn('внутрішня помилка: не вдалося прочитати канон oxlint з пакета @nitra/cursor')
+    return
+  }
+  const oxV = verifyOxlintRcAgainstCanonical(oxCfg, canonical)
   if (oxV.ok) {
-    passFn('.oxlintrc.json: jsPlugins з @e18e/eslint-plugin і e18e/prefer-includes: error')
+    passFn('.oxlintrc.json збігається з каноном oxlint (@nitra/cursor)')
   } else {
     for (const msg of oxV.failures) {
       failFn(msg)