@nitra/cursor 1.8.167 → 1.8.169

package/CHANGELOG.md

@@ -4,6 +4,21 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.169] - 2026-05-03
+
+### Added
+
+- `image.mdc` (v1.2) / `check-image.mjs`: нове правило `image` для оптимізації зображень через [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image). Перевіряє лише локальну конфігурацію (CI-workflow не вимагається — sharp/svgo тягнуть бінарні залежності, цінність на ubuntu-runner-ах нижча за час прогону): скрипт `lint-image` у `package.json` з обовʼязковим викликом `npx @nitra/minify-image --src=. --write --avif` (авто-оптимізація на місці + AVIF-двійники для PNG/JPEG/GIF), `bun run lint-image` в агрегованому `lint`, заборона `@nitra/minify-image` у `dependencies`/`devDependencies` (CLI лише через `npx`, симетрично до `markdownlint-cli2` у `text.mdc`) і рядок `.minify-image-cache.tsv` у `.gitignore` (або, рідше, у `files` пакета). AVIF-двійники (`<name>.<ext>.avif`) зберігаються в git як готові артефакти для віддачі браузеру.
+- `auto-rules.mjs` / `auto-rules.md`: введено граф залежностей між правилами (`AUTO_RULE_DEPENDENCIES`, синтаксис у `auto-rules.md` — `rule - [other]`). Правило `image` описане як `image - [vue]` — варто автододати лише разом з `vue`, без дублювання вихідної умови «`.vue`-файли». Транзитивне розгортання дозволяє ланцюги (`a → b → c`) і поважає `disable-rules` (якщо vue вимкнено — image теж не додається).
+- `vue.mdc` (v1.4) / `check-vue.mjs`: посилено перевірку `vite.config` — окрім згадки `AutoImport` тепер вимагається, щоб у виклику `AutoImport({ imports: [...] })` був присутній рядковий елемент `'vue'`. Без цього `unplugin-auto-import` не надасть `ref` / `createApp` / тощо, і прибирати явні value-імпорти з `'vue'` стає небезпечно (зламає код). Якщо `'vue'` у `imports` відсутній — value-імпорти більше не оголошуються забороненими, а fail зʼявляється на конфізі vite. Балансована екстракція аргументів `AutoImport(...)` через `extractAutoImportCallArgs` працює для багаторядкових об'єктів.
+
+## [1.8.168] - 2026-05-03
+
+### Added
+
+- `lint-ga.mjs`: до preflight на `shellcheck` додано preflight на [`uv`](https://docs.astral.sh/uv/) (постачає `uvx` для `uvx zizmor`). Якщо `uv` відсутній у `PATH` — `n-cursor lint-ga` падає з exit 1 і підказками `brew install uv` / `curl -LsSf https://astral.sh/uv/install.sh | sh` / `pip install uv`. Обидва preflight’и повідомляються незалежно: якщо нема одночасно й `shellcheck`, і `uv`, користувач одразу бачить обидві підказки, а не лише першу.
+- `lint-ga.mjs`: винесено внутрішній `PreflightDep` із `bin`/`winBins`/`explanation`/`install`/`successMsg` — однотипний pattern для додавання нових залежностей у preflight без копіпасти.
+
 ## [1.8.167] - 2026-05-03
 
 ### Added

package/bin/auto-rules.md

@@ -4,6 +4,8 @@
 
 ## Правила, які автоматично додається до .n-cursor.json
 
+Синтаксис `rule - [other]` означає: правило `rule` варто автододати лише якщо всі правила у списку `[other]` вже додані до конфігу (граф залежностей між правилами; умова не дублюється).
+
 abie - якщо в кореневому package.json в секції "repository" присутній текст "<https://github.com/abinbevefes/**/>"
 
 bun - якщо в корені проекту є package.json
@@ -18,6 +20,8 @@ graphql - якщо хоч в одному js або vue файлі присут
 
 hasura - якщо в директорії присутній config.yaml, який містить рядок `metadata_directory: metadata`
 
+image - [vue]
+
 js-lint - якщо присутній хоч один js файл
 
 js-run - якщо це вкладена директорія з package.json (не в корені) та в devDependencies немає vite

package/mdc/ga.mdc

@@ -1,7 +1,7 @@
 ---
 description: Правила форматів для .github/workflows
 alwaysApply: true
-version: '1.5'
+version: '1.6'
 ---
 
 У `.github/workflows/` лише **`.yml`**. Мають бути **`clean-ga-workflows.yml`**, **`clean-merged-branch.yml`**, **`lint-ga.yml`**, **`git-ai.yml`**. Якщо є **`apply-k8s.yml`** / **`apply-nats-consumer.yml`** — paths у тригері як у фрагментах.
@@ -243,9 +243,11 @@ jobs:
 
 CLI виконує:
 
-1. Перевірку наявності [`shellcheck`](https://www.shellcheck.net/) у `PATH` — без нього `actionlint` мовчки пропускає shell-перевірки в `run:` блоках, тож локальний прогін зеленіє, а CI на `ubuntu-latest` (де shellcheck передвстановлений) падає на тих самих workflow. Якщо бінарника немає — `bun lint-ga` падає одразу, до запуску `actionlint`. Встановлення: `brew install shellcheck` (macOS), `sudo apt-get install -y shellcheck` (Debian/Ubuntu), `sudo pacman -S shellcheck` (Arch).
-2. `bunx github-actionlint`.
-3. `uvx zizmor --offline --collect=workflows .`.
+1. Preflight на [`shellcheck`](https://www.shellcheck.net/) у `PATH` — без нього `actionlint` мовчки пропускає shell-перевірки в `run:` блоках, тож локальний прогін зеленіє, а CI на `ubuntu-latest` (де shellcheck передвстановлений) падає на тих самих workflow. Встановлення: `brew install shellcheck` (macOS), `sudo apt-get install -y shellcheck` (Debian/Ubuntu), `sudo pacman -S shellcheck` (Arch).
+2. Preflight на [`uv`](https://docs.astral.sh/uv/) у `PATH` — постачає `uvx`, без якого не запуститься `uvx zizmor`. Встановлення: `brew install uv` (macOS), `curl -LsSf https://astral.sh/uv/install.sh | sh` (universal), `pip install uv`.
+3. Якщо хоча б один preflight не пройшов — exit 1 (підказки для всіх відсутніх залежностей друкуються разом, а не лише для першої).
+4. `bunx github-actionlint`.
+5. `uvx zizmor --offline --collect=workflows .`.
 
 **`.github/zizmor.yml`:** для [unpinned-uses](https://docs.zizmor.sh/audits/#unpinned-uses) — політика **`ref-pin`**, якщо в `uses:` семантичні теги. За потреби вимкни [template-injection](https://docs.zizmor.sh/audits/#template-injection):
 

package/mdc/image.mdc

@@ -0,0 +1,42 @@
+---
+description: Оптимізація зображень через @nitra/minify-image у локальному lint
+alwaysApply: true
+version: '1.2'
+---
+
+CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) запускається через `npx` (як `markdownlint-cli2` у text.mdc) і **не** додається в `dependencies` / `devDependencies`. Канонічний `lint-image` — авто-оптимізація з прапорцями `--write --avif`: стискає raster/SVG на місці й створює AVIF-двійники (`<name>.<ext>.avif`) поряд з кожним PNG/JPEG/GIF. Кеш-файл `.minify-image-cache.tsv` робить повторні прогони дешевими.
+
+Перевірка лише локальна — у CI `lint-image` не запускаємо (sharp/svgo тягнуть бінарні залежності, цінність на ubuntu-runner-ах нижча за час прогону). Окремий workflow `lint-image.yml` створювати не треба.
+
+## `package.json`
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint": "bun run lint-js && bun run lint-text && bun run lint-ga && bun run lint-image && oxfmt .",
+    "lint-image": "npx @nitra/minify-image --src=. --write --avif"
+  }
+}
+```
+
+Якщо в `package.json` уже є агрегований `lint`, додай у його ланцюжок `bun run lint-image` (як `bun run lint-text`, `bun run lint-js`, `bun run lint-ga`). Так розробник, що локально гонить `bun run lint`, перед фіксацією одразу бачить, чи зросли зображення, і отримує свіжі AVIF-двійники.
+
+## `.gitignore`
+
+`--write` створює `.minify-image-cache.tsv` у корені сканованого каталогу — TSV з рядком на кожне зображення (`<rel-path>\t<mtime>\t<originalSize>\t<size>`). Файл **переписується** на кожному запуску, тому консервативний дефолт для бібліотек / застосунків — ігнорувати:
+
+```text title=".gitignore"
+.minify-image-cache.tsv
+```
+
+Якщо проєкт усе ж зберігає кеш у git — це теж дозволено правилом, але тоді він має бути в `files` у `package.json` (для опублікованих npm-пакетів) або просто відсутній у `.gitignore`. Замовчування — рядок у `.gitignore`.
+
+AVIF-двійники (`<name>.<ext>.avif`) **зберігаємо в git** — це готові артефакти для віддачі браузеру (без них ефект від `--avif` втрачається на чистому checkout-і).
+
+## Заборонені залежності
+
+`@nitra/minify-image` не повинен зʼявлятися ні в `dependencies`, ні в `devDependencies` кореневого `package.json` — CLI запускається лише через `npx` (так само, як `markdownlint-cli2` у text.mdc). Якщо потрібен явний пін — закладай діапазон версій npm у самому виклику (`npx @nitra/minify-image@^3 --src=. --write --avif`).
+
+## Перевірка
+
+`npx @nitra/cursor check image` (охоплює `lint-image` у `package.json` з обовʼязковими `--src=.`, `--write`, `--avif`, агрегований `lint` і `.minify-image-cache.tsv` у `.gitignore`).

package/mdc/vue.mdc

@@ -1,7 +1,7 @@
 ---
 description: Vue
 alwaysApply: true
-version: '1.3'
+version: '1.4'
 ---
 
 # Vue 3 Composition API — правила для .cursorrules

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.167",
+  "version": "1.8.169",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -49,6 +49,6 @@
     "node": ">=25"
   },
   "devDependencies": {
-    "@nitra/cursor": "^1.8.167"
+    "@nitra/cursor": "^1.8.169"
   }
 }

package/scripts/auto-rules.mjs

@@ -30,6 +30,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'ga',
   'graphql',
   'hasura',
+  'image',
   'js-lint',
   'js-mssql',
   'js-bun-db',
@@ -46,6 +47,17 @@ export const AUTO_RULE_ORDER = Object.freeze([
 /** Порядок автододавання skills відповідно до `auto-rules.md`. */
 export const AUTO_SKILL_ORDER = Object.freeze(['abie-kustomize', 'fix', 'lint'])
 
+/**
+ * Граф залежностей між правилами (`auto-rules.md` синтаксис `rule - [other]`).
+ * Ключ варто автододати, коли всі правила-залежності вже додані до конфігу — щоб
+ * не дублювати вихідну умову, достатньо описати її у залежності.
+ */
+export const AUTO_RULE_DEPENDENCIES = Object.freeze(
+  /** @type {Record<string, readonly string[]>} */ ({
+    image: Object.freeze(['vue'])
+  })
+)
+
 const ABIE_REPOSITORY_URL_MARKER = 'https://github.com/abinbevefes/'
 const HASURA_CONFIG_MARKER = 'metadata_directory: metadata'
 const JS_LIKE_RE = /\.(?:mjs|cjs|js|jsx|ts|tsx)$/iu
@@ -493,6 +505,30 @@ export async function collectAutoRuleFacts(root) {
   return facts
 }
 
+/**
+ * Транзитивно розгортає правила за `AUTO_RULE_DEPENDENCIES`: повторно проходить
+ * усіма парами «правило → залежності» доки на одному з проходів не зʼявляється
+ * нове додавання. Це дозволяє ланцюги (`a → b → c`) і не вимагає від автора правил
+ * стежити за порядком викликів `addRule`.
+ * @param {string[]} detectedRules уже зібрані id правил (мутується через addRule)
+ * @param {(ruleId: string) => void} addRule callback із спільної фабрики (поважає `disable-rules` і дублі)
+ * @returns {void}
+ */
+function resolveRuleDependencies(detectedRules, addRule) {
+  let changed = true
+  while (changed) {
+    changed = false
+    for (const [ruleId, deps] of Object.entries(AUTO_RULE_DEPENDENCIES)) {
+      if (detectedRules.includes(ruleId)) continue
+      if (deps.every(d => detectedRules.includes(d))) {
+        const before = detectedRules.length
+        addRule(ruleId)
+        if (detectedRules.length > before) changed = true
+      }
+    }
+  }
+}
+
 /**
  * Визначає авто-правила та skills згідно з `auto-rules.md`.
  * @param {object} params параметри аналізу
@@ -588,6 +624,7 @@ export async function detectAutoRulesAndSkills({
   if (facts.hasVueSource) {
     addRule('vue')
   }
+  resolveRuleDependencies(detectedRules, addRule)
 
   const autoSkillChecks = [
     { enabled: isAbie, id: 'abie-kustomize' },

package/scripts/check-image.mjs

@@ -0,0 +1,167 @@
+/**
+ * Перевіряє відповідність репозиторію правилу image.mdc для оптимізації зображень
+ * через `@nitra/minify-image` (локально — у CI лінт зображень не запускається).
+ *
+ * Очікування:
+ * - у кореневому `package.json` є скрипт `lint-image`, який викликає `npx @nitra/minify-image`
+ *   з обовʼязковими `--src=.`, `--write` і `--avif` (авто-оптимізація з AVIF-двійниками);
+ * - якщо в `package.json` є агрегований скрипт `lint`, він викликає `bun run lint-image`
+ *   (симетрично до `lint-text`, `lint-js`, `lint-ga`);
+ * - `@nitra/minify-image` не оголошений у `dependencies`/`devDependencies` —
+ *   CLI запускається лише через `npx` (як `markdownlint-cli2` у `text.mdc`);
+ * - `.minify-image-cache.tsv` ігнорується через `.gitignore`,
+ *   або (рідше) явно перерахований у `files` пакета npm.
+ */
+import { existsSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+
+/** Імʼя CLI-пакета: рядок у `lint-image` і заборонений у залежностях. */
+const MINIFY_PACKAGE_NAME = '@nitra/minify-image'
+
+/** Імʼя кеш-файлу, який CLI створює у режимі `--write`. */
+const CACHE_FILENAME = '.minify-image-cache.tsv'
+
+/**
+ * Перевіряє скрипт `lint-image` у `package.json`.
+ *
+ * Має містити виклик `npx @nitra/minify-image` з обовʼязковими прапорцями `--src=.`,
+ * `--write` (авто-оптимізація на місці) і `--avif` (AVIF-двійники для PNG/JPEG/GIF).
+ * Без `--write`/`--avif` лінт лише оцінює економію — для проєктних коммітів цього мало.
+ * @param {string|undefined} lintImage значення `scripts['lint-image']`
+ * @param {(msg: string) => void} pass callback при успішній перевірці
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {void}
+ */
+function checkLintImageScript(lintImage, pass, fail) {
+  const canonical = `npx ${MINIFY_PACKAGE_NAME} --src=. --write --avif`
+  if (typeof lintImage !== 'string' || !lintImage.trim()) {
+    fail(`package.json: додай скрипт "lint-image" з \`${canonical}\` (image.mdc)`)
+    return
+  }
+  if (!lintImage.includes(`npx ${MINIFY_PACKAGE_NAME}`)) {
+    fail(`package.json: lint-image має викликати \`npx ${MINIFY_PACKAGE_NAME}\` (image.mdc)`)
+    return
+  }
+  /** @type {{ flag: string, variants: string[], hint: string }[]} */
+  const requiredFlags = [
+    { flag: '--src=.', variants: ['--src=.', '--src .'], hint: '`--src=.`' },
+    { flag: '--write', variants: ['--write'], hint: '`--write` (авто-оптимізація на місці)' },
+    { flag: '--avif', variants: ['--avif'], hint: '`--avif` (AVIF-двійники для PNG/JPEG/GIF)' }
+  ]
+  const missing = requiredFlags.filter(f => !f.variants.some(v => lintImage.includes(v)))
+  if (missing.length > 0) {
+    fail(
+      `package.json: lint-image має містити ${missing.map(f => f.hint).join(', ')} — канонічний виклик: \`${canonical}\` (image.mdc)`
+    )
+    return
+  }
+  pass(`package.json: lint-image викликає \`${canonical}\``)
+}
+
+/**
+ * Перевіряє, що агрегований `lint` (якщо є) кличе `bun run lint-image` —
+ * симетрично до `lint-text`, `lint-js`, `lint-ga`.
+ * @param {string|undefined} lintAggregate значення `scripts.lint`
+ * @param {(msg: string) => void} pass callback при успішній перевірці
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {void}
+ */
+function checkLintAggregateIncludesImage(lintAggregate, pass, fail) {
+  if (typeof lintAggregate !== 'string' || !lintAggregate.trim()) {
+    return
+  }
+  if (lintAggregate.includes('bun run lint-image')) {
+    pass('package.json: агрегований `lint` викликає `bun run lint-image`')
+  } else {
+    fail('package.json: у `lint` додай `bun run lint-image` (image.mdc, симетрично до lint-text / lint-js / lint-ga)')
+  }
+}
+
+/**
+ * Забороняє `@nitra/minify-image` у `dependencies` чи `devDependencies` —
+ * CLI завжди запускається через `npx` (як `markdownlint-cli2` у `text.mdc`).
+ * @param {{ dependencies?: Record<string, unknown>, devDependencies?: Record<string, unknown> }} pkg розібраний package.json
+ * @param {(msg: string) => void} pass callback при успішній перевірці
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {void}
+ */
+function checkMinifyImageNotInDeps(pkg, pass, fail) {
+  const inDeps = Boolean(pkg.dependencies && MINIFY_PACKAGE_NAME in pkg.dependencies)
+  const inDevDeps = Boolean(pkg.devDependencies && MINIFY_PACKAGE_NAME in pkg.devDependencies)
+  if (inDeps || inDevDeps) {
+    fail(
+      `package.json: ${MINIFY_PACKAGE_NAME} не додавай у dependencies/devDependencies — лише через \`npx\` (image.mdc)`
+    )
+  } else {
+    pass(`package.json: ${MINIFY_PACKAGE_NAME} не оголошено в dependencies/devDependencies`)
+  }
+}
+
+/**
+ * Перевіряє `.minify-image-cache.tsv`: має бути або у `.gitignore`,
+ * або явно у `files`-листі пакета (рідкісний кейс для open-source npm-пакетів).
+ * @param {{ files?: unknown }} pkg розібраний package.json (для перевірки `files`)
+ * @param {(msg: string) => void} pass callback при успішній перевірці
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<void>}
+ */
+async function checkCacheIgnoredOrPublished(pkg, pass, fail) {
+  if (existsSync('.gitignore')) {
+    const raw = await readFile('.gitignore', 'utf8')
+    const lines = raw
+      .split('\n')
+      .map(l => l.trim())
+      .filter(l => l.length > 0 && !l.startsWith('#'))
+    if (lines.includes(CACHE_FILENAME)) {
+      pass(`.gitignore містить ${CACHE_FILENAME}`)
+      return
+    }
+  }
+  if (Array.isArray(pkg.files) && pkg.files.some(f => typeof f === 'string' && f.includes(CACHE_FILENAME))) {
+    pass(`package.json: ${CACHE_FILENAME} перерахований у \`files\` (комітований кеш)`)
+    return
+  }
+  fail(
+    `.gitignore: додай рядок \`${CACHE_FILENAME}\` (або явно перерахуй у \`files\` package.json) — image.mdc`
+  )
+}
+
+/**
+ * Перевіряє кореневий `package.json`: скрипти, заборонені залежності, агрегований `lint`.
+ * @param {(msg: string) => void} pass callback при успішній перевірці
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<{ pkg: Record<string, unknown> } | null>} розібраний package.json або `null` якщо немає
+ */
+async function checkPackageJsonImage(pass, fail) {
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (image.mdc)')
+    return null
+  }
+  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
+  const scripts = /** @type {Record<string, unknown>} */ (pkg.scripts || {})
+  checkLintImageScript(typeof scripts['lint-image'] === 'string' ? scripts['lint-image'] : undefined, pass, fail)
+  checkLintAggregateIncludesImage(typeof scripts.lint === 'string' ? scripts.lint : undefined, pass, fail)
+  checkMinifyImageNotInDeps(pkg, pass, fail)
+  return { pkg }
+}
+
+/**
+ * Перевіряє відповідність проєкту правилам `image.mdc`:
+ * `lint-image` через `npx @nitra/minify-image --src=.`, агрегований `lint`,
+ * `.minify-image-cache.tsv` у `.gitignore`. CI-workflow для image не вимагається —
+ * лінт зображень виконується лише локально.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const pkgResult = await checkPackageJsonImage(pass, fail)
+  if (pkgResult) {
+    await checkCacheIgnoredOrPublished(pkgResult.pkg, pass, fail)
+  }
+
+  return reporter.getExitCode()
+}

package/scripts/check-vue.mjs

@@ -205,19 +205,57 @@ function checkViteVersion(devDeps, prefix, passFn, fail) {
   }
 }
 
+/**
+ * Витягує текст аргументів першого виклику `AutoImport(` з vite.config зі збалансованими дужками.
+ * Повертає `null`, якщо виклик не знайдено або дужки не збалансовані (тоді перевірка `'vue'`
+ * у списку `imports` пропускається — інші чек-сигнали все одно спрацюють).
+ * @param {string} content повний текст vite.config
+ * @returns {string | null} текст усередині `AutoImport(...)` без зовнішніх дужок, або `null`
+ */
+function extractAutoImportCallArgs(content) {
+  const marker = 'AutoImport('
+  const idx = content.indexOf(marker)
+  if (idx === -1) return null
+  const start = idx + marker.length
+  let depth = 1
+  for (let i = start; i < content.length; i++) {
+    const ch = content[i]
+    if (ch === '(') depth++
+    else if (ch === ')') {
+      depth--
+      if (depth === 0) return content.slice(start, i)
+    }
+  }
+  return null
+}
+
+/**
+ * Чи передано `'vue'` (або `"vue"`) як рядковий елемент у `imports` всередині виклику `AutoImport(...)`.
+ * Без auto-import-ів `vue` забороняти явні value-імпорти `from 'vue'` небезпечно — їх видалення
+ * зламає код, бо `ref` / `createApp` тощо більше нікому надати.
+ * @param {string} content повний текст vite.config
+ * @returns {boolean} true, якщо `AutoImport({ imports: [..., 'vue', ...] })` сконфігуровано
+ */
+function viteConfigHasVueInAutoImports(content) {
+  const args = extractAutoImportCallArgs(content)
+  if (args === null) return false
+  return args.includes("'vue'") || args.includes('"vue"')
+}
+
 /**
  * Перевіряє vite.config на наявність VueMacros і AutoImport.
  * @param {string} rootDir параметр rootDir
  * @param {string} prefix параметр prefix
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<{ hasVueAutoImport: boolean }>} ознака успішно сконфігурованого vue-auto-import (для checkVueImportViolations)
  */
 async function checkViteConfig(rootDir, prefix, passFn, fail) {
   const configFiles = ['vite.config.js', 'vite.config.ts', 'vite.config.mjs']
   const viteConfig = configFiles.find(f => existsSync(join(rootDir, f)))
   if (!viteConfig) {
     fail(`${prefix}немає vite.config.js|ts|mjs у каталозі пакета`)
-    return
+    return { hasVueAutoImport: false }
   }
   const content = await readFile(join(rootDir, viteConfig), 'utf8')
   if (ESBUILD_RE.test(content)) {
@@ -235,23 +273,48 @@ async function checkViteConfig(rootDir, prefix, passFn, fail) {
     }
   }
 
+  const hasVueAutoImport = viteConfigHasVueInAutoImports(content)
+  if (content.includes('AutoImport(')) {
+    if (hasVueAutoImport) {
+      passFn(`${prefix}${viteConfig}: AutoImport({ imports: [..., 'vue', ...] }) — value-імпорти з 'vue' покриті`)
+    } else {
+      fail(
+        `${prefix}${viteConfig}: AutoImport не містить 'vue' у imports — додай 'vue' (інакше прибирати ` +
+          `value-імпорти на кшталт \`import { ref } from 'vue'\` небезпечно: ref/createApp тощо нікому буде надати)`
+      )
+    }
+  }
+
   if (content.includes('process.env.npm_lifecycle_event')) {
     fail(
       `${prefix}${viteConfig} використовує process.env.npm_lifecycle_event — у Bun це не працює. ` +
         `Перенеси логіку на mode (defineConfig(({ mode }) => ...)) і передавай mode в helper-функції.`
     )
   }
+
+  return { hasVueAutoImport }
 }
 
 /**
  * Сканує джерела пакета на заборонені value-імпорти з vue.
+ *
+ * Якщо `unplugin-auto-import` не сконфігурований на `'vue'` у `vite.config`, явні value-імпорти
+ * формально не заборонені — їх видалення зламає код. У цьому випадку перевірка пропускається,
+ * а fail про відсутній `'vue'` у `AutoImport.imports` уже зареєстровано в `checkViteConfig`.
  * @param {string} rootDir параметр rootDir
  * @param {string} absPackageRoot параметр absPackageRoot
  * @param {string} prefix параметр prefix
+ * @param {boolean} hasVueAutoImport чи `AutoImport({ imports: [..., 'vue', ...] })` сконфігуровано
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} fail callback при помилці
  */
-async function checkVueImportViolations(rootDir, absPackageRoot, prefix, passFn, fail) {
+async function checkVueImportViolations(rootDir, absPackageRoot, hasVueAutoImport, prefix, passFn, fail) {
+  if (!hasVueAutoImport) {
+    passFn(
+      `${prefix}value-імпорти з 'vue' не заборонені — спершу додай 'vue' до AutoImport.imports у vite.config`
+    )
+    return
+  }
   /** @type {string[]} */
   const sourcePaths = []
   await walkDir(absPackageRoot, absPath => {
@@ -323,8 +386,8 @@ async function checkVuePackage(rootDir, fail, passFn) {
     'vite-plugin-vue-layouts-next відсутній — bun add -d vite-plugin-vue-layouts-next'
   )
 
-  await checkViteConfig(rootDir, prefix, passFn, fail)
-  await checkVueImportViolations(rootDir, join(process.cwd(), rootDir), prefix, passFn, fail)
+  const { hasVueAutoImport } = await checkViteConfig(rootDir, prefix, passFn, fail)
+  await checkVueImportViolations(rootDir, join(process.cwd(), rootDir), hasVueAutoImport, prefix, passFn, fail)
   await checkEsbuildMentions(rootDir, join(process.cwd(), rootDir), prefix, passFn, fail)
 }
 

package/scripts/lint-ga.mjs

@@ -1,11 +1,14 @@
 /**
- * CLI-обгортка над канонічним `lint-ga` (ga.mdc): додає preflight на наявність `shellcheck`,
+ * CLI-обгортка над канонічним `lint-ga` (ga.mdc): робить preflight на `shellcheck` і `uv` (для `uvx`),
  * тоді послідовно виконує `bunx github-actionlint` і `uvx zizmor --offline --collect=workflows .`.
  *
  * Без preflight `actionlint` (через `bunx github-actionlint`) мовчки пропускає shell-перевірки в
  * `run:` блоках, коли `shellcheck` відсутній у PATH; локально `bun lint-ga` лишається зеленим, а CI
  * на ubuntu-latest (де shellcheck передвстановлений) падає. Preflight робить цю різницю явною.
  *
+ * `uv` потрібен для `uvx zizmor`. Якщо його нема — `uvx zizmor` падає неінформативно («command not
+ * found»); підказка з командою встановлення коротша й корисніша.
+ *
  * Експортовано окремо `runLintGaCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-ga`.
  */
 import { spawnSync } from 'node:child_process'
@@ -13,28 +16,94 @@ import { platform } from 'node:process'
 
 import { resolveCmd } from './utils/resolve-cmd.mjs'
 
-/** Підказки встановлення shellcheck на типових платформах. */
-const SHELLCHECK_INSTALL_HINTS = [
-  'macOS:        brew install shellcheck',
-  'Debian/Ubuntu: sudo apt-get install -y shellcheck',
-  'Arch:         sudo pacman -S shellcheck'
-]
+/**
+ * Опис залежності preflight-ом: бінарник, для чого потрібен, і команди встановлення.
+ *
+ * @typedef {object} PreflightDep
+ * @property {string} bin ім'я виконуваного файлу (на Windows додається `.exe` за потреби)
+ * @property {string[]} winBins альтернативні імена на Windows (`shellcheck.exe`); якщо нема — fallback на `bin`
+ * @property {string} explanation 1-2 рядки про наслідки відсутності
+ * @property {string[]} install список рядків з командами встановлення (друкуються як є, з відступом)
+ * @property {string} successMsg повідомлення на pass-шлях
+ */
+
+/** @type {PreflightDep} */
+const SHELLCHECK_PREFLIGHT = {
+  bin: 'shellcheck',
+  winBins: ['shellcheck.exe'],
+  explanation: [
+    'Без нього `actionlint` пропускає shell-перевірки в run: блоках,',
+    'тож локальний прогін зеленіє, а CI на ubuntu-latest (де shellcheck',
+    'передвстановлений) падає на тих самих workflow.'
+  ].join('\n   '),
+  install: [
+    'macOS:        brew install shellcheck',
+    'Debian/Ubuntu: sudo apt-get install -y shellcheck',
+    'Arch:         sudo pacman -S shellcheck'
+  ],
+  successMsg: '✅ shellcheck знайдено в PATH — actionlint виконуватиме SC-правила, як у CI'
+}
+
+/** @type {PreflightDep} */
+const UV_PREFLIGHT = {
+  bin: 'uv',
+  winBins: ['uv.exe'],
+  explanation: [
+    'Без `uv` (а отже без `uvx`) не виконається `uvx zizmor` — second-stage аудит',
+    'workflow на ризики GitHub Actions просто не запуститься.'
+  ].join('\n   '),
+  install: [
+    'macOS:        brew install uv',
+    'Universal:    curl -LsSf https://astral.sh/uv/install.sh | sh',
+    'pip:          pip install uv'
+  ],
+  successMsg: '✅ uv знайдено в PATH — uvx zizmor запуститься'
+}
+
+/**
+ * Шукає бінарник у PATH з урахуванням Windows: спершу `winBins`, потім `bin`.
+ * @param {PreflightDep} dep опис залежності
+ * @returns {string | null} абсолютний шлях або null
+ */
+function resolvePreflightBin(dep) {
+  if (platform === 'win32') {
+    for (const name of dep.winBins) {
+      const r = resolveCmd(name)
+      if (r) return r
+    }
+  }
+  return resolveCmd(dep.bin)
+}
 
 /**
- * Друкує блок з причиною fail і командами встановлення `shellcheck`.
+ * Друкує блок з причиною fail і командами встановлення.
+ * @param {PreflightDep} dep опис залежності
  * @returns {void}
  */
-function printShellcheckMissingMessage() {
-  console.error('❌ shellcheck не знайдено в PATH.')
-  console.error('   Без нього `actionlint` пропускає shell-перевірки в run: блоках,')
-  console.error('   тож локальний прогін зеленіє, а CI на ubuntu-latest (де shellcheck')
-  console.error('   передвстановлений) падає на тих самих workflow. Встанови:')
-  for (const line of SHELLCHECK_INSTALL_HINTS) {
+function printPreflightMissingMessage(dep) {
+  console.error(`❌ ${dep.bin} не знайдено в PATH.`)
+  console.error(`   ${dep.explanation}`)
+  console.error('   Встанови:')
+  for (const line of dep.install) {
     console.error(`     ${line}`)
   }
   console.error('   Деталі: ga.mdc → секція про lint-ga.')
 }
 
+/**
+ * Запускає preflight-перевірку: pass → лог success і повертає true; fail → лог hint і повертає false.
+ * @param {PreflightDep} dep опис залежності
+ * @returns {boolean} чи знайдено бінарник
+ */
+function preflight(dep) {
+  if (resolvePreflightBin(dep)) {
+    console.log(dep.successMsg)
+    return true
+  }
+  printPreflightMissingMessage(dep)
+  return false
+}
+
 /**
  * Запускає крок lint-ga з відображенням команди користувачу. Stdout/stderr дочірнього процесу
  * передається користувачу як є (`stdio: 'inherit'`), щоб виглядало як прямий виклик у shell.
@@ -59,23 +128,27 @@ function runStep(title, cmd, args) {
 }
 
 /**
- * Виконує канонічний `lint-ga` з preflight на `shellcheck`.
+ * Виконує канонічний `lint-ga` з preflight-перевірками й послідовним запуском actionlint + zizmor.
  *
  * Послідовність:
- * 1) перевірка наявності `shellcheck` у PATH (на Windows — `shellcheck.exe`); відсутній → exit 1;
+ * 1) preflight: `shellcheck` (для actionlint SC-правил) і `uv` (для `uvx zizmor`); відсутній → exit 1;
  * 2) `bunx github-actionlint`;
  * 3) `uvx zizmor --offline --collect=workflows .`.
  *
- * Першу помилку повертаємо як код виходу; наступні кроки не запускаються (відповідає `&&` у package.json).
+ * Якщо хоча б один preflight не пройшов — виходимо одразу з кодом 1, **до** запуску actionlint/zizmor,
+ * бо їхні власні повідомлення про відсутність залежностей менш інформативні (особливо для shellcheck —
+ * actionlint мовчки пропускає SC-правила; ця перевірка — головний сенс обгортки).
+ *
+ * Першу помилку від actionlint/zizmor повертаємо як код виходу; наступні кроки не запускаються
+ * (відповідає `&&` у package.json).
  * @returns {number} 0 — все OK, інакше — код першого кроку, що впав
  */
 export function runLintGaCli() {
-  const shellcheckBin = platform === 'win32' ? 'shellcheck.exe' : 'shellcheck'
-  if (!resolveCmd(shellcheckBin)) {
-    printShellcheckMissingMessage()
-    return 1
+  let preflightOk = true
+  for (const dep of [SHELLCHECK_PREFLIGHT, UV_PREFLIGHT]) {
+    if (!preflight(dep)) preflightOk = false
   }
-  console.log('✅ shellcheck знайдено в PATH — actionlint виконуватиме SC-правила, як у CI')
+  if (!preflightOk) return 1
 
   const actionlintCode = runStep('actionlint', 'bunx', ['github-actionlint'])
   if (actionlintCode !== 0) return actionlintCode

package/scripts/sync-claude-config.mjs

@@ -91,7 +91,7 @@ export function mergeHooks(existing, fromTemplate) {
   /** @type {Record<string, HookGroup[]>} */
   const out = {}
   for (const [event, groups] of Object.entries(existing ?? {})) {
-    out[event] = Array.isArray(groups) ? groups.slice() : []
+    out[event] = Array.isArray(groups) ? [...groups] : []
   }
   for (const [event, templateGroups] of Object.entries(fromTemplate ?? {})) {
     const existingGroups = (out[event] ?? []).filter(g => !isManagedHookGroup(g))
@@ -111,10 +111,10 @@ export function mergeHooks(existing, fromTemplate) {
  */
 export function mergeSettings(existing, template) {
   /** @type {ClaudeSettings} */
-  const merged = { ...(existing ?? {}) }
+  const merged = { ...existing }
   const mergedAllow = mergeAllowList(existing?.permissions?.allow, template.permissions?.allow)
   if (mergedAllow.length > 0) {
-    merged.permissions = { ...(existing?.permissions ?? {}), allow: mergedAllow }
+    merged.permissions = { ...existing?.permissions, allow: mergedAllow }
   }
   const mergedHooks = mergeHooks(existing?.hooks, template.hooks)
   if (Object.keys(mergedHooks).length > 0) {
@@ -132,12 +132,12 @@ export function mergeSettings(existing, template) {
  */
 async function readJsonOrUndefined(path) {
   if (!existsSync(path)) {
-    return undefined
+    return
   }
   try {
     return JSON.parse(await readFile(path, 'utf8'))
   } catch {
-    return undefined
+    return
   }
 }