npm - @nitra/cursor - Versions diffs - 1.8.203 → 1.8.204 - Mend

@nitra/cursor 1.8.203 → 1.8.204

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (6) hide show

package/CHANGELOG.md +12 -0
package/package.json +1 -1
package/policy/ga/{clean-ga-workflows.rego → clean_ga_workflows/clean_ga_workflows.rego} +49 -46
package/policy/ga/clean_merged_branch/clean_merged_branch.rego +167 -0
package/scripts/check-ga.mjs +4 -224
package/scripts/lint-ga.mjs +17 -5

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,18 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.8.204] - 2026-05-07
+### Changed
+- Реструктурував `npm/policy/ga/` під namespaced sub-packages, які проходять regal: `ga/clean_ga_workflows/clean_ga_workflows.rego` та новий `ga/clean_merged_branch/clean_merged_branch.rego` (порт `validateCleanMergedBranch` з check-ga.mjs — `name` / `cron 0 1 15 * *` / `workflow_dispatch` / `concurrency` / `jobs.cleanup_old_branches` / step0 `phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3` з token / age=90 / ignore_branches main,dev / `dry_run: false` (YAML 1.1) / step1 `Get output` + `DELETED_BRANCHES` env + echo).
+- `scripts/lint-ga.mjs`: `CONFTEST_TARGETS` тепер містить `clean-ga-workflows.yml` і `clean-merged-branch.yml`, conftest викликаємо з `--namespace ga.<name>` для ізоляції правил між workflow.
+- `scripts/check-ga.mjs`: видалено `validateCleanGaWorkflows*` і `validateCleanMergedBranch*` — їх повністю покриває conftest у `lint-ga`. `checkCanonicalWorkflowsMatchRule` тепер валідує лише `lint-ga.yml` і `git-ai.yml` (наступні кандидати на міграцію).
+### Added
+- `.regal/config.yaml` у корені — вимикає `idiomatic.no-defined-entrypoint` (для conftest-полісі `deny`-правила є де-факто entrypoint-ами, формальна анотація не несе семантики).
 ## [1.8.203] - 2026-05-07
 ### Changed

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.203",
+  "version": "1.8.204",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/ga/{clean-ga-workflows.rego → clean_ga_workflows/clean_ga_workflows.rego} RENAMED Viewed

@@ -1,26 +1,25 @@
-# PoC-порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs`.
+# Порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs` (ga.mdc).
 #
 # Запуск (локально):
-#   conftest test .github/workflows/clean-ga-workflows.yml -p npm/policy/ga
+#   conftest test .github/workflows/clean-ga-workflows.yml \
+#     -p npm/policy/ga --namespace ga.clean_ga_workflows
 #
-# Conftest читає YAML і дає його в `input`. Кожне правило `deny contains msg if { … }`,
-# що матчиться, друкується як порушення; пустий список — exit 0.
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 #
-# Rego v1 синтаксис (OPA 1.x за замовчуванням; `import rego.v1` робить файл портованим
-# і на старі OPA 0.x): `contains` для partial set rules, `if` перед тілом правила.
-package main
+# Усі `deny`-правила йдуть контигно (regal: messy-rule); helpers і константи —
+# секціями вище та нижче.
+package ga.clean_ga_workflows
 import rego.v1
-# GHA YAML quirk: ключ `on:` парситься як YAML 1.1 boolean `true`, після чого conftest
-# серіалізує його в Rego-input як рядок `"true"`. Тому `input.on` / `input["on"]` /
-# `input[true]` всі недоступні; реальний шлях — `input["true"]`. Виносимо в alias, щоб
-# решта правил читалася як `gha_on.schedule` без бойлерплейту.
-gha_on := input["true"]
+# ── Очікувані значення ─────────────────────────────────────────────────────
+#
+# `${{ … }}` — шаблонний синтаксис GitHub Actions; `{{` у Rego починає string
+# interpolation. Збираємо очікувані рядки з фрагментів через `concat`, як це
+# зроблено в check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
-# `${{ … }}` — це шаблонний синтаксис GitHub Actions, але `{{` у Rego починає
-# string interpolation. Збираємо очікувані рядки з фрагментів, як це зроблено в
-# check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
 expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
 expected_github_token := concat("", ["$", "{{ github.token }}"])
@@ -29,43 +28,43 @@ expected_name := "Clean action for removing completed workflow runs"
 expected_cron := "0 1 16 * *"
-# --- name --------------------------------------------------------------------
+# Шаблон повідомлення про відсутню `concurrency`-секцію — винесено через `concat`,
+# щоб дотриматися regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"clean-ga-workflows.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, конфтест серіалізує його
+# як рядковий ключ "true". Ані `input.on`, ані `input["on"]`, ані `input[true]`
+# не працюють — лише `input["true"]`.
+gha_on := input["true"]
+step0 := input.jobs.cleanup_old_workflows.steps[0]
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
 deny contains msg if {
 	input.name != expected_name
 	msg := sprintf("clean-ga-workflows.yml: name має бути %q (ga.mdc)", [expected_name])
 }
-# --- on.schedule.cron --------------------------------------------------------
 deny contains msg if {
 	not has_expected_cron
 	msg := sprintf("clean-ga-workflows.yml: on.schedule має містити cron: '%s' (ga.mdc)", [expected_cron])
 }
-has_expected_cron if {
-	gha_on.schedule[_].cron == expected_cron
-}
-# --- on.workflow_dispatch ----------------------------------------------------
 deny contains msg if {
 	not has_workflow_dispatch
 	msg := "clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-# --- concurrency -------------------------------------------------------------
 deny contains msg if {
 	not is_object(input.concurrency)
-	msg := sprintf(
-		"clean-ga-workflows.yml: відсутня секція concurrency — додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
-		[expected_concurrency_group],
-	)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
 }
 deny contains msg if {
@@ -80,8 +79,6 @@ deny contains msg if {
 	msg := "clean-ga-workflows.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
 }
-# --- jobs.cleanup_old_workflows ---------------------------------------------
 deny contains msg if {
 	not input.jobs.cleanup_old_workflows
 	msg := "clean-ga-workflows.yml: jobs.cleanup_old_workflows відсутній (ga.mdc)"
@@ -99,15 +96,6 @@ deny contains msg if {
 	msg := "clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)"
 }
-actions_write_contents_read(perms) if {
-	perms.actions == "write"
-	perms.contents == "read"
-}
-# --- jobs.cleanup_old_workflows.steps[0] ------------------------------------
-step0 := input.jobs.cleanup_old_workflows.steps[0]
 deny contains msg if {
 	step0.name != "Delete workflow runs"
 	msg := "clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)"
@@ -120,12 +108,27 @@ deny contains msg if {
 # Триплет полів `with`: token (gh-токен), save_period=31, save_min_runs_number=0.
 # В JS-перевірці помилка спільна для всіх трьох — лишаємо такий самий формат, щоб
-# повідомлення збігалися. Окремі правила нижче роблять діагноз точнішим.
+# повідомлення збігалися.
 deny contains msg if {
 	not step0_with_canonical
 	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc"
 }
+# ── helpers ────────────────────────────────────────────────────────────────
+has_expected_cron if {
+	gha_on.schedule[_].cron == expected_cron
+}
+has_workflow_dispatch if {
+	is_object(gha_on.workflow_dispatch)
+}
+actions_write_contents_read(perms) if {
+	perms.actions == "write"
+	perms.contents == "read"
+}
 step0_with_canonical if {
 	step0.with.token == expected_github_token
 	step0.with.save_period == 31

package/policy/ga/clean_merged_branch/clean_merged_branch.rego ADDED Viewed

@@ -0,0 +1,167 @@
+# Порт перевірки `validateCleanMergedBranch` з `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/clean-merged-branch.yml \
+#     -p npm/policy/ga --namespace ga.clean_merged_branch
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.clean_merged_branch
+import rego.v1
+# ── Очікувані значення ─────────────────────────────────────────────────────
+#
+# Шаблонні токени GitHub Actions (`${{ … }}`) збираємо з фрагментів через
+# `concat`, бо `{{` у Rego починає string interpolation.
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+expected_github_token := concat("", ["$", "{{ github.token }}"])
+expected_deleted_branches_expr := concat("", ["$", "{{ steps.delete_stuff.outputs.deleted_branches }}"])
+expected_echo_substring := concat("", ["echo \"Deleted branches: $", "{DELETED_BRANCHES}\""])
+expected_name := "Clean abandoned branches"
+expected_cron := "0 1 15 * *"
+# Шаблони повідомлень — через `concat` для regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"clean-merged-branch.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+gha_on := input["true"]
+steps := input.jobs.cleanup_old_branches.steps
+step0 := steps[0]
+step1 := steps[1]
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("clean-merged-branch.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+deny contains msg if {
+	not has_expected_cron
+	msg := sprintf("clean-merged-branch.yml: on.schedule має містити cron: '%s' (ga.mdc)", [expected_cron])
+}
+deny contains msg if {
+	not has_workflow_dispatch
+	msg := "clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)"
+}
+deny contains msg if {
+	not is_object(input.concurrency)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("clean-merged-branch.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency["cancel-in-progress"] != true
+	msg := "clean-merged-branch.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+deny contains msg if {
+	not input.jobs.cleanup_old_branches
+	msg := "clean-merged-branch.yml: jobs.cleanup_old_branches відсутній (ga.mdc)"
+}
+deny contains msg if {
+	input.jobs.cleanup_old_branches.permissions.contents != "write"
+	msg := "clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)"
+}
+deny contains msg if {
+	count(steps) < 2
+	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc"
+}
+# ── Step 0 (delete_stuff) ──────────────────────────────────────────────────
+deny contains msg if {
+	step0.id != "delete_stuff"
+	msg := "clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)"
+}
+deny contains msg if {
+	step0.uses != "phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3"
+	msg := "clean-merged-branch.yml: перший крок має uses як у ga.mdc"
+}
+deny contains msg if {
+	step0.with.github_token != expected_github_token
+	msg := sprintf("clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)", [expected_github_token])
+}
+deny contains msg if {
+	step0.with.last_commit_age_days != 90
+	msg := "clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)"
+}
+deny contains msg if {
+	not ignore_branches_has_main_and_dev
+	msg := "clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)"
+}
+# `dry_run: no` у YAML парситься як boolean `false`. JS-перевірка порівнює зі
+# рядком "no", але в нас input уже Go-yaml-парсений — тому очікуємо `false`.
+# (Якщо комусь схочеться явного `"no"` — треба буде брати in quotes у YAML.)
+deny contains msg if {
+	step0.with.dry_run != false # noqa: rules-style-no-equality-with-false
+	msg := "clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)"
+}
+# ── Step 1 (Get output) ────────────────────────────────────────────────────
+deny contains msg if {
+	step1.name != "Get output"
+	msg := "clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)"
+}
+deny contains msg if {
+	step1.env.DELETED_BRANCHES != expected_deleted_branches_expr
+	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc"
+}
+deny contains msg if {
+	not echo_deleted_branches
+	msg := "clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc"
+}
+# ── helpers ────────────────────────────────────────────────────────────────
+has_expected_cron if {
+	gha_on.schedule[_].cron == expected_cron
+}
+has_workflow_dispatch if {
+	is_object(gha_on.workflow_dispatch)
+}
+ignore_branches_has_main_and_dev if {
+	contains(step0.with.ignore_branches, "main")
+	contains(step0.with.ignore_branches, "dev")
+}
+echo_deleted_branches if {
+	contains(step1.run, expected_echo_substring)
+}

package/scripts/check-ga.mjs CHANGED Viewed

@@ -170,220 +170,6 @@ function isExactString(v, expected) {
   return typeof v === 'string' && v === expected
 }
-/**
- * Перевіряє крок dmvict/clean-workflow-runs@v1 у `clean-ga-workflows.yml`.
- * @param {unknown} step0 перший крок workflow
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanGaWorkflowsStep0(step0, passFn, failFn) {
-  if (!isExactString(getObjKey(step0, 'name'), 'Delete workflow runs')) {
-    failFn('clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'dmvict/clean-workflow-runs@v1')) {
-    failFn('clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)')
-  }
-  const withObj = getObjKey(step0, 'with')
-  const githubToken = ['$', '{{ github.token }}'].join('')
-  if (
-    getObjKey(withObj, 'token') === githubToken &&
-    getObjKey(withObj, 'save_period') === 31 &&
-    getObjKey(withObj, 'save_min_runs_number') === 0
-  ) {
-    passFn('clean-ga-workflows.yml: jobs/steps OK')
-  } else {
-    failFn('clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc')
-  }
-}
-/**
- * Перевіряє структуру workflow `clean-ga-workflows.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanGaWorkflows(root, passFn, failFn) {
-  if (!root) {
-    failFn('clean-ga-workflows.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-  if (isExactString(root.name, 'Clean action for removing completed workflow runs')) {
-    passFn('clean-ga-workflows.yml: name OK')
-  } else {
-    failFn('clean-ga-workflows.yml: name має бути "Clean action for removing completed workflow runs" (ga.mdc)')
-  }
-  const on = root.on
-  const schedule = getObjKey(on, 'schedule')
-  const wfDispatch = getObjKey(on, 'workflow_dispatch')
-  const hasCron =
-    Array.isArray(schedule) &&
-    schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 16 * *')
-  if (hasCron) {
-    passFn('clean-ga-workflows.yml: cron OK')
-  } else {
-    failFn("clean-ga-workflows.yml: on.schedule має містити cron: '0 1 16 * *' (ga.mdc)")
-  }
-  if (!wfDispatch || typeof wfDispatch !== 'object') {
-    failFn('clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)')
-  } else {
-    passFn('clean-ga-workflows.yml: workflow_dispatch OK')
-  }
-  validateConcurrencyOnRoot('clean-ga-workflows.yml', root, passFn, failFn)
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'cleanup_old_workflows')
-  if (!job) {
-    failFn('clean-ga-workflows.yml: jobs.cleanup_old_workflows відсутній (ga.mdc)')
-    return
-  }
-  if (!isExactString(getObjKey(job, 'runs-on'), 'ubuntu-latest')) {
-    failFn('clean-ga-workflows.yml: runs-on має бути ubuntu-latest (ga.mdc)')
-  }
-  const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'actions') === 'write' && getObjKey(perm, 'contents') === 'read')) {
-    failFn('clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)')
-  }
-  const steps = getObjKey(job, 'steps')
-  const step0 = Array.isArray(steps) ? steps[0] : null
-  if (!step0 || typeof step0 !== 'object') {
-    failFn('clean-ga-workflows.yml: steps має містити крок з dmvict/clean-workflow-runs@v1 (ga.mdc)')
-    return
-  }
-  validateCleanGaWorkflowsStep0(step0, passFn, failFn)
-}
-/**
- * Перевіряє крок `phpdocker-io/github-actions-delete-abandoned-branches` у `clean-merged-branch.yml`.
- * @param {unknown} step0 перший крок workflow
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranchStep0(step0, failFn) {
-  if (!isExactString(getObjKey(step0, 'id'), 'delete_stuff')) {
-    failFn('clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3')) {
-    failFn('clean-merged-branch.yml: перший крок має uses як у ga.mdc')
-  }
-  const withObj = getObjKey(step0, 'with')
-  const ghToken = ['$', '{{ github.token }}'].join('')
-  if (getObjKey(withObj, 'github_token') !== ghToken) {
-    failFn(['clean-merged-branch.yml: with.github_token має бути $', '{{ github.token }} (ga.mdc)'].join(''))
-  }
-  if (getObjKey(withObj, 'last_commit_age_days') !== 90) {
-    failFn('clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)')
-  }
-  const ignoreBranches = String(getObjKey(withObj, 'ignore_branches') ?? '')
-  if (!(ignoreBranches.includes('main') && ignoreBranches.includes('dev'))) {
-    failFn('clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)')
-  }
-  if (getObjKey(withObj, 'dry_run') !== 'no') {
-    failFn('clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)')
-  }
-}
-/**
- * Перевіряє крок виводу в `clean-merged-branch.yml`.
- * @param {unknown} step1 другий крок workflow
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranchStep1(step1, passFn, failFn) {
-  if (!isExactString(getObjKey(step1, 'name'), 'Get output')) {
-    failFn('clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)')
-  }
-  const env = getObjKey(step1, 'env')
-  const deletedBranchesExpr = ['$', '{{ steps.delete_stuff.outputs.deleted_branches }}'].join('')
-  if (getObjKey(env, 'DELETED_BRANCHES') !== deletedBranchesExpr) {
-    failFn('clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc')
-  }
-  const echoDeletedBranches = ['echo "Deleted branches: $', '{DELETED_BRANCHES}"'].join('')
-  if (String(getObjKey(step1, 'run') ?? '').includes(echoDeletedBranches)) {
-    passFn('clean-merged-branch.yml: jobs/steps OK')
-  } else {
-    failFn('clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc')
-  }
-}
-/**
- * Перевіряє структуру workflow `clean-merged-branch.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranch(root, passFn, failFn) {
-  if (!root) {
-    failFn('clean-merged-branch.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-  if (isExactString(root.name, 'Clean abandoned branches')) {
-    passFn('clean-merged-branch.yml: name OK')
-  } else {
-    failFn('clean-merged-branch.yml: name має бути "Clean abandoned branches" (ga.mdc)')
-  }
-  const on = root.on
-  const schedule = getObjKey(on, 'schedule')
-  const wfDispatch = getObjKey(on, 'workflow_dispatch')
-  const hasCron =
-    Array.isArray(schedule) &&
-    schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 15 * *')
-  if (hasCron) {
-    passFn('clean-merged-branch.yml: cron OK')
-  } else {
-    failFn("clean-merged-branch.yml: on.schedule має містити cron: '0 1 15 * *' (ga.mdc)")
-  }
-  if (!wfDispatch || typeof wfDispatch !== 'object') {
-    failFn('clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)')
-  }
-  validateConcurrencyOnRoot('clean-merged-branch.yml', root, passFn, failFn)
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'cleanup_old_branches')
-  if (!job) {
-    failFn('clean-merged-branch.yml: jobs.cleanup_old_branches відсутній (ga.mdc)')
-    return
-  }
-  const perm = getObjKey(job, 'permissions')
-  if (getObjKey(perm, 'contents') !== 'write') {
-    failFn('clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)')
-  }
-  const steps = getObjKey(job, 'steps')
-  if (!Array.isArray(steps) || steps.length < 2) {
-    failFn('clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc')
-    return
-  }
-  const step0 = steps[0]
-  if (!step0 || typeof step0 !== 'object') {
-    failFn('clean-merged-branch.yml: перший крок невалідний (ga.mdc)')
-    return
-  }
-  validateCleanMergedBranchStep0(step0, failFn)
-  const step1 = steps[1]
-  if (!step1 || typeof step1 !== 'object') {
-    failFn('clean-merged-branch.yml: другий крок невалідний (ga.mdc)')
-    return
-  }
-  validateCleanMergedBranchStep1(step1, passFn, failFn)
-}
 /**
  * Перевіряє тригери `on.push` / `on.pull_request` у `lint-ga.yml`.
  * @param {unknown} on корінь `on:` з YAML
@@ -973,26 +759,20 @@ async function checkGitAiWorkflow(wfDir, passFn, failFn) {
 /**
  * Перевіряє, що “канонічні” workflows відповідають ga.mdc (структура і значення).
+ *
+ * Структурні валідатори `clean-ga-workflows.yml` і `clean-merged-branch.yml` мігровано в Rego-полісі
+ * під `npm/policy/ga/clean_ga_workflows/` та `npm/policy/ga/clean_merged_branch/` (виконує conftest з
+ * `bun run lint-ga`). Тут лишаються `lint-ga.yml` і `git-ai.yml` — їх перенесення в наступних ітераціях.
  * @param {string} wfDir директорія workflows
  * @param {(msg: string) => void} passFn pass
  * @param {(msg: string) => void} failFn fail
  */
 async function checkCanonicalWorkflowsMatchRule(wfDir, passFn, failFn) {
   const paths = {
-    cleanGa: join(wfDir, 'clean-ga-workflows.yml'),
-    cleanMerged: join(wfDir, 'clean-merged-branch.yml'),
     lintGa: join(wfDir, 'lint-ga.yml'),
     gitAi: join(wfDir, 'git-ai.yml')
   }
-  if (existsSync(paths.cleanGa)) {
-    const c = await readFile(paths.cleanGa, 'utf8')
-    validateCleanGaWorkflows(parseWorkflowYaml(c), passFn, failFn)
-  }
-  if (existsSync(paths.cleanMerged)) {
-    const c = await readFile(paths.cleanMerged, 'utf8')
-    validateCleanMergedBranch(parseWorkflowYaml(c), passFn, failFn)
-  }
   if (existsSync(paths.lintGa)) {
     const c = await readFile(paths.lintGa, 'utf8')
     validateLintGaWorkflowStructure(parseWorkflowYaml(c), passFn, failFn)

package/scripts/lint-ga.mjs CHANGED Viewed

@@ -27,16 +27,26 @@ import { resolveCmd } from './utils/resolve-cmd.mjs'
 /** Каталог пакету `@nitra/cursor`, від якого ресолвимо вшиту директорію policy/. */
 const PACKAGE_ROOT = dirname(dirname(fileURLToPath(import.meta.url)))
-/** Шлях до Rego-полісі (PoC: лише clean-ga-workflows). У npm-tarball публікується через `files` у package.json. */
+/** Шлях до кореня Rego-полісі для GA. У npm-tarball публікується через `files: ["policy"]` у package.json. */
 const GA_POLICY_DIR = join(PACKAGE_ROOT, 'policy', 'ga')
 /**
- * Workflow-файли, для яких маємо відповідну Rego-полісі. PoC: один файл; інші підтягуватимемо в міру міграції
- * перевірок із `npm/scripts/check-ga.mjs`.
- * @type {Array<{ workflow: string, label: string }>}
+ * Workflow-файли, для яких маємо відповідну Rego-полісі. Кожен таргет посилається на під-пакет
+ * `ga.<name>` у `policy/ga/<name>/<name>.rego`; conftest викликаємо з `--namespace`, щоб правила
+ * іншого workflow не застосовувалися до чужого файлу.
+ * @type {Array<{ workflow: string, namespace: string, label: string }>}
  */
 const CONFTEST_TARGETS = [
-  { workflow: '.github/workflows/clean-ga-workflows.yml', label: 'clean-ga-workflows.yml structure' }
+  {
+    workflow: '.github/workflows/clean-ga-workflows.yml',
+    namespace: 'ga.clean_ga_workflows',
+    label: 'clean-ga-workflows.yml structure'
+  },
+  {
+    workflow: '.github/workflows/clean-merged-branch.yml',
+    namespace: 'ga.clean_merged_branch',
+    label: 'clean-merged-branch.yml structure'
+  }
 ]
 /**
@@ -218,6 +228,8 @@ function runConftestStep() {
       target.workflow,
       '-p',
       GA_POLICY_DIR,
+      '--namespace',
+      target.namespace,
       '--no-color'
     ])
     if (code !== 0) return code