@nitra/cursor 1.8.203 → 1.8.206

package/CHANGELOG.md

@@ -4,6 +4,40 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.206] - 2026-05-08
+
+### Added
+
+- `mdc/rego.mdc` (нова версія 1.1, з 1.0): VS Code-секція з рекомендованим розширенням `tsandall.opa` (LSP від автора OPA: підсвічування, hover, go-to-definition, format-on-save через `opa fmt`), `.vscode/extensions.json` і `.vscode/settings.json` сніпети для `[rego]` (`editor.defaultFormatter: tsandall.opa`, `formatOnSave: true`); опис кроків `lint-rego` (preflight `opa`+`regal`, далі `opa check --strict` і `regal lint`); `package.json`-сніпет зі скриптом `lint-rego`; install-команди (`brew install opa regal` + universal лінки); приклад `.regal/config.yaml`. Раніше файл містив лише placeholder `npx @nitra/cursor check rego`.
+
+### Changed
+
+- `scripts/lint-rego.mjs`: додано preflight на `opa` (поряд з `regal`) з install-hint `brew install opa` і покликом до VS Code-розширення `tsandall.opa`; до `regal lint` додано попередній крок `opa check --strict <targets>` (типи + строгий режим: мертвий код, неоднозначні правила, незадекларовані змінні) — `opa check` ловить compile-помилки, які `regal` навмисно лишає поза скоупом. Якщо хоч один з `opa`/`regal` відсутній у `PATH` — exit 1 ще до запуску, з підказкою встановлення для обох.
+
+## [1.8.205] - 2026-05-08
+
+### Added
+
+- `npm/policy/ga/lint_ga/lint_ga.rego` — порт `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers`: `name` / `on.push.branches∋{dev,main}` / `on.pull_request.branches∋{dev,main}` / `on.push.paths∋{.github/actions/**,.github/workflows/**}` / `concurrency` / `jobs.lint-ga.runs-on` / `jobs.lint-ga.permissions.contents=read` / `steps` non-empty / `uses` set містить `actions/checkout@v6`, `./.github/actions/setup-bun-deps`, `astral-sh/setup-uv@v8.0.0` / `run` blob містить `bun run lint-ga`.
+- `npm/policy/ga/git_ai/git_ai.rego` — порт `validateGitAiWorkflowStructure`: `name` / `on.pull_request.types∋closed` / `concurrency` / `jobs.git-ai.if` містить `merged == true` / `permissions.contents=write` / `run` blob містить `curl … usegitai.com … bash` і `git-ai ci github run`.
+
+### Changed
+
+- `scripts/lint-ga.mjs`: `CONFTEST_TARGETS` тепер охоплює всі 4 канонічні GA-workflow — `clean-ga-workflows.yml`, `clean-merged-branch.yml`, `lint-ga.yml`, `git-ai.yml` — кожен зі своїм `--namespace ga.<name>`.
+- `scripts/check-ga.mjs`: видалено `validateLintGaWorkflowStructure`, `validateLintGaOnTriggers`, `validateGitAiWorkflowStructure`, `validateGitAiParsedYaml`, `hasPullRequestClosedTrigger`, `hasJobMergedCondition`, `checkLintGaWorkflow`, `checkGitAiWorkflow`, `checkCanonicalWorkflowsMatchRule`, локальний `isExactString` і відповідні імпорти `anyRunStepIncludes`/`flattenWorkflowSteps`/`getStepRun`/`getStepUses`. Файл скоротився з 1074 → 570 рядків (≈47%) — структурні перевірки канонічних GA-workflow повністю мігрували в conftest. У JS лишилися: file-existence (zizmor.yml, .vscode/settings.json, setup-bun-deps), `package.json` script `lint-ga`, MegaLinter-зачистка, `verifyConcurrencyBlock` для всіх workflow без винятків (включно з не-канонічними), `verifyNoDirectBunOrCache`, `verifyCheckoutBeforeLocalSetupBunDeps`, paths-globs через `git ls-files`, preflight `shellcheck`.
+
+## [1.8.204] - 2026-05-07
+
+### Changed
+
+- Реструктурував `npm/policy/ga/` під namespaced sub-packages, які проходять regal: `ga/clean_ga_workflows/clean_ga_workflows.rego` та новий `ga/clean_merged_branch/clean_merged_branch.rego` (порт `validateCleanMergedBranch` з check-ga.mjs — `name` / `cron 0 1 15 * *` / `workflow_dispatch` / `concurrency` / `jobs.cleanup_old_branches` / step0 `phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3` з token / age=90 / ignore_branches main,dev / `dry_run: false` (YAML 1.1) / step1 `Get output` + `DELETED_BRANCHES` env + echo).
+- `scripts/lint-ga.mjs`: `CONFTEST_TARGETS` тепер містить `clean-ga-workflows.yml` і `clean-merged-branch.yml`, conftest викликаємо з `--namespace ga.<name>` для ізоляції правил між workflow.
+- `scripts/check-ga.mjs`: видалено `validateCleanGaWorkflows*` і `validateCleanMergedBranch*` — їх повністю покриває conftest у `lint-ga`. `checkCanonicalWorkflowsMatchRule` тепер валідує лише `lint-ga.yml` і `git-ai.yml` (наступні кандидати на міграцію).
+
+### Added
+
+- `.regal/config.yaml` у корені — вимикає `idiomatic.no-defined-entrypoint` (для conftest-полісі `deny`-правила є де-факто entrypoint-ами, формальна анотація не несе семантики).
+
 ## [1.8.203] - 2026-05-07
 
 ### Changed
@@ -108,7 +142,7 @@
 ### Added
 
 - `run-shellcheck-text.mjs`: для `lint-text` — перевірка наявності `shellcheck`/`patch`, авто-виправлення через `shellcheck -f diff` + `patch -p1`, фінальний прогін по tracked `*.sh` (git) або `**/*.sh` без `node_modules`.
-- `text` (mdc v1.25 → v1.26): **shellcheck** у ланцюжку `lint-text`, рекомендація **`timonwong.shellcheck`**, тригер workflow **`**/*.sh`**; тести `run-shellcheck-text.test.mjs`.
+- `text` (mdc v1.25 → v1.26): **shellcheck** у ланцюжку `lint-text`, рекомендація **`timonwong.shellcheck`**, тригер workflow **`**/\*.sh`**; тести `run-shellcheck-text.test.mjs`.
 
 ### Changed
 

package/bin/auto-rules.md

@@ -42,6 +42,8 @@ npm-module - якщо в корені присутня директорія npm
 
 php - якщо в корені є composer.json
 
+rego - якщо в проекті є хоч один rego
+
 style-lint - якщо присутній хоч один vue або css файл
 
 text - завжди

package/mdc/rego.mdc

@@ -0,0 +1,77 @@
+---
+description: Opa, Rego — інструментарій (VS Code, lint-rego)
+version: '1.1'
+globs: "**/*.rego"
+alwaysApply: false
+---
+
+# Rego (opa)
+
+Синтаксичні правила (`rego.v1`, `import rego.v1`, заборона legacy v0) — у `conftest.mdc` (alwaysApply). Цей файл — про **інструментарій**: VS Code, лінтери, форматування.
+
+## VS Code
+
+Розширення `tsandall.opa` (від автора OPA): підсвічування, hover, go-to-definition, оцінка виразів і `format-on-save` через `opa fmt`. Працює лише за наявності `opa` у `PATH` — встановити нижче.
+
+```json title=".vscode/extensions.json"
+{
+  "recommendations": ["tsandall.opa"]
+}
+```
+
+```json title=".vscode/settings.json"
+{
+  "[rego]": {
+    "editor.defaultFormatter": "tsandall.opa",
+    "editor.formatOnSave": true
+  }
+}
+```
+
+`opa.checkOnSave` за замовчуванням увімкнено в розширенні — діагностика від `opa check` показується в редакторі, тож синтаксичні/типові помилки видно одразу, без запуску `lint-rego`.
+
+## Перевірка
+
+```bash
+bun run lint-rego
+```
+
+Скрипт делегує до `bun ./npm/scripts/lint-rego.mjs`. Послідовність:
+
+1. **preflight** — наявність `opa` і `regal` у `PATH`; якщо хоча б одного нема — exit 1 з підказкою встановлення;
+2. `opa check --strict <targets>` — компіляція з типами та `--strict` (мертвий код, неоднозначні правила, незадекларовані змінні);
+3. `regal lint <targets>` — статичний лінтер Rego ([Styra Regal](https://docs.styra.com/regal)): ловить v0-синтаксис, неявні set-rules і відхилення від `rego.v1`, плюс bugs/idiomatic/style-правила.
+
+Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `lint-rego.mjs`.
+
+### Встановлення інструментів
+
+- macOS: `brew install opa regal`
+- Linux/Windows:
+  - opa — <https://www.openpolicyagent.org/docs/latest/#1-download-opa>
+  - regal — <https://docs.styra.com/regal#installation>
+
+Обидва — лише в `PATH`, **не** додавай у `dependencies` / `devDependencies` (як `shellcheck` у `text.mdc`).
+
+### `package.json`
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-rego": "bun ./npm/scripts/lint-rego.mjs"
+  }
+}
+```
+
+У кореневому `lint` (з `text.mdc` і дотичних) включай `bun run lint-rego` — щоб локальний прогін співпадав з CI.
+
+## Конфіг regal
+
+У корені — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо (наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):
+
+```yaml title=".regal/config.yaml"
+rules:
+  idiomatic:
+    no-defined-entrypoint:
+      level: ignore
+```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.203",
+  "version": "1.8.206",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/ga/{clean-ga-workflows.rego → clean_ga_workflows/clean_ga_workflows.rego}

@@ -1,26 +1,25 @@
-# PoC-порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs`.
+# Порт перевірки `validateCleanGaWorkflows` з `npm/scripts/check-ga.mjs` (ga.mdc).
 #
 # Запуск (локально):
-#   conftest test .github/workflows/clean-ga-workflows.yml -p npm/policy/ga
+#   conftest test .github/workflows/clean-ga-workflows.yml \
+#     -p npm/policy/ga --namespace ga.clean_ga_workflows
 #
-# Conftest читає YAML і дає його в `input`. Кожне правило `deny contains msg if { … }`,
-# що матчиться, друкується як порушення; пустий список — exit 0.
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
 #
-# Rego v1 синтаксис (OPA 1.x за замовчуванням; `import rego.v1` робить файл портованим
-# і на старі OPA 0.x): `contains` для partial set rules, `if` перед тілом правила.
-package main
+# Усі `deny`-правила йдуть контигно (regal: messy-rule); helpers і константи —
+# секціями вище та нижче.
+package ga.clean_ga_workflows
 
 import rego.v1
 
-# GHA YAML quirk: ключ `on:` парситься як YAML 1.1 boolean `true`, після чого conftest
-# серіалізує його в Rego-input як рядок `"true"`. Тому `input.on` / `input["on"]` /
-# `input[true]` всі недоступні; реальний шлях — `input["true"]`. Виносимо в alias, щоб
-# решта правил читалася як `gha_on.schedule` без бойлерплейту.
-gha_on := input["true"]
+# ── Очікувані значення ─────────────────────────────────────────────────────
+#
+# `${{ … }}` — шаблонний синтаксис GitHub Actions; `{{` у Rego починає string
+# interpolation. Збираємо очікувані рядки з фрагментів через `concat`, як це
+# зроблено в check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
 
-# `${{ … }}` — це шаблонний синтаксис GitHub Actions, але `{{` у Rego починає
-# string interpolation. Збираємо очікувані рядки з фрагментів, як це зроблено в
-# check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
 expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
 
 expected_github_token := concat("", ["$", "{{ github.token }}"])
@@ -29,43 +28,43 @@ expected_name := "Clean action for removing completed workflow runs"
 
 expected_cron := "0 1 16 * *"
 
-# --- name --------------------------------------------------------------------
+# Шаблон повідомлення про відсутню `concurrency`-секцію — винесено через `concat`,
+# щоб дотриматися regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"clean-ga-workflows.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, конфтест серіалізує його
+# як рядковий ключ "true". Ані `input.on`, ані `input["on"]`, ані `input[true]`
+# не працюють — лише `input["true"]`.
+
+gha_on := input["true"]
+
+step0 := input.jobs.cleanup_old_workflows.steps[0]
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
 
 deny contains msg if {
 	input.name != expected_name
 	msg := sprintf("clean-ga-workflows.yml: name має бути %q (ga.mdc)", [expected_name])
 }
 
-# --- on.schedule.cron --------------------------------------------------------
-
 deny contains msg if {
 	not has_expected_cron
 	msg := sprintf("clean-ga-workflows.yml: on.schedule має містити cron: '%s' (ga.mdc)", [expected_cron])
 }
 
-has_expected_cron if {
-	gha_on.schedule[_].cron == expected_cron
-}
-
-# --- on.workflow_dispatch ----------------------------------------------------
-
 deny contains msg if {
 	not has_workflow_dispatch
 	msg := "clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
-has_workflow_dispatch if {
-	is_object(gha_on.workflow_dispatch)
-}
-
-# --- concurrency -------------------------------------------------------------
-
 deny contains msg if {
 	not is_object(input.concurrency)
-	msg := sprintf(
-		"clean-ga-workflows.yml: відсутня секція concurrency — додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
-		[expected_concurrency_group],
-	)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
 }
 
 deny contains msg if {
@@ -80,8 +79,6 @@ deny contains msg if {
 	msg := "clean-ga-workflows.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
 }
 
-# --- jobs.cleanup_old_workflows ---------------------------------------------
-
 deny contains msg if {
 	not input.jobs.cleanup_old_workflows
 	msg := "clean-ga-workflows.yml: jobs.cleanup_old_workflows відсутній (ga.mdc)"
@@ -99,15 +96,6 @@ deny contains msg if {
 	msg := "clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)"
 }
 
-actions_write_contents_read(perms) if {
-	perms.actions == "write"
-	perms.contents == "read"
-}
-
-# --- jobs.cleanup_old_workflows.steps[0] ------------------------------------
-
-step0 := input.jobs.cleanup_old_workflows.steps[0]
-
 deny contains msg if {
 	step0.name != "Delete workflow runs"
 	msg := "clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)"
@@ -120,12 +108,27 @@ deny contains msg if {
 
 # Триплет полів `with`: token (gh-токен), save_period=31, save_min_runs_number=0.
 # В JS-перевірці помилка спільна для всіх трьох — лишаємо такий самий формат, щоб
-# повідомлення збігалися. Окремі правила нижче роблять діагноз точнішим.
+# повідомлення збігалися.
 deny contains msg if {
 	not step0_with_canonical
 	msg := "clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc"
 }
 
+# ── helpers ────────────────────────────────────────────────────────────────
+
+has_expected_cron if {
+	gha_on.schedule[_].cron == expected_cron
+}
+
+has_workflow_dispatch if {
+	is_object(gha_on.workflow_dispatch)
+}
+
+actions_write_contents_read(perms) if {
+	perms.actions == "write"
+	perms.contents == "read"
+}
+
 step0_with_canonical if {
 	step0.with.token == expected_github_token
 	step0.with.save_period == 31

package/policy/ga/clean_merged_branch/clean_merged_branch.rego

@@ -0,0 +1,167 @@
+# Порт перевірки `validateCleanMergedBranch` з `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/clean-merged-branch.yml \
+#     -p npm/policy/ga --namespace ga.clean_merged_branch
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.clean_merged_branch
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+#
+# Шаблонні токени GitHub Actions (`${{ … }}`) збираємо з фрагментів через
+# `concat`, бо `{{` у Rego починає string interpolation.
+
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+
+expected_github_token := concat("", ["$", "{{ github.token }}"])
+
+expected_deleted_branches_expr := concat("", ["$", "{{ steps.delete_stuff.outputs.deleted_branches }}"])
+
+expected_echo_substring := concat("", ["echo \"Deleted branches: $", "{DELETED_BRANCHES}\""])
+
+expected_name := "Clean abandoned branches"
+
+expected_cron := "0 1 15 * *"
+
+# Шаблони повідомлень — через `concat` для regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"clean-merged-branch.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+
+gha_on := input["true"]
+
+steps := input.jobs.cleanup_old_branches.steps
+
+step0 := steps[0]
+
+step1 := steps[1]
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("clean-merged-branch.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not has_expected_cron
+	msg := sprintf("clean-merged-branch.yml: on.schedule має містити cron: '%s' (ga.mdc)", [expected_cron])
+}
+
+deny contains msg if {
+	not has_workflow_dispatch
+	msg := "clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)"
+}
+
+deny contains msg if {
+	not is_object(input.concurrency)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("clean-merged-branch.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency["cancel-in-progress"] != true
+	msg := "clean-merged-branch.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+
+deny contains msg if {
+	not input.jobs.cleanup_old_branches
+	msg := "clean-merged-branch.yml: jobs.cleanup_old_branches відсутній (ga.mdc)"
+}
+
+deny contains msg if {
+	input.jobs.cleanup_old_branches.permissions.contents != "write"
+	msg := "clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)"
+}
+
+deny contains msg if {
+	count(steps) < 2
+	msg := "clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc"
+}
+
+# ── Step 0 (delete_stuff) ──────────────────────────────────────────────────
+
+deny contains msg if {
+	step0.id != "delete_stuff"
+	msg := "clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)"
+}
+
+deny contains msg if {
+	step0.uses != "phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3"
+	msg := "clean-merged-branch.yml: перший крок має uses як у ga.mdc"
+}
+
+deny contains msg if {
+	step0.with.github_token != expected_github_token
+	msg := sprintf("clean-merged-branch.yml: with.github_token має бути %s (ga.mdc)", [expected_github_token])
+}
+
+deny contains msg if {
+	step0.with.last_commit_age_days != 90
+	msg := "clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)"
+}
+
+deny contains msg if {
+	not ignore_branches_has_main_and_dev
+	msg := "clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)"
+}
+
+# `dry_run: no` у YAML парситься як boolean `false`. JS-перевірка порівнює зі
+# рядком "no", але в нас input уже Go-yaml-парсений — тому очікуємо `false`.
+# (Якщо комусь схочеться явного `"no"` — треба буде брати in quotes у YAML.)
+deny contains msg if {
+	step0.with.dry_run != false # noqa: rules-style-no-equality-with-false
+	msg := "clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)"
+}
+
+# ── Step 1 (Get output) ────────────────────────────────────────────────────
+
+deny contains msg if {
+	step1.name != "Get output"
+	msg := "clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)"
+}
+
+deny contains msg if {
+	step1.env.DELETED_BRANCHES != expected_deleted_branches_expr
+	msg := "clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc"
+}
+
+deny contains msg if {
+	not echo_deleted_branches
+	msg := "clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+has_expected_cron if {
+	gha_on.schedule[_].cron == expected_cron
+}
+
+has_workflow_dispatch if {
+	is_object(gha_on.workflow_dispatch)
+}
+
+ignore_branches_has_main_and_dev if {
+	contains(step0.with.ignore_branches, "main")
+	contains(step0.with.ignore_branches, "dev")
+}
+
+echo_deleted_branches if {
+	contains(step1.run, expected_echo_substring)
+}

package/policy/ga/git_ai/git_ai.rego

@@ -0,0 +1,109 @@
+# Порт перевірки `validateGitAiWorkflowStructure` з `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/git-ai.yml \
+#     -p npm/policy/ga --namespace ga.git_ai
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.git_ai
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+
+expected_name := "Git AI"
+
+expected_if_substring := "github.event.pull_request.merged == true"
+
+expected_install_substring := "curl -fsSL https://usegitai.com/install.sh | bash"
+
+expected_run_substring := "git-ai ci github run"
+
+# Шаблон повідомлення про відсутню `concurrency`-секцію — через `concat` для
+# regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"git-ai.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+
+gha_on := input["true"]
+
+# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
+# — щоб уникнути regal-правила `rule-name-repeats-package`.
+job := input.jobs["git-ai"]
+
+# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
+job_run_blob := concat("\n", [run |
+	run := job.steps[_].run
+])
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("git-ai.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not "closed" in {t | some t in gha_on.pull_request.types}
+	msg := "git-ai.yml: on.pull_request.types має містити closed (ga.mdc)"
+}
+
+deny contains msg if {
+	not is_object(input.concurrency)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("git-ai.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency["cancel-in-progress"] != true
+	msg := "git-ai.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+
+deny contains msg if {
+	not job
+	msg := "git-ai.yml: jobs.git-ai відсутній (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_if_str, expected_if_substring)
+	msg := "git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)"
+}
+
+deny contains msg if {
+	job.permissions.contents != "write"
+	msg := "git-ai.yml: permissions мають бути contents: write (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, expected_install_substring)
+	msg := "git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, expected_run_substring)
+	msg := "git-ai.yml: має виконувати git-ai ci github run (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# `if` поле job-а може бути відсутнім — тоді `sprintf` дає невизначене значення
+# і спрацьовує `default`, повертаючи порожній рядок; `contains(…)` нижче дасть
+# false і відповідне `deny`-правило спрацює зі зрозумілим повідомленням.
+default job_if_str := ""
+
+job_if_str := sprintf("%v", [job.if])