@nitra/cursor 1.8.203 → 1.8.206

package/policy/ga/lint_ga/lint_ga.rego

@@ -0,0 +1,144 @@
+# Порт перевірок `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers` з
+# `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-ga.yml \
+#     -p npm/policy/ga --namespace ga.lint_ga
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.lint_ga
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+
+expected_name := "Lint GA"
+
+expected_branches := {"dev", "main"}
+
+expected_push_paths := {".github/actions/**", ".github/workflows/**"}
+
+# Шаблон повідомлення про відсутню `concurrency`-секцію — через `concat` для
+# regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"lint-ga.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+
+gha_on := input["true"]
+
+# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
+# — щоб уникнути regal-правила `rule-name-repeats-package`.
+job := input.jobs["lint-ga"]
+
+# Усі `uses:` зі steps цього job-а — для перевірки членства.
+job_uses_set contains job.steps[_].uses
+
+# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
+job_run_blob := concat("\n", [run |
+	run := job.steps[_].run
+])
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("lint-ga.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not push_branches_have_dev_and_main
+	msg := "lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)"
+}
+
+deny contains msg if {
+	not pr_branches_have_dev_and_main
+	msg := "lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)"
+}
+
+deny contains msg if {
+	not push_paths_have_required
+	msg := "lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)"
+}
+
+deny contains msg if {
+	not is_object(input.concurrency)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("lint-ga.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency["cancel-in-progress"] != true
+	msg := "lint-ga.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+
+deny contains msg if {
+	not job
+	msg := "lint-ga.yml: jobs.lint-ga відсутній (ga.mdc)"
+}
+
+deny contains msg if {
+	job["runs-on"] != "ubuntu-latest"
+	msg := "lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+}
+
+deny contains msg if {
+	job.permissions.contents != "read"
+	msg := "lint-ga.yml: permissions мають бути contents: read (ga.mdc)"
+}
+
+deny contains msg if {
+	count(job.steps) == 0
+	msg := "lint-ga.yml: jobs.lint-ga.steps відсутні (ga.mdc)"
+}
+
+deny contains msg if {
+	not "actions/checkout@v6" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)"
+}
+
+deny contains msg if {
+	not "./.github/actions/setup-bun-deps" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)"
+}
+
+deny contains msg if {
+	not "astral-sh/setup-uv@v8.0.0" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, "bun run lint-ga")
+	msg := "lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+push_branches_have_dev_and_main if {
+	branches := gha_on.push.branches
+	expected_branches & {b | some b in branches} == expected_branches
+}
+
+pr_branches_have_dev_and_main if {
+	branches := gha_on.pull_request.branches
+	expected_branches & {b | some b in branches} == expected_branches
+}
+
+push_paths_have_required if {
+	paths := gha_on.push.paths
+	expected_push_paths & {p | some p in paths} == expected_push_paths
+}

package/scripts/auto-rules.mjs

@@ -41,6 +41,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'nginx-default-tpl',
   'npm-module',
   'php',
+  'rego',
   'style-lint',
   'text',
   'vue'
@@ -104,6 +105,7 @@ export const AUTO_RULE_DEPENDENCIES = Object.freeze(
 const ABIE_REPOSITORY_URL_MARKER = 'https://github.com/abinbevefes/'
 const HASURA_CONFIG_MARKER = 'metadata_directory: metadata'
 const JS_LIKE_RE = /\.(?:mjs|cjs|js|jsx|ts|tsx)$/iu
+const REGO_RE = /\.rego$/iu
 const STYLE_RE = /\.(?:css|vue)$/iu
 const VUE_RE = /\.vue$/iu
 const NGINX_DEFAULT_FILES = new Set(['default.conf.template', 'default.conf', 'nginx.conf'])
@@ -287,6 +289,7 @@ function updateDirFacts(dirName, facts) {
  *   hasDockerfile: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasRegoFile: boolean,
  *   hasVueOrCssSource: boolean,
  *   hasVueSource: boolean
  * }} facts агреговані факти
@@ -311,6 +314,9 @@ function updateFileFacts(fileName, relPath, facts) {
   if (STYLE_RE.test(relPath)) {
     facts.hasVueOrCssSource = true
   }
+  if (REGO_RE.test(relPath)) {
+    facts.hasRegoFile = true
+  }
 }
 
 /**
@@ -401,6 +407,7 @@ async function updateHasuraFactFromFile(absPath, fileName, facts) {
  *   hasHasuraConfig: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasRegoFile: boolean,
  *   hasVueOrCssSource: boolean,
  *   hasVueSource: boolean
  * }} facts агреговані факти
@@ -489,6 +496,7 @@ export function isMonorepoPackage(packageJson) {
  *   hasJsLikeSource: boolean,
  *   hasK8sDir: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasRegoFile: boolean,
  *   hasTempoDir: boolean,
  *   hasVueSource: boolean,
  *   hasVueOrCssSource: boolean
@@ -505,6 +513,7 @@ export async function collectAutoRuleFacts(root) {
     hasJsLikeSource: false,
     hasK8sDir: false,
     hasNginxDefaultTplFile: false,
+    hasRegoFile: false,
     hasTempoDir: false,
     hasVueSource: false,
     hasVueOrCssSource: false
@@ -650,6 +659,7 @@ export async function detectAutoRulesAndSkills({
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },
     { enabled: npmDirExists, id: 'npm-module' },
     { enabled: composerJsonExists, id: 'php' },
+    { enabled: facts.hasRegoFile, id: 'rego' },
     { enabled: facts.hasVueOrCssSource, id: 'style-lint' }
   ]
   for (const item of autoRuleChecks) {

package/scripts/check-adr.mjs

@@ -68,7 +68,10 @@ async function checkHookScript(reporter) {
     fail(`канонічний скрипт у пакеті не знайдено: ${BUNDLED_HOOK_PATH} — перевстанови @nitra/cursor`)
     return
   }
-  const [project, bundled] = await Promise.all([readFile(PROJECT_HOOK_PATH, 'utf8'), readFile(BUNDLED_HOOK_PATH, 'utf8')])
+  const [project, bundled] = await Promise.all([
+    readFile(PROJECT_HOOK_PATH, 'utf8'),
+    readFile(BUNDLED_HOOK_PATH, 'utf8')
+  ])
   if (project === bundled) {
     pass(`${PROJECT_HOOK_PATH} збігається з канонічним`)
   } else {