@nitra/cursor 1.8.203 → 1.8.206

package/scripts/check-ga.mjs

@@ -24,15 +24,11 @@ import { join } from 'node:path'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import {
-  anyRunStepIncludes,
   eventPathsIncludeExact,
   findForbiddenUsesOrRunPatterns,
   findRunStepsWithShellLineContinuationBackslash,
   hasAnyStepUsesContaining,
   hasCheckoutBeforeLocalSetupBunDeps,
-  flattenWorkflowSteps,
-  getStepRun,
-  getStepUses,
   parseWorkflowYaml
 } from './utils/gha-workflow.mjs'
 import { resolveCmd } from './utils/resolve-cmd.mjs'
@@ -160,370 +156,6 @@ function getObjKey(obj, key) {
     : undefined
 }
 
-/**
- * Очікує, що значення є рядком рівно `expected`.
- * @param {unknown} v значення
- * @param {string} expected очікуваний рядок
- * @returns {boolean} true, якщо збігається
- */
-function isExactString(v, expected) {
-  return typeof v === 'string' && v === expected
-}
-
-/**
- * Перевіряє крок dmvict/clean-workflow-runs@v1 у `clean-ga-workflows.yml`.
- * @param {unknown} step0 перший крок workflow
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanGaWorkflowsStep0(step0, passFn, failFn) {
-  if (!isExactString(getObjKey(step0, 'name'), 'Delete workflow runs')) {
-    failFn('clean-ga-workflows.yml: перший крок має мати name: Delete workflow runs (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'dmvict/clean-workflow-runs@v1')) {
-    failFn('clean-ga-workflows.yml: перший крок має uses: dmvict/clean-workflow-runs@v1 (ga.mdc)')
-  }
-  const withObj = getObjKey(step0, 'with')
-  const githubToken = ['$', '{{ github.token }}'].join('')
-  if (
-    getObjKey(withObj, 'token') === githubToken &&
-    getObjKey(withObj, 'save_period') === 31 &&
-    getObjKey(withObj, 'save_min_runs_number') === 0
-  ) {
-    passFn('clean-ga-workflows.yml: jobs/steps OK')
-  } else {
-    failFn('clean-ga-workflows.yml: with має містити token/save_period/save_min_runs_number як у ga.mdc')
-  }
-}
-
-/**
- * Перевіряє структуру workflow `clean-ga-workflows.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanGaWorkflows(root, passFn, failFn) {
-  if (!root) {
-    failFn('clean-ga-workflows.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-
-  if (isExactString(root.name, 'Clean action for removing completed workflow runs')) {
-    passFn('clean-ga-workflows.yml: name OK')
-  } else {
-    failFn('clean-ga-workflows.yml: name має бути "Clean action for removing completed workflow runs" (ga.mdc)')
-  }
-
-  const on = root.on
-  const schedule = getObjKey(on, 'schedule')
-  const wfDispatch = getObjKey(on, 'workflow_dispatch')
-
-  const hasCron =
-    Array.isArray(schedule) &&
-    schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 16 * *')
-
-  if (hasCron) {
-    passFn('clean-ga-workflows.yml: cron OK')
-  } else {
-    failFn("clean-ga-workflows.yml: on.schedule має містити cron: '0 1 16 * *' (ga.mdc)")
-  }
-
-  if (!wfDispatch || typeof wfDispatch !== 'object') {
-    failFn('clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)')
-  } else {
-    passFn('clean-ga-workflows.yml: workflow_dispatch OK')
-  }
-
-  validateConcurrencyOnRoot('clean-ga-workflows.yml', root, passFn, failFn)
-
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'cleanup_old_workflows')
-  if (!job) {
-    failFn('clean-ga-workflows.yml: jobs.cleanup_old_workflows відсутній (ga.mdc)')
-    return
-  }
-
-  if (!isExactString(getObjKey(job, 'runs-on'), 'ubuntu-latest')) {
-    failFn('clean-ga-workflows.yml: runs-on має бути ubuntu-latest (ga.mdc)')
-  }
-
-  const perm = getObjKey(job, 'permissions')
-  if (!(getObjKey(perm, 'actions') === 'write' && getObjKey(perm, 'contents') === 'read')) {
-    failFn('clean-ga-workflows.yml: permissions мають бути actions: write, contents: read (ga.mdc)')
-  }
-
-  const steps = getObjKey(job, 'steps')
-  const step0 = Array.isArray(steps) ? steps[0] : null
-  if (!step0 || typeof step0 !== 'object') {
-    failFn('clean-ga-workflows.yml: steps має містити крок з dmvict/clean-workflow-runs@v1 (ga.mdc)')
-    return
-  }
-
-  validateCleanGaWorkflowsStep0(step0, passFn, failFn)
-}
-
-/**
- * Перевіряє крок `phpdocker-io/github-actions-delete-abandoned-branches` у `clean-merged-branch.yml`.
- * @param {unknown} step0 перший крок workflow
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranchStep0(step0, failFn) {
-  if (!isExactString(getObjKey(step0, 'id'), 'delete_stuff')) {
-    failFn('clean-merged-branch.yml: перший крок має id: delete_stuff (ga.mdc)')
-  }
-  if (!isExactString(getObjKey(step0, 'uses'), 'phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3')) {
-    failFn('clean-merged-branch.yml: перший крок має uses як у ga.mdc')
-  }
-  const withObj = getObjKey(step0, 'with')
-  const ghToken = ['$', '{{ github.token }}'].join('')
-  if (getObjKey(withObj, 'github_token') !== ghToken) {
-    failFn(['clean-merged-branch.yml: with.github_token має бути $', '{{ github.token }} (ga.mdc)'].join(''))
-  }
-  if (getObjKey(withObj, 'last_commit_age_days') !== 90) {
-    failFn('clean-merged-branch.yml: with.last_commit_age_days має бути 90 (ga.mdc)')
-  }
-  const ignoreBranches = String(getObjKey(withObj, 'ignore_branches') ?? '')
-  if (!(ignoreBranches.includes('main') && ignoreBranches.includes('dev'))) {
-    failFn('clean-merged-branch.yml: with.ignore_branches має містити main,dev (ga.mdc)')
-  }
-  if (getObjKey(withObj, 'dry_run') !== 'no') {
-    failFn('clean-merged-branch.yml: with.dry_run має бути no (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє крок виводу в `clean-merged-branch.yml`.
- * @param {unknown} step1 другий крок workflow
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranchStep1(step1, passFn, failFn) {
-  if (!isExactString(getObjKey(step1, 'name'), 'Get output')) {
-    failFn('clean-merged-branch.yml: другий крок має name: Get output (ga.mdc)')
-  }
-  const env = getObjKey(step1, 'env')
-  const deletedBranchesExpr = ['$', '{{ steps.delete_stuff.outputs.deleted_branches }}'].join('')
-  if (getObjKey(env, 'DELETED_BRANCHES') !== deletedBranchesExpr) {
-    failFn('clean-merged-branch.yml: env.DELETED_BRANCHES має бути як у ga.mdc')
-  }
-  const echoDeletedBranches = ['echo "Deleted branches: $', '{DELETED_BRANCHES}"'].join('')
-  if (String(getObjKey(step1, 'run') ?? '').includes(echoDeletedBranches)) {
-    passFn('clean-merged-branch.yml: jobs/steps OK')
-  } else {
-    failFn('clean-merged-branch.yml: run має echo Deleted branches як у ga.mdc')
-  }
-}
-
-/**
- * Перевіряє структуру workflow `clean-merged-branch.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateCleanMergedBranch(root, passFn, failFn) {
-  if (!root) {
-    failFn('clean-merged-branch.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-
-  if (isExactString(root.name, 'Clean abandoned branches')) {
-    passFn('clean-merged-branch.yml: name OK')
-  } else {
-    failFn('clean-merged-branch.yml: name має бути "Clean abandoned branches" (ga.mdc)')
-  }
-
-  const on = root.on
-  const schedule = getObjKey(on, 'schedule')
-  const wfDispatch = getObjKey(on, 'workflow_dispatch')
-  const hasCron =
-    Array.isArray(schedule) &&
-    schedule.some(v => v && typeof v === 'object' && /** @type {Record<string, unknown>} */ (v).cron === '0 1 15 * *')
-
-  if (hasCron) {
-    passFn('clean-merged-branch.yml: cron OK')
-  } else {
-    failFn("clean-merged-branch.yml: on.schedule має містити cron: '0 1 15 * *' (ga.mdc)")
-  }
-
-  if (!wfDispatch || typeof wfDispatch !== 'object') {
-    failFn('clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)')
-  }
-
-  validateConcurrencyOnRoot('clean-merged-branch.yml', root, passFn, failFn)
-
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'cleanup_old_branches')
-  if (!job) {
-    failFn('clean-merged-branch.yml: jobs.cleanup_old_branches відсутній (ga.mdc)')
-    return
-  }
-
-  const perm = getObjKey(job, 'permissions')
-  if (getObjKey(perm, 'contents') !== 'write') {
-    failFn('clean-merged-branch.yml: permissions мають бути contents: write (ga.mdc)')
-  }
-
-  const steps = getObjKey(job, 'steps')
-  if (!Array.isArray(steps) || steps.length < 2) {
-    failFn('clean-merged-branch.yml: steps має містити 2 кроки як у ga.mdc')
-    return
-  }
-
-  const step0 = steps[0]
-  if (!step0 || typeof step0 !== 'object') {
-    failFn('clean-merged-branch.yml: перший крок невалідний (ga.mdc)')
-    return
-  }
-  validateCleanMergedBranchStep0(step0, failFn)
-
-  const step1 = steps[1]
-  if (!step1 || typeof step1 !== 'object') {
-    failFn('clean-merged-branch.yml: другий крок невалідний (ga.mdc)')
-    return
-  }
-  validateCleanMergedBranchStep1(step1, passFn, failFn)
-}
-
-/**
- * Перевіряє тригери `on.push` / `on.pull_request` у `lint-ga.yml`.
- * @param {unknown} on корінь `on:` з YAML
- * @param {(msg: string) => void} failFn fail
- */
-function validateLintGaOnTriggers(on, failFn) {
-  const push = getObjKey(on, 'push')
-  const pr = getObjKey(on, 'pull_request')
-  const pushBranches = getObjKey(push, 'branches')
-  const pushPaths = getObjKey(push, 'paths')
-  const prBranches = getObjKey(pr, 'branches')
-
-  if (!Array.isArray(pushBranches) || !(pushBranches.includes('dev') && pushBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)')
-  }
-  if (!Array.isArray(prBranches) || !(prBranches.includes('dev') && prBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)')
-  }
-  if (
-    !Array.isArray(pushPaths) ||
-    !(pushPaths.includes('.github/actions/**') && pushPaths.includes('.github/workflows/**'))
-  ) {
-    failFn('lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє структуру workflow `lint-ga.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateLintGaWorkflowStructure(root, passFn, failFn) {
-  if (!root) {
-    failFn('lint-ga.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-
-  if (!isExactString(root.name, 'Lint GA')) {
-    failFn('lint-ga.yml: name має бути "Lint GA" (ga.mdc)')
-  }
-
-  validateLintGaOnTriggers(root.on, failFn)
-
-  validateConcurrencyOnRoot('lint-ga.yml', root, passFn, failFn)
-
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'lint-ga')
-  if (!job) {
-    failFn('lint-ga.yml: jobs.lint-ga відсутній (ga.mdc)')
-    return
-  }
-
-  if (!isExactString(getObjKey(job, 'runs-on'), 'ubuntu-latest')) {
-    failFn('lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)')
-  }
-  const perm = getObjKey(job, 'permissions')
-  if (getObjKey(perm, 'contents') !== 'read') {
-    failFn('lint-ga.yml: permissions мають бути contents: read (ga.mdc)')
-  }
-
-  const steps = getObjKey(job, 'steps')
-  if (!Array.isArray(steps) || steps.length === 0) {
-    failFn('lint-ga.yml: jobs.lint-ga.steps відсутні (ga.mdc)')
-    return
-  }
-
-  const flat = flattenWorkflowSteps(root)
-  const usesList = new Set(flat.map(s => getStepUses(s.step)))
-  const runBlob = flat.map(s => getStepRun(s.step)).join('\n')
-
-  if (!usesList.has('actions/checkout@v6')) {
-    failFn('lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)')
-  }
-  if (!usesList.has('./.github/actions/setup-bun-deps')) {
-    failFn('lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)')
-  }
-  if (!usesList.has('astral-sh/setup-uv@v8.0.0')) {
-    failFn('lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)')
-  }
-  if (runBlob.includes('bun run lint-ga')) {
-    passFn('lint-ga.yml: структура jobs/steps OK')
-  } else {
-    failFn('lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє структуру workflow `git-ai.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateGitAiWorkflowStructure(root, passFn, failFn) {
-  if (!root) {
-    failFn('git-ai.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-
-  if (!isExactString(root.name, 'Git AI')) {
-    failFn('git-ai.yml: name має бути "Git AI" (ga.mdc)')
-  }
-
-  const on = root.on
-  const pr = getObjKey(on, 'pull_request')
-  const types = getObjKey(pr, 'types')
-  if (!Array.isArray(types) || !types.includes('closed')) {
-    failFn('git-ai.yml: on.pull_request.types має містити closed (ga.mdc)')
-  }
-
-  validateConcurrencyOnRoot('git-ai.yml', root, passFn, failFn)
-
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'git-ai')
-  if (!job) {
-    failFn('git-ai.yml: jobs.git-ai відсутній (ga.mdc)')
-    return
-  }
-
-  if (!String(getObjKey(job, 'if') ?? '').includes('github.event.pull_request.merged == true')) {
-    failFn('git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)')
-  }
-
-  const perm = getObjKey(job, 'permissions')
-  if (getObjKey(perm, 'contents') !== 'write') {
-    failFn('git-ai.yml: permissions мають бути contents: write (ga.mdc)')
-  }
-
-  const flat = flattenWorkflowSteps(root)
-  const runBlob = flat.map(s => getStepRun(s.step)).join('\n')
-  if (!runBlob.includes('curl -fsSL https://usegitai.com/install.sh | bash')) {
-    failFn('git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)')
-  }
-  if (runBlob.includes('git-ai ci github run')) {
-    passFn('git-ai.yml: структура jobs/steps OK')
-  } else {
-    failFn('git-ai.yml: має виконувати git-ai ci github run (ga.mdc)')
-  }
-}
-
 /**
  * Перевіряє блок `concurrency` на вже розпарсеному корені workflow (ga.mdc).
  *
@@ -838,33 +470,6 @@ function checkShellcheckInstalled(passFn, failFn) {
   )
 }
 
-/**
- * Перевіряє lint-ga.yml workflow.
- * @param {string} wfDir директорія workflows
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkLintGaWorkflow(wfDir, passFn, failFn) {
-  const lintGaWf = join(wfDir, 'lint-ga.yml')
-  if (!existsSync(lintGaWf)) return
-  const lgContent = await readFile(lintGaWf, 'utf8')
-  const root = parseWorkflowYaml(lgContent)
-  const hasBunRun = root ? anyRunStepIncludes(root, 'bun run lint-ga') : lgContent.includes('bun run lint-ga')
-  const hasSetupUv = root
-    ? hasAnyStepUsesContaining(root, ['astral-sh/setup-uv']) || lgContent.includes('astral-sh/setup-uv')
-    : lgContent.includes('astral-sh/setup-uv')
-  if (hasBunRun) {
-    passFn('lint-ga.yml викликає bun run lint-ga')
-  } else {
-    failFn('lint-ga.yml: крок має містити bun run lint-ga')
-  }
-  if (hasSetupUv) {
-    passFn('lint-ga.yml містить astral-sh/setup-uv')
-  } else {
-    failFn('lint-ga.yml: додай astral-sh/setup-uv для uvx zizmor (ga.mdc)')
-  }
-}
-
 /**
  * Перевіряє розширення workflow-файлів і наявність обов'язкових workflow.
  * @param {string} wfDir шлях до директорії workflows
@@ -898,111 +503,6 @@ function checkGaWorkflowFiles(wfDir, files, pass, fail) {
   }
 }
 
-/**
- * Перевіряє, чи on.pull_request.types у parsed YAML містить 'closed'.
- * @param {Record<string, unknown>} root розібраний YAML workflow
- * @returns {boolean} true, якщо тригер pull_request має тип closed
- */
-function hasPullRequestClosedTrigger(root) {
-  const on = root.on
-  if (!on || typeof on !== 'object') return false
-  const pr = /** @type {Record<string, unknown>} */ (on)['pull_request']
-  if (!pr || typeof pr !== 'object') return false
-  const types = /** @type {Record<string, unknown>} */ (pr).types
-  return Array.isArray(types) && types.includes('closed')
-}
-
-/**
- * Перевіряє, чи будь-який job у parsed YAML має if-умову з 'merged'.
- * @param {Record<string, unknown>} root розібраний YAML workflow
- * @returns {boolean} true, якщо хоча б один job містить умову merged
- */
-function hasJobMergedCondition(root) {
-  const { jobs } = root
-  if (!jobs || typeof jobs !== 'object') return false
-  return Object.values(jobs).some(job => {
-    if (!job || typeof job !== 'object') return false
-    const ifCond = String(/** @type {Record<string, unknown>} */ (job).if ?? '')
-    return ifCond.includes('merged')
-  })
-}
-
-/**
- * Перевіряє parsed YAML git-ai.yml: тригер closed та умова merged.
- * @param {Record<string, unknown>} root розібраний YAML workflow
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-function validateGitAiParsedYaml(root, passFn, failFn) {
-  if (hasPullRequestClosedTrigger(root)) {
-    passFn('git-ai.yml: on.pull_request.types містить closed')
-  } else {
-    failFn('git-ai.yml: on.pull_request.types має містити closed (ga.mdc)')
-  }
-
-  if (hasJobMergedCondition(root)) {
-    passFn('git-ai.yml: job має умову merged')
-  } else {
-    failFn('git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє git-ai.yml: тригер pull_request з types: [closed], умова merged у job, виклик git-ai.
- * @param {string} wfDir директорія workflows
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkGitAiWorkflow(wfDir, passFn, failFn) {
-  const gitAiWf = join(wfDir, 'git-ai.yml')
-  if (!existsSync(gitAiWf)) return
-  const content = await readFile(gitAiWf, 'utf8')
-  const root = parseWorkflowYaml(content)
-
-  if (root) {
-    validateGitAiParsedYaml(root, passFn, failFn)
-  }
-
-  const hasGitAiRun = root ? anyRunStepIncludes(root, 'git-ai ci github run') : content.includes('git-ai ci github run')
-  if (hasGitAiRun) {
-    passFn('git-ai.yml: крок виконує git-ai ci github run')
-  } else {
-    failFn('git-ai.yml: крок має містити git-ai ci github run (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє, що “канонічні” workflows відповідають ga.mdc (структура і значення).
- * @param {string} wfDir директорія workflows
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-async function checkCanonicalWorkflowsMatchRule(wfDir, passFn, failFn) {
-  const paths = {
-    cleanGa: join(wfDir, 'clean-ga-workflows.yml'),
-    cleanMerged: join(wfDir, 'clean-merged-branch.yml'),
-    lintGa: join(wfDir, 'lint-ga.yml'),
-    gitAi: join(wfDir, 'git-ai.yml')
-  }
-
-  if (existsSync(paths.cleanGa)) {
-    const c = await readFile(paths.cleanGa, 'utf8')
-    validateCleanGaWorkflows(parseWorkflowYaml(c), passFn, failFn)
-  }
-  if (existsSync(paths.cleanMerged)) {
-    const c = await readFile(paths.cleanMerged, 'utf8')
-    validateCleanMergedBranch(parseWorkflowYaml(c), passFn, failFn)
-  }
-  if (existsSync(paths.lintGa)) {
-    const c = await readFile(paths.lintGa, 'utf8')
-    validateLintGaWorkflowStructure(parseWorkflowYaml(c), passFn, failFn)
-  }
-  if (existsSync(paths.gitAi)) {
-    const c = await readFile(paths.gitAi, 'utf8')
-    validateGitAiWorkflowStructure(parseWorkflowYaml(c), passFn, failFn)
-  }
-}
-
 /**
  * Перевіряє відповідність проєкту правилам ga.mdc
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
@@ -1061,12 +561,8 @@ export async function check() {
     }
   }
 
-  await checkCanonicalWorkflowsMatchRule(wfDir, pass, fail)
-
   await checkZizmor(pass, fail)
   await checkLintGaScript(pass, fail)
-  await checkLintGaWorkflow(wfDir, pass, fail)
-  await checkGitAiWorkflow(wfDir, pass, fail)
   checkShellcheckInstalled(pass, fail)
 
   return reporter.getExitCode()

package/scripts/check-hasura.mjs

@@ -45,8 +45,7 @@ const ENV_FILE_RE = /\.env$/u
 const HASURA_ENDPOINT_LINE_RE = /^[ \t]*(?:export[ \t]+)?HASURA_GRAPHQL_ENDPOINT[ \t]*=[ \t]*['"]?([^'"\r\n#]+)/mu
 // Дозволяємо два DNS-суфікси кластера: `<name>.internal` (GKE/GCP) і `cluster.local`
 // (стандартний k8s / Yandex Cloud). У YC namespace.yaml + cluster mode дають коротший суфікс.
-const INTERNAL_HASURA_URL_RE =
-  /^http:\/\/([^./]+)\.([^./]+)\.svc\.((?:[^./:]+\.internal)|cluster\.local):(\d+)\/?$/u
+const INTERNAL_HASURA_URL_RE = /^http:\/\/([^./]+)\.([^./]+)\.svc\.((?:[^./:]+\.internal)|cluster\.local):(\d+)\/?$/u
 const CLUSTER_LOCAL_SUFFIX = 'cluster.local'
 const INTERNAL_DNS_SUFFIX = '.internal'
 
@@ -151,7 +150,8 @@ async function checkEnvFile(relPath, expected, reporter) {
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
     // eslint-disable-next-line @microsoft/sdl/no-insecure-url, sonarjs/no-clear-text-protocols -- hasura.mdc вимагає саме http:// для кластерного URL (TLS не використовується)
-    const example = 'http://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
+    const example =
+      'http://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )

package/scripts/check-js-run.mjs

@@ -47,10 +47,7 @@ import {
   resolveConnDirFromPackageJson
 } from './utils/conn-imports-scan.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
-import {
-  findPromiseSetTimeoutInText,
-  isPromiseSetTimeoutScanSourceFile
-} from './utils/promise-settimeout-scan.mjs'
+import { findPromiseSetTimeoutInText, isPromiseSetTimeoutScanSourceFile } from './utils/promise-settimeout-scan.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from './utils/workspaces.mjs'
 

package/scripts/check-k8s.mjs

@@ -524,7 +524,8 @@ function kustomizationPatchSortKey(patchItem) {
   const rec = /** @type {Record<string, unknown>} */ (patchItem)
   const t = rec.target
   /** @type {Record<string, unknown>} */
-  const target = t !== null && typeof t === 'object' && !Array.isArray(t) ? /** @type {Record<string, unknown>} */ (t) : {}
+  const target =
+    t !== null && typeof t === 'object' && !Array.isArray(t) ? /** @type {Record<string, unknown>} */ (t) : {}
   const kind = typeof target.kind === 'string' ? target.kind : ''
   const name = typeof target.name === 'string' ? target.name : ''
   const ns = typeof target.namespace === 'string' ? target.namespace : ''

package/scripts/lint-ga.mjs

@@ -27,16 +27,36 @@ import { resolveCmd } from './utils/resolve-cmd.mjs'
 /** Каталог пакету `@nitra/cursor`, від якого ресолвимо вшиту директорію policy/. */
 const PACKAGE_ROOT = dirname(dirname(fileURLToPath(import.meta.url)))
 
-/** Шлях до Rego-полісі (PoC: лише clean-ga-workflows). У npm-tarball публікується через `files` у package.json. */
+/** Шлях до кореня Rego-полісі для GA. У npm-tarball публікується через `files: ["policy"]` у package.json. */
 const GA_POLICY_DIR = join(PACKAGE_ROOT, 'policy', 'ga')
 
 /**
- * Workflow-файли, для яких маємо відповідну Rego-полісі. PoC: один файл; інші підтягуватимемо в міру міграції
- * перевірок із `npm/scripts/check-ga.mjs`.
- * @type {Array<{ workflow: string, label: string }>}
+ * Workflow-файли, для яких маємо відповідну Rego-полісі. Кожен таргет посилається на під-пакет
+ * `ga.<name>` у `policy/ga/<name>/<name>.rego`; conftest викликаємо з `--namespace`, щоб правила
+ * іншого workflow не застосовувалися до чужого файлу.
+ * @type {Array<{ workflow: string, namespace: string, label: string }>}
  */
 const CONFTEST_TARGETS = [
-  { workflow: '.github/workflows/clean-ga-workflows.yml', label: 'clean-ga-workflows.yml structure' }
+  {
+    workflow: '.github/workflows/clean-ga-workflows.yml',
+    namespace: 'ga.clean_ga_workflows',
+    label: 'clean-ga-workflows.yml structure'
+  },
+  {
+    workflow: '.github/workflows/clean-merged-branch.yml',
+    namespace: 'ga.clean_merged_branch',
+    label: 'clean-merged-branch.yml structure'
+  },
+  {
+    workflow: '.github/workflows/lint-ga.yml',
+    namespace: 'ga.lint_ga',
+    label: 'lint-ga.yml structure'
+  },
+  {
+    workflow: '.github/workflows/git-ai.yml',
+    namespace: 'ga.git_ai',
+    label: 'git-ai.yml structure'
+  }
 ]
 
 /**
@@ -218,6 +238,8 @@ function runConftestStep() {
       target.workflow,
       '-p',
       GA_POLICY_DIR,
+      '--namespace',
+      target.namespace,
       '--no-color'
     ])
     if (code !== 0) return code