@nitra/cursor 1.8.204 → 1.8.206

package/CHANGELOG.md

@@ -4,6 +4,28 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.206] - 2026-05-08
+
+### Added
+
+- `mdc/rego.mdc` (нова версія 1.1, з 1.0): VS Code-секція з рекомендованим розширенням `tsandall.opa` (LSP від автора OPA: підсвічування, hover, go-to-definition, format-on-save через `opa fmt`), `.vscode/extensions.json` і `.vscode/settings.json` сніпети для `[rego]` (`editor.defaultFormatter: tsandall.opa`, `formatOnSave: true`); опис кроків `lint-rego` (preflight `opa`+`regal`, далі `opa check --strict` і `regal lint`); `package.json`-сніпет зі скриптом `lint-rego`; install-команди (`brew install opa regal` + universal лінки); приклад `.regal/config.yaml`. Раніше файл містив лише placeholder `npx @nitra/cursor check rego`.
+
+### Changed
+
+- `scripts/lint-rego.mjs`: додано preflight на `opa` (поряд з `regal`) з install-hint `brew install opa` і покликом до VS Code-розширення `tsandall.opa`; до `regal lint` додано попередній крок `opa check --strict <targets>` (типи + строгий режим: мертвий код, неоднозначні правила, незадекларовані змінні) — `opa check` ловить compile-помилки, які `regal` навмисно лишає поза скоупом. Якщо хоч один з `opa`/`regal` відсутній у `PATH` — exit 1 ще до запуску, з підказкою встановлення для обох.
+
+## [1.8.205] - 2026-05-08
+
+### Added
+
+- `npm/policy/ga/lint_ga/lint_ga.rego` — порт `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers`: `name` / `on.push.branches∋{dev,main}` / `on.pull_request.branches∋{dev,main}` / `on.push.paths∋{.github/actions/**,.github/workflows/**}` / `concurrency` / `jobs.lint-ga.runs-on` / `jobs.lint-ga.permissions.contents=read` / `steps` non-empty / `uses` set містить `actions/checkout@v6`, `./.github/actions/setup-bun-deps`, `astral-sh/setup-uv@v8.0.0` / `run` blob містить `bun run lint-ga`.
+- `npm/policy/ga/git_ai/git_ai.rego` — порт `validateGitAiWorkflowStructure`: `name` / `on.pull_request.types∋closed` / `concurrency` / `jobs.git-ai.if` містить `merged == true` / `permissions.contents=write` / `run` blob містить `curl … usegitai.com … bash` і `git-ai ci github run`.
+
+### Changed
+
+- `scripts/lint-ga.mjs`: `CONFTEST_TARGETS` тепер охоплює всі 4 канонічні GA-workflow — `clean-ga-workflows.yml`, `clean-merged-branch.yml`, `lint-ga.yml`, `git-ai.yml` — кожен зі своїм `--namespace ga.<name>`.
+- `scripts/check-ga.mjs`: видалено `validateLintGaWorkflowStructure`, `validateLintGaOnTriggers`, `validateGitAiWorkflowStructure`, `validateGitAiParsedYaml`, `hasPullRequestClosedTrigger`, `hasJobMergedCondition`, `checkLintGaWorkflow`, `checkGitAiWorkflow`, `checkCanonicalWorkflowsMatchRule`, локальний `isExactString` і відповідні імпорти `anyRunStepIncludes`/`flattenWorkflowSteps`/`getStepRun`/`getStepUses`. Файл скоротився з 1074 → 570 рядків (≈47%) — структурні перевірки канонічних GA-workflow повністю мігрували в conftest. У JS лишилися: file-existence (zizmor.yml, .vscode/settings.json, setup-bun-deps), `package.json` script `lint-ga`, MegaLinter-зачистка, `verifyConcurrencyBlock` для всіх workflow без винятків (включно з не-канонічними), `verifyNoDirectBunOrCache`, `verifyCheckoutBeforeLocalSetupBunDeps`, paths-globs через `git ls-files`, preflight `shellcheck`.
+
 ## [1.8.204] - 2026-05-07
 
 ### Changed
@@ -120,7 +142,7 @@
 ### Added
 
 - `run-shellcheck-text.mjs`: для `lint-text` — перевірка наявності `shellcheck`/`patch`, авто-виправлення через `shellcheck -f diff` + `patch -p1`, фінальний прогін по tracked `*.sh` (git) або `**/*.sh` без `node_modules`.
-- `text` (mdc v1.25 → v1.26): **shellcheck** у ланцюжку `lint-text`, рекомендація **`timonwong.shellcheck`**, тригер workflow **`**/*.sh`**; тести `run-shellcheck-text.test.mjs`.
+- `text` (mdc v1.25 → v1.26): **shellcheck** у ланцюжку `lint-text`, рекомендація **`timonwong.shellcheck`**, тригер workflow **`**/\*.sh`**; тести `run-shellcheck-text.test.mjs`.
 
 ### Changed
 

package/bin/auto-rules.md

@@ -42,6 +42,8 @@ npm-module - якщо в корені присутня директорія npm
 
 php - якщо в корені є composer.json
 
+rego - якщо в проекті є хоч один rego
+
 style-lint - якщо присутній хоч один vue або css файл
 
 text - завжди

package/mdc/rego.mdc

@@ -0,0 +1,77 @@
+---
+description: Opa, Rego — інструментарій (VS Code, lint-rego)
+version: '1.1'
+globs: "**/*.rego"
+alwaysApply: false
+---
+
+# Rego (opa)
+
+Синтаксичні правила (`rego.v1`, `import rego.v1`, заборона legacy v0) — у `conftest.mdc` (alwaysApply). Цей файл — про **інструментарій**: VS Code, лінтери, форматування.
+
+## VS Code
+
+Розширення `tsandall.opa` (від автора OPA): підсвічування, hover, go-to-definition, оцінка виразів і `format-on-save` через `opa fmt`. Працює лише за наявності `opa` у `PATH` — встановити нижче.
+
+```json title=".vscode/extensions.json"
+{
+  "recommendations": ["tsandall.opa"]
+}
+```
+
+```json title=".vscode/settings.json"
+{
+  "[rego]": {
+    "editor.defaultFormatter": "tsandall.opa",
+    "editor.formatOnSave": true
+  }
+}
+```
+
+`opa.checkOnSave` за замовчуванням увімкнено в розширенні — діагностика від `opa check` показується в редакторі, тож синтаксичні/типові помилки видно одразу, без запуску `lint-rego`.
+
+## Перевірка
+
+```bash
+bun run lint-rego
+```
+
+Скрипт делегує до `bun ./npm/scripts/lint-rego.mjs`. Послідовність:
+
+1. **preflight** — наявність `opa` і `regal` у `PATH`; якщо хоча б одного нема — exit 1 з підказкою встановлення;
+2. `opa check --strict <targets>` — компіляція з типами та `--strict` (мертвий код, неоднозначні правила, незадекларовані змінні);
+3. `regal lint <targets>` — статичний лінтер Rego ([Styra Regal](https://docs.styra.com/regal)): ловить v0-синтаксис, неявні set-rules і відхилення від `rego.v1`, плюс bugs/idiomatic/style-правила.
+
+Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `lint-rego.mjs`.
+
+### Встановлення інструментів
+
+- macOS: `brew install opa regal`
+- Linux/Windows:
+  - opa — <https://www.openpolicyagent.org/docs/latest/#1-download-opa>
+  - regal — <https://docs.styra.com/regal#installation>
+
+Обидва — лише в `PATH`, **не** додавай у `dependencies` / `devDependencies` (як `shellcheck` у `text.mdc`).
+
+### `package.json`
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-rego": "bun ./npm/scripts/lint-rego.mjs"
+  }
+}
+```
+
+У кореневому `lint` (з `text.mdc` і дотичних) включай `bun run lint-rego` — щоб локальний прогін співпадав з CI.
+
+## Конфіг regal
+
+У корені — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо (наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):
+
+```yaml title=".regal/config.yaml"
+rules:
+  idiomatic:
+    no-defined-entrypoint:
+      level: ignore
+```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.204",
+  "version": "1.8.206",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/ga/git_ai/git_ai.rego

@@ -0,0 +1,109 @@
+# Порт перевірки `validateGitAiWorkflowStructure` з `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/git-ai.yml \
+#     -p npm/policy/ga --namespace ga.git_ai
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.git_ai
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+
+expected_name := "Git AI"
+
+expected_if_substring := "github.event.pull_request.merged == true"
+
+expected_install_substring := "curl -fsSL https://usegitai.com/install.sh | bash"
+
+expected_run_substring := "git-ai ci github run"
+
+# Шаблон повідомлення про відсутню `concurrency`-секцію — через `concat` для
+# regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"git-ai.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+
+gha_on := input["true"]
+
+# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
+# — щоб уникнути regal-правила `rule-name-repeats-package`.
+job := input.jobs["git-ai"]
+
+# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
+job_run_blob := concat("\n", [run |
+	run := job.steps[_].run
+])
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("git-ai.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not "closed" in {t | some t in gha_on.pull_request.types}
+	msg := "git-ai.yml: on.pull_request.types має містити closed (ga.mdc)"
+}
+
+deny contains msg if {
+	not is_object(input.concurrency)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("git-ai.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency["cancel-in-progress"] != true
+	msg := "git-ai.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+
+deny contains msg if {
+	not job
+	msg := "git-ai.yml: jobs.git-ai відсутній (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_if_str, expected_if_substring)
+	msg := "git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)"
+}
+
+deny contains msg if {
+	job.permissions.contents != "write"
+	msg := "git-ai.yml: permissions мають бути contents: write (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, expected_install_substring)
+	msg := "git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, expected_run_substring)
+	msg := "git-ai.yml: має виконувати git-ai ci github run (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# `if` поле job-а може бути відсутнім — тоді `sprintf` дає невизначене значення
+# і спрацьовує `default`, повертаючи порожній рядок; `contains(…)` нижче дасть
+# false і відповідне `deny`-правило спрацює зі зрозумілим повідомленням.
+default job_if_str := ""
+
+job_if_str := sprintf("%v", [job.if])

package/policy/ga/lint_ga/lint_ga.rego

@@ -0,0 +1,144 @@
+# Порт перевірок `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers` з
+# `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-ga.yml \
+#     -p npm/policy/ga --namespace ga.lint_ga
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.lint_ga
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+
+expected_name := "Lint GA"
+
+expected_branches := {"dev", "main"}
+
+expected_push_paths := {".github/actions/**", ".github/workflows/**"}
+
+# Шаблон повідомлення про відсутню `concurrency`-секцію — через `concat` для
+# regal style/line-length.
+concurrency_missing_template := concat(" ", [
+	"lint-ga.yml: відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+
+gha_on := input["true"]
+
+# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
+# — щоб уникнути regal-правила `rule-name-repeats-package`.
+job := input.jobs["lint-ga"]
+
+# Усі `uses:` зі steps цього job-а — для перевірки членства.
+job_uses_set contains job.steps[_].uses
+
+# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
+job_run_blob := concat("\n", [run |
+	run := job.steps[_].run
+])
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("lint-ga.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not push_branches_have_dev_and_main
+	msg := "lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)"
+}
+
+deny contains msg if {
+	not pr_branches_have_dev_and_main
+	msg := "lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)"
+}
+
+deny contains msg if {
+	not push_paths_have_required
+	msg := "lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)"
+}
+
+deny contains msg if {
+	not is_object(input.concurrency)
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("lint-ga.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(input.concurrency)
+	input.concurrency["cancel-in-progress"] != true
+	msg := "lint-ga.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+
+deny contains msg if {
+	not job
+	msg := "lint-ga.yml: jobs.lint-ga відсутній (ga.mdc)"
+}
+
+deny contains msg if {
+	job["runs-on"] != "ubuntu-latest"
+	msg := "lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+}
+
+deny contains msg if {
+	job.permissions.contents != "read"
+	msg := "lint-ga.yml: permissions мають бути contents: read (ga.mdc)"
+}
+
+deny contains msg if {
+	count(job.steps) == 0
+	msg := "lint-ga.yml: jobs.lint-ga.steps відсутні (ga.mdc)"
+}
+
+deny contains msg if {
+	not "actions/checkout@v6" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)"
+}
+
+deny contains msg if {
+	not "./.github/actions/setup-bun-deps" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)"
+}
+
+deny contains msg if {
+	not "astral-sh/setup-uv@v8.0.0" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, "bun run lint-ga")
+	msg := "lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+push_branches_have_dev_and_main if {
+	branches := gha_on.push.branches
+	expected_branches & {b | some b in branches} == expected_branches
+}
+
+pr_branches_have_dev_and_main if {
+	branches := gha_on.pull_request.branches
+	expected_branches & {b | some b in branches} == expected_branches
+}
+
+push_paths_have_required if {
+	paths := gha_on.push.paths
+	expected_push_paths & {p | some p in paths} == expected_push_paths
+}

package/scripts/auto-rules.mjs

@@ -41,6 +41,7 @@ export const AUTO_RULE_ORDER = Object.freeze([
   'nginx-default-tpl',
   'npm-module',
   'php',
+  'rego',
   'style-lint',
   'text',
   'vue'
@@ -104,6 +105,7 @@ export const AUTO_RULE_DEPENDENCIES = Object.freeze(
 const ABIE_REPOSITORY_URL_MARKER = 'https://github.com/abinbevefes/'
 const HASURA_CONFIG_MARKER = 'metadata_directory: metadata'
 const JS_LIKE_RE = /\.(?:mjs|cjs|js|jsx|ts|tsx)$/iu
+const REGO_RE = /\.rego$/iu
 const STYLE_RE = /\.(?:css|vue)$/iu
 const VUE_RE = /\.vue$/iu
 const NGINX_DEFAULT_FILES = new Set(['default.conf.template', 'default.conf', 'nginx.conf'])
@@ -287,6 +289,7 @@ function updateDirFacts(dirName, facts) {
  *   hasDockerfile: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasRegoFile: boolean,
  *   hasVueOrCssSource: boolean,
  *   hasVueSource: boolean
  * }} facts агреговані факти
@@ -311,6 +314,9 @@ function updateFileFacts(fileName, relPath, facts) {
   if (STYLE_RE.test(relPath)) {
     facts.hasVueOrCssSource = true
   }
+  if (REGO_RE.test(relPath)) {
+    facts.hasRegoFile = true
+  }
 }
 
 /**
@@ -401,6 +407,7 @@ async function updateHasuraFactFromFile(absPath, fileName, facts) {
  *   hasHasuraConfig: boolean,
  *   hasJsLikeSource: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasRegoFile: boolean,
  *   hasVueOrCssSource: boolean,
  *   hasVueSource: boolean
  * }} facts агреговані факти
@@ -489,6 +496,7 @@ export function isMonorepoPackage(packageJson) {
  *   hasJsLikeSource: boolean,
  *   hasK8sDir: boolean,
  *   hasNginxDefaultTplFile: boolean,
+ *   hasRegoFile: boolean,
  *   hasTempoDir: boolean,
  *   hasVueSource: boolean,
  *   hasVueOrCssSource: boolean
@@ -505,6 +513,7 @@ export async function collectAutoRuleFacts(root) {
     hasJsLikeSource: false,
     hasK8sDir: false,
     hasNginxDefaultTplFile: false,
+    hasRegoFile: false,
     hasTempoDir: false,
     hasVueSource: false,
     hasVueOrCssSource: false
@@ -650,6 +659,7 @@ export async function detectAutoRulesAndSkills({
     { enabled: facts.hasNginxDefaultTplFile, id: 'nginx-default-tpl' },
     { enabled: npmDirExists, id: 'npm-module' },
     { enabled: composerJsonExists, id: 'php' },
+    { enabled: facts.hasRegoFile, id: 'rego' },
     { enabled: facts.hasVueOrCssSource, id: 'style-lint' }
   ]
   for (const item of autoRuleChecks) {

package/scripts/check-adr.mjs

@@ -68,7 +68,10 @@ async function checkHookScript(reporter) {
     fail(`канонічний скрипт у пакеті не знайдено: ${BUNDLED_HOOK_PATH} — перевстанови @nitra/cursor`)
     return
   }
-  const [project, bundled] = await Promise.all([readFile(PROJECT_HOOK_PATH, 'utf8'), readFile(BUNDLED_HOOK_PATH, 'utf8')])
+  const [project, bundled] = await Promise.all([
+    readFile(PROJECT_HOOK_PATH, 'utf8'),
+    readFile(BUNDLED_HOOK_PATH, 'utf8')
+  ])
   if (project === bundled) {
     pass(`${PROJECT_HOOK_PATH} збігається з канонічним`)
   } else {

package/scripts/check-ga.mjs

@@ -24,15 +24,11 @@ import { join } from 'node:path'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import {
-  anyRunStepIncludes,
   eventPathsIncludeExact,
   findForbiddenUsesOrRunPatterns,
   findRunStepsWithShellLineContinuationBackslash,
   hasAnyStepUsesContaining,
   hasCheckoutBeforeLocalSetupBunDeps,
-  flattenWorkflowSteps,
-  getStepRun,
-  getStepUses,
   parseWorkflowYaml
 } from './utils/gha-workflow.mjs'
 import { resolveCmd } from './utils/resolve-cmd.mjs'
@@ -160,156 +156,6 @@ function getObjKey(obj, key) {
     : undefined
 }
 
-/**
- * Очікує, що значення є рядком рівно `expected`.
- * @param {unknown} v значення
- * @param {string} expected очікуваний рядок
- * @returns {boolean} true, якщо збігається
- */
-function isExactString(v, expected) {
-  return typeof v === 'string' && v === expected
-}
-
-/**
- * Перевіряє тригери `on.push` / `on.pull_request` у `lint-ga.yml`.
- * @param {unknown} on корінь `on:` з YAML
- * @param {(msg: string) => void} failFn fail
- */
-function validateLintGaOnTriggers(on, failFn) {
-  const push = getObjKey(on, 'push')
-  const pr = getObjKey(on, 'pull_request')
-  const pushBranches = getObjKey(push, 'branches')
-  const pushPaths = getObjKey(push, 'paths')
-  const prBranches = getObjKey(pr, 'branches')
-
-  if (!Array.isArray(pushBranches) || !(pushBranches.includes('dev') && pushBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)')
-  }
-  if (!Array.isArray(prBranches) || !(prBranches.includes('dev') && prBranches.includes('main'))) {
-    failFn('lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)')
-  }
-  if (
-    !Array.isArray(pushPaths) ||
-    !(pushPaths.includes('.github/actions/**') && pushPaths.includes('.github/workflows/**'))
-  ) {
-    failFn('lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє структуру workflow `lint-ga.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateLintGaWorkflowStructure(root, passFn, failFn) {
-  if (!root) {
-    failFn('lint-ga.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-
-  if (!isExactString(root.name, 'Lint GA')) {
-    failFn('lint-ga.yml: name має бути "Lint GA" (ga.mdc)')
-  }
-
-  validateLintGaOnTriggers(root.on, failFn)
-
-  validateConcurrencyOnRoot('lint-ga.yml', root, passFn, failFn)
-
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'lint-ga')
-  if (!job) {
-    failFn('lint-ga.yml: jobs.lint-ga відсутній (ga.mdc)')
-    return
-  }
-
-  if (!isExactString(getObjKey(job, 'runs-on'), 'ubuntu-latest')) {
-    failFn('lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)')
-  }
-  const perm = getObjKey(job, 'permissions')
-  if (getObjKey(perm, 'contents') !== 'read') {
-    failFn('lint-ga.yml: permissions мають бути contents: read (ga.mdc)')
-  }
-
-  const steps = getObjKey(job, 'steps')
-  if (!Array.isArray(steps) || steps.length === 0) {
-    failFn('lint-ga.yml: jobs.lint-ga.steps відсутні (ga.mdc)')
-    return
-  }
-
-  const flat = flattenWorkflowSteps(root)
-  const usesList = new Set(flat.map(s => getStepUses(s.step)))
-  const runBlob = flat.map(s => getStepRun(s.step)).join('\n')
-
-  if (!usesList.has('actions/checkout@v6')) {
-    failFn('lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)')
-  }
-  if (!usesList.has('./.github/actions/setup-bun-deps')) {
-    failFn('lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)')
-  }
-  if (!usesList.has('astral-sh/setup-uv@v8.0.0')) {
-    failFn('lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)')
-  }
-  if (runBlob.includes('bun run lint-ga')) {
-    passFn('lint-ga.yml: структура jobs/steps OK')
-  } else {
-    failFn('lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє структуру workflow `git-ai.yml` (ga.mdc).
- * @param {Record<string, unknown> | null} root parsed YAML
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-function validateGitAiWorkflowStructure(root, passFn, failFn) {
-  if (!root) {
-    failFn('git-ai.yml: YAML не вдалося розібрати (ga.mdc)')
-    return
-  }
-
-  if (!isExactString(root.name, 'Git AI')) {
-    failFn('git-ai.yml: name має бути "Git AI" (ga.mdc)')
-  }
-
-  const on = root.on
-  const pr = getObjKey(on, 'pull_request')
-  const types = getObjKey(pr, 'types')
-  if (!Array.isArray(types) || !types.includes('closed')) {
-    failFn('git-ai.yml: on.pull_request.types має містити closed (ga.mdc)')
-  }
-
-  validateConcurrencyOnRoot('git-ai.yml', root, passFn, failFn)
-
-  const jobs = getObjKey(root, 'jobs')
-  const job = getObjKey(jobs, 'git-ai')
-  if (!job) {
-    failFn('git-ai.yml: jobs.git-ai відсутній (ga.mdc)')
-    return
-  }
-
-  if (!String(getObjKey(job, 'if') ?? '').includes('github.event.pull_request.merged == true')) {
-    failFn('git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)')
-  }
-
-  const perm = getObjKey(job, 'permissions')
-  if (getObjKey(perm, 'contents') !== 'write') {
-    failFn('git-ai.yml: permissions мають бути contents: write (ga.mdc)')
-  }
-
-  const flat = flattenWorkflowSteps(root)
-  const runBlob = flat.map(s => getStepRun(s.step)).join('\n')
-  if (!runBlob.includes('curl -fsSL https://usegitai.com/install.sh | bash')) {
-    failFn('git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)')
-  }
-  if (runBlob.includes('git-ai ci github run')) {
-    passFn('git-ai.yml: структура jobs/steps OK')
-  } else {
-    failFn('git-ai.yml: має виконувати git-ai ci github run (ga.mdc)')
-  }
-}
-
 /**
  * Перевіряє блок `concurrency` на вже розпарсеному корені workflow (ga.mdc).
  *
@@ -624,33 +470,6 @@ function checkShellcheckInstalled(passFn, failFn) {
   )
 }
 
-/**
- * Перевіряє lint-ga.yml workflow.
- * @param {string} wfDir директорія workflows
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkLintGaWorkflow(wfDir, passFn, failFn) {
-  const lintGaWf = join(wfDir, 'lint-ga.yml')
-  if (!existsSync(lintGaWf)) return
-  const lgContent = await readFile(lintGaWf, 'utf8')
-  const root = parseWorkflowYaml(lgContent)
-  const hasBunRun = root ? anyRunStepIncludes(root, 'bun run lint-ga') : lgContent.includes('bun run lint-ga')
-  const hasSetupUv = root
-    ? hasAnyStepUsesContaining(root, ['astral-sh/setup-uv']) || lgContent.includes('astral-sh/setup-uv')
-    : lgContent.includes('astral-sh/setup-uv')
-  if (hasBunRun) {
-    passFn('lint-ga.yml викликає bun run lint-ga')
-  } else {
-    failFn('lint-ga.yml: крок має містити bun run lint-ga')
-  }
-  if (hasSetupUv) {
-    passFn('lint-ga.yml містить astral-sh/setup-uv')
-  } else {
-    failFn('lint-ga.yml: додай astral-sh/setup-uv для uvx zizmor (ga.mdc)')
-  }
-}
-
 /**
  * Перевіряє розширення workflow-файлів і наявність обов'язкових workflow.
  * @param {string} wfDir шлях до директорії workflows
@@ -684,105 +503,6 @@ function checkGaWorkflowFiles(wfDir, files, pass, fail) {
   }
 }
 
-/**
- * Перевіряє, чи on.pull_request.types у parsed YAML містить 'closed'.
- * @param {Record<string, unknown>} root розібраний YAML workflow
- * @returns {boolean} true, якщо тригер pull_request має тип closed
- */
-function hasPullRequestClosedTrigger(root) {
-  const on = root.on
-  if (!on || typeof on !== 'object') return false
-  const pr = /** @type {Record<string, unknown>} */ (on)['pull_request']
-  if (!pr || typeof pr !== 'object') return false
-  const types = /** @type {Record<string, unknown>} */ (pr).types
-  return Array.isArray(types) && types.includes('closed')
-}
-
-/**
- * Перевіряє, чи будь-який job у parsed YAML має if-умову з 'merged'.
- * @param {Record<string, unknown>} root розібраний YAML workflow
- * @returns {boolean} true, якщо хоча б один job містить умову merged
- */
-function hasJobMergedCondition(root) {
-  const { jobs } = root
-  if (!jobs || typeof jobs !== 'object') return false
-  return Object.values(jobs).some(job => {
-    if (!job || typeof job !== 'object') return false
-    const ifCond = String(/** @type {Record<string, unknown>} */ (job).if ?? '')
-    return ifCond.includes('merged')
-  })
-}
-
-/**
- * Перевіряє parsed YAML git-ai.yml: тригер closed та умова merged.
- * @param {Record<string, unknown>} root розібраний YAML workflow
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-function validateGitAiParsedYaml(root, passFn, failFn) {
-  if (hasPullRequestClosedTrigger(root)) {
-    passFn('git-ai.yml: on.pull_request.types містить closed')
-  } else {
-    failFn('git-ai.yml: on.pull_request.types має містити closed (ga.mdc)')
-  }
-
-  if (hasJobMergedCondition(root)) {
-    passFn('git-ai.yml: job має умову merged')
-  } else {
-    failFn('git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє git-ai.yml: тригер pull_request з types: [closed], умова merged у job, виклик git-ai.
- * @param {string} wfDir директорія workflows
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-async function checkGitAiWorkflow(wfDir, passFn, failFn) {
-  const gitAiWf = join(wfDir, 'git-ai.yml')
-  if (!existsSync(gitAiWf)) return
-  const content = await readFile(gitAiWf, 'utf8')
-  const root = parseWorkflowYaml(content)
-
-  if (root) {
-    validateGitAiParsedYaml(root, passFn, failFn)
-  }
-
-  const hasGitAiRun = root ? anyRunStepIncludes(root, 'git-ai ci github run') : content.includes('git-ai ci github run')
-  if (hasGitAiRun) {
-    passFn('git-ai.yml: крок виконує git-ai ci github run')
-  } else {
-    failFn('git-ai.yml: крок має містити git-ai ci github run (ga.mdc)')
-  }
-}
-
-/**
- * Перевіряє, що “канонічні” workflows відповідають ga.mdc (структура і значення).
- *
- * Структурні валідатори `clean-ga-workflows.yml` і `clean-merged-branch.yml` мігровано в Rego-полісі
- * під `npm/policy/ga/clean_ga_workflows/` та `npm/policy/ga/clean_merged_branch/` (виконує conftest з
- * `bun run lint-ga`). Тут лишаються `lint-ga.yml` і `git-ai.yml` — їх перенесення в наступних ітераціях.
- * @param {string} wfDir директорія workflows
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- */
-async function checkCanonicalWorkflowsMatchRule(wfDir, passFn, failFn) {
-  const paths = {
-    lintGa: join(wfDir, 'lint-ga.yml'),
-    gitAi: join(wfDir, 'git-ai.yml')
-  }
-
-  if (existsSync(paths.lintGa)) {
-    const c = await readFile(paths.lintGa, 'utf8')
-    validateLintGaWorkflowStructure(parseWorkflowYaml(c), passFn, failFn)
-  }
-  if (existsSync(paths.gitAi)) {
-    const c = await readFile(paths.gitAi, 'utf8')
-    validateGitAiWorkflowStructure(parseWorkflowYaml(c), passFn, failFn)
-  }
-}
-
 /**
  * Перевіряє відповідність проєкту правилам ga.mdc
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
@@ -841,12 +561,8 @@ export async function check() {
     }
   }
 
-  await checkCanonicalWorkflowsMatchRule(wfDir, pass, fail)
-
   await checkZizmor(pass, fail)
   await checkLintGaScript(pass, fail)
-  await checkLintGaWorkflow(wfDir, pass, fail)
-  await checkGitAiWorkflow(wfDir, pass, fail)
   checkShellcheckInstalled(pass, fail)
 
   return reporter.getExitCode()

package/scripts/check-hasura.mjs

@@ -45,8 +45,7 @@ const ENV_FILE_RE = /\.env$/u
 const HASURA_ENDPOINT_LINE_RE = /^[ \t]*(?:export[ \t]+)?HASURA_GRAPHQL_ENDPOINT[ \t]*=[ \t]*['"]?([^'"\r\n#]+)/mu
 // Дозволяємо два DNS-суфікси кластера: `<name>.internal` (GKE/GCP) і `cluster.local`
 // (стандартний k8s / Yandex Cloud). У YC namespace.yaml + cluster mode дають коротший суфікс.
-const INTERNAL_HASURA_URL_RE =
-  /^http:\/\/([^./]+)\.([^./]+)\.svc\.((?:[^./:]+\.internal)|cluster\.local):(\d+)\/?$/u
+const INTERNAL_HASURA_URL_RE = /^http:\/\/([^./]+)\.([^./]+)\.svc\.((?:[^./:]+\.internal)|cluster\.local):(\d+)\/?$/u
 const CLUSTER_LOCAL_SUFFIX = 'cluster.local'
 const INTERNAL_DNS_SUFFIX = '.internal'
 
@@ -151,7 +150,8 @@ async function checkEnvFile(relPath, expected, reporter) {
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
     // eslint-disable-next-line @microsoft/sdl/no-insecure-url, sonarjs/no-clear-text-protocols -- hasura.mdc вимагає саме http:// для кластерного URL (TLS не використовується)
-    const example = 'http://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
+    const example =
+      'http://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )

package/scripts/check-js-run.mjs

@@ -47,10 +47,7 @@ import {
   resolveConnDirFromPackageJson
 } from './utils/conn-imports-scan.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
-import {
-  findPromiseSetTimeoutInText,
-  isPromiseSetTimeoutScanSourceFile
-} from './utils/promise-settimeout-scan.mjs'
+import { findPromiseSetTimeoutInText, isPromiseSetTimeoutScanSourceFile } from './utils/promise-settimeout-scan.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from './utils/workspaces.mjs'
 

package/scripts/check-k8s.mjs

@@ -524,7 +524,8 @@ function kustomizationPatchSortKey(patchItem) {
   const rec = /** @type {Record<string, unknown>} */ (patchItem)
   const t = rec.target
   /** @type {Record<string, unknown>} */
-  const target = t !== null && typeof t === 'object' && !Array.isArray(t) ? /** @type {Record<string, unknown>} */ (t) : {}
+  const target =
+    t !== null && typeof t === 'object' && !Array.isArray(t) ? /** @type {Record<string, unknown>} */ (t) : {}
   const kind = typeof target.kind === 'string' ? target.kind : ''
   const name = typeof target.name === 'string' ? target.name : ''
   const ns = typeof target.namespace === 'string' ? target.namespace : ''

package/scripts/lint-ga.mjs

@@ -46,6 +46,16 @@ const CONFTEST_TARGETS = [
     workflow: '.github/workflows/clean-merged-branch.yml',
     namespace: 'ga.clean_merged_branch',
     label: 'clean-merged-branch.yml structure'
+  },
+  {
+    workflow: '.github/workflows/lint-ga.yml',
+    namespace: 'ga.lint_ga',
+    label: 'lint-ga.yml structure'
+  },
+  {
+    workflow: '.github/workflows/git-ai.yml',
+    namespace: 'ga.git_ai',
+    label: 'git-ai.yml structure'
   }
 ]
 

package/scripts/lint-rego.mjs

@@ -1,14 +1,22 @@
 /**
- * Запуск `regal lint` по Rego-полісі репозиторію (`conftest.mdc`).
+ * Лінт Rego-полісі (`conftest.mdc` + `rego.mdc`): preflight на `opa` і `regal`,
+ * далі послідовно `opa check --strict` і `regal lint`.
  *
- * Regal (https://docs.styra.com/regal) — статичний лінтер Rego, який ловить v0-синтаксис,
- * неявні set-rules та інші відхилення від `rego.v1`. Без preflight-у на наявність бінарника
- * лінт мовчки злетить з невиразним повідомленням від shell — тут друкуємо явний install-hint
- * (як це робить `lint-ga.mjs` для shellcheck/uv).
+ * Чому два інструменти:
+ * - `opa check --strict` — компіляція з типами і строгим режимом (мертвий код, неоднозначні
+ *   правила, незадекларовані змінні). Ловить помилки, які `regal` навмисно лишає поза скоупом
+ *   (він — про стиль і ідіоматичність, а не про компіляцію).
+ * - `regal lint` (https://docs.styra.com/regal) — статичний лінтер Rego: ловить v0-синтаксис,
+ *   неявні set-rules та інші відхилення від `rego.v1`, плюс bugs/idiomatic/performance-правила.
+ *
+ * Без preflight-у на бінарники лінт мовчки злетить з невиразним повідомленням від shell —
+ * друкуємо явні install-hints (як це робить `lint-ga.mjs` для shellcheck/uv). `opa` додатково
+ * потрібен VS Code-розширенню `tsandall.opa` (LSP, format-on-save через `opa fmt`) — деталі в
+ * `mdc/rego.mdc`.
  *
  * Цілі лінту: `npm/policy/` (місце, де поки що живуть Rego-полісі пакета `@nitra/cursor`).
  * Якщо в репозиторії з’являться інші *.rego поза цим деревом, додай шлях у `LINT_TARGETS` —
- * `regal lint` приймає кілька шляхів і сам рекурсивно обходить директорії.
+ * обидва інструменти приймають кілька шляхів і самі рекурсивно обходять директорії.
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
@@ -19,6 +27,24 @@ import { resolveCmd } from './utils/resolve-cmd.mjs'
 /** Шляхи з Rego-полісі (відносно cwd). Існують не всі на ранніх стадіях — фільтруємо нижче. */
 const LINT_TARGETS = ['npm/policy']
 
+/**
+ * Друкує підказку зі встановлення `opa` (потрібен для `opa check --strict` і VS Code LSP).
+ * @returns {void}
+ */
+function printOpaInstallHints() {
+  process.stderr.write(
+    [
+      '❌ opa не знайдено в PATH.',
+      '   Без нього не запускається `opa check --strict` (типи + мертвий код у *.rego),',
+      '   і не працює VS Code-розширення `tsandall.opa` (LSP, format-on-save через opa fmt).',
+      '   Встанови:',
+      '     macOS:     brew install opa',
+      '     Universal: https://www.openpolicyagent.org/docs/latest/#1-download-opa',
+      ''
+    ].join('\n')
+  )
+}
+
 /**
  * Друкує підказку зі встановлення `regal`.
  * @returns {void}
@@ -29,7 +55,7 @@ function printRegalInstallHints() {
       '❌ regal не знайдено в PATH.',
       '   Без нього не перевіряється rego.v1 синтаксис у *.rego (правило `conftest`).',
       '   Встанови:',
-      '     macOS:    brew install regal',
+      '     macOS:     brew install regal',
       '     Universal: https://docs.styra.com/regal#installation',
       ''
     ].join('\n')
@@ -37,34 +63,54 @@ function printRegalInstallHints() {
 }
 
 /**
- * Запускає `regal lint` по існуючих цілях. Якщо жодної цілі немає — пропускає лінт із кодом 0.
+ * Запускає крок з відображенням команди користувачу. Stdout/stderr передаємо як є
+ * (`stdio: 'inherit'`), щоб виглядало як прямий виклик у shell.
+ * @param {string} bin абсолютний шлях до бінарника
+ * @param {string[]} args аргументи
+ * @param {string} cwd робочий каталог
+ * @returns {number} код виходу (0 — OK)
+ */
+function runStep(bin, args, cwd) {
+  console.log(`▶ ${bin} ${args.join(' ')}`)
+  const result = spawnSync(bin, args, { cwd, stdio: 'inherit', env: process.env })
+  if (result.error) {
+    process.stderr.write(`❌ Не вдалося запустити ${bin}: ${result.error.message}\n`)
+    return 1
+  }
+  return result.status ?? 1
+}
+
+/**
+ * Запускає `opa check --strict` і `regal lint` по існуючих цілях. Якщо жодної цілі немає —
+ * пропускає лінт із кодом 0. Якщо хоча б один preflight не пройшов — exit 1 ще до запусків.
  * @param {string} [cwd] робочий каталог (за замовчуванням `process.cwd()`)
- * @returns {number} 0 — OK або skip; інакше код виходу regal
+ * @returns {number} 0 — OK або skip; інакше код виходу першого кроку, що впав
  */
 export function runLintRego(cwd = process.cwd()) {
   const root = resolve(cwd)
+  const opa = resolveCmd('opa')
   const regal = resolveCmd('regal')
+
+  let preflightOk = true
+  if (!opa) {
+    printOpaInstallHints()
+    preflightOk = false
+  }
   if (!regal) {
     printRegalInstallHints()
-    return 1
+    preflightOk = false
   }
+  if (!preflightOk) return 1
 
   const targets = LINT_TARGETS.filter(rel => existsSync(resolve(root, rel)))
   if (targets.length === 0) {
     return 0
   }
 
-  console.log(`▶ regal lint ${targets.join(' ')}`)
-  const result = spawnSync(regal, ['lint', ...targets], {
-    cwd: root,
-    stdio: 'inherit',
-    env: process.env
-  })
-  if (result.error) {
-    process.stderr.write(`❌ Не вдалося запустити regal: ${result.error.message}\n`)
-    return 1
-  }
-  return result.status ?? 1
+  const opaCode = runStep(opa, ['check', '--strict', ...targets], root)
+  if (opaCode !== 0) return opaCode
+
+  return runStep(regal, ['lint', ...targets], root)
 }
 
 process.exitCode = runLintRego()

package/scripts/run-shellcheck-text.mjs

@@ -85,10 +85,7 @@ export function listShellScriptPaths(cwd) {
 
   const fromGlob = globSync('**/*.sh', {
     cwd,
-    exclude: p =>
-      p.includes('node_modules') ||
-      p.startsWith(`node_modules/`) ||
-      p.split('/').includes('node_modules')
+    exclude: p => p.includes('node_modules') || p.startsWith(`node_modules/`) || p.split('/').includes('node_modules')
   })
   return [...new Set(fromGlob.map(p => p.replaceAll('\\', '/')))].sort()
 }

package/scripts/utils/depcheck-workflow.mjs

@@ -19,11 +19,7 @@
 import { readdir, readFile } from 'node:fs/promises'
 import { join, relative } from 'node:path'
 
-import {
-  flattenWorkflowSteps,
-  getStepRun,
-  parseWorkflowYaml
-} from './gha-workflow.mjs'
+import { flattenWorkflowSteps, getStepRun, parseWorkflowYaml } from './gha-workflow.mjs'
 
 const WORKFLOWS_DIR_REL = '.github/workflows'
 const REQUIRED_IGNORES = ['graphql', 'bun']
@@ -122,7 +118,7 @@ export function evaluateDepcheckStepForPackage(root, pkgRoot) {
   // Усі знайдені кроки існують, але жоден не має повного списку обов'язкових ignores —
   // повертаємо missing з першого, щоб дати конкретний фідбек.
   const firstMissing = REQUIRED_IGNORES.filter(
-    req => !((parseDepcheckIgnoresArg(stepsForThisPackage[0].args) ?? []).includes(req))
+    req => !(parseDepcheckIgnoresArg(stepsForThisPackage[0].args) ?? []).includes(req)
   )
   return { kind: 'missing-ignores', missing: firstMissing }
 }