@nitra/cursor 1.8.204 → 1.8.207

package/CHANGELOG.md

@@ -4,6 +4,57 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.207] - 2026-05-08
+
+### Added
+
+- `npm/policy/ga/workflow_common/workflow_common.rego` — універсальні Rego-перевірки для **кожного** `.github/workflows/*.yml`: блок `concurrency` (group / cancel-in-progress), заборонені `oven-sh/setup-bun` / `actions/cache` / `bun install` у `uses`/`run` будь-якого кроку, заборонене shell-продовження `\` перед NL у `run:`, обовʼязковий `actions/checkout@…` перед локальним composite-action `setup-bun-deps`. Підключено в `lint-ga.mjs` як один прогін `conftest test <…all yml…> --namespace ga.workflow_common`.
+- `npm/policy/bun/{bunfig,package_json}/*.rego` — порт `check-bun.mjs` (TOML і JSON-частина): `[install].linker == "hoisted"` у `bunfig.toml`; у кореневому `package.json` без `packageManager`, без `dependencies`, у `devDependencies` лише `@nitra/*`; агрегований `lint`-скрипт покриває всі `lint-*` через `bun run` і завершується `&& oxfmt .`.
+- `npm/policy/text/{oxfmtrc,cspell,markdownlint,package_json}/*.rego` — порт `check-text.mjs`: `.oxfmtrc.json` обовʼязкові ключі і канонічні значення; `.cspell.json` `version "0.2"`, `language`, імпорт `@nitra/cspell-dict`, заборона `@cspell/dict-*`, обовʼязкові `ignorePaths`; `.markdownlint-cli2.jsonc` `gitignore: true`; `package.json` без Prettier, `@nitra/cspell-dict ^2.0.0+`, без `markdownlint-cli2` у залежностях.
+- `npm/policy/style_lint/{package_json,lint_style_yml}/*.rego` — порт `check-style-lint.mjs`: скрипт `lint-style` через `npx stylelint`, `@nitra/stylelint-config` у `devDependencies`, `stylelint.extends == "@nitra/stylelint-config"`; у `lint-style.yml` хоча б один `run` з `npx stylelint`.
+- `npm/policy/php/{package_json,lint_php_yml}/*.rego` — порт `check-php.mjs`: скрипт `lint-php` у `package.json`; у `lint-php.yml` хоча б один `run` з `bun run lint-php`.
+- `npm/policy/npm_module/{root_package_json,npm_package_json,emit_types_config,npm_publish_yml}/*.rego` — порт `check-npm-module.mjs`: `workspaces ∋ "npm"` у кореневому `package.json`; у `npm/package.json` `types` відповідає одному з канонічних патернів і `files ∋ "types"`; `npm/tsconfig.emit-types.json` має канонічні `compilerOptions`; `.github/workflows/npm-publish.yml` має `on.push.paths ∋ "npm/**"`, `branches ∋ "main"`, `permissions.id-token: write` і крок `JS-DevTools/npm-publish` з `with.package: npm/package.json`.
+- `npm/policy/k8s/manifest/manifest.rego` — порт пер-документних структурних правил `check-k8s.mjs`: `kind: Ingress` заборонено (Gateway API), `apiVersion: autoscaling/v1` заборонено (HPA → v2), у `kind: Service` заборонені анотації `cloud.google.com/neg` / `cloud.google.com/backend-config`, у `kind: Deployment` кожен контейнер `containers`+`initContainers` має непорожнє `resources.requests.cpu`. Cross-file Kustomize-логіка (svc/svc-hl, HPA/PDB, namespace base, kustomization patches) лишається в JS.
+- `npm/policy/js_lint/{package_json,lint_js_yml}/*.rego` — порт `check-js-lint.mjs`: канонічний `lint-js`, `@nitra/eslint-config ≥ 3.9.2`, `engines.node ≥ 24`, `engines.bun ≥ 1.3`, `type: "module"`; у `lint-js.yml` `actions/checkout@v6` з `persist-credentials: false`, `setup-bun-deps`, `bunx oxlint/eslint/jscpd .`, без `--fix` у CI.
+- `npm/policy/js_mssql/package_json/package_json.rego` — порт `check-js-mssql.mjs`: `dependencies.mssql ≥ 12.5.0` (підтримує `^12.5.0`, `>=12.5.0`, `workspace:*`).
+- `npm/policy/js_bun_db/package_json/package_json.rego` — порт `check-js-bun-db.mjs`: у `dependencies` заборонені `pg`, `pg-format`, `mysql2`.
+- `npm/policy/js_run/{package_json,jsconfig,configmap}/*.rego` — порт `check-js-run.mjs`: заборона `bunyan` / `@nitra/bunyan` у залежностях; `jsconfig.json` має канонічні `compilerOptions` і `include`; у k8s ConfigMap `OTEL_RESOURCE_ATTRIBUTES` містить `service.name=` і `service.namespace=`.
+- `npm/policy/vue/package_json/package_json.rego` — порт `check-vue.mjs`: якщо `dependencies.vue` присутній, у `devDependencies` має бути `vite` мажорної версії ≥ 8.
+- `npm/policy/graphql/package_json/package_json.rego` — порт `check-graphql.mjs`: `scripts.dump-schema` точно відповідає канонічному.
+- `npm/policy/image_compress/package_json/package_json.rego` — порт `check-image-compress.mjs`: `lint-image` викликає `npx @nitra/minify-image --src=. --write` без `--avif`; агрегований `lint` містить `bun run lint-image`; `@nitra/minify-image` НЕ у `dependencies`/`devDependencies`.
+- `npm/policy/hasura/svc_hl/svc_hl.rego` — порт `check-hasura.mjs` (мінімум): у `hasura/k8s/base/svc-hl.yaml` Service з `metadata.name` має закінчуватись на `-h`.
+- `npm/policy/adr/{settings_json,settings_local_json}/*.rego` — порт `check-adr.mjs`: `.claude/settings.json` має містити Stop-hook з командою `.claude/hooks/capture-decisions.sh`; `.claude/settings.local.json` (якщо існує) — НЕ повинен мати дубля цього хука.
+- `npm/policy/capacitor/package_json/package_json.rego` — порт `check-capacitor.mjs`: `dependencies['@capacitor/core']` мажорна ≥ 8 (підтримує `workspace:*`).
+- `npm/policy/abie/{health_check_policy,http_route_base}/*.rego` — порт `check-abie.mjs`: `HealthCheckPolicy` (`networking.gke.io/v1`) має непорожній `requestPath` зі слешем, `port: 8080`, `targetRef.name` закінчується на `-hl`; `HTTPRoute` у `…/base/…` приймає лише hostnames у домені `aiml.live`.
+- `npm/scripts/lint-conftest.mjs` (+ `bun run lint-conftest` у `package.json`) — єдиний раннер conftest по всіх нових polysi: для кожного namespace — single-file або walk-предикат, з gating-ом по `.n-cursor.json:rules`, як у `check-*.mjs`. Викликається в кореневому `lint` після `lint-rego`.
+
+### Changed
+
+- `npm/policy/ga/{lint_ga,clean_ga_workflows,clean_merged_branch,git_ai}/*.rego`: прибрано дублікати правил `concurrency` (group / cancel-in-progress / missing) — їх покриває `ga.workflow_common`. Заодно усунено мовчазний баг `not is_object(input.concurrency)` (коли поля немає, повертає `undefined`, не `true`); у `workflow_common` через `object.get(input, "concurrency", false)` дає визначене значення. Канонічна тригер-група `expected_concurrency_group` теж видалена з кожної per-workflow polysi.
+- `npm/scripts/lint-ga.mjs`: до існуючих per-workflow conftest-таргетів додано фінальний прогін `ga.workflow_common` одним викликом `conftest test <усі .yml> --namespace ga.workflow_common`. Імпорт `readdirSync` з `node:fs` для перерахунку workflow-файлів.
+
+## [1.8.206] - 2026-05-08
+
+### Added
+
+- `mdc/rego.mdc` (нова версія 1.1, з 1.0): VS Code-секція з рекомендованим розширенням `tsandall.opa` (LSP від автора OPA: підсвічування, hover, go-to-definition, format-on-save через `opa fmt`), `.vscode/extensions.json` і `.vscode/settings.json` сніпети для `[rego]` (`editor.defaultFormatter: tsandall.opa`, `formatOnSave: true`); опис кроків `lint-rego` (preflight `opa`+`regal`, далі `opa check --strict` і `regal lint`); `package.json`-сніпет зі скриптом `lint-rego`; install-команди (`brew install opa regal` + universal лінки); приклад `.regal/config.yaml`. Раніше файл містив лише placeholder `npx @nitra/cursor check rego`.
+
+### Changed
+
+- `scripts/lint-rego.mjs`: додано preflight на `opa` (поряд з `regal`) з install-hint `brew install opa` і покликом до VS Code-розширення `tsandall.opa`; до `regal lint` додано попередній крок `opa check --strict <targets>` (типи + строгий режим: мертвий код, неоднозначні правила, незадекларовані змінні) — `opa check` ловить compile-помилки, які `regal` навмисно лишає поза скоупом. Якщо хоч один з `opa`/`regal` відсутній у `PATH` — exit 1 ще до запуску, з підказкою встановлення для обох.
+
+## [1.8.205] - 2026-05-08
+
+### Added
+
+- `npm/policy/ga/lint_ga/lint_ga.rego` — порт `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers`: `name` / `on.push.branches∋{dev,main}` / `on.pull_request.branches∋{dev,main}` / `on.push.paths∋{.github/actions/**,.github/workflows/**}` / `concurrency` / `jobs.lint-ga.runs-on` / `jobs.lint-ga.permissions.contents=read` / `steps` non-empty / `uses` set містить `actions/checkout@v6`, `./.github/actions/setup-bun-deps`, `astral-sh/setup-uv@v8.0.0` / `run` blob містить `bun run lint-ga`.
+- `npm/policy/ga/git_ai/git_ai.rego` — порт `validateGitAiWorkflowStructure`: `name` / `on.pull_request.types∋closed` / `concurrency` / `jobs.git-ai.if` містить `merged == true` / `permissions.contents=write` / `run` blob містить `curl … usegitai.com … bash` і `git-ai ci github run`.
+
+### Changed
+
+- `scripts/lint-ga.mjs`: `CONFTEST_TARGETS` тепер охоплює всі 4 канонічні GA-workflow — `clean-ga-workflows.yml`, `clean-merged-branch.yml`, `lint-ga.yml`, `git-ai.yml` — кожен зі своїм `--namespace ga.<name>`.
+- `scripts/check-ga.mjs`: видалено `validateLintGaWorkflowStructure`, `validateLintGaOnTriggers`, `validateGitAiWorkflowStructure`, `validateGitAiParsedYaml`, `hasPullRequestClosedTrigger`, `hasJobMergedCondition`, `checkLintGaWorkflow`, `checkGitAiWorkflow`, `checkCanonicalWorkflowsMatchRule`, локальний `isExactString` і відповідні імпорти `anyRunStepIncludes`/`flattenWorkflowSteps`/`getStepRun`/`getStepUses`. Файл скоротився з 1074 → 570 рядків (≈47%) — структурні перевірки канонічних GA-workflow повністю мігрували в conftest. У JS лишилися: file-existence (zizmor.yml, .vscode/settings.json, setup-bun-deps), `package.json` script `lint-ga`, MegaLinter-зачистка, `verifyConcurrencyBlock` для всіх workflow без винятків (включно з не-канонічними), `verifyNoDirectBunOrCache`, `verifyCheckoutBeforeLocalSetupBunDeps`, paths-globs через `git ls-files`, preflight `shellcheck`.
+
 ## [1.8.204] - 2026-05-07
 
 ### Changed
@@ -120,7 +171,7 @@
 ### Added
 
 - `run-shellcheck-text.mjs`: для `lint-text` — перевірка наявності `shellcheck`/`patch`, авто-виправлення через `shellcheck -f diff` + `patch -p1`, фінальний прогін по tracked `*.sh` (git) або `**/*.sh` без `node_modules`.
-- `text` (mdc v1.25 → v1.26): **shellcheck** у ланцюжку `lint-text`, рекомендація **`timonwong.shellcheck`**, тригер workflow **`**/*.sh`**; тести `run-shellcheck-text.test.mjs`.
+- `text` (mdc v1.25 → v1.26): **shellcheck** у ланцюжку `lint-text`, рекомендація **`timonwong.shellcheck`**, тригер workflow **`**/\*.sh`**; тести `run-shellcheck-text.test.mjs`.
 
 ### Changed
 

package/bin/auto-rules.md

@@ -42,6 +42,8 @@ npm-module - якщо в корені присутня директорія npm
 
 php - якщо в корені є composer.json
 
+rego - якщо в проекті є хоч один rego
+
 style-lint - якщо присутній хоч один vue або css файл
 
 text - завжди

package/mdc/rego.mdc

@@ -0,0 +1,77 @@
+---
+description: Opa, Rego — інструментарій (VS Code, lint-rego)
+version: '1.1'
+globs: "**/*.rego"
+alwaysApply: false
+---
+
+# Rego (opa)
+
+Синтаксичні правила (`rego.v1`, `import rego.v1`, заборона legacy v0) — у `conftest.mdc` (alwaysApply). Цей файл — про **інструментарій**: VS Code, лінтери, форматування.
+
+## VS Code
+
+Розширення `tsandall.opa` (від автора OPA): підсвічування, hover, go-to-definition, оцінка виразів і `format-on-save` через `opa fmt`. Працює лише за наявності `opa` у `PATH` — встановити нижче.
+
+```json title=".vscode/extensions.json"
+{
+  "recommendations": ["tsandall.opa"]
+}
+```
+
+```json title=".vscode/settings.json"
+{
+  "[rego]": {
+    "editor.defaultFormatter": "tsandall.opa",
+    "editor.formatOnSave": true
+  }
+}
+```
+
+`opa.checkOnSave` за замовчуванням увімкнено в розширенні — діагностика від `opa check` показується в редакторі, тож синтаксичні/типові помилки видно одразу, без запуску `lint-rego`.
+
+## Перевірка
+
+```bash
+bun run lint-rego
+```
+
+Скрипт делегує до `bun ./npm/scripts/lint-rego.mjs`. Послідовність:
+
+1. **preflight** — наявність `opa` і `regal` у `PATH`; якщо хоча б одного нема — exit 1 з підказкою встановлення;
+2. `opa check --strict <targets>` — компіляція з типами та `--strict` (мертвий код, неоднозначні правила, незадекларовані змінні);
+3. `regal lint <targets>` — статичний лінтер Rego ([Styra Regal](https://docs.styra.com/regal)): ловить v0-синтаксис, неявні set-rules і відхилення від `rego.v1`, плюс bugs/idiomatic/style-правила.
+
+Цілі — `npm/policy/` (де живуть Rego-полісі пакета). Інші *.rego поза деревом додай у `LINT_TARGETS` у `lint-rego.mjs`.
+
+### Встановлення інструментів
+
+- macOS: `brew install opa regal`
+- Linux/Windows:
+  - opa — <https://www.openpolicyagent.org/docs/latest/#1-download-opa>
+  - regal — <https://docs.styra.com/regal#installation>
+
+Обидва — лише в `PATH`, **не** додавай у `dependencies` / `devDependencies` (як `shellcheck` у `text.mdc`).
+
+### `package.json`
+
+```json title="package.json"
+{
+  "scripts": {
+    "lint-rego": "bun ./npm/scripts/lint-rego.mjs"
+  }
+}
+```
+
+У кореневому `lint` (з `text.mdc` і дотичних) включай `bun run lint-rego` — щоб локальний прогін співпадав з CI.
+
+## Конфіг regal
+
+У корені — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо (наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):
+
+```yaml title=".regal/config.yaml"
+rules:
+  idiomatic:
+    no-defined-entrypoint:
+      level: ignore
+```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.204",
+  "version": "1.8.207",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/abie/health_check_policy/health_check_policy.rego

@@ -0,0 +1,73 @@
+# Порт мінімальної структурної перевірки `HealthCheckPolicy` з
+# `npm/scripts/check-abie.mjs` (abie.mdc).
+#
+# Запуск (локально):
+#   conftest test path/to/k8s/.../hc.yaml -p npm/policy/abie \
+#     --namespace abie.health_check_policy
+#
+# Перевіряє, для документів з `kind: HealthCheckPolicy` (apiVersion
+# `networking.gke.io/v1`):
+#  - `spec.config.httpHealthCheck.requestPath` — непорожній шлях, що починається з `/`;
+#  - `spec.config.httpHealthCheck.port` (або `spec.targetRef.name` суфікс) — `8080`;
+#  - `spec.targetRef.name` має закінчуватись на `-hl` (headless backend).
+#
+# Cross-file gating (`abie` правило в `.n-cursor.json`, парність з Deployment-каталогу,
+# узгодження з `metadata.name` Deployment) — у JS (`check-abie.mjs`).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package abie.health_check_policy
+
+import rego.v1
+
+req_path_starts_with_slash_template := concat(" ", [
+	"HealthCheckPolicy: requestPath має починатись з `/`",
+	"(зараз %q) (abie.mdc)",
+])
+
+# ── deny: requestPath ──────────────────────────────────────────────────────
+
+deny contains msg if {
+	is_health_check_policy
+	req_path == ""
+	msg := "HealthCheckPolicy: spec.config.httpHealthCheck.requestPath має бути непорожнім (abie.mdc)"
+}
+
+deny contains msg if {
+	is_health_check_policy
+	req_path != ""
+	not startswith(req_path, "/")
+	msg := sprintf(req_path_starts_with_slash_template, [req_path])
+}
+
+# ── deny: port == 8080 ────────────────────────────────────────────────────
+
+deny contains msg if {
+	is_health_check_policy
+	port := object.get(http_health_check, "port", null)
+	port != null
+	port != 8080
+	msg := sprintf("HealthCheckPolicy: port має бути 8080 (зараз %v) (abie.mdc)", [port])
+}
+
+# ── deny: targetRef.name закінчується на `-hl` ────────────────────────────
+
+deny contains msg if {
+	is_health_check_policy
+	name := object.get(object.get(input.spec, "targetRef", {}), "name", "")
+	name != ""
+	not endswith(name, "-hl")
+	msg := sprintf("HealthCheckPolicy: targetRef.name має закінчуватись на `-hl` (зараз %q) (abie.mdc)", [name])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+is_health_check_policy if {
+	input.kind == "HealthCheckPolicy"
+	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
+}
+
+http_health_check := object.get(object.get(object.get(input, "spec", {}), "config", {}), "httpHealthCheck", {})
+
+req_path := object.get(http_health_check, "requestPath", "")

package/policy/abie/http_route_base/http_route_base.rego

@@ -0,0 +1,45 @@
+# Порт перевірки `HTTPRoute` у шарі `…/k8s/.../base/...` з
+# `npm/scripts/check-abie.mjs` (abie.mdc): дозволені лише hostnames з домену
+# `aiml.live` (включно з піддоменами та `*.aiml.live`).
+#
+# Запуск (локально):
+#   conftest test path/to/k8s/base/hr.yaml -p npm/policy/abie \
+#     --namespace abie.http_route_base
+#
+# Cross-file gating (саме шлях `…/base/…` визначає, чи застосовувати правило)
+# — у JS: conftest викликаємо лише на YAML-ах з base/. Тут — лише валідація вмісту
+# `spec.hostnames`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package abie.http_route_base
+
+import rego.v1
+
+allowed_apex := "aiml.live"
+
+deny contains msg if {
+	input.kind == "HTTPRoute"
+	some host in object.get(object.get(input, "spec", {}), "hostnames", [])
+	is_string(host)
+	not host_matches_aiml_live(host)
+	msg := sprintf("HTTPRoute (base): %q має бути в домені aiml.live (abie.mdc)", [host])
+}
+
+# Чи hostname належить до aiml.live (точна відповідність, піддомен `*.aiml.live`
+# або довільний субдомен `*.aiml.live`).
+host_matches_aiml_live(host) if {
+	host_lower := lower(host)
+	host_lower == allowed_apex
+}
+
+host_matches_aiml_live(host) if {
+	host_lower := lower(host)
+	endswith(host_lower, sprintf(".%s", [allowed_apex]))
+}
+
+host_matches_aiml_live(host) if {
+	host_lower := lower(host)
+	host_lower == sprintf("*.%s", [allowed_apex])
+}

package/policy/adr/settings_json/settings_json.rego

@@ -0,0 +1,31 @@
+# Порт перевірки `.claude/settings.json` з `npm/scripts/check-adr.mjs` (adr.mdc):
+# `hooks.Stop[*]` має містити групу, де хоча б один елемент `hooks[]` має `command`
+# зі substring `.claude/hooks/capture-decisions.sh`.
+#
+# Запуск (локально):
+#   conftest test .claude/settings.json -p npm/policy/adr \
+#     --namespace adr.settings_json
+#
+# Hash-порівняння bash-скрипта з канонічним bundled-варіантом і `.gitignore`-перевірки
+# — у JS (`check-adr.mjs`).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package adr.settings_json
+
+import rego.v1
+
+hook_command_marker := ".claude/hooks/capture-decisions.sh"
+
+deny contains msg if {
+	not has_adr_stop_hook
+	msg := ".claude/settings.json: відсутній Stop-hook для `capture-decisions.sh` у hooks.Stop (adr.mdc)"
+}
+
+# Чи є в `hooks.Stop[*].hooks[*].command` рядок з маркером скрипта.
+has_adr_stop_hook if {
+	some group in object.get(object.get(input, "hooks", {}), "Stop", [])
+	some hook in object.get(group, "hooks", [])
+	contains(object.get(hook, "command", ""), hook_command_marker)
+}

package/policy/adr/settings_local_json/settings_local_json.rego

@@ -0,0 +1,28 @@
+# Порт перевірки `.claude/settings.local.json` з `npm/scripts/check-adr.mjs`
+# (adr.mdc): після переходу на project-shared `settings.json` цей файл (якщо є)
+# НЕ повинен мати дубля Stop-хука з маркером `.claude/hooks/capture-decisions.sh`,
+# інакше один і той самий скрипт виконається двічі на одну подію.
+#
+# Запуск (локально):
+#   conftest test .claude/settings.local.json -p npm/policy/adr \
+#     --namespace adr.settings_local_json
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package adr.settings_local_json
+
+import rego.v1
+
+hook_command_marker := ".claude/hooks/capture-decisions.sh"
+
+duplicate_template := concat(" ", [
+	".claude/settings.local.json: видали дубль Stop-хука для",
+	"`capture-decisions.sh` — він уже у project-shared settings.json (adr.mdc)",
+])
+
+deny contains duplicate_template if {
+	some group in object.get(object.get(input, "hooks", {}), "Stop", [])
+	some hook in object.get(group, "hooks", [])
+	contains(object.get(hook, "command", ""), hook_command_marker)
+}

package/policy/bun/bunfig/bunfig.rego

@@ -0,0 +1,33 @@
+# Порт перевірки `checkBunfigHoisted` з `npm/scripts/check-bun.mjs` (bun.mdc).
+#
+# Запуск (локально):
+#   conftest test bunfig.toml -p npm/policy/bun --namespace bun.bunfig
+#
+# Conftest парсить `.toml` нативно: секція `[install]` стає обʼєктом `input.install`.
+# FS-перевірки (наявність самого `bunfig.toml`, `bun.lock`, заборонені lockfile-и
+# `package-lock.json` тощо, директорія `.yarn/`) живуть у `check-bun.mjs` — Rego
+# працює лише з вже завантаженим input.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package bun.bunfig
+
+import rego.v1
+
+deny contains msg if {
+	# `object.get(…, false)` дає визначене значення, коли поля немає, інакше
+	# `not is_object(input.install)` повернув би `undefined`, і правило мовчки
+	# не спрацювало б (той самий патерн, що й у `ga.workflow_common`).
+	not is_object(object.get(input, "install", false))
+	msg := "bunfig.toml: відсутня секція [install] (bun.mdc)"
+}
+
+deny contains msg if {
+	is_object(object.get(input, "install", false))
+
+	# `object.get(…, null)` робить значення визначеним, інакше при відсутньому
+	# `linker` порівняння `!= "hoisted"` дало б `undefined`, не `true`.
+	object.get(input.install, "linker", null) != "hoisted"
+	msg := "bunfig.toml: у секції [install] має бути linker = \"hoisted\" (bun.mdc)"
+}

package/policy/bun/package_json/package_json.rego

@@ -0,0 +1,94 @@
+# Порт структурних перевірок `package.json` з `npm/scripts/check-bun.mjs` (bun.mdc).
+#
+# Запуск (локально, КОРЕНЕВИЙ package.json):
+#   conftest test package.json -p npm/policy/bun --namespace bun.package_json
+#
+# Перевіряє: відсутність `packageManager`, відсутність кореневих `dependencies`,
+# у `devDependencies` лише `@nitra/*`, агрегований `lint`-скрипт (якщо є `lint-*`
+# скрипти): покриває всі lint-* через `bun run`, закінчується на `&& oxfmt .`.
+#
+# Перевірки, які ЗАЛИШИЛИСЬ у JS (потребують FS / cross-file):
+#  - `lint-docker` / `lint-k8s` коли `.n-cursor.json:rules` містить відповідне
+#    правило (потрібен другий файл-вхід — у Rego без `--combine` не зробити).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package bun.package_json
+
+import rego.v1
+
+# ── Шаблони повідомлень ────────────────────────────────────────────────────
+
+# Через `concat` — дотримуємося regal style/line-length.
+lint_aggregate_missing_template := concat(" ", [
+	"У package.json є скрипти %v, але немає агрегованого `lint`.",
+	"Додай скрипт, який запускає їх через `bun run` (bun.mdc)",
+])
+
+# ── deny: заборонені поля ──────────────────────────────────────────────────
+
+deny contains msg if {
+	pm := object.get(input, "packageManager", "")
+	pm != ""
+	msg := sprintf("package.json містить поле packageManager: %q — видали його (bun.mdc)", [pm])
+}
+
+# `dependencies` не повинно бути взагалі — навіть пусте `{}`. Сентинельний рядок
+# дозволяє відрізнити «поле відсутнє» від «поле є з будь-яким значенням».
+deny contains msg if {
+	object.get(input, "dependencies", "__bun_missing__") != "__bun_missing__"
+	msg := "Кореневий package.json не повинен містити поле dependencies — додай залежності в workspace-пакети (bun.mdc)"
+}
+
+# ── deny: devDependencies — лише `@nitra/*` ───────────────────────────────
+
+deny contains msg if {
+	is_object(input.devDependencies)
+	some name, _ in input.devDependencies
+	not startswith(name, "@nitra/")
+	msg := sprintf("Кореневі devDependencies: дозволені лише @nitra/* — прибери або перенеси: %s (bun.mdc)", [name])
+}
+
+# ── deny: агрегований lint-скрипт ─────────────────────────────────────────
+#
+# Якщо в `scripts` є хоч один `lint-*`, має бути скрипт `lint`, у якому
+# через `bun run <ім'я>` викликається кожен такий скрипт; рядок завершується
+# на `&& oxfmt .`.
+
+deny contains msg if {
+	count(lint_prefixed_scripts) > 0
+	lint_script == ""
+	msg := sprintf(lint_aggregate_missing_template, [lint_prefixed_scripts])
+}
+
+deny contains msg if {
+	count(lint_prefixed_scripts) > 0
+	lint_script != ""
+	some script in lint_prefixed_scripts
+	not contains(lint_script, sprintf("bun run %s", [script]))
+	msg := sprintf("Скрипт `lint` має викликати `%s` через `bun run` (bun.mdc)", [script])
+}
+
+deny contains msg if {
+	count(lint_prefixed_scripts) > 0
+	lint_script != ""
+
+	# Перевіряємо, що рядок завершується `&& oxfmt .` (з можливими пробілами/табами).
+	# Trim не потрібен — пробіли/таби в кінці допускаємо в самому regex (`[ \t]*$`).
+	not regex.match(`&&[ \t]+oxfmt[ \t]+\.[ \t]*$`, lint_script)
+	msg := "Скрипт `lint` має закінчуватися на `&& oxfmt .` (bun.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# Ключі скриптів, що починаються з `lint-` (наприклад `lint-js`, `lint-ga`).
+lint_prefixed_scripts := [name |
+	some name, _ in object.get(input, "scripts", {})
+	startswith(name, "lint-")
+]
+
+# Значення `scripts.lint` як рядок (порожній, якщо поля немає або тип не string).
+default lint_script := ""
+
+lint_script := input.scripts.lint if is_string(input.scripts.lint)

package/policy/capacitor/package_json/package_json.rego

@@ -0,0 +1,45 @@
+# Порт перевірки версії `@capacitor/core` з `npm/scripts/check-capacitor.mjs`
+# (capacitor.mdc) — мінімальна мажорна версія = 8.
+#
+# Запуск (локально, у пакеті з Capacitor):
+#   conftest test path/to/package.json -p npm/policy/capacitor \
+#     --namespace capacitor.package_json
+#
+# Перевіряє: якщо в `dependencies['@capacitor/core']` присутній (gating: пакет
+# реально використовує Capacitor), то перша мажорна цифра в діапазоні має бути ≥ 8.
+# Підтримує `^8.0.0`, `>=8`, `8.x`, `workspace:*` тощо.
+#
+# Цей порт спрощує JS-логіку — повна семантика OR-діапазонів (`a || b`) і нижня
+# межа діапазону лишається в JS (`check-capacitor.mjs`: `capacitorVersionRangeMinMajor`).
+# JS-перевірка лишилась authoritative й бігає через `npx @nitra/cursor check capacitor`;
+# ця Rego — швидкий gate для одиничного `package.json` (наприклад через IDE).
+#
+# FS-сканування пакетів через workspaces, iOS-специфічна логіка (Podfile), вибір
+# каталогу пакета з Capacitor — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package capacitor.package_json
+
+import rego.v1
+
+deny contains msg if {
+	range := object.get(object.get(input, "dependencies", {}), "@capacitor/core", "")
+	range != ""
+	not capacitor_major_at_least_8(range)
+	msg := sprintf("@capacitor/core має бути >= 8 (зараз %q) (capacitor.mdc)", [range])
+}
+
+# `workspace:*` / `*` / `x` / `latest` — пропускаємо (як у JS).
+capacitor_major_at_least_8(range) if startswith(trim_space(range), "workspace:")
+
+capacitor_major_at_least_8(range) if {
+	first_major(range) >= 8
+}
+
+first_major(range) := major if {
+	match := regex.find_n(`\d+`, range, 1)
+	count(match) > 0
+	major := to_number(match[0])
+}

package/policy/ga/clean_ga_workflows/clean_ga_workflows.rego

@@ -20,21 +20,12 @@ import rego.v1
 # interpolation. Збираємо очікувані рядки з фрагментів через `concat`, як це
 # зроблено в check-ga.mjs, щоб і Rego-парсер, і людина-читач не плуталися.
 
-expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
-
 expected_github_token := concat("", ["$", "{{ github.token }}"])
 
 expected_name := "Clean action for removing completed workflow runs"
 
 expected_cron := "0 1 16 * *"
 
-# Шаблон повідомлення про відсутню `concurrency`-секцію — винесено через `concat`,
-# щоб дотриматися regal style/line-length.
-concurrency_missing_template := concat(" ", [
-	"clean-ga-workflows.yml: відсутня секція concurrency —",
-	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
-])
-
 # ── Аліаси на input ────────────────────────────────────────────────────────
 #
 # GHA YAML quirk: ключ `on:` — YAML 1.1 boolean `true`, конфтест серіалізує його
@@ -62,23 +53,6 @@ deny contains msg if {
 	msg := "clean-ga-workflows.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
-deny contains msg if {
-	not is_object(input.concurrency)
-	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
-}
-
-deny contains msg if {
-	is_object(input.concurrency)
-	input.concurrency.group != expected_concurrency_group
-	msg := sprintf("clean-ga-workflows.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
-}
-
-deny contains msg if {
-	is_object(input.concurrency)
-	input.concurrency["cancel-in-progress"] != true
-	msg := "clean-ga-workflows.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
-}
-
 deny contains msg if {
 	not input.jobs.cleanup_old_workflows
 	msg := "clean-ga-workflows.yml: jobs.cleanup_old_workflows відсутній (ga.mdc)"

package/policy/ga/clean_merged_branch/clean_merged_branch.rego

@@ -16,8 +16,6 @@ import rego.v1
 # Шаблонні токени GitHub Actions (`${{ … }}`) збираємо з фрагментів через
 # `concat`, бо `{{` у Rego починає string interpolation.
 
-expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
-
 expected_github_token := concat("", ["$", "{{ github.token }}"])
 
 expected_deleted_branches_expr := concat("", ["$", "{{ steps.delete_stuff.outputs.deleted_branches }}"])
@@ -28,12 +26,6 @@ expected_name := "Clean abandoned branches"
 
 expected_cron := "0 1 15 * *"
 
-# Шаблони повідомлень — через `concat` для regal style/line-length.
-concurrency_missing_template := concat(" ", [
-	"clean-merged-branch.yml: відсутня секція concurrency —",
-	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
-])
-
 # ── Аліаси на input ────────────────────────────────────────────────────────
 #
 # YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
@@ -63,23 +55,6 @@ deny contains msg if {
 	msg := "clean-merged-branch.yml: має бути workflow_dispatch: {} (ga.mdc)"
 }
 
-deny contains msg if {
-	not is_object(input.concurrency)
-	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
-}
-
-deny contains msg if {
-	is_object(input.concurrency)
-	input.concurrency.group != expected_concurrency_group
-	msg := sprintf("clean-merged-branch.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
-}
-
-deny contains msg if {
-	is_object(input.concurrency)
-	input.concurrency["cancel-in-progress"] != true
-	msg := "clean-merged-branch.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
-}
-
 deny contains msg if {
 	not input.jobs.cleanup_old_branches
 	msg := "clean-merged-branch.yml: jobs.cleanup_old_branches відсутній (ga.mdc)"