@nitra/cursor 1.8.204 → 1.8.207

package/policy/ga/git_ai/git_ai.rego

@@ -0,0 +1,83 @@
+# Порт перевірки `validateGitAiWorkflowStructure` з `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/git-ai.yml \
+#     -p npm/policy/ga --namespace ga.git_ai
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.git_ai
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_name := "Git AI"
+
+expected_if_substring := "github.event.pull_request.merged == true"
+
+expected_install_substring := "curl -fsSL https://usegitai.com/install.sh | bash"
+
+expected_run_substring := "git-ai ci github run"
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+
+gha_on := input["true"]
+
+# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
+# — щоб уникнути regal-правила `rule-name-repeats-package`.
+job := input.jobs["git-ai"]
+
+# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
+job_run_blob := concat("\n", [run |
+	run := job.steps[_].run
+])
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("git-ai.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not "closed" in {t | some t in gha_on.pull_request.types}
+	msg := "git-ai.yml: on.pull_request.types має містити closed (ga.mdc)"
+}
+
+deny contains msg if {
+	not job
+	msg := "git-ai.yml: jobs.git-ai відсутній (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_if_str, expected_if_substring)
+	msg := "git-ai.yml: job має містити if: github.event.pull_request.merged == true (ga.mdc)"
+}
+
+deny contains msg if {
+	job.permissions.contents != "write"
+	msg := "git-ai.yml: permissions мають бути contents: write (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, expected_install_substring)
+	msg := "git-ai.yml: має встановлювати git-ai через curl | bash (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, expected_run_substring)
+	msg := "git-ai.yml: має виконувати git-ai ci github run (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# `if` поле job-а може бути відсутнім — тоді `sprintf` дає невизначене значення
+# і спрацьовує `default`, повертаючи порожній рядок; `contains(…)` нижче дасть
+# false і відповідне `deny`-правило спрацює зі зрозумілим повідомленням.
+default job_if_str := ""
+
+job_if_str := sprintf("%v", [job.if])

package/policy/ga/lint_ga/lint_ga.rego

@@ -0,0 +1,118 @@
+# Порт перевірок `validateLintGaWorkflowStructure` + `validateLintGaOnTriggers` з
+# `npm/scripts/check-ga.mjs` (ga.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-ga.yml \
+#     -p npm/policy/ga --namespace ga.lint_ga
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.lint_ga
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_name := "Lint GA"
+
+expected_branches := {"dev", "main"}
+
+expected_push_paths := {".github/actions/**", ".github/workflows/**"}
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+#
+# YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
+
+gha_on := input["true"]
+
+# Job-id містить дефіс — звертаємося через `[…]`. Імʼя `job` (без префіксу пакету)
+# — щоб уникнути regal-правила `rule-name-repeats-package`.
+job := input.jobs["lint-ga"]
+
+# Усі `uses:` зі steps цього job-а — для перевірки членства.
+job_uses_set contains job.steps[_].uses
+
+# Усі `run:` зі steps цього job-а, склеєні в один blob — для substring-перевірки.
+job_run_blob := concat("\n", [run |
+	run := job.steps[_].run
+])
+
+# ── deny rules (контигно — regal: messy-rule) ──────────────────────────────
+
+deny contains msg if {
+	input.name != expected_name
+	msg := sprintf("lint-ga.yml: name має бути %q (ga.mdc)", [expected_name])
+}
+
+deny contains msg if {
+	not push_branches_have_dev_and_main
+	msg := "lint-ga.yml: on.push.branches має містити dev і main (ga.mdc)"
+}
+
+deny contains msg if {
+	not pr_branches_have_dev_and_main
+	msg := "lint-ga.yml: on.pull_request.branches має містити dev і main (ga.mdc)"
+}
+
+deny contains msg if {
+	not push_paths_have_required
+	msg := "lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)"
+}
+
+deny contains msg if {
+	not job
+	msg := "lint-ga.yml: jobs.lint-ga відсутній (ga.mdc)"
+}
+
+deny contains msg if {
+	job["runs-on"] != "ubuntu-latest"
+	msg := "lint-ga.yml: runs-on має бути ubuntu-latest (ga.mdc)"
+}
+
+deny contains msg if {
+	job.permissions.contents != "read"
+	msg := "lint-ga.yml: permissions мають бути contents: read (ga.mdc)"
+}
+
+deny contains msg if {
+	count(job.steps) == 0
+	msg := "lint-ga.yml: jobs.lint-ga.steps відсутні (ga.mdc)"
+}
+
+deny contains msg if {
+	not "actions/checkout@v6" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: actions/checkout@v6 (ga.mdc)"
+}
+
+deny contains msg if {
+	not "./.github/actions/setup-bun-deps" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: ./.github/actions/setup-bun-deps (ga.mdc)"
+}
+
+deny contains msg if {
+	not "astral-sh/setup-uv@v8.0.0" in job_uses_set
+	msg := "lint-ga.yml: має бути uses: astral-sh/setup-uv@v8.0.0 (ga.mdc)"
+}
+
+deny contains msg if {
+	not contains(job_run_blob, "bun run lint-ga")
+	msg := "lint-ga.yml: має бути крок run: bun run lint-ga (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+push_branches_have_dev_and_main if {
+	branches := gha_on.push.branches
+	expected_branches & {b | some b in branches} == expected_branches
+}
+
+pr_branches_have_dev_and_main if {
+	branches := gha_on.pull_request.branches
+	expected_branches & {b | some b in branches} == expected_branches
+}
+
+push_paths_have_required if {
+	paths := gha_on.push.paths
+	expected_push_paths & {p | some p in paths} == expected_push_paths
+}

package/policy/ga/workflow_common/workflow_common.rego

@@ -0,0 +1,161 @@
+# Універсальні перевірки для будь-якого `.github/workflows/*.yml` (ga.mdc).
+#
+# Порт `verifyNoDirectBunOrCache`, `verifyNoRunShellLineContinuationBackslash`,
+# `verifyCheckoutBeforeLocalSetupBunDeps` та `validateConcurrencyOnRoot` з
+# `npm/scripts/check-ga.mjs`. На відміну від `lint_ga`/`clean_ga_workflows`/
+# `clean_merged_branch`/`git_ai`, цей пакет не привʼязаний до конкретного
+# workflow — `conftest test` запускається на кожному файлі окремо з
+# `--namespace ga.workflow_common`, і `input` — це окремий розпарсений YAML.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.workflow_common
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+
+# Локальні composite setup-bun-deps (ga.mdc) — два варіанти шляху:
+# `.github/actions/...` (cursor-репо) і `npm/github-actions/...` (npm-пакет dev-локально).
+local_setup_bun_markers := {
+	"./.github/actions/setup-bun-deps",
+	"./npm/github-actions/setup-bun-deps",
+}
+
+# Заборонені підрядки в кроках `uses` та `run` (ga.mdc): дублюючі setup/cache/install,
+# які мають бути всередині composite-action `setup-bun-deps`.
+forbidden_step_substrings := {
+	"oven-sh/setup-bun": "використовуй .github/actions/setup-bun-deps замість oven-sh/setup-bun",
+	"actions/cache": "використовуй .github/actions/setup-bun-deps замість actions/cache",
+	"bun install": "використовуй .github/actions/setup-bun-deps замість bun install",
+}
+
+# Шаблони довгих повідомлень — через `concat`, щоб дотримуватися regal style/line-length.
+
+concurrency_missing_template := concat(" ", [
+	"відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+shell_continuation_template := concat(" ", [
+	"jobs.%s.steps[%d]: у run заборонено продовження рядків через зворотний сліш;",
+	"оформи як folded block (run: >-) (ga.mdc)",
+])
+
+setup_bun_no_checkout_template := concat(" ", [
+	"jobs.%s: перед локальним setup-bun-deps потрібен крок actions/checkout@v6 —",
+	"інакше runner не знайде action.yml (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+
+# Усі jobs (з гарантією, що це обʼєкт) — щоб не падати на нетипових YAML.
+jobs := input.jobs
+
+# Плоский список усіх кроків з усіх jobs з метаданими — для перевірок, де job-id
+# і позиція кроку нам потрібні в повідомленні (shell line continuation).
+all_flat_steps contains entry if {
+	some job_id, step_index
+	step := jobs[job_id].steps[step_index]
+	entry := {"job_id": job_id, "step_index": step_index, "step": step}
+}
+
+# ── deny: заборонені setup-bun/cache/install у будь-якому кроці ────────────
+
+deny contains msg if {
+	some entry in all_flat_steps
+	some pattern, hint in forbidden_step_substrings
+	step_uses_or_run_blob(entry.step) != ""
+	contains(step_uses_or_run_blob(entry.step), pattern)
+	msg := sprintf("jobs.%s.steps[%d]: %s (ga.mdc)", [entry.job_id, entry.step_index, hint])
+}
+
+# ── deny: shell-продовження `\` перед переносом рядка у `run:` ─────────────
+#
+# `\` + `\n` — bash line-continuation; у workflow замінюй на folded block `>-`
+# без зворотних слішів (ga.mdc).
+
+deny contains msg if {
+	some entry in all_flat_steps
+	run_text := step_run_text(entry.step)
+	regex.match(`\\\r?\n`, run_text)
+	msg := sprintf(shell_continuation_template, [entry.job_id, entry.step_index])
+}
+
+# ── deny: setup-bun-deps без попереднього checkout у тому ж job ────────────
+#
+# Без `actions/checkout` локальний composite-action недоступний — runner не
+# знайде `action.yml` у дереві. Перевіряємо порядок індексів кроків у кожному
+# job: setup-bun-deps має бути після принаймні одного `actions/checkout@`.
+
+deny contains msg if {
+	some job_id, job in jobs
+	first_setup := first_local_setup_bun_index(job)
+	first_setup >= 0
+	not has_checkout_before(job, first_setup)
+	msg := sprintf(setup_bun_no_checkout_template, [job_id])
+}
+
+# ── deny: concurrency блок ─────────────────────────────────────────────────
+#
+# Дублює окремі per-workflow перевірки для clean-ga-workflows / clean-merged-branch /
+# lint-ga / git-ai, але вкриває й решту workflow-файлів (apply-k8s, lint-js, …),
+# для яких поки немає виділеної polysi.
+
+deny contains msg if {
+	# `object.get(…, default)` повертає `false` коли ключа немає — інакше `not is_object(…)`
+	# над відсутнім полем дає `undefined`, не `true`, і правило мовчки не спрацьовує.
+	not is_object(object.get(input, "concurrency", false))
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(object.get(input, "concurrency", false))
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(object.get(input, "concurrency", false))
+	input.concurrency["cancel-in-progress"] != true
+	msg := "concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# Об'єднаний рядок `uses` + `run` для одного кроку — для substring-пошуку
+# заборонених патернів. `run` може бути рядком або масивом рядків (YAML).
+step_uses_or_run_blob(step) := blob if {
+	uses := object.get(step, "uses", "")
+	run_text := step_run_text(step)
+	blob := concat("\n", [uses, run_text])
+}
+
+# Текст `run:` як один рядок: підтримує рядкові та масивові форми (YAML).
+step_run_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""
+
+# Індекс першого кроку з локальним setup-bun-deps; -1 якщо такого немає.
+first_local_setup_bun_index(job) := min(indices) if {
+	indices := [i |
+		some i, step in job.steps
+		uses := object.get(step, "uses", "")
+		some marker in local_setup_bun_markers
+		contains(uses, marker)
+	]
+	count(indices) > 0
+} else := -1
+
+# Чи є в `job.steps[0..before]` крок `actions/checkout@…`.
+has_checkout_before(job, before) if {
+	some i, step in job.steps
+	i < before
+	uses := object.get(step, "uses", "")
+	contains(uses, "actions/checkout@")
+}

package/policy/graphql/package_json/package_json.rego

@@ -0,0 +1,35 @@
+# Порт перевірки `package.json` з `npm/scripts/check-graphql.mjs` (graphql.mdc).
+#
+# Запуск (локально, ЯКЩО проект містить `gql\`…\`` теги — gating робить JS-частина
+# через oxc-parser-скан):
+#   conftest test package.json -p npm/policy/graphql --namespace graphql.package_json
+#
+# Перевіряє: `scripts.dump-schema` точно відповідає канону graphql.mdc.
+#
+# AST-скан коду на `gql\`…\`` template literals і FS-перевірки (наявність
+# `.graphqlrc.yml`, `.vscode/extensions.json` з `graphql.vscode-graphql`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package graphql.package_json
+
+import rego.v1
+
+required_dump_schema := concat("", [
+	"bunx graphqurl http://localhost:4040/v1/graphql ",
+	"-H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql",
+])
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "dump-schema" in object.keys(scripts)
+	msg := "package.json: відсутній scripts.dump-schema (graphql.mdc)"
+}
+
+deny contains msg if {
+	dump := object.get(object.get(input, "scripts", {}), "dump-schema", "")
+	dump != ""
+	dump != required_dump_schema
+	msg := sprintf("package.json: scripts.dump-schema має бути канонічним з graphql.mdc (зараз %q)", [dump])
+}

package/policy/hasura/svc_hl/svc_hl.rego

@@ -0,0 +1,27 @@
+# Порт мінімальної структурної перевірки `hasura/k8s/base/svc-hl.yaml` з
+# `npm/scripts/check-hasura.mjs` (hasura.mdc): для кожного Service у файлі
+# `metadata.name` має закінчуватись на `-h` (headless-сервіс Hasura).
+#
+# Запуск (локально):
+#   conftest test hasura/k8s/base/svc-hl.yaml -p npm/policy/hasura \
+#     --namespace hasura.svc_hl
+#
+# Решта логіки `check-hasura.mjs` (звірення `HASURA_GRAPHQL_ENDPOINT` в `.env`-файлах
+# з `<service>.<namespace>.svc.<cluster>` через regex по всьому дереву репо, gating
+# на `repository` у кореневому `package.json`) — у JS: вона потребує текстового
+# парсингу `.env`-файлів, обходу дерева й cross-file resolution.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package hasura.svc_hl
+
+import rego.v1
+
+deny contains msg if {
+	input.kind == "Service"
+	name := object.get(object.get(input, "metadata", {}), "name", "")
+	name != ""
+	not endswith(name, "-h")
+	msg := sprintf("hasura svc-hl.yaml: Service %q має закінчуватись на `-h` (hasura.mdc / k8s.mdc)", [name])
+}

package/policy/image_compress/package_json/package_json.rego

@@ -0,0 +1,94 @@
+# Порт перевірки `package.json` з `npm/scripts/check-image-compress.mjs`
+# (image-compress.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/image_compress \
+#     --namespace image_compress.package_json
+#
+# Перевіряє: скрипт `lint-image` викликає `npx @nitra/minify-image` з `--src=.`
+# і `--write`, без `--avif` (AVIF — окреме правило); агрегатор `lint` (якщо є)
+# містить `bun run lint-image`; `@nitra/minify-image` НЕ в dependencies / devDependencies.
+#
+# FS-перевірки (`.minify-image-cache.tsv` legacy-файл, `.gitignore` правил для
+# `.n-minify-image.tsv`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package image_compress.package_json
+
+import rego.v1
+
+minify_pkg := "@nitra/minify-image"
+
+dep_template := concat(" ", [
+	"package.json: %q не повинен бути в %s —",
+	"використовуй npx (image-compress.mdc)",
+])
+
+avif_in_lint_image_template := concat(" ", [
+	"package.json: lint-image не має містити `--avif` —",
+	"AVIF-генерацію виконує check image-avif (image-compress.mdc)",
+])
+
+# ── deny: lint-image ──────────────────────────────────────────────────────
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "lint-image" in object.keys(scripts)
+	msg := "package.json: відсутній scripts.lint-image (image-compress.mdc)"
+}
+
+deny contains msg if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	lint_image != ""
+	not contains(lint_image, sprintf("npx %s", [minify_pkg]))
+	msg := sprintf("package.json: lint-image має викликати `npx %s` (image-compress.mdc)", [minify_pkg])
+}
+
+deny contains msg if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	contains(lint_image, sprintf("npx %s", [minify_pkg]))
+	not has_src_flag(lint_image)
+	msg := "package.json: lint-image має містити `--src=.` (image-compress.mdc)"
+}
+
+deny contains msg if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	contains(lint_image, sprintf("npx %s", [minify_pkg]))
+	not contains(lint_image, "--write")
+	msg := "package.json: lint-image має містити `--write` (image-compress.mdc)"
+}
+
+deny contains avif_in_lint_image_template if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	contains(lint_image, "--avif")
+}
+
+# ── deny: агрегований `lint` має кликати `bun run lint-image` ─────────────
+
+deny contains msg if {
+	"lint-image" in object.keys(object.get(input, "scripts", {}))
+	lint := object.get(object.get(input, "scripts", {}), "lint", "")
+	lint != ""
+	not contains(lint, "bun run lint-image")
+	msg := "package.json: агрегований `lint` має містити `bun run lint-image` (image-compress.mdc)"
+}
+
+# ── deny: `@nitra/minify-image` НЕ в dependencies/devDependencies ────────
+
+deny contains msg if {
+	minify_pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf(dep_template, [minify_pkg, "dependencies"])
+}
+
+deny contains msg if {
+	minify_pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf(dep_template, [minify_pkg, "devDependencies"])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+has_src_flag(s) if contains(s, "--src=.")
+
+has_src_flag(s) if contains(s, "--src .")

package/policy/js_bun_db/package_json/package_json.rego

@@ -0,0 +1,28 @@
+# Порт перевірки залежностей `package.json` з `npm/scripts/check-js-bun-db.mjs`
+# (js-bun-db.mdc).
+#
+# Запуск (локально, для будь-якого `package.json` у дереві):
+#   conftest test path/to/package.json -p npm/policy/js_bun_db \
+#     --namespace js_bun_db.package_json
+#
+# Перевіряє: у `dependencies` не повинно бути `pg`, `pg-format`, `mysql2` —
+# заміна на Bun native SQL (https://bun.com/docs/runtime/sql).
+#
+# AST-скан коду (`new SQL(...)` всередині функцій, `unsafe()` без маркера
+# `// allow-unsafe`, pg-leftover виклики, динамічні `IN (…)` через `.join(',')`)
+# лишається у JS (потребує парсингу `.js` / `.ts` через oxc-parser).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_bun_db.package_json
+
+import rego.v1
+
+forbidden_dependencies := {"pg", "pg-format", "mysql2"}
+
+deny contains msg if {
+	some pkg_name in forbidden_dependencies
+	pkg_name in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("dependencies містить заборонений %q — заміни на Bun native SQL (js-bun-db.mdc)", [pkg_name])
+}

package/policy/js_lint/lint_js_yml/lint_js_yml.rego

@@ -0,0 +1,98 @@
+# Порт перевірки `.github/workflows/lint-js.yml` з `npm/scripts/check-js-lint.mjs`
+# (js-lint.mdc) — структурні очікування `verifyLintJsWorkflowStructure`.
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-js.yml -p npm/policy/js_lint \
+#     --namespace js_lint.lint_js_yml
+#
+# Перевіряє: є крок `actions/checkout@v6` з `with.persist-credentials: false`,
+# є крок `./.github/actions/setup-bun-deps`, у `run` є `bunx oxlint`, `bunx eslint .`,
+# `bunx jscpd .`, у `run` НЕМАЄ `oxlint --fix` чи `eslint --fix` (CI не повинен
+# редагувати код).
+#
+# Універсальні workflow-перевірки (concurrency, заборонені setup-bun/cache, shell
+# line-continuation) — у `ga.workflow_common`. Дубль JS-перевірок у `lint.yml` —
+# у JS-частині `check-js-lint.mjs` (потребує другого workflow-файлу).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.lint_js_yml
+
+import rego.v1
+
+# Усі кроки з усіх jobs — для substring-перевірок.
+all_steps contains step if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+}
+
+all_uses_blob := concat("\n", [u |
+	some step in all_steps
+	u := object.get(step, "uses", "")
+])
+
+all_run_blob := concat("\n", [r |
+	some step in all_steps
+	r := step_run_text(step)
+])
+
+# ── deny: required uses ────────────────────────────────────────────────────
+
+deny contains msg if {
+	not contains(all_uses_blob, "actions/checkout@v6")
+	msg := "lint-js.yml: відсутній крок uses: actions/checkout@v6 (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not contains(all_uses_blob, "./.github/actions/setup-bun-deps")
+	msg := "lint-js.yml: відсутній крок uses: ./.github/actions/setup-bun-deps (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not has_checkout_persist_credentials_false
+	msg := "lint-js.yml: actions/checkout@v6 має бути з with.persist-credentials: false (js-lint.mdc)"
+}
+
+# ── deny: required run substrings ─────────────────────────────────────────
+
+deny contains msg if {
+	not contains(all_run_blob, "bunx oxlint")
+	msg := "lint-js.yml: у run немає `bunx oxlint` (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not contains(all_run_blob, "bunx eslint .")
+	msg := "lint-js.yml: у run немає `bunx eslint .` (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not contains(all_run_blob, "bunx jscpd .")
+	msg := "lint-js.yml: у run немає `bunx jscpd .` (js-lint.mdc)"
+}
+
+# ── deny: --fix у CI заборонено ───────────────────────────────────────────
+
+deny contains msg if {
+	regex.match(`bunx\s+oxlint[^\n]*--fix`, all_run_blob)
+	msg := "lint-js.yml: у run є oxlint з `--fix` (у CI заборонено) (js-lint.mdc)"
+}
+
+deny contains msg if {
+	contains(all_run_blob, "eslint --fix")
+	msg := "lint-js.yml: у run є `eslint --fix` (у CI заборонено) (js-lint.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+has_checkout_persist_credentials_false if {
+	some step in all_steps
+	contains(object.get(step, "uses", ""), "actions/checkout@v6")
+	step.with["persist-credentials"] == false
+}
+
+step_run_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""