@nitra/cursor 1.8.206 → 1.8.207

package/policy/text/cspell/cspell.rego

@@ -0,0 +1,91 @@
+# Порт перевірок `.cspell.json` з `npm/scripts/check-text.mjs` (text.mdc).
+#
+# Запуск (локально):
+#   conftest test .cspell.json -p npm/policy/text --namespace text.cspell
+#
+# Перевіряє: `version: "0.2"`, наявність `language`, імпорт `@nitra/cspell-dict`,
+# відсутність прямих імпортів `@cspell/dict-*`, обовʼязкові glob-и в `ignorePaths`
+# (text.mdc).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package text.cspell
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+# Канонічні `ignorePaths` з text.mdc — кожен має бути присутнім.
+required_ignore_paths := {
+	"**/node_modules/**",
+	"**/vscode-extension/**",
+	"**/.git/**",
+	".vscode",
+	"report",
+	"*.svg",
+	"**/k8s/**/*.yaml",
+}
+
+nitra_cspell_dict_marker := "@nitra/cspell-dict"
+
+legacy_dict_marker := "@cspell/dict-"
+
+# Шаблон повідомлення про заборонений імпорт `@cspell/dict-*` — через `concat`
+# для regal style/line-length.
+legacy_dict_import_template := concat(" ", [
+	".cspell.json не має імпортувати @cspell/dict-* —",
+	"використовуй лише @nitra/cspell-dict (знайдено: %s) (text.mdc)",
+])
+
+# ── deny: version / language ──────────────────────────────────────────────
+
+deny contains msg if {
+	object.get(input, "version", null) != "0.2"
+	msg := ".cspell.json: version має бути \"0.2\" (text.mdc)"
+}
+
+deny contains msg if {
+	not object.get(input, "language", false)
+	msg := ".cspell.json: відсутнє поле language (text.mdc)"
+}
+
+# ── deny: imports ─────────────────────────────────────────────────────────
+
+deny contains msg if {
+	imports := object.get(input, "import", [])
+	is_array(imports)
+	not has_nitra_dict_import(imports)
+	msg := ".cspell.json не імпортує @nitra/cspell-dict/cspell-ext.json (text.mdc)"
+}
+
+deny contains msg if {
+	imports := object.get(input, "import", [])
+	is_array(imports)
+	some imp in imports
+	is_string(imp)
+	contains(imp, legacy_dict_marker)
+	msg := sprintf(legacy_dict_import_template, [imp])
+}
+
+# ── deny: ignorePaths ─────────────────────────────────────────────────────
+
+deny contains msg if {
+	not is_array(object.get(input, "ignorePaths", null))
+	msg := ".cspell.json: додай масив ignorePaths з канонічними glob-ами (text.mdc)"
+}
+
+deny contains msg if {
+	is_array(input.ignorePaths)
+	some path in required_ignore_paths
+	not path in {p | some p in input.ignorePaths}
+	msg := sprintf(".cspell.json ignorePaths: додай %q (text.mdc)", [path])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+has_nitra_dict_import(imports) if {
+	some imp in imports
+	is_string(imp)
+	contains(imp, nitra_cspell_dict_marker)
+}

package/policy/text/markdownlint/markdownlint.rego

@@ -0,0 +1,21 @@
+# Порт перевірки `.markdownlint-cli2.jsonc` з `npm/scripts/check-text.mjs` (text.mdc).
+#
+# Запуск (локально):
+#   conftest test .markdownlint-cli2.jsonc -p npm/policy/text \
+#     --namespace text.markdownlint --parser json
+#
+# Конфтест парсить `.jsonc` як JSON лише якщо файл — валідний JSON (без коментарів).
+# У випадку справжнього JSONC з `//` коментарями цей крок мовчки ігноруватиметься
+# (conftest skip). FS-перевірка (наявність файлу) живе у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package text.markdownlint
+
+import rego.v1
+
+deny contains msg if {
+	object.get(input, "gitignore", null) != true
+	msg := ".markdownlint-cli2.jsonc: додай на верхньому рівні \"gitignore\": true (text.mdc)"
+}

package/policy/text/oxfmtrc/oxfmtrc.rego

@@ -0,0 +1,90 @@
+# Порт перевірок `.oxfmtrc.json` з `npm/scripts/check-text.mjs` (text.mdc).
+#
+# Запуск (локально):
+#   conftest test .oxfmtrc.json -p npm/policy/text --namespace text.oxfmtrc
+#
+# Перевіряє: обовʼязкові ключі, канонічні значення (`semi=false`, `singleQuote=true`,
+# `tabWidth=2`, `useTabs=false`, `printWidth=120`), масив `ignorePatterns` з
+# канонічними glob-ами (hasura/metadata, schema.graphql, auto-imports.d.ts).
+#
+# FS-перевірки (наявність самого `.oxfmtrc.json`, `.prettierrc.*` файлів) живуть
+# у `check-text.mjs`. Тут — лише про вже завантажений input.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package text.oxfmtrc
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+required_keys := [
+	"arrowParens",
+	"printWidth",
+	"bracketSpacing",
+	"bracketSameLine",
+	"semi",
+	"singleQuote",
+	"tabWidth",
+	"trailingComma",
+	"useTabs",
+]
+
+required_ignore_patterns := {
+	"**/hasura/metadata/**",
+	"**/schema.graphql",
+	"**/auto-imports.d.ts",
+}
+
+# ── deny: обовʼязкові ключі ────────────────────────────────────────────────
+
+deny contains msg if {
+	some key in required_keys
+	not key in object.keys(input)
+	msg := sprintf(".oxfmtrc.json: відсутній обовʼязковий ключ %q (text.mdc)", [key])
+}
+
+# ── deny: канонічні значення ───────────────────────────────────────────────
+#
+# `object.get(…, sentinel)` робить значення визначеним — інакше при відсутньому
+# ключі порівняння дало б `undefined`, не `true`, і правило мовчки не спрацювало б.
+
+deny contains msg if {
+	object.get(input, "semi", null) != false
+	msg := ".oxfmtrc.json: semi має бути false (text.mdc)"
+}
+
+deny contains msg if {
+	object.get(input, "singleQuote", null) != true
+	msg := ".oxfmtrc.json: singleQuote має бути true (text.mdc)"
+}
+
+deny contains msg if {
+	object.get(input, "tabWidth", null) != 2
+	msg := ".oxfmtrc.json: tabWidth має бути 2 (text.mdc)"
+}
+
+deny contains msg if {
+	object.get(input, "useTabs", null) != false
+	msg := ".oxfmtrc.json: useTabs має бути false (text.mdc)"
+}
+
+deny contains msg if {
+	object.get(input, "printWidth", null) != 120
+	msg := ".oxfmtrc.json: printWidth має бути 120 (text.mdc)"
+}
+
+# ── deny: ignorePatterns ───────────────────────────────────────────────────
+
+deny contains msg if {
+	not is_array(object.get(input, "ignorePatterns", null))
+	msg := ".oxfmtrc.json: додай масив ignorePatterns з канонічними glob-ами (text.mdc)"
+}
+
+deny contains msg if {
+	is_array(input.ignorePatterns)
+	some pattern in required_ignore_patterns
+	not pattern in {p | some p in input.ignorePatterns}
+	msg := sprintf(".oxfmtrc.json ignorePatterns: додай %q (text.mdc)", [pattern])
+}

package/policy/text/package_json/package_json.rego

@@ -0,0 +1,88 @@
+# Порт текст-специфічних перевірок `package.json` з `npm/scripts/check-text.mjs` (text.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/text --namespace text.package_json
+#
+# Перевіряє: відсутність Prettier (поле + конфіги в deps), `@nitra/cspell-dict ^2.0.0+`
+# у `devDependencies`, заборона `markdownlint-cli2` у dependencies/devDependencies.
+#
+# Перевірка скрипта `lint-text` (cspell, run-shellcheck-text.mjs, markdownlint, v8r,
+# обовʼязкові glob-и для v8r) — у JS-частині (`check-text.mjs`): занадто варіативна
+# для декларативної політики (3 режими v8r з різними вимогами до глобів).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package text.package_json
+
+import rego.v1
+
+# ── Заборонені пакети у dependencies/devDependencies ──────────────────────
+
+forbidden_packages := {
+	"prettier": "Prettier заборонено — використовуй oxfmt (text.mdc)",
+	"@nitra/prettier-config": "Prettier-конфіг заборонено — використовуй oxfmt (text.mdc)",
+}
+
+# ── deny: заборонене поле `prettier` у package.json ───────────────────────
+
+deny contains msg if {
+	object.get(input, "prettier", null) != null
+	msg := "package.json містить поле \"prettier\" — видали його (text.mdc)"
+}
+
+# ── deny: prettier у dependencies/devDependencies ─────────────────────────
+
+deny contains msg if {
+	some pkg, hint in forbidden_packages
+	pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("package.json: dependencies містить %q — %s", [pkg, hint])
+}
+
+deny contains msg if {
+	some pkg, hint in forbidden_packages
+	pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf("package.json: devDependencies містить %q — %s", [pkg, hint])
+}
+
+# ── deny: markdownlint-cli2 не повинен бути у залежностях ─────────────────
+#
+# Канонічний виклик — `bunx markdownlint-cli2` у `lint-text`, без оголошення пакета.
+
+deny contains msg if {
+	"markdownlint-cli2" in object.keys(object.get(input, "dependencies", {}))
+	msg := "package.json: dependencies містить markdownlint-cli2 — використовуй bunx у lint-text (text.mdc)"
+}
+
+deny contains msg if {
+	"markdownlint-cli2" in object.keys(object.get(input, "devDependencies", {}))
+	msg := "package.json: devDependencies містить markdownlint-cli2 — використовуй bunx у lint-text (text.mdc)"
+}
+
+# ── deny: @nitra/cspell-dict ^2.0.0+ обовʼязковий ─────────────────────────
+
+deny contains msg if {
+	dev := object.get(input, "devDependencies", {})
+	not "@nitra/cspell-dict" in object.keys(dev)
+	msg := "@nitra/cspell-dict у devDependencies обовʼязковий — bun add -d @nitra/cspell-dict@^2.0.0 (text.mdc)"
+}
+
+deny contains msg if {
+	range := object.get(object.get(input, "devDependencies", {}), "@nitra/cspell-dict", "")
+	range != ""
+	not cspell_dict_major_at_least_2(range)
+	msg := sprintf("@nitra/cspell-dict має бути ^2.0.0 або новіший (зараз %q) (text.mdc)", [range])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# Чи мажорна версія cspell-dict ≥ 2. Підтримує `^2.0.0`, `~2.x`, `2.5.0`,
+# `>=2.0.0`, `workspace:*` (тоді fallback false), із префіксом і без.
+# Regex `^[\^~>=<]*\s*(\d+)` дістає першу цифру після опціональних range-операторів.
+cspell_dict_major_at_least_2(range) if {
+	# `regex.find_n` повертає масив збігів; беремо перший і дивимось на перше число.
+	match := regex.find_n(`^[\^~>=<]*\s*(\d+)`, range, 1)
+	count(match) > 0
+	major := to_number(regex.replace(match[0], `^[\^~>=<]*\s*`, ""))
+	major >= 2
+}

package/policy/vue/package_json/package_json.rego

@@ -0,0 +1,54 @@
+# Порт перевірки версій з `package.json` для Vue+Vite пакетів з
+# `npm/scripts/check-vue.mjs` (vue.mdc).
+#
+# Запуск (локально, у Vue+Vite-пакеті):
+#   conftest test path/to/package.json -p npm/policy/vue \
+#     --namespace vue.package_json
+#
+# Перевіряє: якщо в `dependencies` є `vue`, то у `devDependencies.vite` має бути
+# мажорна версія ≥ 8.
+#
+# AST-сканування коду (заборона явних value-імпортів `from 'vue'`, заборона
+# Node-нативних модулів у `.vue` SFC, перевірка `vite.config` на
+# `process.env.npm_lifecycle_event`, vue-macros, auto-import тощо), а також
+# FS-перевірки (`src/vite-env.d.ts`, `jsconfig.json` у корені пакета) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package vue.package_json
+
+import rego.v1
+
+deny contains msg if {
+	uses_vue
+	not vite_in_dev_dependencies
+	msg := "Vue-пакет: відсутня залежність `vite` у devDependencies (vue.mdc)"
+}
+
+deny contains msg if {
+	uses_vue
+	vite_in_dev_dependencies
+	not vite_major_at_least_8
+	vite_range := input.devDependencies.vite
+	msg := sprintf("Vue-пакет: vite має бути >= 8 (зараз %q) (vue.mdc)", [vite_range])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+uses_vue if {
+	"vue" in object.keys(object.get(input, "dependencies", {}))
+}
+
+vite_in_dev_dependencies if {
+	"vite" in object.keys(object.get(input, "devDependencies", {}))
+}
+
+vite_major_at_least_8 if {
+	range := input.devDependencies.vite
+
+	# Перша мажорна цифра з рядка: `^8`, `>=8.0.0`, `8.x` → 8.
+	match := regex.find_n(`\d+`, range, 1)
+	count(match) > 0
+	to_number(match[0]) >= 8
+}

package/scripts/check-adr.mjs

@@ -26,6 +26,7 @@ const PROJECT_SETTINGS_PATH = '.claude/settings.json'
 const PROJECT_LOCAL_SETTINGS_PATH = '.claude/settings.local.json'
 const PROJECT_LOG_PATH = '.claude/hooks/capture-decisions.log'
 const HOOK_COMMAND_MARKER = '.claude/hooks/capture-decisions.sh'
+const EOL_RE = /\r?\n/u
 
 const here = dirname(fileURLToPath(import.meta.url))
 /** Канонічний bundled-скрипт у пакеті — джерело правди для звірки з проєктним. */
@@ -183,9 +184,9 @@ async function checkGitignore(reporter) {
   }
   const content = await readFile('.gitignore', 'utf8')
   const covers = content
-    .split(/\r?\n/u)
+    .split(EOL_RE)
     .map(l => l.trim())
-    .some(gitignoreLineCoversHookLog)
+    .some(line => gitignoreLineCoversHookLog(line))
   if (covers) {
     pass(`.gitignore покриває ${PROJECT_LOG_PATH}`)
   } else {

package/scripts/check-bun.mjs

@@ -1,54 +1,30 @@
 /**
  * Перевіряє відповідність репозиторію правилам Bun (bun.mdc).
  *
- * Очікує наявність `bun.lock`, `bunfig.toml` з `linker = "hoisted"` у секції `[install]`,
- * забороняє lockfile та артефакти yarn/pnpm, директорію `.yarn` і поле `packageManager`
- * у кореневому `package.json`.
+ * **Що тут лишилося** (FS / cross-file — не покривається conftest):
+ *  - наявність `bun.lock`, `bunfig.toml`, `package.json` у корені (FS-existence);
+ *  - заборонені lockfile та артефакти yarn/pnpm (`package-lock.json`, `yarn.lock`,
+ *    `pnpm-lock.yaml`, `.yarnrc.yml`, директорія `.yarn/`);
+ *  - якщо в `.n-cursor.json` у `rules` є `docker` або `k8s`, у кореневому
+ *    `package.json` має бути відповідний скрипт `lint-docker` / `lint-k8s`
+ *    (cross-file: два JSON-файли).
  *
- * У кореневому `package.json` не має бути поля **`dependencies`**; у **`devDependencies`** дозволені лише
- * пакети **`@nitra/*`** (наприклад **`@nitra/cspell-dict`**, **`@nitra/eslint-config`**).
- *
- * Якщо в `.n-cursor.json` у `rules` є `docker` або `k8s`, вимагає у кореневому `package.json`
- * відповідно скриптів `lint-docker` / `lint-k8s` (див. docker.mdc, k8s.mdc).
- *
- * Якщо в кореневому `package.json` є скрипти з префіксом `lint-`, перевіряє наявність агрегованого
- * скрипта `lint`, у якому через `bun run <ім’я>` викликаються всі такі скрипти, і що рядок `lint`
- * закінчується на `&& oxfmt .`.
+ * **Що покрила Rego** (`bun run lint-conftest`):
+ *  - `npm/policy/bun/bunfig/` — `[install].linker == "hoisted"` у `bunfig.toml`;
+ *  - `npm/policy/bun/package_json/` — відсутність `packageManager` / `dependencies`
+ *    у кореневому `package.json`, у `devDependencies` лише `@nitra/*`, агрегований
+ *    `lint`-скрипт покриває всі `lint-*` через `bun run` і завершується `&& oxfmt .`.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
 
-const OXFMT_END_RE = /&&[ \t]+oxfmt[ \t]+\.[ \t]*$/
-/** Пробіли/таби без `\s` (уникаємо super-linear backtracking у sonarjs/slow-regex). */
-const HOISTED_LINKER_RE = /^[ \t]*linker[ \t]*=[ \t]*"hoisted"[ \t]*$/m
-const INSTALL_SECTION_RE = /^[ \t]*\[install\][ \t]*$/m
-
-/**
- * Перевіряє `bunfig.toml` на секцію `[install]` з `linker = "hoisted"`.
- * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер
- */
-async function checkBunfigHoisted(reporter) {
-  const { pass, fail } = reporter
-  if (!existsSync('bunfig.toml')) {
-    fail('Відсутній bunfig.toml — створи з [install] linker = "hoisted" (bun.mdc)')
-    return
-  }
-  const content = await readFile('bunfig.toml', 'utf8')
-  if (!INSTALL_SECTION_RE.test(content)) {
-    fail('bunfig.toml: відсутня секція [install] (bun.mdc)')
-    return
-  }
-  if (HOISTED_LINKER_RE.test(content)) {
-    pass('bunfig.toml: [install] linker = "hoisted"')
-  } else {
-    fail('bunfig.toml: у секції [install] має бути linker = "hoisted" (bun.mdc)')
-  }
-}
-
 /**
  * Чи ім'я пакета дозволене в кореневих `devDependencies` за bun.mdc (лише **`@nitra/*`**).
+ *
+ * Залишилася як експорт для `check-text.mjs` і тестів — `bun.package_json` Rego
+ * робить ту саму перевірку для check-runner-а.
  * @param {string} name ключ з поля `devDependencies`
  * @returns {boolean} true, якщо префікс дозволений
  */
@@ -76,66 +52,6 @@ async function loadNCursorRules() {
   }
 }
 
-/**
- * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер для збору результатів
- * @param {Record<string, unknown>} pkg розібраний package.json
- */
-function checkDevDependencies(reporter, pkg) {
-  const { pass, fail } = reporter
-  const dev = pkg.devDependencies
-  if (dev === undefined) {
-    pass('Кореневий package.json без devDependencies')
-    return
-  }
-  if (dev === null || typeof dev !== 'object' || Array.isArray(dev)) {
-    fail(
-      'Кореневий package.json: `devDependencies` має бути object з ключами пакетів і діапазонами версій (не null, не масив)'
-    )
-    return
-  }
-  const bad = Object.keys(/** @type {object} */ (dev)).filter(n => !isAllowedRootDevDependency(n))
-  if (bad.length > 0) {
-    fail(`Кореневі devDependencies: дозволені лише @nitra/* — прибери або перенеси: ${bad.join(', ')} (bun.mdc)`)
-    return
-  }
-  const n = Object.keys(/** @type {object} */ (dev)).length
-  pass(
-    n === 0
-      ? 'Кореневі devDependencies порожні або відсутні (лише @nitra/*)'
-      : `Кореневі devDependencies: лише @nitra/* (${n} пак.)`
-  )
-}
-
-/**
- * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер для збору результатів
- * @param {Record<string, string>} scripts scripts з package.json
- */
-function checkLintAggregate(reporter, scripts) {
-  const { pass, fail } = reporter
-  const lintPrefixed = Object.keys(scripts).filter(name => name.startsWith('lint-'))
-  if (lintPrefixed.length === 0) return
-  const aggregate = typeof scripts.lint === 'string' ? scripts.lint : ''
-  if (!aggregate.trim()) {
-    const scriptList = lintPrefixed.map(s => `\`${s}\``).join(', ')
-    fail(
-      `У package.json є скрипти ${scriptList}, але немає агрегованого \`lint\` — додай скрипт, який запускає їх через \`bun run\``
-    )
-    return
-  }
-  const missing = lintPrefixed.filter(name => !aggregate.includes(`bun run ${name}`))
-  if (missing.length > 0) {
-    const missingList = missing.map(s => '`' + s + '`').join(', ')
-    fail(`Скрипт \`lint\` має викликати всі lint-* через bun run; відсутньо: ${missingList}`)
-    return
-  }
-  pass('package.json: агрегований `lint` покриває всі `lint-*` скрипти')
-  if (OXFMT_END_RE.test(aggregate.trim())) {
-    pass('package.json: `lint` завершується `&& oxfmt .`')
-  } else {
-    fail('Скрипт `lint` має закінчуватися на `&& oxfmt .`')
-  }
-}
-
 /**
  * @param {{ pass: (msg: string) => void, fail: (msg: string) => void }} reporter репортер для збору результатів
  * @param {Record<string, string>} scripts scripts з package.json
@@ -188,34 +104,22 @@ export async function check() {
     fail('Відсутній bun.lock — запусти bun i')
   }
 
-  await checkBunfigHoisted(reporter)
+  if (!existsSync('bunfig.toml')) {
+    fail('Відсутній bunfig.toml — створи з [install] linker = "hoisted" (bun.mdc)')
+  } else {
+    pass('bunfig.toml є (структуру перевіряє bun run lint-conftest → bun.bunfig)')
+  }
 
   const cursorRules = await loadNCursorRules()
 
   if (!existsSync('package.json')) {
+    fail('Відсутній package.json у корені')
     return reporter.getExitCode()
   }
 
   const pkg = JSON.parse(await readFile('package.json', 'utf8'))
-  if (pkg.packageManager) {
-    fail(`package.json містить поле packageManager: "${pkg.packageManager}" — видали його`)
-  } else {
-    pass('package.json не містить packageManager')
-  }
-
-  if (pkg.dependencies === undefined) {
-    pass('Кореневий package.json без поля `dependencies`')
-  } else {
-    fail(
-      'Кореневий package.json не повинен містити поле `dependencies` — додай залежності в workspace-пакети (bun.mdc)'
-    )
-  }
-
-  checkDevDependencies(reporter, pkg)
-
   const scripts = pkg.scripts && typeof pkg.scripts === 'object' ? pkg.scripts : {}
   checkCursorRuleScripts(reporter, scripts, cursorRules)
-  checkLintAggregate(reporter, scripts)
 
   return reporter.getExitCode()
 }

package/scripts/check-graphql.mjs

@@ -1,11 +1,14 @@
 /**
- * Перевіряє правило graphql.mdc: наявність **`.graphqlrc.yml`**, рекомендації
- * **`graphql.vscode-graphql`** і скрипта **`dump-schema`** у кореневому
- * **`package.json`**, якщо у дереві є **`gql\`…\``**.
+ * Перевіряє правило graphql.mdc: наявність **`.graphqlrc.yml`** і рекомендації
+ * **`graphql.vscode-graphql`**, якщо у дереві є **`gql\`…\``**.
  *
  * Обхід репозиторію — **`walkDir`** від **`process.cwd()`** (пропуски як у інших check). Кандидати — **`.vue`** та **`.js`/`.ts`/`.jsx`/`.tsx`** тощо; пропуск **`.d.ts`**, **auto-imports.d.ts** тощо — **`shouldSkipFileForGqlScan`**.
  *
  * Виявлення **`gql`** — **oxc-parser** після витягування `<script>` з SFC (**`graphql-gql-scan.mjs`**). Якщо збігів немає — перевірка завершується успішно без вимог до конфігів.
+ *
+ * Перевірку `scripts.dump-schema == REQUIRED_DUMP_SCHEMA_SCRIPT` у `package.json`
+ * перенесено в Rego (`npm/policy/graphql/package_json/`); `bun run lint-conftest`
+ * запускає її окремо.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -25,9 +28,6 @@ export const GRAPHQL_RC_FILENAME = '.graphqlrc.yml'
 
 /** Розширення VS Code з graphql.mdc. */
 export const REQUIRED_GRAPHQL_VSCODE_EXTENSION = 'graphql.vscode-graphql'
-/** Команда dump-schema з graphql.mdc. */
-export const REQUIRED_DUMP_SCHEMA_SCRIPT =
-  "bunx graphqurl http://localhost:4040/v1/graphql -H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql"
 
 /**
  * Збирає абсолютні шляхи source-файлів, які підлягають скануванню на gql templates.
@@ -106,44 +106,6 @@ async function checkExtensionsRecommendation(pass, fail) {
   }
 }
 
-/**
- * Перевіряє `package.json` і значення scripts.dump-schema.
- * @param {(msg: string) => void} pass success-репортер
- * @param {(msg: string) => void} fail fail-репортер
- * @returns {Promise<void>}
- */
-async function checkPackageDumpSchemaScript(pass, fail) {
-  if (!existsSync('package.json')) {
-    fail('Відсутній package.json у корені репозиторію')
-    return
-  }
-
-  let pkg
-  try {
-    pkg = JSON.parse(await readFile('package.json', 'utf8'))
-  } catch {
-    fail('package.json не є валідним JSON')
-    return
-  }
-
-  const scripts = pkg.scripts
-  if (!scripts || typeof scripts !== 'object' || Array.isArray(scripts)) {
-    fail('package.json: поле scripts має бути обʼєктом')
-    return
-  }
-
-  if (!Object.hasOwn(scripts, 'dump-schema')) {
-    fail('package.json: відсутній scripts.dump-schema (graphql.mdc)')
-    return
-  }
-
-  if (scripts['dump-schema'] === REQUIRED_DUMP_SCHEMA_SCRIPT) {
-    pass('package.json: scripts.dump-schema відповідає graphql.mdc')
-  } else {
-    fail(`package.json: scripts.dump-schema має бути "${REQUIRED_DUMP_SCHEMA_SCRIPT}" (graphql.mdc)`)
-  }
-}
-
 /**
  * Перевіряє graphql.mdc: умовна вимога .graphqlrc.yml, graphql.vscode-graphql
  * і scripts.dump-schema за наявності gql tagged templates.
@@ -176,7 +138,6 @@ export async function check() {
   }
 
   await checkExtensionsRecommendation(pass, fail)
-  await checkPackageDumpSchemaScript(pass, fail)
 
   return reporter.getExitCode()
 }

package/scripts/check-hasura.mjs

@@ -46,7 +46,6 @@ const HASURA_ENDPOINT_LINE_RE = /^[ \t]*(?:export[ \t]+)?HASURA_GRAPHQL_ENDPOINT
 // Дозволяємо два DNS-суфікси кластера: `<name>.internal` (GKE/GCP) і `cluster.local`
 // (стандартний k8s / Yandex Cloud). У YC namespace.yaml + cluster mode дають коротший суфікс.
 const INTERNAL_HASURA_URL_RE = /^http:\/\/([^./]+)\.([^./]+)\.svc\.((?:[^./:]+\.internal)|cluster\.local):(\d+)\/?$/u
-const CLUSTER_LOCAL_SUFFIX = 'cluster.local'
 const INTERNAL_DNS_SUFFIX = '.internal'
 
 /**
@@ -149,9 +148,9 @@ async function checkEnvFile(relPath, expected, reporter) {
   const value = m[1].trim()
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
-    // eslint-disable-next-line @microsoft/sdl/no-insecure-url, sonarjs/no-clear-text-protocols -- hasura.mdc вимагає саме http:// для кластерного URL (TLS не використовується)
+     
     const example =
-      'http://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
+      "https://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>"
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )