@nitra/cursor 1.8.206 → 1.8.208

package/policy/ga/lint_ga/lint_ga.rego

@@ -14,21 +14,12 @@ import rego.v1
 
 # ── Очікувані значення ─────────────────────────────────────────────────────
 
-expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
-
 expected_name := "Lint GA"
 
 expected_branches := {"dev", "main"}
 
 expected_push_paths := {".github/actions/**", ".github/workflows/**"}
 
-# Шаблон повідомлення про відсутню `concurrency`-секцію — через `concat` для
-# regal style/line-length.
-concurrency_missing_template := concat(" ", [
-	"lint-ga.yml: відсутня секція concurrency —",
-	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
-])
-
 # ── Аліаси на input ────────────────────────────────────────────────────────
 #
 # YAML 1.1 quirk: `on:` → boolean true → у конфтесті ключ "true".
@@ -69,23 +60,6 @@ deny contains msg if {
 	msg := "lint-ga.yml: on.push.paths має містити .github/actions/** і .github/workflows/** (ga.mdc)"
 }
 
-deny contains msg if {
-	not is_object(input.concurrency)
-	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
-}
-
-deny contains msg if {
-	is_object(input.concurrency)
-	input.concurrency.group != expected_concurrency_group
-	msg := sprintf("lint-ga.yml: concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
-}
-
-deny contains msg if {
-	is_object(input.concurrency)
-	input.concurrency["cancel-in-progress"] != true
-	msg := "lint-ga.yml: concurrency.cancel-in-progress має бути true (ga.mdc)"
-}
-
 deny contains msg if {
 	not job
 	msg := "lint-ga.yml: jobs.lint-ga відсутній (ga.mdc)"

package/policy/ga/workflow_common/workflow_common.rego

@@ -0,0 +1,161 @@
+# Універсальні перевірки для будь-якого `.github/workflows/*.yml` (ga.mdc).
+#
+# Порт `verifyNoDirectBunOrCache`, `verifyNoRunShellLineContinuationBackslash`,
+# `verifyCheckoutBeforeLocalSetupBunDeps` та `validateConcurrencyOnRoot` з
+# `npm/scripts/check-ga.mjs`. На відміну від `lint_ga`/`clean_ga_workflows`/
+# `clean_merged_branch`/`git_ai`, цей пакет не привʼязаний до конкретного
+# workflow — `conftest test` запускається на кожному файлі окремо з
+# `--namespace ga.workflow_common`, і `input` — це окремий розпарсений YAML.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package ga.workflow_common
+
+import rego.v1
+
+# ── Очікувані значення ─────────────────────────────────────────────────────
+
+expected_concurrency_group := concat("", ["$", "{{ github.ref }}-$", "{{ github.workflow }}"])
+
+# Локальні composite setup-bun-deps (ga.mdc) — два варіанти шляху:
+# `.github/actions/...` (cursor-репо) і `npm/github-actions/...` (npm-пакет dev-локально).
+local_setup_bun_markers := {
+	"./.github/actions/setup-bun-deps",
+	"./npm/github-actions/setup-bun-deps",
+}
+
+# Заборонені підрядки в кроках `uses` та `run` (ga.mdc): дублюючі setup/cache/install,
+# які мають бути всередині composite-action `setup-bun-deps`.
+forbidden_step_substrings := {
+	"oven-sh/setup-bun": "використовуй .github/actions/setup-bun-deps замість oven-sh/setup-bun",
+	"actions/cache": "використовуй .github/actions/setup-bun-deps замість actions/cache",
+	"bun install": "використовуй .github/actions/setup-bun-deps замість bun install",
+}
+
+# Шаблони довгих повідомлень — через `concat`, щоб дотримуватися regal style/line-length.
+
+concurrency_missing_template := concat(" ", [
+	"відсутня секція concurrency —",
+	"додай concurrency.group: %s і cancel-in-progress: true (ga.mdc)",
+])
+
+shell_continuation_template := concat(" ", [
+	"jobs.%s.steps[%d]: у run заборонено продовження рядків через зворотний сліш;",
+	"оформи як folded block (run: >-) (ga.mdc)",
+])
+
+setup_bun_no_checkout_template := concat(" ", [
+	"jobs.%s: перед локальним setup-bun-deps потрібен крок actions/checkout@v6 —",
+	"інакше runner не знайде action.yml (ga.mdc)",
+])
+
+# ── Аліаси на input ────────────────────────────────────────────────────────
+
+# Усі jobs (з гарантією, що це обʼєкт) — щоб не падати на нетипових YAML.
+jobs := input.jobs
+
+# Плоский список усіх кроків з усіх jobs з метаданими — для перевірок, де job-id
+# і позиція кроку нам потрібні в повідомленні (shell line continuation).
+all_flat_steps contains entry if {
+	some job_id, step_index
+	step := jobs[job_id].steps[step_index]
+	entry := {"job_id": job_id, "step_index": step_index, "step": step}
+}
+
+# ── deny: заборонені setup-bun/cache/install у будь-якому кроці ────────────
+
+deny contains msg if {
+	some entry in all_flat_steps
+	some pattern, hint in forbidden_step_substrings
+	step_uses_or_run_blob(entry.step) != ""
+	contains(step_uses_or_run_blob(entry.step), pattern)
+	msg := sprintf("jobs.%s.steps[%d]: %s (ga.mdc)", [entry.job_id, entry.step_index, hint])
+}
+
+# ── deny: shell-продовження `\` перед переносом рядка у `run:` ─────────────
+#
+# `\` + `\n` — bash line-continuation; у workflow замінюй на folded block `>-`
+# без зворотних слішів (ga.mdc).
+
+deny contains msg if {
+	some entry in all_flat_steps
+	run_text := step_run_text(entry.step)
+	regex.match(`\\\r?\n`, run_text)
+	msg := sprintf(shell_continuation_template, [entry.job_id, entry.step_index])
+}
+
+# ── deny: setup-bun-deps без попереднього checkout у тому ж job ────────────
+#
+# Без `actions/checkout` локальний composite-action недоступний — runner не
+# знайде `action.yml` у дереві. Перевіряємо порядок індексів кроків у кожному
+# job: setup-bun-deps має бути після принаймні одного `actions/checkout@`.
+
+deny contains msg if {
+	some job_id, job in jobs
+	first_setup := first_local_setup_bun_index(job)
+	first_setup >= 0
+	not has_checkout_before(job, first_setup)
+	msg := sprintf(setup_bun_no_checkout_template, [job_id])
+}
+
+# ── deny: concurrency блок ─────────────────────────────────────────────────
+#
+# Дублює окремі per-workflow перевірки для clean-ga-workflows / clean-merged-branch /
+# lint-ga / git-ai, але вкриває й решту workflow-файлів (apply-k8s, lint-js, …),
+# для яких поки немає виділеної polysi.
+
+deny contains msg if {
+	# `object.get(…, default)` повертає `false` коли ключа немає — інакше `not is_object(…)`
+	# над відсутнім полем дає `undefined`, не `true`, і правило мовчки не спрацьовує.
+	not is_object(object.get(input, "concurrency", false))
+	msg := sprintf(concurrency_missing_template, [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(object.get(input, "concurrency", false))
+	input.concurrency.group != expected_concurrency_group
+	msg := sprintf("concurrency.group має бути %s (ga.mdc)", [expected_concurrency_group])
+}
+
+deny contains msg if {
+	is_object(object.get(input, "concurrency", false))
+	input.concurrency["cancel-in-progress"] != true
+	msg := "concurrency.cancel-in-progress має бути true (ga.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# Об'єднаний рядок `uses` + `run` для одного кроку — для substring-пошуку
+# заборонених патернів. `run` може бути рядком або масивом рядків (YAML).
+step_uses_or_run_blob(step) := blob if {
+	uses := object.get(step, "uses", "")
+	run_text := step_run_text(step)
+	blob := concat("\n", [uses, run_text])
+}
+
+# Текст `run:` як один рядок: підтримує рядкові та масивові форми (YAML).
+step_run_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""
+
+# Індекс першого кроку з локальним setup-bun-deps; -1 якщо такого немає.
+first_local_setup_bun_index(job) := min(indices) if {
+	indices := [i |
+		some i, step in job.steps
+		uses := object.get(step, "uses", "")
+		some marker in local_setup_bun_markers
+		contains(uses, marker)
+	]
+	count(indices) > 0
+} else := -1
+
+# Чи є в `job.steps[0..before]` крок `actions/checkout@…`.
+has_checkout_before(job, before) if {
+	some i, step in job.steps
+	i < before
+	uses := object.get(step, "uses", "")
+	contains(uses, "actions/checkout@")
+}

package/policy/graphql/package_json/package_json.rego

@@ -0,0 +1,35 @@
+# Порт перевірки `package.json` з `npm/scripts/check-graphql.mjs` (graphql.mdc).
+#
+# Запуск (локально, ЯКЩО проект містить `gql\`…\`` теги — gating робить JS-частина
+# через oxc-parser-скан):
+#   conftest test package.json -p npm/policy/graphql --namespace graphql.package_json
+#
+# Перевіряє: `scripts.dump-schema` точно відповідає канону graphql.mdc.
+#
+# AST-скан коду на `gql\`…\`` template literals і FS-перевірки (наявність
+# `.graphqlrc.yml`, `.vscode/extensions.json` з `graphql.vscode-graphql`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package graphql.package_json
+
+import rego.v1
+
+required_dump_schema := concat("", [
+	"bunx graphqurl http://localhost:4040/v1/graphql ",
+	"-H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql",
+])
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "dump-schema" in object.keys(scripts)
+	msg := "package.json: відсутній scripts.dump-schema (graphql.mdc)"
+}
+
+deny contains msg if {
+	dump := object.get(object.get(input, "scripts", {}), "dump-schema", "")
+	dump != ""
+	dump != required_dump_schema
+	msg := sprintf("package.json: scripts.dump-schema має бути канонічним з graphql.mdc (зараз %q)", [dump])
+}

package/policy/hasura/svc_hl/svc_hl.rego

@@ -0,0 +1,27 @@
+# Порт мінімальної структурної перевірки `hasura/k8s/base/svc-hl.yaml` з
+# `npm/scripts/check-hasura.mjs` (hasura.mdc): для кожного Service у файлі
+# `metadata.name` має закінчуватись на `-h` (headless-сервіс Hasura).
+#
+# Запуск (локально):
+#   conftest test hasura/k8s/base/svc-hl.yaml -p npm/policy/hasura \
+#     --namespace hasura.svc_hl
+#
+# Решта логіки `check-hasura.mjs` (звірення `HASURA_GRAPHQL_ENDPOINT` в `.env`-файлах
+# з `<service>.<namespace>.svc.<cluster>` через regex по всьому дереву репо, gating
+# на `repository` у кореневому `package.json`) — у JS: вона потребує текстового
+# парсингу `.env`-файлів, обходу дерева й cross-file resolution.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package hasura.svc_hl
+
+import rego.v1
+
+deny contains msg if {
+	input.kind == "Service"
+	name := object.get(object.get(input, "metadata", {}), "name", "")
+	name != ""
+	not endswith(name, "-h")
+	msg := sprintf("hasura svc-hl.yaml: Service %q має закінчуватись на `-h` (hasura.mdc / k8s.mdc)", [name])
+}

package/policy/image_compress/package_json/package_json.rego

@@ -0,0 +1,94 @@
+# Порт перевірки `package.json` з `npm/scripts/check-image-compress.mjs`
+# (image-compress.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/image_compress \
+#     --namespace image_compress.package_json
+#
+# Перевіряє: скрипт `lint-image` викликає `npx @nitra/minify-image` з `--src=.`
+# і `--write`, без `--avif` (AVIF — окреме правило); агрегатор `lint` (якщо є)
+# містить `bun run lint-image`; `@nitra/minify-image` НЕ в dependencies / devDependencies.
+#
+# FS-перевірки (`.minify-image-cache.tsv` legacy-файл, `.gitignore` правил для
+# `.n-minify-image.tsv`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package image_compress.package_json
+
+import rego.v1
+
+minify_pkg := "@nitra/minify-image"
+
+dep_template := concat(" ", [
+	"package.json: %q не повинен бути в %s —",
+	"використовуй npx (image-compress.mdc)",
+])
+
+avif_in_lint_image_template := concat(" ", [
+	"package.json: lint-image не має містити `--avif` —",
+	"AVIF-генерацію виконує check image-avif (image-compress.mdc)",
+])
+
+# ── deny: lint-image ──────────────────────────────────────────────────────
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "lint-image" in object.keys(scripts)
+	msg := "package.json: відсутній scripts.lint-image (image-compress.mdc)"
+}
+
+deny contains msg if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	lint_image != ""
+	not contains(lint_image, sprintf("npx %s", [minify_pkg]))
+	msg := sprintf("package.json: lint-image має викликати `npx %s` (image-compress.mdc)", [minify_pkg])
+}
+
+deny contains msg if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	contains(lint_image, sprintf("npx %s", [minify_pkg]))
+	not has_src_flag(lint_image)
+	msg := "package.json: lint-image має містити `--src=.` (image-compress.mdc)"
+}
+
+deny contains msg if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	contains(lint_image, sprintf("npx %s", [minify_pkg]))
+	not contains(lint_image, "--write")
+	msg := "package.json: lint-image має містити `--write` (image-compress.mdc)"
+}
+
+deny contains avif_in_lint_image_template if {
+	lint_image := object.get(object.get(input, "scripts", {}), "lint-image", "")
+	contains(lint_image, "--avif")
+}
+
+# ── deny: агрегований `lint` має кликати `bun run lint-image` ─────────────
+
+deny contains msg if {
+	"lint-image" in object.keys(object.get(input, "scripts", {}))
+	lint := object.get(object.get(input, "scripts", {}), "lint", "")
+	lint != ""
+	not contains(lint, "bun run lint-image")
+	msg := "package.json: агрегований `lint` має містити `bun run lint-image` (image-compress.mdc)"
+}
+
+# ── deny: `@nitra/minify-image` НЕ в dependencies/devDependencies ────────
+
+deny contains msg if {
+	minify_pkg in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf(dep_template, [minify_pkg, "dependencies"])
+}
+
+deny contains msg if {
+	minify_pkg in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf(dep_template, [minify_pkg, "devDependencies"])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+has_src_flag(s) if contains(s, "--src=.")
+
+has_src_flag(s) if contains(s, "--src .")

package/policy/js_bun_db/package_json/package_json.rego

@@ -0,0 +1,28 @@
+# Порт перевірки залежностей `package.json` з `npm/scripts/check-js-bun-db.mjs`
+# (js-bun-db.mdc).
+#
+# Запуск (локально, для будь-якого `package.json` у дереві):
+#   conftest test path/to/package.json -p npm/policy/js_bun_db \
+#     --namespace js_bun_db.package_json
+#
+# Перевіряє: у `dependencies` не повинно бути `pg`, `pg-format`, `mysql2` —
+# заміна на Bun native SQL (https://bun.com/docs/runtime/sql).
+#
+# AST-скан коду (`new SQL(...)` всередині функцій, `unsafe()` без маркера
+# `// allow-unsafe`, pg-leftover виклики, динамічні `IN (…)` через `.join(',')`)
+# лишається у JS (потребує парсингу `.js` / `.ts` через oxc-parser).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_bun_db.package_json
+
+import rego.v1
+
+forbidden_dependencies := {"pg", "pg-format", "mysql2"}
+
+deny contains msg if {
+	some pkg_name in forbidden_dependencies
+	pkg_name in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("dependencies містить заборонений %q — заміни на Bun native SQL (js-bun-db.mdc)", [pkg_name])
+}

package/policy/js_lint/lint_js_yml/lint_js_yml.rego

@@ -0,0 +1,98 @@
+# Порт перевірки `.github/workflows/lint-js.yml` з `npm/scripts/check-js-lint.mjs`
+# (js-lint.mdc) — структурні очікування `verifyLintJsWorkflowStructure`.
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-js.yml -p npm/policy/js_lint \
+#     --namespace js_lint.lint_js_yml
+#
+# Перевіряє: є крок `actions/checkout@v6` з `with.persist-credentials: false`,
+# є крок `./.github/actions/setup-bun-deps`, у `run` є `bunx oxlint`, `bunx eslint .`,
+# `bunx jscpd .`, у `run` НЕМАЄ `oxlint --fix` чи `eslint --fix` (CI не повинен
+# редагувати код).
+#
+# Універсальні workflow-перевірки (concurrency, заборонені setup-bun/cache, shell
+# line-continuation) — у `ga.workflow_common`. Дубль JS-перевірок у `lint.yml` —
+# у JS-частині `check-js-lint.mjs` (потребує другого workflow-файлу).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.lint_js_yml
+
+import rego.v1
+
+# Усі кроки з усіх jobs — для substring-перевірок.
+all_steps contains step if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+}
+
+all_uses_blob := concat("\n", [u |
+	some step in all_steps
+	u := object.get(step, "uses", "")
+])
+
+all_run_blob := concat("\n", [r |
+	some step in all_steps
+	r := step_run_text(step)
+])
+
+# ── deny: required uses ────────────────────────────────────────────────────
+
+deny contains msg if {
+	not contains(all_uses_blob, "actions/checkout@v6")
+	msg := "lint-js.yml: відсутній крок uses: actions/checkout@v6 (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not contains(all_uses_blob, "./.github/actions/setup-bun-deps")
+	msg := "lint-js.yml: відсутній крок uses: ./.github/actions/setup-bun-deps (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not has_checkout_persist_credentials_false
+	msg := "lint-js.yml: actions/checkout@v6 має бути з with.persist-credentials: false (js-lint.mdc)"
+}
+
+# ── deny: required run substrings ─────────────────────────────────────────
+
+deny contains msg if {
+	not contains(all_run_blob, "bunx oxlint")
+	msg := "lint-js.yml: у run немає `bunx oxlint` (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not contains(all_run_blob, "bunx eslint .")
+	msg := "lint-js.yml: у run немає `bunx eslint .` (js-lint.mdc)"
+}
+
+deny contains msg if {
+	not contains(all_run_blob, "bunx jscpd .")
+	msg := "lint-js.yml: у run немає `bunx jscpd .` (js-lint.mdc)"
+}
+
+# ── deny: --fix у CI заборонено ───────────────────────────────────────────
+
+deny contains msg if {
+	regex.match(`bunx\s+oxlint[^\n]*--fix`, all_run_blob)
+	msg := "lint-js.yml: у run є oxlint з `--fix` (у CI заборонено) (js-lint.mdc)"
+}
+
+deny contains msg if {
+	contains(all_run_blob, "eslint --fix")
+	msg := "lint-js.yml: у run є `eslint --fix` (у CI заборонено) (js-lint.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+has_checkout_persist_credentials_false if {
+	some step in all_steps
+	contains(object.get(step, "uses", ""), "actions/checkout@v6")
+	step.with["persist-credentials"] == false
+}
+
+step_run_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""

package/policy/js_lint/package_json/package_json.rego

@@ -0,0 +1,137 @@
+# Порт перевірок `package.json` з `npm/scripts/check-js-lint.mjs` (js-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/js_lint --namespace js_lint.package_json
+#
+# Перевіряє: канонічний `lint-js` скрипт, `@nitra/eslint-config` ≥ 3.9.2 у
+# `devDependencies`, `engines.node >= 24`, `engines.bun >= 1.3`, `type: "module"`.
+#
+# Перевірка `.oxlintrc.json` проти канонічного JSON (`utils/oxlint-canonical.json`)
+# і дубля JS-перевірок у `lint.yml` — у JS (потребує читання другого файлу
+# і порівняння глибокої структури проти embedded snapshot).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_lint.package_json
+
+import rego.v1
+
+canonical_lint_js := "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd ."
+
+# ── deny: `lint-js` скрипт ─────────────────────────────────────────────────
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "lint-js" in object.keys(scripts)
+	msg := "package.json: відсутній скрипт `lint-js` (js-lint.mdc)"
+}
+
+deny contains msg if {
+	lint_js := object.get(object.get(input, "scripts", {}), "lint-js", "")
+	lint_js != ""
+	normalize_lint_js(lint_js) != canonical_lint_js
+	msg := sprintf("package.json: lint-js має бути %q (js-lint.mdc)", [canonical_lint_js])
+}
+
+# ── deny: type: "module" ──────────────────────────────────────────────────
+
+deny contains msg if {
+	object.get(input, "type", null) != "module"
+	msg := "package.json: \"type\" має бути \"module\" (js-lint.mdc)"
+}
+
+# ── deny: engines ──────────────────────────────────────────────────────────
+
+deny contains msg if {
+	engines := object.get(input, "engines", {})
+	not engines_node_meets(object.get(engines, "node", ""))
+	msg := "package.json: engines.node має бути >= 24 (js-lint.mdc)"
+}
+
+deny contains msg if {
+	engines := object.get(input, "engines", {})
+	not engines_bun_meets(object.get(engines, "bun", ""))
+	msg := "package.json: engines.bun має бути >= 1.3 (js-lint.mdc)"
+}
+
+# ── deny: @nitra/eslint-config ≥ 3.9.2 ────────────────────────────────────
+
+deny contains msg if {
+	dev := object.get(input, "devDependencies", {})
+	not "@nitra/eslint-config" in object.keys(dev)
+	msg := "package.json: відсутній @nitra/eslint-config у devDependencies (js-lint.mdc)"
+}
+
+deny contains msg if {
+	range := object.get(object.get(input, "devDependencies", {}), "@nitra/eslint-config", "")
+	range != ""
+	not eslint_config_meets_min(range)
+	msg := sprintf("package.json: @nitra/eslint-config має бути >= 3.9.2 (зараз %q) (js-lint.mdc)", [range])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+# Нормалізація `lint-js`: trim + одиничні пробіли (як у JS).
+normalize_lint_js(s) := regex.replace(trim_space(s), `\s+`, " ")
+
+# `engines.node`: дозволяється `>=24`, `^24`, `24.x`, `24.0.0` тощо. Дістаємо
+# першу мажорну цифру; вона має бути ≥ 24.
+engines_node_meets(spec) if {
+	major := first_major(spec)
+	major >= 24
+}
+
+# `engines.bun`: дозволяється `>=1.3`, `^1.3.0`, `1.3.x` тощо. Перша мажор-мінор
+# пара має бути ≥ 1.3.
+engines_bun_meets(spec) if {
+	parts := split_to_numbers(spec)
+	count(parts) >= 2
+	parts[0] > 1
+}
+
+engines_bun_meets(spec) if {
+	parts := split_to_numbers(spec)
+	count(parts) >= 2
+	parts[0] == 1
+	parts[1] >= 3
+}
+
+# `@nitra/eslint-config`: ≥ 3.9.2; `workspace:*` теж OK.
+eslint_config_meets_min(range) if startswith(trim_space(range), "workspace:")
+
+eslint_config_meets_min(range) if {
+	parts := split_to_numbers(range)
+	count(parts) >= 3
+	parts[0] > 3
+}
+
+eslint_config_meets_min(range) if {
+	parts := split_to_numbers(range)
+	count(parts) >= 3
+	parts[0] == 3
+	parts[1] > 9
+}
+
+eslint_config_meets_min(range) if {
+	parts := split_to_numbers(range)
+	count(parts) >= 3
+	parts[0] == 3
+	parts[1] == 9
+	parts[2] >= 2
+}
+
+# Перша мажорна цифра з рядка-діапазону (наприклад `^24.1.0` → 24).
+first_major(spec) := major if {
+	parts := split_to_numbers(spec)
+	count(parts) >= 1
+	major := parts[0]
+}
+
+# Розкидати рядок версії на список чисел (відкидаючи range-оператори і нечислові
+# фрагменти). `^24.1.0` → [24, 1, 0]; `>=1.3` → [1, 3]; `workspace:*` → [].
+split_to_numbers(spec) := nums if {
+	tokens := regex.split(`\D+`, spec)
+	non_empty := [t | some t in tokens; t != ""]
+	nums := [n | some t in non_empty; n := to_number(t)]
+}