@nitra/cursor 1.8.206 → 1.8.208

package/policy/js_mssql/package_json/package_json.rego

@@ -0,0 +1,57 @@
+# Порт перевірки версії `mssql` з `npm/scripts/check-js-mssql.mjs` (js-mssql.mdc).
+#
+# Запуск (локально, для будь-якого `package.json`):
+#   conftest test path/to/package.json -p npm/policy/js_mssql \
+#     --namespace js_mssql.package_json
+#
+# Перевіряє: якщо `dependencies.mssql` присутній, версія має бути >= 12.5.0.
+# Підтримує `^12.5.0`, `>=12.5.0`, `12.5.0`, `workspace:*` (трактується як OK).
+#
+# AST-скан коду на per-request `new sql.ConnectionPool(...)` всередині функцій
+# (потребує парсингу `.js` / `.ts` через oxc-parser), а також full-semver
+# (`major.minor.patch` triple-compare у `check-js-mssql.mjs`) лишаються у JS:
+# JS-перевірка authoritative, ця Rego — швидкий gate для одиничного `package.json`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_mssql.package_json
+
+import rego.v1
+
+deny contains msg if {
+	range := object.get(object.get(input, "dependencies", {}), "mssql", "")
+	range != ""
+	not mssql_version_meets_min(range)
+	msg := sprintf("dependencies.mssql має бути >= 12.5.0 (зараз %q) (js-mssql.mdc)", [range])
+}
+
+# Мінімум — 12.5.0 (js-mssql.mdc). `workspace:*` трактуємо як OK (узгоджено з JS).
+mssql_version_meets_min(range) if startswith(trim_space(range), "workspace:")
+
+mssql_version_meets_min(range) if {
+	parts := split_to_numbers(range)
+	count(parts) >= 3
+	parts[0] > 12
+}
+
+mssql_version_meets_min(range) if {
+	parts := split_to_numbers(range)
+	count(parts) >= 3
+	parts[0] == 12
+	parts[1] > 5
+}
+
+mssql_version_meets_min(range) if {
+	parts := split_to_numbers(range)
+	count(parts) >= 3
+	parts[0] == 12
+	parts[1] == 5
+	parts[2] >= 0
+}
+
+split_to_numbers(spec) := nums if {
+	tokens := regex.split(`\D+`, spec)
+	non_empty := [t | some t in tokens; t != ""]
+	nums := [n | some t in non_empty; n := to_number(t)]
+}

package/policy/js_run/configmap/configmap.rego

@@ -0,0 +1,45 @@
+# Порт перевірки `k8s/base/configmap.yaml` з `npm/scripts/check-js-run.mjs`
+# (js-run.mdc) — `OTEL_RESOURCE_ATTRIBUTES` має містити `service.name=` і
+# `service.namespace=`.
+#
+# Запуск (локально):
+#   conftest test path/to/k8s/base/configmap.yaml -p npm/policy/js_run \
+#     --namespace js_run.configmap
+#
+# Відповідність імені ConfigMap імені Deployment (cross-file) — у JS і `check-k8s.mjs`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_run.configmap
+
+import rego.v1
+
+# Шаблони повідомлень — через `concat` для regal style/line-length.
+otel_service_name_template := concat(" ", [
+	"ConfigMap %q: OTEL_RESOURCE_ATTRIBUTES має містити",
+	"`service.name=` (js-run.mdc)",
+])
+
+otel_service_namespace_template := concat(" ", [
+	"ConfigMap %q: OTEL_RESOURCE_ATTRIBUTES має містити",
+	"`service.namespace=` (js-run.mdc)",
+])
+
+deny contains msg if {
+	input.kind == "ConfigMap"
+	otel := object.get(object.get(input, "data", {}), "OTEL_RESOURCE_ATTRIBUTES", "")
+	otel != ""
+	not contains(otel, "service.name=")
+	msg := sprintf(otel_service_name_template, [cm_name])
+}
+
+deny contains msg if {
+	input.kind == "ConfigMap"
+	otel := object.get(object.get(input, "data", {}), "OTEL_RESOURCE_ATTRIBUTES", "")
+	otel != ""
+	not contains(otel, "service.namespace=")
+	msg := sprintf(otel_service_namespace_template, [cm_name])
+}
+
+cm_name := object.get(object.get(input, "metadata", {}), "name", "?")

package/policy/js_run/jsconfig/jsconfig.rego

@@ -0,0 +1,66 @@
+# Порт перевірки `jsconfig.json` з `npm/scripts/check-js-run.mjs` (js-run.mdc).
+#
+# Запуск (локально, у backend-пакеті з каталогом `src/`):
+#   conftest test path/to/jsconfig.json -p npm/policy/js_run \
+#     --namespace js_run.jsconfig
+#
+# Перевіряє: `compilerOptions.{lib, module, moduleResolution, target, checkJs}` і
+# `include` мають канонічні значення (js-run.mdc).
+#
+# FS-перевірка (наявність каталогу `src/` у пакеті, наявність самого `jsconfig.json`)
+# і вибір файлу-кандидата — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_run.jsconfig
+
+import rego.v1
+
+# ── deny: compilerOptions ──────────────────────────────────────────────────
+
+deny contains msg if {
+	co := object.get(input, "compilerOptions", {})
+	not is_array(object.get(co, "lib", null))
+	msg := "jsconfig.json: compilerOptions.lib має бути [\"esnext\"] (js-run.mdc)"
+}
+
+deny contains msg if {
+	co := object.get(input, "compilerOptions", {})
+	is_array(co.lib)
+	{l | some l in co.lib} != {"esnext"}
+	msg := "jsconfig.json: compilerOptions.lib має бути [\"esnext\"] (js-run.mdc)"
+}
+
+deny contains msg if {
+	object.get(object.get(input, "compilerOptions", {}), "module", null) != "NodeNext"
+	msg := "jsconfig.json: compilerOptions.module має бути \"NodeNext\" (js-run.mdc)"
+}
+
+deny contains msg if {
+	object.get(object.get(input, "compilerOptions", {}), "moduleResolution", null) != "NodeNext"
+	msg := "jsconfig.json: compilerOptions.moduleResolution має бути \"NodeNext\" (js-run.mdc)"
+}
+
+deny contains msg if {
+	object.get(object.get(input, "compilerOptions", {}), "target", null) != "esnext"
+	msg := "jsconfig.json: compilerOptions.target має бути \"esnext\" (js-run.mdc)"
+}
+
+deny contains msg if {
+	object.get(object.get(input, "compilerOptions", {}), "checkJs", null) != false
+	msg := "jsconfig.json: compilerOptions.checkJs має бути false (js-run.mdc)"
+}
+
+# ── deny: include ──────────────────────────────────────────────────────────
+
+deny contains msg if {
+	not is_array(object.get(input, "include", null))
+	msg := "jsconfig.json: include має бути [\"src/**/*\"] (js-run.mdc)"
+}
+
+deny contains msg if {
+	is_array(input.include)
+	{p | some p in input.include} != {"src/**/*"}
+	msg := "jsconfig.json: include має бути [\"src/**/*\"] (js-run.mdc)"
+}

package/policy/js_run/package_json/package_json.rego

@@ -0,0 +1,31 @@
+# Порт перевірки залежностей `package.json` з `npm/scripts/check-js-run.mjs`
+# (js-run.mdc) — заборона `bunyan` / `@nitra/bunyan`.
+#
+# Запуск (локально, для будь-якого `package.json` у дереві):
+#   conftest test path/to/package.json -p npm/policy/js_run \
+#     --namespace js_run.package_json
+#
+# AST-скан коду на імпорти `bunyan` / `process.env` без `checkEnv`,
+# `new Promise(resolve => setTimeout(resolve, ...))`, обмеження `#conn/*`-аліасів —
+# у JS (потребує парсингу `.js` / `.ts` через oxc-parser).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package js_run.package_json
+
+import rego.v1
+
+forbidden_packages := {"bunyan", "@nitra/bunyan"}
+
+deny contains msg if {
+	some pkg_name in forbidden_packages
+	pkg_name in object.keys(object.get(input, "dependencies", {}))
+	msg := sprintf("dependencies містить %q — використовуй стандартні логери (js-run.mdc)", [pkg_name])
+}
+
+deny contains msg if {
+	some pkg_name in forbidden_packages
+	pkg_name in object.keys(object.get(input, "devDependencies", {}))
+	msg := sprintf("devDependencies містить %q — використовуй стандартні логери (js-run.mdc)", [pkg_name])
+}

package/policy/k8s/manifest/manifest.rego

@@ -0,0 +1,130 @@
+# Порт пер-документних структурних перевірок з `npm/scripts/check-k8s.mjs`
+# (k8s.mdc). Цей пакет описує лише ті правила, що дивляться на ОДИН манифест
+# (один YAML-документ): conftest за замовчуванням розрізає файли по `---` і
+# запускає policy на кожен документ окремо.
+#
+# Запуск (локально, по одному файлу або по дереву):
+#   conftest test path/to/k8s/manifest.yaml -p npm/policy/k8s \
+#     --namespace k8s.manifest
+#
+# Перевіряє:
+#  - `kind: Ingress` заборонено (потрібен перехід на Gateway API);
+#  - `apiVersion: autoscaling/v1` заборонено (HPA → autoscaling/v2);
+#  - `kind: Service` без `cloud.google.com/neg` /
+#    `cloud.google.com/backend-config` в `metadata.annotations` (k8s.mdc);
+#  - `kind: Deployment` — у кожного контейнера спільно `containers` +
+#    `initContainers` має бути `resources.requests.cpu` (рядок на кшталт
+#    `"500m"` чи число), без порожнього значення.
+#
+# CROSS-FILE логіка (Kustomize-резолюція ресурсів, парність svc.yaml/svc-hl.yaml,
+# HPA/PDB/topologySpreadConstraints за каталогом, BackendConfig-сепарація,
+# yaml-language-server schema modeline, namespace-перевірки за деревом
+# `…/k8s/base/`) лишається у `check-k8s.mjs`: вона потребує файлової системи.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package k8s.manifest
+
+import rego.v1
+
+default_cpu_request := "0.5"
+
+forbidden_service_annotations := {
+	"cloud.google.com/neg",
+	"cloud.google.com/backend-config",
+}
+
+ingress_template := concat(" ", [
+	"знайдено kind: Ingress — заміни на Gateway API:",
+	"HTTPRoute (hr.yaml), HealthCheckPolicy (hc.yaml) (k8s.mdc)",
+])
+
+autoscaling_v1_template := concat(" ", [
+	"знайдено apiVersion: autoscaling/v1 (kind: %s) —",
+	"мігруй на autoscaling/v2 (k8s.mdc)",
+])
+
+cpu_missing_template := concat(" ", [
+	"Deployment %q, контейнер %q: відсутнє resources.requests.cpu —",
+	"додай (за замовчуванням %s) (k8s.mdc)",
+])
+
+cpu_empty_template := concat(" ", [
+	"Deployment %q, контейнер %q: resources.requests.cpu має бути непорожнім",
+	"значенням (наприклад \"500m\") (зараз: %v) (k8s.mdc)",
+])
+
+# ── deny: заборонені kind/apiVersion ──────────────────────────────────────
+
+deny contains ingress_template if {
+	input.kind == "Ingress"
+}
+
+deny contains msg if {
+	input.apiVersion == "autoscaling/v1"
+	msg := sprintf(autoscaling_v1_template, [object.get(input, "kind", "<no-kind>")])
+}
+
+# ── deny: заборонені анотації Service ─────────────────────────────────────
+
+deny contains msg if {
+	input.kind == "Service"
+	annotations := object.get(object.get(input, "metadata", {}), "annotations", {})
+	some forbidden_key in forbidden_service_annotations
+	forbidden_key in object.keys(annotations)
+	msg := sprintf("Service %q: видали анотацію %q (k8s.mdc)", [input.metadata.name, forbidden_key])
+}
+
+# ── deny: Deployment — у кожного контейнера resources.requests.cpu ────────
+#
+# Дві гілки: відсутнє/null поле cpu (повідомлення про додавання) і явно
+# присутнє, але порожнє/невалідне значення (повідомлення з підставленим value).
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	not has_non_empty_cpu_request(container)
+	not has_cpu_field(container)
+	msg := sprintf(cpu_missing_template, [deployment_name, container.name, default_cpu_request])
+}
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	not has_non_empty_cpu_request(container)
+	has_cpu_field(container)
+	cpu := container.resources.requests.cpu
+	msg := sprintf(cpu_empty_template, [deployment_name, container.name, cpu])
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+deployment_name := object.get(object.get(input, "metadata", {}), "name", "<no-name>")
+
+# Усі контейнери (звичайні + ініт) Deployment-а — для перевірки CPU.
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "containers", [])
+}
+
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "initContainers", [])
+}
+
+# Чи у контейнера є непорожнє resources.requests.cpu (рядок або число > 0).
+has_non_empty_cpu_request(container) if {
+	cpu := container.resources.requests.cpu
+	is_string(cpu)
+	trim_space(cpu) != ""
+}
+
+has_non_empty_cpu_request(container) if {
+	cpu := container.resources.requests.cpu
+	is_number(cpu)
+	cpu > 0
+}
+
+# Чи у контейнера в реальності присутнє поле resources.requests.cpu (хай і порожнє).
+has_cpu_field(container) if {
+	_ := container.resources.requests.cpu
+}

package/policy/npm_module/emit_types_config/emit_types_config.rego

@@ -0,0 +1,37 @@
+# Порт перевірок `npm/tsconfig.emit-types.json` з `npm/scripts/check-npm-module.mjs`
+# (npm-module.mdc).
+#
+# Запуск (локально):
+#   conftest test npm/tsconfig.emit-types.json -p npm/policy/npm_module \
+#     --namespace npm_module.emit_types_config
+#
+# Перевіряє: `compilerOptions.{allowJs, declaration, emitDeclarationOnly, outDir,
+# skipLibCheck}` мають канонічні значення (true/true/true/"types"/true). FS-перевірки
+# (наявність самого `tsconfig.emit-types.json`, активність layout-варіанта) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package npm_module.emit_types_config
+
+import rego.v1
+
+required_compiler_options := {
+	"allowJs": true,
+	"declaration": true,
+	"emitDeclarationOnly": true,
+	"outDir": "types",
+	"skipLibCheck": true,
+}
+
+deny contains msg if {
+	not is_object(object.get(input, "compilerOptions", null))
+	msg := "npm/tsconfig.emit-types.json: відсутній compilerOptions (npm-module.mdc)"
+}
+
+deny contains msg if {
+	is_object(input.compilerOptions)
+	some key, expected in required_compiler_options
+	object.get(input.compilerOptions, key, null) != expected
+	msg := sprintf("npm/tsconfig.emit-types.json: compilerOptions.%s має бути %v (npm-module.mdc)", [key, expected])
+}

package/policy/npm_module/npm_package_json/npm_package_json.rego

@@ -0,0 +1,55 @@
+# Порт перевірок `npm/package.json` з `npm/scripts/check-npm-module.mjs`
+# (npm-module.mdc).
+#
+# Запуск (локально):
+#   conftest test npm/package.json -p npm/policy/npm_module \
+#     --namespace npm_module.npm_package_json
+#
+# Перевіряє: поле `types` має будь-який з двох канонічних патернів:
+#  - `./types/index.d.ts` (layout `npm/src` з `.js`); або
+#  - `./types/<…>.d.ts` чи `.d.mts` (layout `tsconfig.emit-types.json`).
+#
+# Масив `files` має містити `"types"`. Те, який саме layout активний (зокрема
+# наявність `.js` під `npm/src`), а також існування файлу зі шляху `types` —
+# у JS-перевірці (`check-npm-module.mjs`).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package npm_module.npm_package_json
+
+import rego.v1
+
+# Шаблон повідомлення про неканонічне поле `types` — через `concat` для
+# regal style/line-length.
+types_field_template := concat(" ", [
+	"npm/package.json: поле \"types\" має бути \"./types/index.d.ts\"",
+	"або \"./types/<…>.d.ts|.d.mts\" (зараз: %v) (npm-module.mdc)",
+])
+
+# ── deny: types ────────────────────────────────────────────────────────────
+
+deny contains msg if {
+	types_field := object.get(input, "types", "")
+	not valid_types_field(types_field)
+	msg := sprintf(types_field_template, [types_field])
+}
+
+# ── deny: files має містити "types" ───────────────────────────────────────
+
+deny contains msg if {
+	not is_array(object.get(input, "files", null))
+	msg := "npm/package.json: масив \"files\" відсутній — має містити \"types\" (npm-module.mdc)"
+}
+
+deny contains msg if {
+	is_array(input.files)
+	not "types" in {f | some f in input.files}
+	msg := "npm/package.json: масив \"files\" має містити \"types\" (npm-module.mdc)"
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+valid_types_field("./types/index.d.ts")
+
+valid_types_field(t) if regex.match(`^\./types/.+\.d\.(ts|mts)$`, t)

package/policy/npm_module/npm_publish_yml/npm_publish_yml.rego

@@ -0,0 +1,79 @@
+# Порт перевірок `.github/workflows/npm-publish.yml` з `npm/scripts/check-npm-module.mjs`
+# (npm-module.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/npm-publish.yml -p npm/policy/npm_module \
+#     --namespace npm_module.npm_publish_yml
+#
+# Перевіряє: `on.push.paths` містить glob з `npm/**`, `on.push.branches` містить
+# `main`, у jobs є `permissions.id-token: write` (OIDC), є крок з
+# `uses: JS-DevTools/npm-publish` і `with.package: npm/package.json`.
+#
+# Універсальні workflow-перевірки (concurrency, заборонені setup-bun/cache/install,
+# shell line-continuation) — у `ga.workflow_common`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package npm_module.npm_publish_yml
+
+import rego.v1
+
+# YAML 1.1 quirk: ключ `on:` → boolean true → у конфтесті ключ "true".
+gha_on := input["true"]
+
+# Шаблон повідомлення про відсутній JS-DevTools/npm-publish крок — через `concat`
+# для regal style/line-length.
+npm_publish_step_template := concat(" ", [
+	"npm-publish.yml: очікується `uses: JS-DevTools/npm-publish`",
+	"з `with.package: npm/package.json` (npm-module.mdc)",
+])
+
+# ── deny: paths/branches ──────────────────────────────────────────────────
+
+deny contains msg if {
+	not push_paths_have_npm_glob
+	msg := "npm-publish.yml: у on.push.paths має бути `npm/**` (npm-module.mdc)"
+}
+
+deny contains msg if {
+	not push_branches_have_main
+	msg := "npm-publish.yml: on.push.branches має містити `main` (npm-module.mdc)"
+}
+
+# ── deny: id-token: write у permissions хоч одного job ────────────────────
+
+deny contains msg if {
+	not any_job_has_id_token_write
+	msg := "npm-publish.yml: permissions має містити `id-token: write` (OIDC) (npm-module.mdc)"
+}
+
+# ── deny: крок з uses JS-DevTools/npm-publish та with.package ─────────────
+
+deny contains npm_publish_step_template if {
+	not has_npm_publish_step
+}
+
+# ── helpers ────────────────────────────────────────────────────────────────
+
+push_paths_have_npm_glob if {
+	some p in gha_on.push.paths
+	is_string(p)
+	contains(p, "npm/**")
+}
+
+push_branches_have_main if {
+	"main" in {b | some b in gha_on.push.branches}
+}
+
+any_job_has_id_token_write if {
+	some job in object.get(input, "jobs", {})
+	job.permissions["id-token"] == "write"
+}
+
+has_npm_publish_step if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	contains(object.get(step, "uses", ""), "JS-DevTools/npm-publish")
+	step.with.package == "npm/package.json"
+}

package/policy/npm_module/root_package_json/root_package_json.rego

@@ -0,0 +1,28 @@
+# Порт перевірки кореневого `package.json` з `npm/scripts/check-npm-module.mjs`
+# (npm-module.mdc) — масив `workspaces` має містити "npm".
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/npm_module \
+#     --namespace npm_module.root_package_json
+#
+# Решта кореневих `package.json`-перевірок (заборонені поля, devDeps лише @nitra/*)
+# — у `bun.package_json`. FS-перевірки (наявність каталогу `npm/`,
+# `npm/package.json`) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package npm_module.root_package_json
+
+import rego.v1
+
+deny contains msg if {
+	not is_array(object.get(input, "workspaces", null))
+	msg := "package.json: масив workspaces відсутній — має містити \"npm\" (npm-module.mdc)"
+}
+
+deny contains msg if {
+	is_array(input.workspaces)
+	not "npm" in {w | some w in input.workspaces}
+	msg := "package.json: workspaces має містити \"npm\" (npm-module.mdc)"
+}

package/policy/php/lint_php_yml/lint_php_yml.rego

@@ -0,0 +1,32 @@
+# Порт перевірки `lint-php.yml` з `npm/scripts/check-php.mjs` (php.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-php.yml -p npm/policy/php \
+#     --namespace php.lint_php_yml
+#
+# Перевіряє: хоча б один крок `run` містить `bun run lint-php`. Універсальні
+# workflow-перевірки — у `ga.workflow_common`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package php.lint_php_yml
+
+import rego.v1
+
+all_run_text := concat("\n", [run_text |
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	run_text := step_run_to_text(step)
+])
+
+deny contains msg if {
+	not contains(all_run_text, "bun run lint-php")
+	msg := "lint-php.yml: жоден крок run не містить `bun run lint-php` (php.mdc)"
+}
+
+step_run_to_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""

package/policy/php/package_json/package_json.rego

@@ -0,0 +1,19 @@
+# Порт перевірки `package.json` з `npm/scripts/check-php.mjs` (php.mdc).
+#
+# Запуск (локально):
+#   conftest test package.json -p npm/policy/php --namespace php.package_json
+#
+# Перевіряє: наявність скрипта `lint-php`. FS-перевірки (`composer.json`, наявність
+# `package.json` як такого) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package php.package_json
+
+import rego.v1
+
+deny contains msg if {
+	not object.get(object.get(input, "scripts", {}), "lint-php", false)
+	msg := "package.json: додай скрипт \"lint-php\" (php.mdc)"
+}

package/policy/style_lint/lint_style_yml/lint_style_yml.rego

@@ -0,0 +1,35 @@
+# Порт перевірки `lint-style.yml` з `npm/scripts/check-style-lint.mjs` (style-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test .github/workflows/lint-style.yml -p npm/policy/style_lint \
+#     --namespace style_lint.lint_style_yml
+#
+# Перевіряє: хоча б один крок `run` містить `npx stylelint` (саме через npx, не
+# `bun run lint-style`). Універсальні workflow-перевірки (concurrency, заборонені
+# setup-bun/cache/install) — у `ga.workflow_common`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package style_lint.lint_style_yml
+
+import rego.v1
+
+# Усі тексти `run:` зі steps усіх jobs, склеєні в один blob — для substring-перевірки.
+all_run_text := concat("\n", [run_text |
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	run_text := step_run_to_text(step)
+])
+
+deny contains msg if {
+	not contains(all_run_text, "npx stylelint")
+	msg := "lint-style.yml: жоден крок run не містить `npx stylelint` (style-lint.mdc)"
+}
+
+# Текст `run:` як один рядок: підтримує string і array форми (YAML).
+step_run_to_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""