@nitra/cursor 1.8.206 → 1.8.208

package/scripts/check-graphql.mjs

@@ -1,11 +1,14 @@
 /**
- * Перевіряє правило graphql.mdc: наявність **`.graphqlrc.yml`**, рекомендації
- * **`graphql.vscode-graphql`** і скрипта **`dump-schema`** у кореневому
- * **`package.json`**, якщо у дереві є **`gql\`…\``**.
+ * Перевіряє правило graphql.mdc: наявність **`.graphqlrc.yml`** і рекомендації
+ * **`graphql.vscode-graphql`**, якщо у дереві є **`gql\`…\``**.
  *
  * Обхід репозиторію — **`walkDir`** від **`process.cwd()`** (пропуски як у інших check). Кандидати — **`.vue`** та **`.js`/`.ts`/`.jsx`/`.tsx`** тощо; пропуск **`.d.ts`**, **auto-imports.d.ts** тощо — **`shouldSkipFileForGqlScan`**.
  *
  * Виявлення **`gql`** — **oxc-parser** після витягування `<script>` з SFC (**`graphql-gql-scan.mjs`**). Якщо збігів немає — перевірка завершується успішно без вимог до конфігів.
+ *
+ * Перевірку `scripts.dump-schema == REQUIRED_DUMP_SCHEMA_SCRIPT` у `package.json`
+ * перенесено в Rego (`npm/policy/graphql/package_json/`); `bun run lint-conftest`
+ * запускає її окремо.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -25,9 +28,6 @@ export const GRAPHQL_RC_FILENAME = '.graphqlrc.yml'
 
 /** Розширення VS Code з graphql.mdc. */
 export const REQUIRED_GRAPHQL_VSCODE_EXTENSION = 'graphql.vscode-graphql'
-/** Команда dump-schema з graphql.mdc. */
-export const REQUIRED_DUMP_SCHEMA_SCRIPT =
-  "bunx graphqurl http://localhost:4040/v1/graphql -H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql"
 
 /**
  * Збирає абсолютні шляхи source-файлів, які підлягають скануванню на gql templates.
@@ -106,44 +106,6 @@ async function checkExtensionsRecommendation(pass, fail) {
   }
 }
 
-/**
- * Перевіряє `package.json` і значення scripts.dump-schema.
- * @param {(msg: string) => void} pass success-репортер
- * @param {(msg: string) => void} fail fail-репортер
- * @returns {Promise<void>}
- */
-async function checkPackageDumpSchemaScript(pass, fail) {
-  if (!existsSync('package.json')) {
-    fail('Відсутній package.json у корені репозиторію')
-    return
-  }
-
-  let pkg
-  try {
-    pkg = JSON.parse(await readFile('package.json', 'utf8'))
-  } catch {
-    fail('package.json не є валідним JSON')
-    return
-  }
-
-  const scripts = pkg.scripts
-  if (!scripts || typeof scripts !== 'object' || Array.isArray(scripts)) {
-    fail('package.json: поле scripts має бути обʼєктом')
-    return
-  }
-
-  if (!Object.hasOwn(scripts, 'dump-schema')) {
-    fail('package.json: відсутній scripts.dump-schema (graphql.mdc)')
-    return
-  }
-
-  if (scripts['dump-schema'] === REQUIRED_DUMP_SCHEMA_SCRIPT) {
-    pass('package.json: scripts.dump-schema відповідає graphql.mdc')
-  } else {
-    fail(`package.json: scripts.dump-schema має бути "${REQUIRED_DUMP_SCHEMA_SCRIPT}" (graphql.mdc)`)
-  }
-}
-
 /**
  * Перевіряє graphql.mdc: умовна вимога .graphqlrc.yml, graphql.vscode-graphql
  * і scripts.dump-schema за наявності gql tagged templates.
@@ -176,7 +138,6 @@ export async function check() {
   }
 
   await checkExtensionsRecommendation(pass, fail)
-  await checkPackageDumpSchemaScript(pass, fail)
 
   return reporter.getExitCode()
 }

package/scripts/check-hasura.mjs

@@ -46,7 +46,6 @@ const HASURA_ENDPOINT_LINE_RE = /^[ \t]*(?:export[ \t]+)?HASURA_GRAPHQL_ENDPOINT
 // Дозволяємо два DNS-суфікси кластера: `<name>.internal` (GKE/GCP) і `cluster.local`
 // (стандартний k8s / Yandex Cloud). У YC namespace.yaml + cluster mode дають коротший суфікс.
 const INTERNAL_HASURA_URL_RE = /^http:\/\/([^./]+)\.([^./]+)\.svc\.((?:[^./:]+\.internal)|cluster\.local):(\d+)\/?$/u
-const CLUSTER_LOCAL_SUFFIX = 'cluster.local'
 const INTERNAL_DNS_SUFFIX = '.internal'
 
 /**
@@ -149,9 +148,9 @@ async function checkEnvFile(relPath, expected, reporter) {
   const value = m[1].trim()
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
-    // eslint-disable-next-line @microsoft/sdl/no-insecure-url, sonarjs/no-clear-text-protocols -- hasura.mdc вимагає саме http:// для кластерного URL (TLS не використовується)
+     
     const example =
-      'http://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>'
+      "https://<service>.<namespace>.svc.<cluster>.internal:<port> або http://<service>.<namespace>.svc.cluster.local:<port>"
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )

package/scripts/check-image-avif.mjs

@@ -68,6 +68,7 @@ const VUE_RASTER_STATIC_SRC_RE = /(?<![:\-_.])\bsrc\s*=\s*['"]([^'"\s]+\.(?:png|
  * є сиротами і підлягають видаленню.
  */
 const VUE_AVIF_REF_RE = /['"]([^'"\s]+\.(?:png|jpe?g|gif)\.avif)['"]/giu
+const RASTER_IMAGE_EXT_RE = /\.(?:png|jpe?g|gif)$/iu
 
 /**
  * Чи у `package.json` пакета вимкнено avif-перевірку Vue-імпортів.
@@ -113,8 +114,7 @@ function resolveImageCandidates(importPath, sourceAbsPath, packageRootAbs) {
     /** @type {string[]} */
     const candidates = []
     if (packageRootAbs) {
-      candidates.push(join(packageRootAbs, 'public', importPath))
-      candidates.push(join(packageRootAbs, importPath))
+      candidates.push(join(packageRootAbs, 'public', importPath), join(packageRootAbs, importPath))
     }
     candidates.push(join(process.cwd(), importPath))
     return candidates
@@ -291,7 +291,7 @@ async function hasAnyRasterImage(ignorePaths) {
     process.cwd(),
     absPath => {
       if (found) return
-      if (/\.(?:png|jpe?g|gif)$/iu.test(absPath)) found = true
+      if (RASTER_IMAGE_EXT_RE.test(absPath)) found = true
     },
     ignorePaths
   )

package/scripts/check-image-compress.mjs

@@ -1,121 +1,32 @@
 /**
- * Перевіряє відповідність репозиторію правилу `image-compress.mdc`: канонічний скрипт
- * `lint-image` для оптимізації raster/SVG через `@nitra/minify-image` ≥ 3.2.0 (локально).
+ * Перевіряє вимоги правила `image-compress.mdc` для оптимізації raster/SVG через
+ * `@nitra/minify-image` ≥ 3.2.0 (локально).
  *
- * Очікування:
- * - у кореневому `package.json` є скрипт `lint-image`, який викликає `npx @nitra/minify-image`
- *   з обовʼязковими `--src=.` і `--write`. Прапорець `--avif` у `lint-image` заборонений —
- *   AVIF-генерацію виконує окреме правило `image-avif` (інакше `bun run lint` плодив би `.avif`
- *   для зображень, що ніде не вживаються);
- * - якщо в `package.json` є агрегований скрипт `lint`, він викликає `bun run lint-image`
- *   (симетрично до `lint-text`, `lint-js`, `lint-ga`);
- * - `@nitra/minify-image` не оголошений у `dependencies`/`devDependencies` —
- *   CLI запускається лише через `npx` (як `markdownlint-cli2` у `text.mdc`);
- * - `.n-minify-image.tsv` (committed source of truth з sha1/originalSize/size) НЕ
- *   в `.gitignore` — він має бути в git. Локальний mtime-кеш у
- *   `node_modules/.cache/@nitra/minify-image/mtime.tsv` авто-gitignored через `node_modules/`,
- *   окремої перевірки не вимагає;
- * - застарілий `.minify-image-cache.tsv` (з версій < 3.2) видалений з кореня — інакше
- *   проєкт лишається у напівпереміщеному стані.
+ * **Що тут лишилося** (FS / cross-file):
+ *  - наявність `package.json` у корені;
+ *  - `.n-minify-image.tsv` (committed source of truth з sha1/originalSize/size) НЕ
+ *    в `.gitignore` — він має бути в git;
+ *  - застарілий `.minify-image-cache.tsv` (з версій < 3.2) видалений з кореня та
+ *    з `.gitignore`.
+ *
+ * **Що покрила Rego** (`bun run lint-conftest`,
+ * `npm/policy/image_compress/package_json/`):
+ *  - `scripts.lint-image` викликає `npx @nitra/minify-image --src=. --write`
+ *    без `--avif` (AVIF — окреме правило `image-avif`);
+ *  - агрегований `lint` (якщо є) містить `bun run lint-image`;
+ *  - `@nitra/minify-image` НЕ у `dependencies` / `devDependencies` (через `npx`).
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
 
-/** Імʼя CLI-пакета: рядок у `lint-image` і заборонений у залежностях. */
-const MINIFY_PACKAGE_NAME = '@nitra/minify-image'
-
 /** Імʼя committed-кешу (sha1 + originalSize + size) у `@nitra/minify-image` ≥ 3.2.0. */
 const HASH_CACHE_FILENAME = '.n-minify-image.tsv'
 
 /** Імʼя застарілого 4-колонкового кешу (`@nitra/minify-image` < 3.2). Має бути видалений після міграції. */
 const LEGACY_CACHE_FILENAME = '.minify-image-cache.tsv'
 
-/**
- * Перевіряє скрипт `lint-image` у `package.json`.
- *
- * Має містити виклик `npx @nitra/minify-image` з обовʼязковими прапорцями `--src=.`
- * і `--write` (авто-оптимізація на місці). Прапорець `--avif` у `lint-image`
- * заборонений — AVIF-генерацію виконує `check image-avif`, інакше `bun run lint` плодить
- * `.avif` для зображень, що ніде не вживаються.
- * @param {string|undefined} lintImage значення `scripts['lint-image']`
- * @param {(msg: string) => void} pass callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @returns {void}
- */
-function checkLintImageScript(lintImage, pass, fail) {
-  const canonical = `npx ${MINIFY_PACKAGE_NAME} --src=. --write`
-  if (typeof lintImage !== 'string' || !lintImage.trim()) {
-    fail(`package.json: додай скрипт "lint-image" з \`${canonical}\` (image-compress.mdc)`)
-    return
-  }
-  if (!lintImage.includes(`npx ${MINIFY_PACKAGE_NAME}`)) {
-    fail(`package.json: lint-image має викликати \`npx ${MINIFY_PACKAGE_NAME}\` (image-compress.mdc)`)
-    return
-  }
-  /** @type {{ flag: string, variants: string[], hint: string }[]} */
-  const requiredFlags = [
-    { flag: '--src=.', variants: ['--src=.', '--src .'], hint: '`--src=.`' },
-    { flag: '--write', variants: ['--write'], hint: '`--write` (авто-оптимізація на місці)' }
-  ]
-  const missing = requiredFlags.filter(f => !f.variants.some(v => lintImage.includes(v)))
-  if (missing.length > 0) {
-    fail(
-      `package.json: lint-image має містити ${missing.map(f => f.hint).join(', ')} — канонічний виклик: \`${canonical}\` (image-compress.mdc)`
-    )
-    return
-  }
-  if (lintImage.includes('--avif')) {
-    fail(
-      `package.json: прибери \`--avif\` з lint-image — AVIF-генерацію виконує \`npx @nitra/cursor check image-avif\` (image-compress.mdc). Канонічний виклик: \`${canonical}\``
-    )
-    return
-  }
-  pass(`package.json: lint-image викликає \`${canonical}\``)
-}
-
-/**
- * Перевіряє, що агрегований `lint` (якщо є) кличе `bun run lint-image` —
- * симетрично до `lint-text`, `lint-js`, `lint-ga`.
- * @param {string|undefined} lintAggregate значення `scripts.lint`
- * @param {(msg: string) => void} pass callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @returns {void}
- */
-function checkLintAggregateIncludesImage(lintAggregate, pass, fail) {
-  if (typeof lintAggregate !== 'string' || !lintAggregate.trim()) {
-    return
-  }
-  if (lintAggregate.includes('bun run lint-image')) {
-    pass('package.json: агрегований `lint` викликає `bun run lint-image`')
-  } else {
-    fail(
-      'package.json: у `lint` додай `bun run lint-image` (image-compress.mdc, симетрично до lint-text / lint-js / lint-ga)'
-    )
-  }
-}
-
-/**
- * Забороняє `@nitra/minify-image` у `dependencies` чи `devDependencies` —
- * CLI завжди запускається через `npx` (як `markdownlint-cli2` у `text.mdc`).
- * @param {{ dependencies?: Record<string, unknown>, devDependencies?: Record<string, unknown> }} pkg розібраний package.json
- * @param {(msg: string) => void} pass callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @returns {void}
- */
-function checkMinifyImageNotInDeps(pkg, pass, fail) {
-  const inDeps = Boolean(pkg.dependencies && MINIFY_PACKAGE_NAME in pkg.dependencies)
-  const inDevDeps = Boolean(pkg.devDependencies && MINIFY_PACKAGE_NAME in pkg.devDependencies)
-  if (inDeps || inDevDeps) {
-    fail(
-      `package.json: ${MINIFY_PACKAGE_NAME} не додавай у dependencies/devDependencies — лише через \`npx\` (image-compress.mdc)`
-    )
-  } else {
-    pass(`package.json: ${MINIFY_PACKAGE_NAME} не оголошено в dependencies/devDependencies`)
-  }
-}
-
 /**
  * Зчитує всі змістовні рядки `.gitignore` (без коментарів і порожніх). Якщо файла нема — `null`.
  * @returns {Promise<string[] | null>} список trim-нутих рядків або `null`
@@ -176,41 +87,23 @@ async function checkLegacyCacheRemoved(pass, fail) {
 }
 
 /**
- * Перевіряє кореневий `package.json`: скрипти, заборонені залежності, агрегований `lint`.
- * @param {(msg: string) => void} pass callback при успішній перевірці
- * @param {(msg: string) => void} fail callback при помилці
- * @returns {Promise<boolean>} `true`, якщо `package.json` знайдено й оброблено; `false` — нема
- */
-async function checkPackageJsonImage(pass, fail) {
-  if (!existsSync('package.json')) {
-    fail('package.json не знайдено в корені — додай (image-compress.mdc)')
-    return false
-  }
-  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
-  const scripts = /** @type {Record<string, unknown>} */ (pkg.scripts || {})
-  checkLintImageScript(typeof scripts['lint-image'] === 'string' ? scripts['lint-image'] : undefined, pass, fail)
-  checkLintAggregateIncludesImage(typeof scripts.lint === 'string' ? scripts.lint : undefined, pass, fail)
-  checkMinifyImageNotInDeps(pkg, pass, fail)
-  return true
-}
-
-/**
- * Перевіряє відповідність проєкту правилу `image-compress.mdc`: канонічний `lint-image`
- * (через `npx @nitra/minify-image --src=. --write`, без `--avif`!), агрегований `lint`,
- * `@nitra/minify-image` не у залежностях, `.n-minify-image.tsv` НЕ в `.gitignore`,
- * застарілий `.minify-image-cache.tsv` видалений. CI-workflow для image не вимагається —
- * лінт зображень виконується лише локально.
+ * Перевіряє відповідність проєкту правилу `image-compress.mdc`: `.n-minify-image.tsv` НЕ
+ * в `.gitignore`, застарілий `.minify-image-cache.tsv` видалений. CI-workflow для image
+ * не вимагається — лінт зображень виконується лише локально.
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
  */
 export async function check() {
   const reporter = createCheckReporter()
   const { pass, fail } = reporter
 
-  const pkgFound = await checkPackageJsonImage(pass, fail)
-  if (pkgFound) {
-    await checkHashCacheNotIgnored(pass, fail)
-    await checkLegacyCacheRemoved(pass, fail)
+  if (!existsSync('package.json')) {
+    fail('package.json не знайдено в корені — додай (image-compress.mdc)')
+    return reporter.getExitCode()
   }
+  pass('package.json є (структуру перевіряє bun run lint-conftest → image_compress.package_json)')
+
+  await checkHashCacheNotIgnored(pass, fail)
+  await checkLegacyCacheRemoved(pass, fail)
 
   return reporter.getExitCode()
 }

package/scripts/check-js-bun-db.mjs

@@ -39,18 +39,6 @@ import { findAllPackageJsonPaths } from './utils/find-package-json-paths.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
-/** Імена забороненої залежності у будь-якому `package.json`. */
-const FORBIDDEN_DEPENDENCIES = Object.freeze(['pg', 'pg-format', 'mysql2'])
-
-/**
- * @param {unknown} v parsed JSON
- * @returns {Record<string, unknown>} object або {}
- */
-function asObject(v) {
-  if (!v || typeof v !== 'object' || Array.isArray(v)) return {}
-  return /** @type {Record<string, unknown>} */ (v)
-}
-
 /**
  * Збирає абсолютні шляхи JS/TS джерел у репозиторії для скану Bun SQL патернів.
  * @param {string} repoRoot абсолютний шлях до кореня репозиторію
@@ -74,43 +62,6 @@ async function findAllSourcePathsForBunSqlScan(repoRoot, ignorePaths) {
   return paths
 }
 
-/**
- * Перевіряє, чи в кореневому `package.json` присутні заборонені пакети у `dependencies`.
- * @param {string[]} pkgJsonPaths абсолютні шляхи всіх `package.json` у репо
- * @param {string} repoRoot абсолютний шлях до кореня
- * @param {{ pass: (m: string) => void, fail: (m: string) => void }} reporter колбеки pass і fail з перевірки
- * @returns {Promise<number>} кількість знайдених порушень
- */
-async function checkForbiddenDependencies(pkgJsonPaths, repoRoot, reporter) {
-  const { pass, fail } = reporter
-  let bad = 0
-  for (const absPath of pkgJsonPaths) {
-    const rel = relative(repoRoot, absPath).split('\\').join('/')
-    let parsed
-    try {
-      parsed = JSON.parse(await readFile(absPath, 'utf8'))
-    } catch {
-      fail(`js-bun-db: ${rel} — невалідний JSON`)
-      bad++
-      continue
-    }
-    const deps = asObject(parsed.dependencies)
-    for (const name of FORBIDDEN_DEPENDENCIES) {
-      if (Object.hasOwn(deps, name)) {
-        bad++
-        fail(
-          `js-bun-db: ${rel}: dependencies.${name} — замінити на Bun native SQL ` +
-            `(import { sql, SQL } from 'bun', https://bun.com/docs/runtime/sql) (js-bun-db.mdc)`
-        )
-      }
-    }
-  }
-  if (bad === 0) {
-    pass(`js-bun-db: жоден package.json не містить ${FORBIDDEN_DEPENDENCIES.join(' / ')} у dependencies`)
-  }
-  return bad
-}
-
 /**
  * Сканує JS/TS-джерела на небезпечні патерни Bun SQL.
  * @param {string[]} sourcePaths абсолютні шляхи джерел
@@ -233,7 +184,9 @@ export async function check() {
     return reporter.getExitCode()
   }
 
-  await checkForbiddenDependencies(pkgJsonPaths, repoRoot, reporter)
+  // Перевірку `dependencies` (заборона `pg` / `pg-format` / `mysql2`) перенесено
+  // в Rego-полісі `npm/policy/js_bun_db/package_json/`; `bun run lint-conftest`
+  // запускає її по всіх workspace-`package.json`. Тут лишився лише AST-скан коду.
 
   const sourcePaths = await findAllSourcePathsForBunSqlScan(repoRoot, ignorePaths)
   if (sourcePaths.length === 0) {

package/scripts/check-js-run.mjs

@@ -12,6 +12,11 @@
  *    дозволені лише у каталозі conn (за замовчуванням `src/conn/`; за наявності
  *    `package.json#imports['#conn/*']` — у його цільовому каталозі); поза ним — порушення
  *    (див. `utils/conn-imports-scan.mjs`);
+ *  - «Нейминг та експорти у `#conn/`»: всередині conn-каталогу basename файла має відповідати
+ *    канону `ql-<id>` / `(pg|mysql)-(read|write)[-<id>]`; `export default` заборонений; має бути
+ *    іменований експорт з імʼям, що дорівнює camelCase від basename файла (`pg-write-contract.js`
+ *    → `export const pgWriteContract`); `index.*` як reexport-барель пропускаємо
+ *    (див. `utils/conn-file-rules.mjs`);
  *  - «process.env / CheckEnv»: пряме `process.env.X` має бути замінено на `env` —
  *    з `@nitra/check-env` (для обов'язкових змінних, із `checkEnv([...])`) або з
  *    `node:process` (для опційних). Коли `env` імпортовано з `@nitra/check-env`,
@@ -40,6 +45,7 @@ import {
 import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './utils/check-env-scan.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { findDepcheckViolationsForPackage, readAllWorkflowFiles } from './utils/depcheck-workflow.mjs'
+import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './utils/conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
   isConnImportsScanSourceFile,
@@ -51,52 +57,10 @@ import { findPromiseSetTimeoutInText, isPromiseSetTimeoutScanSourceFile } from '
 import { walkDir } from './utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from './utils/workspaces.mjs'
 
-/** Канонічний `jsconfig.json` для backend workspace-пакетів із каталогом `src/` (js-run.mdc). */
-const CANONICAL_BACKEND_JSCONFIG = Object.freeze({
-  compilerOptions: Object.freeze({
-    lib: Object.freeze(['esnext']),
-    module: 'NodeNext',
-    moduleResolution: 'NodeNext',
-    target: 'esnext',
-    checkJs: false
-  }),
-  include: Object.freeze(['src/**/*'])
-})
-
-/**
- * Глибока рівність для JSON-подібних значень (масиви — порядок важливий).
- * @param {unknown} a
- * @param {unknown} b
- * @returns {boolean}
- */
-function deepEqualJson(a, b) {
-  if (a === b) return true
-  if (a === null || b === null || typeof a !== typeof b) return false
-  if (typeof a !== 'object') return false
-  if (Array.isArray(a) !== Array.isArray(b)) return false
-  if (Array.isArray(a)) {
-    if (a.length !== b.length) return false
-    for (const [i, v] of a.entries()) {
-      if (!deepEqualJson(v, b[i])) return false
-    }
-    return true
-  }
-  const ao = /** @type {Record<string, unknown>} */ (a)
-  const bo = /** @type {Record<string, unknown>} */ (b)
-  const keysA = Object.keys(ao).sort()
-  const keysB = Object.keys(bo).sort()
-  if (keysA.length !== keysB.length) return false
-  for (const [i, k] of keysA.entries()) {
-    if (k !== keysB[i]) return false
-    if (!deepEqualJson(ao[k], bo[k])) return false
-  }
-  return true
-}
-
 /**
  * Чи існує непорожній за змістом маркер каталогу `src/` (рекомендована структура js-run).
  * @param {string} absPackageRoot абсолютний корінь пакета
- * @returns {boolean}
+ * @returns {boolean} true, якщо `src/` існує і є каталогом
  */
 function backendPackageHasSrcDir(absPackageRoot) {
   const srcPath = join(absPackageRoot, 'src')
@@ -108,40 +72,29 @@ function backendPackageHasSrcDir(absPackageRoot) {
 }
 
 /**
- * Перевіряє `jsconfig.json` для backend-пакетів із `src/`.
+ * FS-existence для `jsconfig.json` у backend-пакеті з каталогом `src/` (cross-file:
+ * наявність каталогу + файла). Структуру самого `jsconfig.json` (canonical
+ * compilerOptions і include) валідує `npm/policy/js_run/jsconfig/`; її прогоняє
+ * `bun run lint-conftest`.
  * @param {string} rootDir відносний шлях workspace
  * @param {string} absPackageRoot абсолютний корінь пакета
  * @param {string} label префікс `[pkg] `
- * @param {(msg: string) => void} fail
- * @param {(msg: string) => void} passFn
- * @returns {Promise<void>}
+ * @param {(msg: string) => void} fail callback для повідомлень про порушення
+ * @param {(msg: string) => void} passFn callback для повідомлень про успішну перевірку
+ * @returns {void}
  */
-async function checkBackendJsconfigWhenSrcPresent(rootDir, absPackageRoot, label, fail, passFn) {
+function checkBackendJsconfigWhenSrcPresent(rootDir, absPackageRoot, label, fail, passFn) {
   if (!backendPackageHasSrcDir(absPackageRoot)) return
 
   const jcPath = join(rootDir, 'jsconfig.json')
-  if (!existsSync(jcPath)) {
+  if (existsSync(jcPath)) {
+    passFn(`${label}jsconfig.json є (структуру перевіряє bun run lint-conftest → js_run.jsconfig)`)
+  } else {
     fail(
       `${label}є каталог src/, але немає jsconfig.json — додай канонічний файл з js-run.mdc ` +
         `(NodeNext, include: src/**/*).`
     )
-    return
-  }
-  let parsed
-  try {
-    parsed = JSON.parse(await readFile(jcPath, 'utf8'))
-  } catch {
-    fail(`${label}jsconfig.json не вдалося розпарсити як JSON`)
-    return
-  }
-  if (!deepEqualJson(parsed, CANONICAL_BACKEND_JSCONFIG)) {
-    fail(
-      `${label}jsconfig.json не збігається з каноном js-run.mdc — заміни на шаблон з правила ` +
-        `(compilerOptions: lib esnext, module/moduleResolution NodeNext, target esnext, checkJs false; include: src/**/*).`
-    )
-    return
   }
-  passFn(`${label}jsconfig.json узгоджено з js-run (пакет з src/)`)
 }
 
 /**
@@ -236,6 +189,52 @@ async function checkConnImports(absPackageRoot, sourcePaths, pkgJson, label, fai
   return violations
 }
 
+/**
+ * Перевіряє правила нейминга та експортів для файлів усередині `#conn/`.
+ *
+ * Канон імені: `ql-<id>` для GraphQL, `(pg|mysql)-(read|write)[-<id>]` для БД (js-run.mdc,
+ * розділ «Нейминг файлів у `src/conn/`»). Експорт у файлі — лише іменований, з імʼям, що
+ * дорівнює camelCase від basename файла (`pg-write-contract.js` → `export const pgWriteContract`).
+ * @param {string} absPackageRoot абсолютний корінь пакета
+ * @param {string[]} sourcePaths абсолютні шляхи до файлів пакета
+ * @param {unknown} pkgJson розпарсений package.json пакета (або null)
+ * @param {string} label префікс повідомлення `[<pkg>] `
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<number>} кількість порушень
+ */
+async function checkConnFileNamingAndExports(absPackageRoot, sourcePaths, pkgJson, label, fail) {
+  const connDir = resolveConnDirFromPackageJson(pkgJson)
+  let violations = 0
+  for (const absPath of sourcePaths) {
+    const rel = relPosix(absPackageRoot, absPath)
+    if (!isInsideConnDir(rel, connDir)) continue
+    if (!isConnFileRulesSourceFile(rel)) continue
+    // пропускаємо реекспортний барель `index.*` (якщо знадобиться) і прихований .d.ts
+    const base = rel.slice(rel.lastIndexOf('/') + 1)
+    if (base.startsWith('index.')) continue
+
+    const content = await readFile(absPath, 'utf8')
+    for (const v of findConnFileRuleViolations(content, rel)) {
+      violations++
+      if (v.kind === 'name') {
+        fail(
+          `${label}${rel} — назва файла в '${connDir}/' не відповідає канону js-run: ` +
+            `'ql-<id>', 'pg-{read|write}[-<id>]' або 'mysql-{read|write}[-<id>]' (kebab-case, [a-z0-9-])`
+        )
+      } else if (v.kind === 'default-export') {
+        fail(`${label}${rel} — 'export default' заборонений у '${connDir}/'; зроби іменований експорт`)
+      } else {
+        const found = v.foundNames?.length ? v.foundNames.join(', ') : '—'
+        fail(
+          `${label}${rel} — очікується іменований експорт 'export const ${v.expectedName} = …' ` +
+            `(camelCase від назви файла); знайдено: ${found}`
+        )
+      }
+    }
+  }
+  return violations
+}
+
 /**
  * Перевіряє правило «CheckEnv» для пакета.
  * @param {string} absPackageRoot абсолютний корінь пакета
@@ -323,6 +322,14 @@ async function checkWorkspacePackage(rootDir, ignorePaths, workflows, fail, pass
     passFn(`${label}імпорти підключень (bun#SQL / mssql / @nitra/graphql-request#GraphQLClient) лише в '${connDir}/'`)
   }
 
+  const connFileViolations = await checkConnFileNamingAndExports(absPackageRoot, sourcePaths, pkgJson, label, fail)
+  if (connFileViolations === 0) {
+    const connDir = resolveConnDirFromPackageJson(pkgJson)
+    passFn(
+      `${label}файли в '${connDir}/' дотримують канону js-run: нейминг (ql-/pg-/mysql-…) і іменований експорт у camelCase від basename`
+    )
+  }
+
   const envViolations = await checkProcessEnvUsage(absPackageRoot, sourcePaths, label, fail)
   if (envViolations === 0) {
     passFn(
@@ -390,15 +397,11 @@ async function loadPackageJsonAndCheckBunyanDeps(rootDir, label, fail) {
   const pkgPath = join(rootDir, 'package.json')
   if (!existsSync(pkgPath)) return null
   const pkgJson = JSON.parse(await readFile(pkgPath, 'utf8'))
-  const deps = /** @type {Record<string, unknown>} */ (pkgJson).dependencies
-  const devDeps = /** @type {Record<string, unknown>} */ (pkgJson).devDependencies
-  const allDeps = { ...deps, ...devDeps }
-  if (allDeps['@nitra/bunyan']) {
-    fail(`${label}@nitra/bunyan знайдено — замінити на @nitra/pino`)
-  }
-  if (allDeps.bunyan) {
-    fail(`${label}bunyan знайдено — замінити на @nitra/pino`)
-  }
+  // Заборону `@nitra/bunyan` / `bunyan` у dependencies/devDependencies перенесено
+  // в Rego (`npm/policy/js_run/package_json/`); `bun run lint-conftest` запускає
+  // її по всіх workspace `package.json`. Тут лишилася лише AST-перевірка імпортів.
+  void label
+  void fail
   return pkgJson
 }
 
@@ -411,20 +414,15 @@ async function loadPackageJsonAndCheckBunyanDeps(rootDir, label, fail) {
  * @param {(msg: string) => void} passFn успішне повідомлення
  * @returns {Promise<void>} завершується після перевірки configmap
  */
-async function checkOtelConfigmap(rootDir, label, fail, passFn) {
+function checkOtelConfigmap(rootDir, label, fail, passFn) {
   const configmapPath = join(rootDir, 'k8s', 'base', 'configmap.yaml')
   if (!existsSync(configmapPath)) return
-  const content = await readFile(configmapPath, 'utf8')
-  if (!content.includes('OTEL_RESOURCE_ATTRIBUTES')) {
-    fail(`${label}k8s/base/configmap.yaml не містить OTEL_RESOURCE_ATTRIBUTES`)
-    return
-  }
-  passFn(`${label}k8s/base/configmap.yaml містить OTEL_RESOURCE_ATTRIBUTES`)
-  if (content.includes('service.name=') && content.includes('service.namespace=')) {
-    passFn(`${label}OTEL_RESOURCE_ATTRIBUTES містить service.name та service.namespace`)
-  } else {
-    fail(`${label}OTEL_RESOURCE_ATTRIBUTES має містити service.name=<name>,service.namespace=<namespace>`)
-  }
+  // Перевірку `OTEL_RESOURCE_ATTRIBUTES` має містити `service.name=` /
+  // `service.namespace=` перенесено в Rego (`npm/policy/js_run/configmap/`);
+  // `bun run lint-conftest` запускає її на всіх `k8s/base/configmap.yaml`.
+  void label
+  void fail
+  passFn(`${rootDir}/k8s/base/configmap.yaml є (OTEL — bun run lint-conftest → js_run.configmap)`)
 }
 
 /**