@nitra/cursor 1.8.207 → 1.8.209

package/scripts/check-js-lint.mjs

@@ -16,7 +16,6 @@ import { readFile } from 'node:fs/promises'
 import { dirname, join } from 'node:path'
 import { fileURLToPath } from 'node:url'
 
-import { parseWorkflowYaml, verifyLintJsWorkflowStructure } from './utils/gha-workflow.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 
 /** Шлях до канонічного oxlint JSON у цьому пакеті (для перевірки та тестів). */
@@ -34,7 +33,6 @@ export const REQUIRED_VSCODE_EXTENSIONS = ['dbaeumer.vscode-eslint', 'github.vsc
 
 const WHITESPACE_RE = /\s+/gu
 const NON_DIGITS_RE = /\D+/u
-const OXLINT_FIX_RE = /bunx\s+oxlint[^\n]*--fix/u
 
 /**
  * Нормалізує рядок скрипта для порівняння (зайві пробіли).
@@ -247,41 +245,11 @@ async function checkEslintConfig(passFn, failFn) {
   }
 }
 
-/**
- * Перевіряє залежності lint-js у package.json (prettier, `@nitra/eslint-config`).
- * @param {{ dependencies?: Record<string, string>, devDependencies?: Record<string, string> }} pkg parsed package.json
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-function checkPackageJsonLintDeps(pkg, passFn, failFn) {
-  const allDeps = { ...pkg.dependencies, ...pkg.devDependencies }
-  if (allDeps.prettier) {
-    failFn('package.json: видали залежність prettier (oxfmt замість prettier, js-lint.mdc)')
-  } else {
-    passFn('package.json не містить prettier')
-  }
-  if (allDeps['@nitra/prettier-config']) {
-    failFn('package.json: видали @nitra/prettier-config (js-lint.mdc)')
-  } else {
-    passFn('package.json не містить @nitra/prettier-config')
-  }
-
-  const nitraEslint = pkg.devDependencies?.['@nitra/eslint-config']
-  if (nitraEslint) {
-    passFn('@nitra/eslint-config є в devDependencies')
-    if (nitraEslintConfigMeetsMinVersion(nitraEslint)) {
-      passFn(
-        '@nitra/eslint-config: мінімум 3.9.2 (no-restricted-syntax для ForInStatement з 3.8.0 + вбудований ignore "**/adr/**" з 3.9.2 + @e18e/eslint-plugin транзитивно, js-lint.mdc)'
-      )
-    } else {
-      failFn(
-        '@nitra/eslint-config: онови до мінімум "^3.9.2" — з 3.9.2 у getConfig вбудовано ignore для "**/adr/**" (ADR-документи не валідуються), плюс транзитивний @e18e/eslint-plugin для oxlint і заборона for...in з 3.8.0 (js-lint.mdc)'
-      )
-    }
-  } else {
-    failFn('@nitra/eslint-config відсутній в devDependencies — додай: bun add -d @nitra/eslint-config')
-  }
-}
+// Перевірки `prettier` / `@nitra/prettier-config` у залежностях (text.mdc) і
+// `@nitra/eslint-config ≥ 3.9.2` тепер у Rego: відповідно
+// `npm/policy/text/package_json/` і `npm/policy/js_lint/package_json/`. Тут
+// лишилася лише workspace-ітерація для `type: "module"` і engines, бо js_lint
+// Rego запускається лише на кореневому `package.json`.
 
 /**
  * Перевіряє, що package.json має `"type": "module"`.
@@ -359,36 +327,18 @@ function checkEnginesBun(label, pkg, passFn, failFn) {
 }
 
 /**
- * Перевіряє package.json на lint-js, prettier, eslint-config, engines.node.
+ * Workspace-ітерація: для кожного workspace `package.json` перевіряємо
+ * `type: "module"` і `engines.{node,bun}`. Кореневий `package.json` ці поля
+ * валідує `npm/policy/js_lint/package_json/`; lint-js скрипт і `@nitra/eslint-config`
+ * — теж у Rego.
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
  */
 async function checkPackageJsonJsLint(passFn, failFn) {
   if (!existsSync('package.json')) return
   const pkg = JSON.parse(await readFile('package.json', 'utf8'))
-
-  checkPackageJsonTypeModule('package.json', pkg, passFn, failFn)
-
   const workspaces = Array.isArray(pkg.workspaces) ? pkg.workspaces : []
   await checkWorkspacePackages(workspaces, passFn, failFn)
-
-  const lintJs = pkg.scripts?.['lint-js']
-  if (lintJs) {
-    passFn('package.json містить скрипт lint-js')
-    if (isCanonicalLintJs(String(lintJs))) {
-      passFn(`lint-js збігається з каноном: ${CANONICAL_LINT_JS}`)
-    } else {
-      failFn(
-        `lint-js має бути рівно: "${CANONICAL_LINT_JS}" (див. js-lint.mdc / check-js-lint.mjs). Зараз: ${JSON.stringify(normalizeLintJsScript(String(lintJs)))}`
-      )
-    }
-  } else {
-    failFn(`package.json не містить скрипт "lint-js" — додай: ${JSON.stringify(CANONICAL_LINT_JS)}`)
-  }
-
-  checkPackageJsonLintDeps(pkg, passFn, failFn)
-  checkEnginesNode('package.json', pkg, passFn, failFn)
-  checkEnginesBun('package.json', pkg, passFn, failFn)
 }
 
 /**
@@ -457,67 +407,16 @@ async function checkVscodeExtensions(passFn, failFn) {
 }
 
 /**
- * Перевіряє lint-js.yml workflow (fallback — текстовий пошук).
- * @param {string} content вміст workflow файлу
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-function checkLintJsWorkflowFallback(content, passFn, failFn) {
-  const checks = [
-    ['actions/checkout@v6', 'lint-js.yml: потрібен крок actions/checkout@v6 (ga.mdc)'],
-    ['persist-credentials: false', 'lint-js.yml: checkout з persist-credentials: false'],
-    ['./.github/actions/setup-bun-deps', 'lint-js.yml: потрібен uses: ./.github/actions/setup-bun-deps'],
-    ['bunx oxlint', 'lint-js.yml: у run має бути bunx oxlint'],
-    ['bunx eslint .', 'lint-js.yml: у run має бути bunx eslint . (без --fix у CI)'],
-    ['bunx jscpd .', 'lint-js.yml: у run має бути bunx jscpd .']
-  ]
-  for (const [needle, errMsg] of checks) {
-    if (content.includes(needle)) {
-      passFn(`lint-js.yml містить: ${needle}`)
-    } else {
-      failFn(errMsg)
-    }
-  }
-  if (content.includes('bunx oxlint') && OXLINT_FIX_RE.test(content)) {
-    failFn('lint-js.yml: у CI не використовуй bunx oxlint --fix (лише bunx oxlint)')
-  }
-  if (content.includes('eslint --fix')) {
-    failFn('lint-js.yml: у CI не використовуй eslint --fix (лише bunx eslint .)')
-  }
-}
-
-/**
- * Перевіряє вміст lint-js.yml через YAML або fallback.
- * @param {string} content вміст файлу
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-function checkLintJsYmlContent(content, passFn, failFn) {
-  const root = parseWorkflowYaml(content)
-  if (root) {
-    const v = verifyLintJsWorkflowStructure(root)
-    if (v.ok) {
-      passFn('lint-js.yml: кроки checkout, setup-bun-deps, oxlint/eslint/jscpd (YAML + кроки)')
-    } else {
-      for (const msg of v.failures) {
-        failFn(`lint-js.yml: ${msg}`)
-      }
-    }
-  } else {
-    checkLintJsWorkflowFallback(content, passFn, failFn)
-  }
-}
-
-/**
- * Перевіряє lint-js.yml і lint.yml workflow.
+ * FS-existence для `lint-js.yml` + cross-file перевірка, що `lint.yml` (якщо існує)
+ * не дублює лінт JS-кроки. Структуру `lint-js.yml` (`actions/checkout@v6`,
+ * `persist-credentials: false`, `setup-bun-deps`, `bunx oxlint/eslint/jscpd .`,
+ * заборона `--fix` у CI) валідує `npm/policy/js_lint/lint_js_yml/`.
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
  */
 async function checkLintJsWorkflows(passFn, failFn) {
   if (existsSync('.github/workflows/lint-js.yml')) {
-    const content = await readFile('.github/workflows/lint-js.yml', 'utf8')
-    passFn('lint-js.yml існує')
-    checkLintJsYmlContent(content, passFn, failFn)
+    passFn('.github/workflows/lint-js.yml є (структуру перевіряє bun run lint-conftest → js_lint.lint_js_yml)')
   } else {
     failFn('.github/workflows/lint-js.yml не існує — створи його (див. check-js-lint.mjs / js-lint.mdc)')
   }

package/scripts/check-js-run.mjs

@@ -12,6 +12,11 @@
  *    дозволені лише у каталозі conn (за замовчуванням `src/conn/`; за наявності
  *    `package.json#imports['#conn/*']` — у його цільовому каталозі); поза ним — порушення
  *    (див. `utils/conn-imports-scan.mjs`);
+ *  - «Нейминг та експорти у `#conn/`»: всередині conn-каталогу basename файла має відповідати
+ *    канону `ql-<id>` / `(pg|mysql)-(read|write)[-<id>]`; `export default` заборонений; має бути
+ *    іменований експорт з імʼям, що дорівнює camelCase від basename файла (`pg-write-contract.js`
+ *    → `export const pgWriteContract`); `index.*` як reexport-барель пропускаємо
+ *    (див. `utils/conn-file-rules.mjs`);
  *  - «process.env / CheckEnv»: пряме `process.env.X` має бути замінено на `env` —
  *    з `@nitra/check-env` (для обов'язкових змінних, із `checkEnv([...])`) або з
  *    `node:process` (для опційних). Коли `env` імпортовано з `@nitra/check-env`,
@@ -40,6 +45,7 @@ import {
 import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './utils/check-env-scan.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { findDepcheckViolationsForPackage, readAllWorkflowFiles } from './utils/depcheck-workflow.mjs'
+import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './utils/conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
   isConnImportsScanSourceFile,
@@ -51,48 +57,6 @@ import { findPromiseSetTimeoutInText, isPromiseSetTimeoutScanSourceFile } from '
 import { walkDir } from './utils/walkDir.mjs'
 import { getMonorepoPackageRootDirs } from './utils/workspaces.mjs'
 
-/** Канонічний `jsconfig.json` для backend workspace-пакетів із каталогом `src/` (js-run.mdc). */
-const CANONICAL_BACKEND_JSCONFIG = Object.freeze({
-  compilerOptions: Object.freeze({
-    lib: Object.freeze(['esnext']),
-    module: 'NodeNext',
-    moduleResolution: 'NodeNext',
-    target: 'esnext',
-    checkJs: false
-  }),
-  include: Object.freeze(['src/**/*'])
-})
-
-/**
- * Глибока рівність для JSON-подібних значень (масиви — порядок важливий).
- * @param {unknown} a перше значення
- * @param {unknown} b друге значення
- * @returns {boolean} true, якщо значення структурно ідентичні
- */
-function deepEqualJson(a, b) {
-  if (a === b) return true
-  if (a === null || b === null || typeof a !== typeof b) return false
-  if (typeof a !== 'object') return false
-  if (Array.isArray(a) !== Array.isArray(b)) return false
-  if (Array.isArray(a)) {
-    if (a.length !== b.length) return false
-    for (const [i, v] of a.entries()) {
-      if (!deepEqualJson(v, b[i])) return false
-    }
-    return true
-  }
-  const ao = /** @type {Record<string, unknown>} */ (a)
-  const bo = /** @type {Record<string, unknown>} */ (b)
-  const keysA = Object.keys(ao).toSorted()
-  const keysB = Object.keys(bo).toSorted()
-  if (keysA.length !== keysB.length) return false
-  for (const [i, k] of keysA.entries()) {
-    if (k !== keysB[i]) return false
-    if (!deepEqualJson(ao[k], bo[k])) return false
-  }
-  return true
-}
-
 /**
  * Чи існує непорожній за змістом маркер каталогу `src/` (рекомендована структура js-run).
  * @param {string} absPackageRoot абсолютний корінь пакета
@@ -108,40 +72,29 @@ function backendPackageHasSrcDir(absPackageRoot) {
 }
 
 /**
- * Перевіряє `jsconfig.json` для backend-пакетів із `src/`.
+ * FS-existence для `jsconfig.json` у backend-пакеті з каталогом `src/` (cross-file:
+ * наявність каталогу + файла). Структуру самого `jsconfig.json` (canonical
+ * compilerOptions і include) валідує `npm/policy/js_run/jsconfig/`; її прогоняє
+ * `bun run lint-conftest`.
  * @param {string} rootDir відносний шлях workspace
  * @param {string} absPackageRoot абсолютний корінь пакета
  * @param {string} label префікс `[pkg] `
  * @param {(msg: string) => void} fail callback для повідомлень про порушення
  * @param {(msg: string) => void} passFn callback для повідомлень про успішну перевірку
- * @returns {Promise<void>}
+ * @returns {void}
  */
-async function checkBackendJsconfigWhenSrcPresent(rootDir, absPackageRoot, label, fail, passFn) {
+function checkBackendJsconfigWhenSrcPresent(rootDir, absPackageRoot, label, fail, passFn) {
   if (!backendPackageHasSrcDir(absPackageRoot)) return
 
   const jcPath = join(rootDir, 'jsconfig.json')
-  if (!existsSync(jcPath)) {
+  if (existsSync(jcPath)) {
+    passFn(`${label}jsconfig.json є (структуру перевіряє bun run lint-conftest → js_run.jsconfig)`)
+  } else {
     fail(
       `${label}є каталог src/, але немає jsconfig.json — додай канонічний файл з js-run.mdc ` +
         `(NodeNext, include: src/**/*).`
     )
-    return
-  }
-  let parsed
-  try {
-    parsed = JSON.parse(await readFile(jcPath, 'utf8'))
-  } catch {
-    fail(`${label}jsconfig.json не вдалося розпарсити як JSON`)
-    return
-  }
-  if (!deepEqualJson(parsed, CANONICAL_BACKEND_JSCONFIG)) {
-    fail(
-      `${label}jsconfig.json не збігається з каноном js-run.mdc — заміни на шаблон з правила ` +
-        `(compilerOptions: lib esnext, module/moduleResolution NodeNext, target esnext, checkJs false; include: src/**/*).`
-    )
-    return
   }
-  passFn(`${label}jsconfig.json узгоджено з js-run (пакет з src/)`)
 }
 
 /**
@@ -236,6 +189,52 @@ async function checkConnImports(absPackageRoot, sourcePaths, pkgJson, label, fai
   return violations
 }
 
+/**
+ * Перевіряє правила нейминга та експортів для файлів усередині `#conn/`.
+ *
+ * Канон імені: `ql-<id>` для GraphQL, `(pg|mysql)-(read|write)[-<id>]` для БД (js-run.mdc,
+ * розділ «Нейминг файлів у `src/conn/`»). Експорт у файлі — лише іменований, з імʼям, що
+ * дорівнює camelCase від basename файла (`pg-write-contract.js` → `export const pgWriteContract`).
+ * @param {string} absPackageRoot абсолютний корінь пакета
+ * @param {string[]} sourcePaths абсолютні шляхи до файлів пакета
+ * @param {unknown} pkgJson розпарсений package.json пакета (або null)
+ * @param {string} label префікс повідомлення `[<pkg>] `
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {Promise<number>} кількість порушень
+ */
+async function checkConnFileNamingAndExports(absPackageRoot, sourcePaths, pkgJson, label, fail) {
+  const connDir = resolveConnDirFromPackageJson(pkgJson)
+  let violations = 0
+  for (const absPath of sourcePaths) {
+    const rel = relPosix(absPackageRoot, absPath)
+    if (!isInsideConnDir(rel, connDir)) continue
+    if (!isConnFileRulesSourceFile(rel)) continue
+    // пропускаємо реекспортний барель `index.*` (якщо знадобиться) і прихований .d.ts
+    const base = rel.slice(rel.lastIndexOf('/') + 1)
+    if (base.startsWith('index.')) continue
+
+    const content = await readFile(absPath, 'utf8')
+    for (const v of findConnFileRuleViolations(content, rel)) {
+      violations++
+      if (v.kind === 'name') {
+        fail(
+          `${label}${rel} — назва файла в '${connDir}/' не відповідає канону js-run: ` +
+            `'ql-<id>', 'pg-{read|write}[-<id>]' або 'mysql-{read|write}[-<id>]' (kebab-case, [a-z0-9-])`
+        )
+      } else if (v.kind === 'default-export') {
+        fail(`${label}${rel} — 'export default' заборонений у '${connDir}/'; зроби іменований експорт`)
+      } else {
+        const found = v.foundNames?.length ? v.foundNames.join(', ') : '—'
+        fail(
+          `${label}${rel} — очікується іменований експорт 'export const ${v.expectedName} = …' ` +
+            `(camelCase від назви файла); знайдено: ${found}`
+        )
+      }
+    }
+  }
+  return violations
+}
+
 /**
  * Перевіряє правило «CheckEnv» для пакета.
  * @param {string} absPackageRoot абсолютний корінь пакета
@@ -323,6 +322,14 @@ async function checkWorkspacePackage(rootDir, ignorePaths, workflows, fail, pass
     passFn(`${label}імпорти підключень (bun#SQL / mssql / @nitra/graphql-request#GraphQLClient) лише в '${connDir}/'`)
   }
 
+  const connFileViolations = await checkConnFileNamingAndExports(absPackageRoot, sourcePaths, pkgJson, label, fail)
+  if (connFileViolations === 0) {
+    const connDir = resolveConnDirFromPackageJson(pkgJson)
+    passFn(
+      `${label}файли в '${connDir}/' дотримують канону js-run: нейминг (ql-/pg-/mysql-…) і іменований експорт у camelCase від basename`
+    )
+  }
+
   const envViolations = await checkProcessEnvUsage(absPackageRoot, sourcePaths, label, fail)
   if (envViolations === 0) {
     passFn(
@@ -390,15 +397,11 @@ async function loadPackageJsonAndCheckBunyanDeps(rootDir, label, fail) {
   const pkgPath = join(rootDir, 'package.json')
   if (!existsSync(pkgPath)) return null
   const pkgJson = JSON.parse(await readFile(pkgPath, 'utf8'))
-  const deps = /** @type {Record<string, unknown>} */ (pkgJson).dependencies
-  const devDeps = /** @type {Record<string, unknown>} */ (pkgJson).devDependencies
-  const allDeps = { ...deps, ...devDeps }
-  if (allDeps['@nitra/bunyan']) {
-    fail(`${label}@nitra/bunyan знайдено — замінити на @nitra/pino`)
-  }
-  if (allDeps.bunyan) {
-    fail(`${label}bunyan знайдено — замінити на @nitra/pino`)
-  }
+  // Заборону `@nitra/bunyan` / `bunyan` у dependencies/devDependencies перенесено
+  // в Rego (`npm/policy/js_run/package_json/`); `bun run lint-conftest` запускає
+  // її по всіх workspace `package.json`. Тут лишилася лише AST-перевірка імпортів.
+  void label
+  void fail
   return pkgJson
 }
 
@@ -411,20 +414,15 @@ async function loadPackageJsonAndCheckBunyanDeps(rootDir, label, fail) {
  * @param {(msg: string) => void} passFn успішне повідомлення
  * @returns {Promise<void>} завершується після перевірки configmap
  */
-async function checkOtelConfigmap(rootDir, label, fail, passFn) {
+function checkOtelConfigmap(rootDir, label, fail, passFn) {
   const configmapPath = join(rootDir, 'k8s', 'base', 'configmap.yaml')
   if (!existsSync(configmapPath)) return
-  const content = await readFile(configmapPath, 'utf8')
-  if (!content.includes('OTEL_RESOURCE_ATTRIBUTES')) {
-    fail(`${label}k8s/base/configmap.yaml не містить OTEL_RESOURCE_ATTRIBUTES`)
-    return
-  }
-  passFn(`${label}k8s/base/configmap.yaml містить OTEL_RESOURCE_ATTRIBUTES`)
-  if (content.includes('service.name=') && content.includes('service.namespace=')) {
-    passFn(`${label}OTEL_RESOURCE_ATTRIBUTES містить service.name та service.namespace`)
-  } else {
-    fail(`${label}OTEL_RESOURCE_ATTRIBUTES має містити service.name=<name>,service.namespace=<namespace>`)
-  }
+  // Перевірку `OTEL_RESOURCE_ATTRIBUTES` має містити `service.name=` /
+  // `service.namespace=` перенесено в Rego (`npm/policy/js_run/configmap/`);
+  // `bun run lint-conftest` запускає її на всіх `k8s/base/configmap.yaml`.
+  void label
+  void fail
+  passFn(`${rootDir}/k8s/base/configmap.yaml є (OTEL — bun run lint-conftest → js_run.configmap)`)
 }
 
 /**

package/scripts/check-npm-module.mjs

@@ -22,20 +22,11 @@ import { join } from 'node:path'
 import { promisify } from 'node:util'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
-import {
-  hasIdTokenWritePermission,
-  hasNpmPublishStepWithPackage,
-  parseWorkflowYaml,
-  pushHasMainBranch,
-  pushPathsIncludeNpmGlob
-} from './utils/gha-workflow.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
 const execFileAsync = promisify(execFile)
 
-const TYPES_FILE_RE = /^\.\/types\/.+\.d\.(ts|mts)$/
-
 /** Перший заголовок релізу у Keep a Changelog (`## [1.2.3]`). */
 const CHANGELOG_FIRST_VERSION_RE = /^## \[([^\]]+)\]/m
 
@@ -115,39 +106,6 @@ function missingHkEmitTypesConfigFragments(hkText) {
   return need.filter(s => !hkText.includes(s))
 }
 
-/**
- * Перевіряє `npm/tsconfig.emit-types.json` на мінімальний набір опцій для `emitDeclarationOnly` у `types/`.
- * @param {unknown} parsed результат `JSON.parse` конфігурації
- * @returns {string[]} повідомлення про помилки (порожній — OK)
- */
-function emitTypesConfigIssues(parsed) {
-  const issues = []
-  if (!parsed || typeof parsed !== 'object') {
-    return ['некоректний JSON']
-  }
-  const co = /** @type {{ [k: string]: unknown }} */ (parsed).compilerOptions
-  if (!co || typeof co !== 'object') {
-    return ['відсутній compilerOptions']
-  }
-  const get = k => /** @type {{ [k: string]: unknown }} */ (co)[k]
-  if (get('allowJs') !== true) {
-    issues.push('compilerOptions.allowJs має бути true')
-  }
-  if (get('declaration') !== true) {
-    issues.push('compilerOptions.declaration має бути true')
-  }
-  if (get('emitDeclarationOnly') !== true) {
-    issues.push('compilerOptions.emitDeclarationOnly має бути true')
-  }
-  if (get('outDir') !== 'types') {
-    issues.push('compilerOptions.outDir має бути "types"')
-  }
-  if (get('skipLibCheck') !== true) {
-    issues.push('compilerOptions.skipLibCheck має бути true')
-  }
-  return issues
-}
-
 /**
  * Шлях на дискі до файлу з поля `types` у `npm/package.json` (значення на кшталт `./types/bin/x.d.ts`).
  * @param {string} typesField значення поля `types` з `package.json`
@@ -162,30 +120,9 @@ function npmTypesFileFromPackageField(typesField) {
 }
 
 /**
- * Перевіряє поле types у npm/package.json.
- * @param {unknown} typesField значення поля types
- * @param {boolean} useSrcJsLayout чи використовується layout з npm/src
- * @param {(msg: string) => void} passFn callback при успішній перевірці
- * @param {(msg: string) => void} failFn callback при помилці
- */
-function checkNpmTypesField(typesField, useSrcJsLayout, passFn, failFn) {
-  if (useSrcJsLayout) {
-    if (typesField === TYPES_INDEX) {
-      passFn(`npm/package.json: "types": "${TYPES_INDEX}" (layout npm/src + .js)`)
-    } else {
-      failFn(`npm/package.json: при наявності .js під npm/src очікується "types": "${TYPES_INDEX}"`)
-    }
-  } else if (typeof typesField === 'string' && TYPES_FILE_RE.test(typesField)) {
-    passFn(`npm/package.json: "types" вказує на файл під ./types/… (${typesField})`)
-  } else {
-    failFn(
-      'npm/package.json: без .js під npm/src поле types має бути рядком виду ./types/….d.ts або .d.mts (див. npm-module.mdc)'
-    )
-  }
-}
-
-/**
- * Перевіряє npm/package.json на типи та files.
+ * Перевіряє наявність на диску файлу зі значення `types` у `npm/package.json`
+ * (cross-file: JSON-поле + FS). Структуру самого поля валідує
+ * `npm/policy/npm_module/npm_package_json/`; тут — лише чи файл реально існує.
  * @param {boolean} useSrcJsLayout чи використовується layout з npm/src
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
@@ -195,14 +132,6 @@ async function checkNpmPackageJson(useSrcJsLayout, passFn, failFn) {
   const npmPkg = JSON.parse(await readFile('npm/package.json', 'utf8'))
   const typesField = npmPkg.types
 
-  checkNpmTypesField(typesField, useSrcJsLayout, passFn, failFn)
-
-  if (Array.isArray(npmPkg.files) && npmPkg.files.includes('types')) {
-    passFn('npm/package.json: files містить "types"')
-  } else {
-    failFn('npm/package.json: масив files має містити "types"')
-  }
-
   const typesPath = useSrcJsLayout ? join('npm', 'types', 'index.d.ts') : npmTypesFileFromPackageField(typesField)
   const missingTypesMsg = useSrcJsLayout
     ? `Відсутній ${join('npm', 'types', 'index.d.ts')} (згенеруй tsc з npm-module.mdc)`
@@ -215,31 +144,19 @@ async function checkNpmPackageJson(useSrcJsLayout, passFn, failFn) {
 }
 
 /**
- * Перевіряє npm/tsconfig.emit-types.json.
+ * FS-existence для `npm/tsconfig.emit-types.json` (структуру `compilerOptions`
+ * валідує `npm/policy/npm_module/emit_types_config/`).
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
  */
-async function checkEmitTypesConfig(passFn, failFn) {
+function checkEmitTypesConfig(passFn, failFn) {
   if (!existsSync(EMIT_TYPES_CONFIG)) {
     failFn(
       `Без .js під npm/src потрібен ${EMIT_TYPES_CONFIG} (див. npm-module.mdc: emit через tsconfig, без штучного src/index.js)`
     )
     return
   }
-  passFn(`${EMIT_TYPES_CONFIG} існує`)
-  let raw
-  try {
-    raw = JSON.parse(await readFile(EMIT_TYPES_CONFIG, 'utf8'))
-  } catch {
-    failFn(`${EMIT_TYPES_CONFIG}: некоректний JSON`)
-    return
-  }
-  const issues = emitTypesConfigIssues(raw)
-  if (issues.length === 0) {
-    passFn(`${EMIT_TYPES_CONFIG}: compilerOptions придатні для emitDeclarationOnly → types/`)
-  } else {
-    failFn(`${EMIT_TYPES_CONFIG}: ${issues.join('; ')}`)
-  }
+  passFn(`${EMIT_TYPES_CONFIG} є (структуру перевіряє bun run lint-conftest → npm_module.emit_types_config)`)
 }
 
 /**
@@ -364,71 +281,25 @@ async function checkDirtyNpmRequiresVersionBump(passFn, failFn) {
 }
 
 /**
- * Перевіряє npm-publish.yml workflow на наявність потрібних полів і кроків.
+ * FS-existence для `npm-publish.yml` workflow. Поля workflow (`on.push.paths`,
+ * `branches`, `id-token: write`, JS-DevTools/npm-publish step) валідує
+ * `npm/policy/npm_module/npm_publish_yml/`.
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при виявленому порушенні
- * @returns {Promise<void>}
  */
-async function checkPublishWorkflow(passFn, failFn) {
+function checkPublishWorkflow(passFn, failFn) {
   const publishWf = '.github/workflows/npm-publish.yml'
-  if (!existsSync(publishWf)) {
+  if (existsSync(publishWf)) {
+    passFn(`${publishWf} є (структуру перевіряє bun run lint-conftest → npm_module.npm_publish_yml)`)
+  } else {
     failFn(`Відсутній ${publishWf} (npm-module.mdc: npm publish)`)
-    return
-  }
-  passFn(`${publishWf} існує`)
-  const pub = await readFile(publishWf, 'utf8')
-  const root = parseWorkflowYaml(pub)
-  if (root) {
-    const checks = [
-      {
-        ok: pushPathsIncludeNpmGlob(root),
-        pass: `${publishWf}: on.push.paths містить npm/**`,
-        fail: `${publishWf}: у on.push.paths має бути npm/**`
-      },
-      {
-        ok: pushHasMainBranch(root),
-        pass: `${publishWf}: очікується branch main`,
-        fail: `${publishWf}: очікується branch main`
-      },
-      {
-        ok: hasIdTokenWritePermission(root),
-        pass: `${publishWf}: permissions містить id-token: write (OIDC)`,
-        fail: `${publishWf}: permissions має містити id-token: write (OIDC)`
-      },
-      {
-        ok: hasNpmPublishStepWithPackage(root),
-        pass: `${publishWf}: uses JS-DevTools/npm-publish та with.package npm/package.json`,
-        fail: `${publishWf}: очікується uses: JS-DevTools/npm-publish та with.package: npm/package.json`
-      }
-    ]
-    for (const c of checks) {
-      if (c.ok) {
-        passFn(c.pass)
-      } else {
-        failFn(c.fail)
-      }
-    }
-    return
-  }
-  const need = [
-    { sub: 'npm/**', msg: `${publishWf}: у on.push.paths має бути npm/**` },
-    { sub: 'branches:', msg: `${publishWf}: очікується on.push.branches` },
-    { sub: 'main', msg: `${publishWf}: очікується branch main` },
-    { sub: 'id-token: write', msg: `${publishWf}: permissions має містити id-token: write (OIDC)` },
-    { sub: 'JS-DevTools/npm-publish', msg: `${publishWf}: очікується uses: JS-DevTools/npm-publish` },
-    { sub: 'package: npm/package.json', msg: `${publishWf}: with.package має бути npm/package.json` }
-  ]
-  for (const { sub, msg } of need) {
-    if (pub.includes(sub)) {
-      passFn(`${publishWf} містить «${sub}»`)
-    } else {
-      failFn(msg)
-    }
   }
 }
 
 /**
- * Перевіряє базову структуру монорепо (package.json, npm/, workspaces, npm/package.json).
+ * Перевіряє базову структуру монорепо: наявність каталогу `npm/` і
+ * `npm/package.json`. Поле `workspaces ∋ "npm"` у кореневому `package.json`
+ * валідує `npm/policy/npm_module/root_package_json/`.
  * @param {(msg: string) => void} pass callback при успішній перевірці
  * @param {(msg: string) => void} fail callback при помилці
  */
@@ -450,15 +321,6 @@ async function checkNpmModuleBasicStructure(pass, fail) {
     fail('npm/ директорія не існує')
   }
 
-  if (existsSync('package.json')) {
-    const pkg = JSON.parse(await readFile('package.json', 'utf8'))
-    if (Array.isArray(pkg.workspaces) && pkg.workspaces.includes('npm')) {
-      pass('package.json workspaces містить "npm"')
-    } else {
-      fail('package.json workspaces має містити "npm"')
-    }
-  }
-
   if (existsSync('npm/package.json')) {
     pass('npm/package.json існує')
   } else {