@nitra/cursor 1.9.12 → 1.9.16

package/CHANGELOG.md

@@ -4,6 +4,66 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.16] - 2026-05-13
+
+### Added
+
+- **5 нових rego-полісі для `.vscode/extensions.json` / `.vscode/settings.json`** (мігровано канон з .mdc у rego, прибрано JS-дублі):
+  - `style_lint.vscode_extensions` — `recommendations` має містити `stylelint.vscode-stylelint` (style-lint.mdc).
+  - `style_lint.vscode_settings` — `css.validate` / `scss.validate` / `less.validate: false`; `editor.codeActionsOnSave` свідомо не enforced (smell-test, мдс показує як рекомендацію).
+  - `graphql.vscode_extensions` — `recommendations` має містити `graphql.vscode-graphql` (graphql.mdc). НЕ реєструється глобально у `lint-conftest` TARGETS — правило conditional на наявність `gql\`…\``у джерелах; викликається з`check-graphql.mjs`через`runConftestBatch` після gql-scan.
+  - `nginx_default_tpl.vscode_extensions` — `recommendations` має містити `ahmadalli.vscode-nginx-conf` (nginx-default-tpl.mdc).
+  - `nginx_default_tpl.vscode_settings` — `editor.formatOnSave: true` і `[nginx].editor.defaultFormatter: "ahmadalli.vscode-nginx-conf"`. Обидва nginx-полісі викликаються з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише після виявлення `default.conf.template`.
+- **28 нових тестів** до пʼяти полісі: 5 (style_lint.vscode_extensions) + 6 (style_lint.vscode_settings) + 5 (graphql.vscode_extensions) + 5 (nginx_default_tpl.vscode_extensions) + 7 (nginx_default_tpl.vscode_settings). `conftest verify` — **234/234 pass** (+28).
+
+### Removed
+
+- **`check-style-lint.mjs::checkVscodeStylelint`** — функція повністю видалена; зміст delegated у `style_lint.vscode_extensions` і `style_lint.vscode_settings`. JSDoc-преамбулу оновлено.
+- **`check-graphql.mjs::checkExtensionsRecommendation` — JS-копія тіла перевірки видалена:** функція тепер є тонкою обгорткою над `runConftestBatch`, делегує `graphql.vscode_extensions`. Зник дубль JSON-парсингу й порівняння `recommendations`.
+- **`check-nginx-default-tpl.mjs::checkVscodeNginx` — JS-копія тіла перевірки видалена:** функція тепер делегує `nginx_default_tpl.vscode_extensions` і `nginx_default_tpl.vscode_settings` через `runConftestBatch`. Зник дубль перевірок `editor.formatOnSave` і `[nginx].editor.defaultFormatter` у JS.
+
+### Changed
+
+- **`lint-conftest.mjs` TARGETS — два нові глобальні entry для style-lint:** `style_lint.vscode_extensions` (`single: .vscode/extensions.json`) і `style_lint.vscode_settings` (`single: .vscode/settings.json`), обидва з `rule: 'style-lint'`. Не-style-lint проєкти не зачіпають (filter по `activeRules` з `.n-cursor.json`).
+- **graphql/nginx — НЕ реєструються глобально у `lint-conftest`:** правила conditional на per-package умовах, які lint-conftest не вміє виразити (`gql\`…\``у джерелах для graphql; наявність`default.conf.template`для nginx). Plan B: rego-authoritative + JS-orchestrator з`runConftestBatch`.
+
+## [1.9.15] - 2026-05-13
+
+### Added
+
+- **`npm/policy/js_run/jsconfig/jsconfig_test.rego` — 12 нових тестів для канону `jsconfig.json`:** rego-полісі `js_run.jsconfig` (canonical compilerOptions — `lib: ["esnext"]`, `module/moduleResolution: NodeNext`, `target: esnext`, `checkJs: false`, `include: ["src/**/*"]`) існувала, але не мала тестів і не запускалась на реальних файлах. Додано happy path + 11 негативних кейсів через `json.patch`-фікстури.
+- **`npm/policy/image_avif/package_json/` — структурна валідація опт-аут конфігу:** новий rego-пакет `image_avif.package_json` з 3 deny-правилами для `package.json`: значення `"@nitra/minify-image"` має бути обʼєктом (якщо присутнє), `disable-avif` має бути boolean (якщо присутнє), захист від typo `disabled-avif`. Поле опційне — більшість проєктів його не мають, deny спрацьовує лише на нелегітимну форму (typo або wrong type, що тихо ламає опт-аут). +11 тестів. Зареєстровано у `lint-conftest.mjs` TARGETS з `walk` по всіх `package.json` (з фільтром `rule: "image-avif"`).
+
+### Changed
+
+- **`check-js-run.mjs::checkBackendJsconfigWhenSrcPresent` — структуру `jsconfig.json` тепер валідує rego через `runConftestBatch`:** замість FS-existence-only + посилання на `lint-conftest` (яке насправді не запускалось — rego не була зареєстрована глобально), JS тепер викликає rego-пакет `js_run.jsconfig` через `runConftestBatch` після того, як визначить, що пакет — backend (без `vite` у `devDependencies`) з каталогом `src/`. Це Plan B: Rego-authoritative + JS-orchestrator. Глобальна реєстрація `js_run.jsconfig` у `lint-conftest.mjs` свідомо не додавалась — rule стосується лише workspace-пакетів певної форми, що lint-conftest filter (`activeRules` на рівні репо) не вміє виразити.
+
+### Not done (Phase 1.5 — пізніше)
+
+- **`rego.mdc`, `tauri.mdc`** — rego-полісі для канонічних `.vscode/extensions.json` / `.vscode/settings.json` потрібен JS-orchestrator. Ці правила conditional (rego — glob `**/*.rego`, tauri — лише Tauri-проєкти), тож запускати rego безумовно на кожний `.vscode/extensions.json` дало б false-positive порушення для всіх не-rego/не-tauri проєктів. Чисте розширення rego-полісі без `check-<rule>.mjs`-orchestrator-а тут не закриває правило.
+
+## [1.9.14] - 2026-05-13
+
+### Added
+
+- **`text.markdownlint` rego — повний канон `.markdownlint-cli2.jsonc` тепер виноситься як deny:** раніше rego-полісі мала **рівно один** deny (`gitignore == true`), а решта канонічного блока з [text.mdc](mdc/text.mdc) (`config.default == true`, `MD013 == false`, `MD024.siblings_only == true`, `MD029 == false`, `MD040 == false`, `MD041 == false`) була показана як приклад, але не перевірялась. Додано 6 нових deny-правил, що покривають кожне поле канону; додаткові поля верхнього рівня (`ignores`) і додаткові MD-rules (`MD033` тощо) дозволені — канон задає мінімум. Шаблон повідомлень — через `concat` для regal style/line-length.
+- **`npm/policy/text/markdownlint/markdownlint_test.rego` — 14 нових тестів:** happy path (канонічний `.markdownlint-cli2.jsonc`), дозволені розширення (`ignores`, `MD033`), порушення для `gitignore` (відсутній / `false`), `config.default` (відсутній / `false`), `MD013/029/040/041` (`true` або відсутній), `MD024` (не object / `siblings_only: false` / відсутній). `conftest verify` — **183/183 pass** (+14). `lint-conftest` на реальному `.markdownlint-cli2.jsonc` репо: 5/5 (раніше було 1/1 — додано 4 нові тестові кейси проти реального файлу).
+
+## [1.9.13] - 2026-05-13
+
+### Removed
+
+- **`check-bun.mjs::isAllowedRootDevDependency` — видалено JS-копію, дубль rego:** функція експортувалася лише для тестів, у `check()` не викликалась; логіка «дозволено лише `@nitra/*` у кореневих `devDependencies`» давно живе у `npm/policy/bun/package_json/package_json.rego` (`not startswith(name, "@nitra/")`). Docstring помилково посилався на `check-text.mjs`, який цю функцію не імпортує. Тепер єдине джерело — rego; у `check-bun.mjs` додано коментар з посиланням на полісі.
+
+### Added
+
+- **`npm/policy/bun/package_json/package_json_test.rego` — rego-тести для bun.package_json:** 12 нових `test_*`-кейсів через `json.patch`-фікстури — happy path (без `devDependencies`, з кількома `@nitra/*`), 4 негативні `devDependencies` (`@cspell/dict-uk-ua`, `@cspell/cspell-lib`, `lodash`, `@types/node`), mixed-devDeps з конкретним повідомленням про `lodash`, заборона `packageManager`, заборона кореневих `dependencies` (порожній обʼєкт теж), агрегований `lint`-скрипт (відсутній / не покриває `bun run` / без `&& oxfmt .`). Покривається `bun run lint-rego` (169/169 pass).
+
+### Changed
+
+- **`npm/tests/check-bun.test.mjs` — прибрано `describe('isAllowedRootDevDependency')`:** імпорт і блок тестів видалено; залишено інтеграційні `check-bun`-тести у тимчасових каталогах (FS / cross-file частина).
+- **Аудит інших `check-*.mjs`**: пройдено всі 22 скрипти на наявність дубля з rego (export не викликається внутрішньо + наявне `npm/policy/<rule>/<name>/<name>.rego`). Знайдено лише цей кейс; `httpRouteMatchesNginxDefaultTpl` у `check-nginx-default-tpl.mjs` залишається — не має rego-counterpart і свідомо лишений для майбутнього використання згідно docstring. Інші експорти або викликаються у відповідному `check()` / приватних helper-ах, або не мають rego-копії.
+
 ## [1.9.12] - 2026-05-13
 
 ### Removed

package/mdc/text.mdc

@@ -144,6 +144,9 @@ version: '1.26'
   "config": {
     "default": true,
     "MD013": false,
+    "MD024": {
+      "siblings_only": true
+    },
     "MD029": false,
     "MD040": false,
     "MD041": false

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.12",
+  "version": "1.9.16",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/bun/package_json/package_json_test.rego

@@ -0,0 +1,109 @@
+# Тести для `bun.package_json`. Запуск:
+#   conftest verify -p npm/policy/bun/package_json
+package bun.package_json_test
+
+import rego.v1
+
+import data.bun.package_json
+
+valid_pkg := {
+	"name": "n-cursor",
+	"devDependencies": {"@nitra/eslint-config": "^3.9.2"},
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_minimal if {
+	count(package_json.deny) == 0 with input as valid_pkg
+}
+
+test_allow_multiple_nitra_deps if {
+	pkg := json.patch(valid_pkg, [{
+		"op": "replace",
+		"path": "/devDependencies",
+		"value": {"@nitra/eslint-config": "^3.9.2", "@nitra/cspell-dict": "^2.0.0", "@nitra/stylelint-config": "^1.0.0"},
+	}])
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_no_dev_dependencies if {
+	pkg := json.patch(valid_pkg, [{"op": "remove", "path": "/devDependencies"}])
+	count(package_json.deny) == 0 with input as pkg
+}
+
+# ── deny: devDependencies лише @nitra/* ──────────────────────────────────
+
+test_deny_non_nitra_devdep if {
+	cases := [
+		{"@cspell/dict-uk-ua": "^2.0.0"},
+		{"@cspell/cspell-lib": "^9.0.0"},
+		{"lodash": "*"},
+		{"@types/node": "^24.0.0"},
+	]
+	some bad in cases
+	pkg := json.patch(valid_pkg, [{"op": "replace", "path": "/devDependencies", "value": bad}])
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_mixed_dev_deps_only_flags_non_nitra if {
+	pkg := json.patch(valid_pkg, [{
+		"op": "replace",
+		"path": "/devDependencies",
+		"value": {"@nitra/eslint-config": "^3.9.2", "lodash": "*"},
+	}])
+	some msg in package_json.deny with input as pkg
+	contains(msg, "lodash")
+}
+
+# ── deny: packageManager ─────────────────────────────────────────────────
+
+test_deny_package_manager_field if {
+	pkg := json.patch(valid_pkg, [{"op": "add", "path": "/packageManager", "value": "pnpm@9.0.0"}])
+	count(package_json.deny) > 0 with input as pkg
+}
+
+# ── deny: dependencies у кореневому ──────────────────────────────────────
+
+test_deny_root_dependencies_present if {
+	pkg := json.patch(valid_pkg, [{"op": "add", "path": "/dependencies", "value": {"lodash": "*"}}])
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_empty_dependencies_object if {
+	pkg := json.patch(valid_pkg, [{"op": "add", "path": "/dependencies", "value": {}}])
+	count(package_json.deny) > 0 with input as pkg
+}
+
+# ── deny: агрегований lint ───────────────────────────────────────────────
+
+test_deny_lint_prefixed_without_aggregate if {
+	pkg := json.patch(valid_pkg, [{"op": "add", "path": "/scripts", "value": {"lint-js": "echo"}}])
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_allow_lint_aggregate_calls_subscript_and_oxfmt if {
+	pkg := json.patch(valid_pkg, [{
+		"op": "add",
+		"path": "/scripts",
+		"value": {"lint-js": "echo", "lint": "bun run lint-js && oxfmt ."},
+	}])
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_deny_lint_aggregate_missing_oxfmt if {
+	pkg := json.patch(valid_pkg, [{
+		"op": "add",
+		"path": "/scripts",
+		"value": {"lint-js": "echo", "lint": "bun run lint-js"},
+	}])
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_lint_aggregate_missing_subscript_via_bun_run if {
+	pkg := json.patch(valid_pkg, [{
+		"op": "add",
+		"path": "/scripts",
+		"value": {"lint-js": "echo", "lint-text": "echo", "lint": "bun run lint-js && oxfmt ."},
+	}])
+	count(package_json.deny) > 0 with input as pkg
+}

package/policy/graphql/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,20 @@
+# Перевірка `.vscode/extensions.json` для graphql (graphql.mdc).
+#
+# Викликається з `check-graphql.mjs` через `runConftestBatch` лише ПІСЛЯ того,
+# як JS виявив `gql\`…\`` tagged template literal у джерелах (умовне правило).
+# Тому в `lint-conftest.mjs` TARGETS глобально не реєструється — інакше були б
+# false-positive порушення на проєктах без gql.
+#
+# Canonical (graphql.mdc):
+#   { "recommendations": ["graphql.vscode-graphql"] }
+#
+# Канон задає мінімум; інші записи (від markdownlint/oxc/...) дозволені.
+package graphql.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "graphql.vscode-graphql" in {r | some r in recs}
+	msg := ".vscode/extensions.json: додай у recommendations \"graphql.vscode-graphql\" (graphql.mdc)"
+}

package/policy/graphql/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,34 @@
+# Тести для `graphql.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/graphql/vscode_extensions
+package graphql.vscode_extensions_test
+
+import rego.v1
+
+import data.graphql.vscode_extensions
+
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["graphql.vscode-graphql"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"graphql.vscode-graphql",
+		"oxc.oxc-vscode",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/image_avif/package_json/package_json.rego

@@ -0,0 +1,61 @@
+# Структурна перевірка опт-аут конфігу для image-avif у `package.json` (image-avif.mdc).
+#
+# Запуск (локально):
+#   conftest test <pkg>/package.json -p npm/policy/image_avif/package_json \
+#     --namespace image_avif.package_json
+#
+# Канонічна форма опт-ауту з image-avif.mdc:
+#   { "@nitra/minify-image": { "disable-avif": true } }
+#
+# Поле опційне — більшість проєктів його не мають. Полісі deny лише, якщо поле
+# присутнє, але має нелегітимну форму: типовий typo (`disabled-avif`) або
+# неправильний тип (`"disable-avif": "yes"`). Без цієї перевірки помилкове
+# написання тихо повертає AVIF-генерацію всередину пакета, де її хотіли вимкнути.
+#
+# FS / behavior (запуск `npx @nitra/minify-image`, walk `.vue`, видалення AVIF-сиріт) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package image_avif.package_json
+
+import rego.v1
+
+minify_image_field := "@nitra/minify-image"
+
+# ── deny: значення поля має бути обʼєктом, якщо присутнє ──────────────────
+
+deny contains msg if {
+	value := object.get(input, minify_image_field, null)
+	value != null
+	not is_object(value)
+	msg := sprintf(
+		"package.json: поле \"@nitra/minify-image\" має бути обʼєктом (зараз: %v) (image-avif.mdc)",
+		[value],
+	)
+}
+
+# ── deny: відомі ключі мають правильний тип ──────────────────────────────
+
+deny contains msg if {
+	cfg := object.get(input, minify_image_field, {})
+	is_object(cfg)
+	value := object.get(cfg, "disable-avif", null)
+	value != null
+	not is_boolean(value)
+	msg := sprintf(
+		"package.json: \"@nitra/minify-image.disable-avif\" має бути boolean (зараз: %v) (image-avif.mdc)",
+		[value],
+	)
+}
+
+# ── deny: захист від typo `disabled-avif` ────────────────────────────────
+
+deny contains msg if {
+	cfg := object.get(input, minify_image_field, {})
+	is_object(cfg)
+	"disabled-avif" in object.keys(cfg)
+	msg := concat(" ", [
+		"package.json: ключ \"@nitra/minify-image.disabled-avif\" виглядає як typo —",
+		"канонічна назва \"disable-avif\" (image-avif.mdc)",
+	])
+}

package/policy/image_avif/package_json/package_json_test.rego

@@ -0,0 +1,69 @@
+# Тести для `image_avif.package_json`. Запуск:
+#   conftest verify -p npm/policy/image_avif/package_json
+package image_avif.package_json_test
+
+import rego.v1
+
+import data.image_avif.package_json
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_no_field if {
+	count(package_json.deny) == 0 with input as {"name": "x"}
+}
+
+test_allow_canonical_opt_out if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": true}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_disable_avif_false if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": false}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_empty_config if {
+	pkg := {"name": "x", "@nitra/minify-image": {}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_other_keys_inside if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": true, "future-flag": "y"}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+# ── deny: тип поля ───────────────────────────────────────────────────────
+
+test_deny_field_is_string if {
+	pkg := {"name": "x", "@nitra/minify-image": "disable-avif"}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_field_is_array if {
+	pkg := {"name": "x", "@nitra/minify-image": ["disable-avif"]}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_field_is_boolean if {
+	pkg := {"name": "x", "@nitra/minify-image": true}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+# ── deny: тип disable-avif ──────────────────────────────────────────────
+
+test_deny_disable_avif_string if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": "yes"}}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_disable_avif_number if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": 1}}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+# ── deny: typo disabled-avif ────────────────────────────────────────────
+
+test_deny_typo_disabled_avif if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disabled-avif": true}}
+	count(package_json.deny) > 0 with input as pkg
+}

package/policy/js_run/jsconfig/jsconfig_test.rego

@@ -0,0 +1,88 @@
+# Тести для `js_run.jsconfig`. Запуск:
+#   conftest verify -p npm/policy/js_run/jsconfig
+package js_run.jsconfig_test
+
+import rego.v1
+
+import data.js_run.jsconfig
+
+valid_cfg := {
+	"compilerOptions": {
+		"lib": ["esnext"],
+		"module": "NodeNext",
+		"moduleResolution": "NodeNext",
+		"target": "esnext",
+		"checkJs": false,
+	},
+	"include": ["src/**/*"],
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(jsconfig.deny) == 0 with input as valid_cfg
+}
+
+# ── compilerOptions.lib ───────────────────────────────────────────────────
+
+test_deny_lib_not_array if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/lib", "value": "esnext"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_lib_wrong_value if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/lib", "value": ["es2022"]}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_lib_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/compilerOptions/lib"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+# ── compilerOptions.module / moduleResolution / target / checkJs ──────────
+
+test_deny_module_not_nodenext if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/module", "value": "esnext"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_module_resolution_not_nodenext if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "replace", "path": "/compilerOptions/moduleResolution", "value": "node"}],
+	)
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_target_not_esnext if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/target", "value": "es2022"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_check_js_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/checkJs", "value": true}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_check_js_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/compilerOptions/checkJs"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+# ── include ──────────────────────────────────────────────────────────────
+
+test_deny_include_not_array if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/include", "value": "src/**/*"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_include_wrong_value if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/include", "value": ["lib/**/*"]}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_include_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/include"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}

package/policy/nginx_default_tpl/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,16 @@
+# Перевірка `.vscode/extensions.json` для nginx-default-tpl (nginx-default-tpl.mdc).
+#
+# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# ПІСЛЯ того, як JS виявив `default.conf.template` у дереві (умовне правило).
+# Глобально у `lint-conftest.mjs` TARGETS не реєструється.
+#
+# Canonical: `recommendations` має містити `ahmadalli.vscode-nginx-conf`.
+package nginx_default_tpl.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "ahmadalli.vscode-nginx-conf" in {r | some r in recs}
+	msg := ".vscode/extensions.json: recommendations має містити \"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)"
+}

package/policy/nginx_default_tpl/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,30 @@
+# Тести для `nginx_default_tpl.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/nginx_default_tpl/vscode_extensions
+package nginx_default_tpl.vscode_extensions_test
+
+import rego.v1
+
+import data.nginx_default_tpl.vscode_extensions
+
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["ahmadalli.vscode-nginx-conf"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint", "ahmadalli.vscode-nginx-conf"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/nginx_default_tpl/vscode_settings/vscode_settings.rego

@@ -0,0 +1,36 @@
+# Перевірка `.vscode/settings.json` для nginx-default-tpl (nginx-default-tpl.mdc).
+#
+# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# ПІСЛЯ того, як JS виявив `default.conf.template`. Глобально у `lint-conftest`
+# не реєструється.
+#
+# Canonical:
+#   { "editor.formatOnSave": true,
+#     "[nginx]": { "editor.defaultFormatter": "ahmadalli.vscode-nginx-conf" } }
+package nginx_default_tpl.vscode_settings
+
+import rego.v1
+
+deny contains msg if {
+	object.get(input, "editor.formatOnSave", null) != true
+	msg := ".vscode/settings.json: \"editor.formatOnSave\" має бути true (nginx-default-tpl.mdc)"
+}
+
+deny contains msg if {
+	nginx_block := object.get(input, "[nginx]", {})
+	not is_object(nginx_block)
+	msg := concat(" ", [
+		".vscode/settings.json: \"[nginx]\" має бути обʼєктом з",
+		"\"editor.defaultFormatter\": \"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)",
+	])
+}
+
+deny contains msg if {
+	nginx_block := object.get(input, "[nginx]", {})
+	is_object(nginx_block)
+	object.get(nginx_block, "editor.defaultFormatter", null) != "ahmadalli.vscode-nginx-conf"
+	msg := concat(" ", [
+		".vscode/settings.json: \"[nginx].editor.defaultFormatter\" має бути",
+		"\"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)",
+	])
+}

package/policy/nginx_default_tpl/vscode_settings/vscode_settings_test.rego

@@ -0,0 +1,53 @@
+# Тести для `nginx_default_tpl.vscode_settings`. Запуск:
+#   conftest verify -p npm/policy/nginx_default_tpl/vscode_settings
+package nginx_default_tpl.vscode_settings_test
+
+import rego.v1
+
+import data.nginx_default_tpl.vscode_settings
+
+valid_cfg := {
+	"editor.formatOnSave": true,
+	"[nginx]": {"editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"},
+}
+
+test_allow_canonical if {
+	count(vscode_settings.deny) == 0 with input as valid_cfg
+}
+
+test_allow_with_additional_keys if {
+	cfg := json.patch(valid_cfg, [{
+		"op": "add",
+		"path": "/[javascript]",
+		"value": {"editor.defaultFormatter": "oxc.oxc-vscode"},
+	}])
+	count(vscode_settings.deny) == 0 with input as cfg
+}
+
+test_deny_format_on_save_false if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/editor.formatOnSave", "value": false}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_format_on_save_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/editor.formatOnSave"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_nginx_block_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/[nginx]"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_nginx_block_wrong_type if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/[nginx]", "value": "ahmadalli.vscode-nginx-conf"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_nginx_wrong_formatter if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "replace", "path": "/[nginx]/editor.defaultFormatter", "value": "ms-vscode.cpptools"}],
+	)
+	count(vscode_settings.deny) > 0 with input as cfg
+}

package/policy/style_lint/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,23 @@
+# Перевірка `.vscode/extensions.json` для style-lint (style-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test .vscode/extensions.json -p npm/policy/style_lint/vscode_extensions \
+#     --namespace style_lint.vscode_extensions
+#
+# Canonical (style-lint.mdc):
+#   { "recommendations": ["stylelint.vscode-stylelint"] }
+#
+# Канон задає мінімум — `recommendations` має МІСТИТИ `stylelint.vscode-stylelint`;
+# додаткові записи (від інших правил — markdownlint, oxc тощо) дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package style_lint.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "stylelint.vscode-stylelint" in {r | some r in recs}
+	msg := ".vscode/extensions.json: recommendations має містити \"stylelint.vscode-stylelint\" (style-lint.mdc)"
+}

package/policy/style_lint/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,39 @@
+# Тести для `style_lint.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/style_lint/vscode_extensions
+package style_lint.vscode_extensions_test
+
+import rego.v1
+
+import data.style_lint.vscode_extensions
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["stylelint.vscode-stylelint"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"stylelint.vscode-stylelint",
+		"oxc.oxc-vscode",
+		"DavidAnson.vscode-markdownlint",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+# ── deny ──────────────────────────────────────────────────────────────────
+
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/style_lint/vscode_settings/vscode_settings.rego

@@ -0,0 +1,24 @@
+# Перевірка `.vscode/settings.json` для style-lint (style-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test .vscode/settings.json -p npm/policy/style_lint/vscode_settings \
+#     --namespace style_lint.vscode_settings
+#
+# Canonical (style-lint.mdc): вимкнути вбудовану валідацію CSS/SCSS/Less, щоб
+# stylelint був єдиним джерелом діагностики.
+#   { "css.validate": false, "less.validate": false, "scss.validate": false }
+#
+# `editor.codeActionsOnSave` у каноні є, але це smell-test — навмисно не deny,
+# щоб не падати на пакетах, які мають свій codeActionsOnSave-конфіг.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package style_lint.vscode_settings
+
+import rego.v1
+
+deny contains msg if {
+	some key in {"css.validate", "less.validate", "scss.validate"}
+	object.get(input, key, null) != false
+	msg := sprintf(".vscode/settings.json: \"%s\" має бути false (style-lint.mdc)", [key])
+}

package/policy/style_lint/vscode_settings/vscode_settings_test.rego

@@ -0,0 +1,49 @@
+# Тести для `style_lint.vscode_settings`. Запуск:
+#   conftest verify -p npm/policy/style_lint/vscode_settings
+package style_lint.vscode_settings_test
+
+import rego.v1
+
+import data.style_lint.vscode_settings
+
+valid_cfg := {
+	"css.validate": false,
+	"less.validate": false,
+	"scss.validate": false,
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(vscode_settings.deny) == 0 with input as valid_cfg
+}
+
+test_allow_with_additional_keys if {
+	cfg := json.patch(valid_cfg, [{
+		"op": "add",
+		"path": "/editor.codeActionsOnSave",
+		"value": {"source.fixAll": "explicit"},
+	}])
+	count(vscode_settings.deny) == 0 with input as cfg
+}
+
+# ── deny ──────────────────────────────────────────────────────────────────
+
+test_deny_css_validate_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/css.validate", "value": true}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_scss_validate_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/scss.validate"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_less_validate_string if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/less.validate", "value": "off"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_empty_object if {
+	count(vscode_settings.deny) > 0 with input as {}
+}

package/policy/text/markdownlint/markdownlint.rego

@@ -8,6 +8,12 @@
 # У випадку справжнього JSONC з `//` коментарями цей крок мовчки ігноруватиметься
 # (conftest skip). FS-перевірка (наявність файлу) живе у JS.
 #
+# Перевіряє канонічний baseline з text.mdc (мінімум — додаткові ключі дозволені):
+#   { "gitignore": true,
+#     "config": { "default": true, "MD013": false, "MD024": {"siblings_only": true},
+#                 "MD029": false, "MD040": false, "MD041": false } }
+# MD041 off навмисно — `.mdc` з frontmatter (див. text.mdc).
+#
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
 # (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
@@ -15,7 +21,50 @@ package text.markdownlint
 
 import rego.v1
 
+# ── Шаблони повідомлень ────────────────────────────────────────────────────
+
+config_rule_template := concat(" ", [
+	".markdownlint-cli2.jsonc: config.%s має бути %v",
+	"(зараз: %v) (text.mdc)",
+])
+
+# ── deny: gitignore ───────────────────────────────────────────────────────
+
 deny contains msg if {
 	object.get(input, "gitignore", null) != true
 	msg := ".markdownlint-cli2.jsonc: додай на верхньому рівні \"gitignore\": true (text.mdc)"
 }
+
+# ── deny: config.default ──────────────────────────────────────────────────
+
+deny contains msg if {
+	config := object.get(input, "config", {})
+	object.get(config, "default", null) != true
+	msg := sprintf(config_rule_template, ["default", true, object.get(config, "default", null)])
+}
+
+# ── deny: MD013 / MD029 / MD040 / MD041 повинні бути `false` ──────────────
+
+deny contains msg if {
+	config := object.get(input, "config", {})
+	some rule in {"MD013", "MD029", "MD040", "MD041"}
+	object.get(config, rule, null) != false
+	msg := sprintf(config_rule_template, [rule, false, object.get(config, rule, null)])
+}
+
+# ── deny: MD024.siblings_only == true ─────────────────────────────────────
+
+deny contains msg if {
+	config := object.get(input, "config", {})
+	md024 := object.get(config, "MD024", null)
+	not is_object(md024)
+	msg := sprintf(config_rule_template, ["MD024", "{\"siblings_only\": true}", md024])
+}
+
+deny contains msg if {
+	config := object.get(input, "config", {})
+	md024 := object.get(config, "MD024", {})
+	is_object(md024)
+	object.get(md024, "siblings_only", null) != true
+	msg := sprintf(config_rule_template, ["MD024.siblings_only", true, object.get(md024, "siblings_only", null)])
+}

package/policy/text/markdownlint/markdownlint_test.rego

@@ -0,0 +1,98 @@
+# Тести для `text.markdownlint`. Запуск:
+#   conftest verify -p npm/policy/text/markdownlint
+package text.markdownlint_test
+
+import rego.v1
+
+import data.text.markdownlint
+
+valid_cfg := {
+	"gitignore": true,
+	"config": {
+		"default": true,
+		"MD013": false,
+		"MD024": {"siblings_only": true},
+		"MD029": false,
+		"MD040": false,
+		"MD041": false,
+	},
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(markdownlint.deny) == 0 with input as valid_cfg
+}
+
+test_allow_with_additional_top_level_keys if {
+	cfg := json.patch(valid_cfg, [{"op": "add", "path": "/ignores", "value": ["**/adr/**"]}])
+	count(markdownlint.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_md_rules if {
+	cfg := json.patch(valid_cfg, [{"op": "add", "path": "/config/MD033", "value": {"allowed_elements": ["a"]}}])
+	count(markdownlint.deny) == 0 with input as cfg
+}
+
+# ── gitignore ─────────────────────────────────────────────────────────────
+
+test_deny_missing_gitignore if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/gitignore"}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+test_deny_gitignore_false if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/gitignore", "value": false}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+# ── config.default ────────────────────────────────────────────────────────
+
+test_deny_default_false if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/config/default", "value": false}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+test_deny_default_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/config/default"}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+# ── MD013 / MD029 / MD040 / MD041 — повинні бути false ────────────────────
+
+test_deny_md013_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/config/MD013", "value": true}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+test_deny_md029_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/config/MD029"}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+test_deny_md040_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/config/MD040", "value": true}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+test_deny_md041_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/config/MD041", "value": true}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+# ── MD024.siblings_only ──────────────────────────────────────────────────
+
+test_deny_md024_not_object if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/config/MD024", "value": false}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+test_deny_md024_siblings_only_false if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/config/MD024/siblings_only", "value": false}])
+	count(markdownlint.deny) > 0 with input as cfg
+}
+
+test_deny_md024_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/config/MD024"}])
+	count(markdownlint.deny) > 0 with input as cfg
+}

package/scripts/check-bun.mjs

@@ -20,17 +20,9 @@ import { readFile } from 'node:fs/promises'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
 
-/**
- * Чи ім'я пакета дозволене в кореневих `devDependencies` за bun.mdc (лише **`@nitra/*`**).
- *
- * Залишилася як експорт для `check-text.mjs` і тестів — `bun.package_json` Rego
- * робить ту саму перевірку для check-runner-а.
- * @param {string} name ключ з поля `devDependencies`
- * @returns {boolean} true, якщо префікс дозволений
- */
-export function isAllowedRootDevDependency(name) {
-  return name.startsWith('@nitra/')
-}
+// Перевірка `devDependencies` кореневого `package.json` (дозволено лише `@nitra/*`)
+// — у rego (`npm/policy/bun/package_json/`). JS-копії `isAllowedRootDevDependency`
+// видалено, щоб не було двох джерел істини.
 
 /**
  * Зчитує ідентифікатори правил з `.n-cursor.json` (поле `rules`).

package/scripts/check-graphql.mjs

@@ -17,6 +17,7 @@ import {
   sourceFileHasGqlTaggedTemplate
 } from './utils/graphql-gql-scan.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
 /** Очікуваний файл GraphQL Config у корені (graphql.mdc). */
@@ -68,38 +69,29 @@ async function collectGqlHits(root, candidates) {
 }
 
 /**
- * Перевіряє `.vscode/extensions.json` на рекомендацію GraphQL extension.
+ * Делегує валідацію `.vscode/extensions.json` rego-пакету `graphql.vscode_extensions`
+ * через `runConftestBatch`. Викликається лише після того, як JS виявив `gql` у дереві
+ * (умовне правило — без gql цей крок не запускається).
  * @param {(msg: string) => void} pass success-репортер
  * @param {(msg: string) => void} fail fail-репортер
- * @returns {Promise<void>}
+ * @returns {void}
  */
-async function checkExtensionsRecommendation(pass, fail) {
-  if (!existsSync('.vscode/extensions.json')) {
-    fail(
-      '.vscode/extensions.json не існує — створи файл і додай у recommendations graphql.vscode-graphql (graphql.mdc)'
-    )
+function checkExtensionsRecommendation(pass, fail) {
+  const path = '.vscode/extensions.json'
+  if (!existsSync(path)) {
+    fail(`${path} не існує — створи файл і додай у recommendations ${REQUIRED_GRAPHQL_VSCODE_EXTENSION} (graphql.mdc)`)
     return
   }
-
-  let ext
-  try {
-    ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-  } catch {
-    fail('.vscode/extensions.json не є валідним JSON')
+  const violations = runConftestBatch({
+    policyDirRel: 'graphql/vscode_extensions',
+    namespace: 'graphql.vscode_extensions',
+    files: [path]
+  })
+  if (violations.length === 0) {
+    pass(`${path} відповідає graphql.vscode_extensions (rego)`)
     return
   }
-
-  const rec = ext.recommendations
-  if (!Array.isArray(rec)) {
-    fail('.vscode/extensions.json: поле recommendations має бути масивом')
-    return
-  }
-
-  if (rec.includes(REQUIRED_GRAPHQL_VSCODE_EXTENSION)) {
-    pass(`.vscode/extensions.json: є ${REQUIRED_GRAPHQL_VSCODE_EXTENSION}`)
-  } else {
-    fail(`.vscode/extensions.json: додай у recommendations "${REQUIRED_GRAPHQL_VSCODE_EXTENSION}" (graphql.mdc)`)
-  }
+  for (const v of violations) fail(v.message)
 }
 
 /**
@@ -133,7 +125,7 @@ export async function check() {
     )
   }
 
-  await checkExtensionsRecommendation(pass, fail)
+  checkExtensionsRecommendation(pass, fail)
 
   return reporter.getExitCode()
 }

package/scripts/check-js-run.mjs

@@ -40,6 +40,7 @@ import {
 } from './utils/bunyan-imports.mjs'
 import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './utils/check-env-scan.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
 import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './utils/conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
@@ -67,10 +68,11 @@ function backendPackageHasSrcDir(absPackageRoot) {
 }
 
 /**
- * FS-existence для `jsconfig.json` у backend-пакеті з каталогом `src/` (cross-file:
- * наявність каталогу + файла). Структуру самого `jsconfig.json` (canonical
- * compilerOptions і include) валідує `npm/policy/js_run/jsconfig/`; її прогоняє
- * `bun run lint-conftest`.
+ * FS-existence + структурна валідація `jsconfig.json` у backend-пакеті з
+ * каталогом `src/`. Структуру (canonical `compilerOptions` і `include`)
+ * делегуємо у rego-пакет `js_run.jsconfig` через `runConftestBatch` — Plan B:
+ * Rego-authoritative, JS оркеструє per-package gate (frontend з `vite` сюди
+ * взагалі не доходить, бо викликається лише з backend-гілки).
  * @param {string} rootDir відносний шлях workspace
  * @param {string} absPackageRoot абсолютний корінь пакета
  * @param {string} label префікс `[pkg] `
@@ -82,14 +84,23 @@ function checkBackendJsconfigWhenSrcPresent(rootDir, absPackageRoot, label, fail
   if (!backendPackageHasSrcDir(absPackageRoot)) return
 
   const jcPath = join(rootDir, 'jsconfig.json')
-  if (existsSync(jcPath)) {
-    passFn(`${label}jsconfig.json є (структуру перевіряє bun run lint-conftest → js_run.jsconfig)`)
-  } else {
+  if (!existsSync(jcPath)) {
     fail(
       `${label}є каталог src/, але немає jsconfig.json — додай канонічний файл з js-run.mdc ` +
         `(NodeNext, include: src/**/*).`
     )
+    return
+  }
+  const violations = runConftestBatch({
+    policyDirRel: 'js_run/jsconfig',
+    namespace: 'js_run.jsconfig',
+    files: [jcPath]
+  })
+  if (violations.length === 0) {
+    passFn(`${label}jsconfig.json відповідає js_run.jsconfig (rego)`)
+    return
   }
+  for (const v of violations) fail(`${label}${v.message}`)
 }
 
 /**

package/scripts/check-nginx-default-tpl.mjs

@@ -20,6 +20,7 @@ import { basename, dirname, join, relative } from 'node:path'
 import { findDockerfilePaths } from './check-docker.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 
 const LINE_SPLIT_RE = /\r?\n/u
@@ -350,36 +351,45 @@ async function checkDockerfiles(root, ignorePaths, passFn, failFn) {
 }
 
 /**
- * Перевіряє VSCode extensions.json та settings.json для nginx.
+ * Делегує валідацію `.vscode/extensions.json` і `.vscode/settings.json` rego-пакетам
+ * `nginx_default_tpl.vscode_extensions` і `nginx_default_tpl.vscode_settings`
+ * через `runConftestBatch`. Викликається лише після того, як JS виявив
+ * `default.conf.template` (умовне правило — без шаблона цей крок не запускається).
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
+ * @returns {void}
  */
-async function checkVscodeNginx(passFn, failFn) {
-  if (existsSync('.vscode/extensions.json')) {
-    const ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-    if (ext.recommendations?.includes('ahmadalli.vscode-nginx-conf')) {
-      passFn('extensions.json містить ahmadalli.vscode-nginx-conf')
+function checkVscodeNginx(passFn, failFn) {
+  const extPath = '.vscode/extensions.json'
+  if (existsSync(extPath)) {
+    const violations = runConftestBatch({
+      policyDirRel: 'nginx_default_tpl/vscode_extensions',
+      namespace: 'nginx_default_tpl.vscode_extensions',
+      files: [extPath]
+    })
+    if (violations.length === 0) {
+      passFn(`${extPath} відповідає nginx_default_tpl.vscode_extensions (rego)`)
     } else {
-      failFn('extensions.json не містить ahmadalli.vscode-nginx-conf')
+      for (const v of violations) failFn(v.message)
     }
   } else {
     failFn('Очікується .vscode/extensions.json з ahmadalli.vscode-nginx-conf (див. nginx-default-tpl.mdc)')
   }
 
-  if (!existsSync('.vscode/settings.json')) {
+  const setPath = '.vscode/settings.json'
+  if (!existsSync(setPath)) {
     failFn('Очікується .vscode/settings.json з форматером nginx і formatOnSave (див. nginx-default-tpl.mdc)')
     return
   }
-  const s = JSON.parse(await readFile('.vscode/settings.json', 'utf8'))
-  if (s['editor.formatOnSave'] === true) {
-    passFn('settings.json: editor.formatOnSave увімкнено')
-  } else {
-    failFn('settings.json: увімкни editor.formatOnSave: true (див. nginx-default-tpl.mdc)')
-  }
-  if (s['[nginx]']?.['editor.defaultFormatter'] === 'ahmadalli.vscode-nginx-conf') {
-    passFn('settings.json: [nginx] defaultFormatter налаштовано')
+  const violations = runConftestBatch({
+    policyDirRel: 'nginx_default_tpl/vscode_settings',
+    namespace: 'nginx_default_tpl.vscode_settings',
+    files: [setPath]
+  })
+  if (violations.length === 0) {
+    passFn(`${setPath} відповідає nginx_default_tpl.vscode_settings (rego)`)
   } else {
-    failFn('settings.json: [nginx].editor.defaultFormatter має бути ahmadalli.vscode-nginx-conf')
+    for (const v of violations) failFn(v.message)
   }
 }
 
@@ -416,7 +426,7 @@ export async function check() {
   }
 
   await checkDockerfiles(root, ignorePaths, pass, fail)
-  await checkVscodeNginx(pass, fail)
+  checkVscodeNginx(pass, fail)
 
   return reporter.getExitCode()
 }

package/scripts/check-style-lint.mjs

@@ -1,18 +1,20 @@
 /**
  * Перевіряє CSS/SCSS лінт за правилом style-lint.mdc.
  *
- * **Що тут лишилося** (FS / VSCode-конфіги — не покривається conftest):
+ * **Що тут лишилося** (FS / cross-file — не покривається conftest):
  *  - наявність зовнішнього файлу конфігу stylelint (`.stylelintrc.*`,
  *    `stylelint.config.js`) як альтернатива полю `stylelint` у `package.json`
  *    (cross-file: треба знати, чи є поле, чи немає);
- *  - `.stylelintignore` у корені;
- *  - `.vscode/extensions.json` recommendation `stylelint.vscode-stylelint`;
- *  - `.vscode/settings.json` `css.validate` / `scss.validate` / `less.validate: false`.
+ *  - `.stylelintignore` у корені.
  *
  * **Що покрила Rego** (`bun run lint-conftest`):
  *  - `npm/policy/style_lint/package_json/` — скрипт `lint-style` через `npx stylelint`,
  *    `@nitra/stylelint-config` у `devDependencies`, поле `stylelint.extends`;
- *  - `npm/policy/style_lint/lint_style_yml/` — `npx stylelint` у `run` workflow.
+ *  - `npm/policy/style_lint/lint_style_yml/` — `npx stylelint` у `run` workflow;
+ *  - `npm/policy/style_lint/vscode_extensions/` — `stylelint.vscode-stylelint`
+ *    у `recommendations` `.vscode/extensions.json`;
+ *  - `npm/policy/style_lint/vscode_settings/` — `css.validate`/`scss.validate`/
+ *    `less.validate: false` у `.vscode/settings.json`.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -39,32 +41,10 @@ async function checkStylelintConfigPresence(reporter) {
   }
 }
 
-/**
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
- */
-async function checkVscodeStylelint(reporter) {
-  const { pass, fail } = reporter
-  if (existsSync('.vscode/extensions.json')) {
-    const ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-    if (ext.recommendations?.includes('stylelint.vscode-stylelint')) {
-      pass('extensions.json містить stylelint.vscode-stylelint')
-    } else {
-      fail('extensions.json не містить stylelint.vscode-stylelint')
-    }
-  } else {
-    fail('.vscode/extensions.json не існує')
-  }
-
-  if (!existsSync('.vscode/settings.json')) return
-  const s = JSON.parse(await readFile('.vscode/settings.json', 'utf8'))
-  for (const key of ['css.validate', 'scss.validate', 'less.validate']) {
-    if (s[key] === false) {
-      pass(`${key} вимкнено`)
-    } else {
-      fail(`settings.json: ${key} має бути false`)
-    }
-  }
-}
+// `.vscode/extensions.json` (`stylelint.vscode-stylelint`) і `.vscode/settings.json`
+// (`css.validate`/`scss.validate`/`less.validate: false`) — у rego-пакетах
+// `style_lint.vscode_extensions` і `style_lint.vscode_settings`, прогоняє
+// `bun run lint-conftest`. JS-копії видалено, щоб не було двох джерел істини.
 
 /**
  * Перевіряє відповідність проєкту правилам style-lint.mdc
@@ -89,7 +69,5 @@ export async function check() {
     fail(`${wfPath} не існує — створи його`)
   }
 
-  await checkVscodeStylelint(reporter)
-
   return reporter.getExitCode()
 }

package/scripts/lint-conftest.mjs

@@ -112,6 +112,18 @@ const TARGETS = [
     rule: 'style-lint',
     single: '.github/workflows/lint-style.yml'
   },
+  {
+    namespace: 'style_lint.vscode_extensions',
+    policyDir: 'style_lint',
+    rule: 'style-lint',
+    single: '.vscode/extensions.json'
+  },
+  {
+    namespace: 'style_lint.vscode_settings',
+    policyDir: 'style_lint',
+    rule: 'style-lint',
+    single: '.vscode/settings.json'
+  },
 
   // ── php ─────────────────────────────────────────────────────────────────
   { namespace: 'php.package_json', policyDir: 'php', rule: 'php', single: 'package.json' },
@@ -157,13 +169,19 @@ const TARGETS = [
     single: '.github/workflows/lint-js.yml'
   },
 
-  // ── image-compress / capacitor ──────────────────────────────────────────
+  // ── image-compress / image-avif / capacitor ─────────────────────────────
   {
     namespace: 'image_compress.package_json',
     policyDir: 'image_compress',
     rule: 'image-compress',
     single: 'package.json'
   },
+  {
+    namespace: 'image_avif.package_json',
+    policyDir: 'image_avif',
+    rule: 'image-avif',
+    walk: { match: rel => rel.endsWith('/package.json') || rel === 'package.json' }
+  },
   {
     namespace: 'capacitor.package_json',
     policyDir: 'capacitor',
@@ -214,6 +232,12 @@ const TARGETS = [
     rule: 'js-run',
     walk: { match: rel => rel.endsWith('/package.json') || rel === 'package.json' }
   },
+  // `js_run.jsconfig` НЕ реєструємо тут — `jsconfig.json` має канонічну структуру
+  // лише для backend-пакетів (без `vite` у `devDependencies`) з каталогом `src/`,
+  // а lint-conftest фільтрує лише по `activeRules` на рівні репозиторію — не
+  // вміє пропустити окремий workspace-пакет за наявністю `vite`. Тому валідація
+  // структури делегується з `check-js-run.mjs` через `runConftestBatch` після
+  // того, як JS визначить, що пакет — backend з `src/`.
   {
     namespace: 'vue.package_json',
     policyDir: 'vue',