npm - @nitra/cursor - Versions diffs - 1.9.14 → 1.9.16 - Mend

@nitra/cursor 1.9.14 → 1.9.16

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (20) hide show

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,44 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.9.16] - 2026-05-13
+### Added
+- **5 нових rego-полісі для `.vscode/extensions.json` / `.vscode/settings.json`** (мігровано канон з .mdc у rego, прибрано JS-дублі):
+  - `style_lint.vscode_extensions` — `recommendations` має містити `stylelint.vscode-stylelint` (style-lint.mdc).
+  - `style_lint.vscode_settings` — `css.validate` / `scss.validate` / `less.validate: false`; `editor.codeActionsOnSave` свідомо не enforced (smell-test, мдс показує як рекомендацію).
+  - `graphql.vscode_extensions` — `recommendations` має містити `graphql.vscode-graphql` (graphql.mdc). НЕ реєструється глобально у `lint-conftest` TARGETS — правило conditional на наявність `gql\`…\``у джерелах; викликається з`check-graphql.mjs`через`runConftestBatch` після gql-scan.
+  - `nginx_default_tpl.vscode_extensions` — `recommendations` має містити `ahmadalli.vscode-nginx-conf` (nginx-default-tpl.mdc).
+  - `nginx_default_tpl.vscode_settings` — `editor.formatOnSave: true` і `[nginx].editor.defaultFormatter: "ahmadalli.vscode-nginx-conf"`. Обидва nginx-полісі викликаються з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише після виявлення `default.conf.template`.
+- **28 нових тестів** до пʼяти полісі: 5 (style_lint.vscode_extensions) + 6 (style_lint.vscode_settings) + 5 (graphql.vscode_extensions) + 5 (nginx_default_tpl.vscode_extensions) + 7 (nginx_default_tpl.vscode_settings). `conftest verify` — **234/234 pass** (+28).
+### Removed
+- **`check-style-lint.mjs::checkVscodeStylelint`** — функція повністю видалена; зміст delegated у `style_lint.vscode_extensions` і `style_lint.vscode_settings`. JSDoc-преамбулу оновлено.
+- **`check-graphql.mjs::checkExtensionsRecommendation` — JS-копія тіла перевірки видалена:** функція тепер є тонкою обгорткою над `runConftestBatch`, делегує `graphql.vscode_extensions`. Зник дубль JSON-парсингу й порівняння `recommendations`.
+- **`check-nginx-default-tpl.mjs::checkVscodeNginx` — JS-копія тіла перевірки видалена:** функція тепер делегує `nginx_default_tpl.vscode_extensions` і `nginx_default_tpl.vscode_settings` через `runConftestBatch`. Зник дубль перевірок `editor.formatOnSave` і `[nginx].editor.defaultFormatter` у JS.
+### Changed
+- **`lint-conftest.mjs` TARGETS — два нові глобальні entry для style-lint:** `style_lint.vscode_extensions` (`single: .vscode/extensions.json`) і `style_lint.vscode_settings` (`single: .vscode/settings.json`), обидва з `rule: 'style-lint'`. Не-style-lint проєкти не зачіпають (filter по `activeRules` з `.n-cursor.json`).
+- **graphql/nginx — НЕ реєструються глобально у `lint-conftest`:** правила conditional на per-package умовах, які lint-conftest не вміє виразити (`gql\`…\``у джерелах для graphql; наявність`default.conf.template`для nginx). Plan B: rego-authoritative + JS-orchestrator з`runConftestBatch`.
+## [1.9.15] - 2026-05-13
+### Added
+- **`npm/policy/js_run/jsconfig/jsconfig_test.rego` — 12 нових тестів для канону `jsconfig.json`:** rego-полісі `js_run.jsconfig` (canonical compilerOptions — `lib: ["esnext"]`, `module/moduleResolution: NodeNext`, `target: esnext`, `checkJs: false`, `include: ["src/**/*"]`) існувала, але не мала тестів і не запускалась на реальних файлах. Додано happy path + 11 негативних кейсів через `json.patch`-фікстури.
+- **`npm/policy/image_avif/package_json/` — структурна валідація опт-аут конфігу:** новий rego-пакет `image_avif.package_json` з 3 deny-правилами для `package.json`: значення `"@nitra/minify-image"` має бути обʼєктом (якщо присутнє), `disable-avif` має бути boolean (якщо присутнє), захист від typo `disabled-avif`. Поле опційне — більшість проєктів його не мають, deny спрацьовує лише на нелегітимну форму (typo або wrong type, що тихо ламає опт-аут). +11 тестів. Зареєстровано у `lint-conftest.mjs` TARGETS з `walk` по всіх `package.json` (з фільтром `rule: "image-avif"`).
+### Changed
+- **`check-js-run.mjs::checkBackendJsconfigWhenSrcPresent` — структуру `jsconfig.json` тепер валідує rego через `runConftestBatch`:** замість FS-existence-only + посилання на `lint-conftest` (яке насправді не запускалось — rego не була зареєстрована глобально), JS тепер викликає rego-пакет `js_run.jsconfig` через `runConftestBatch` після того, як визначить, що пакет — backend (без `vite` у `devDependencies`) з каталогом `src/`. Це Plan B: Rego-authoritative + JS-orchestrator. Глобальна реєстрація `js_run.jsconfig` у `lint-conftest.mjs` свідомо не додавалась — rule стосується лише workspace-пакетів певної форми, що lint-conftest filter (`activeRules` на рівні репо) не вміє виразити.
+### Not done (Phase 1.5 — пізніше)
+- **`rego.mdc`, `tauri.mdc`** — rego-полісі для канонічних `.vscode/extensions.json` / `.vscode/settings.json` потрібен JS-orchestrator. Ці правила conditional (rego — glob `**/*.rego`, tauri — лише Tauri-проєкти), тож запускати rego безумовно на кожний `.vscode/extensions.json` дало б false-positive порушення для всіх не-rego/не-tauri проєктів. Чисте розширення rego-полісі без `check-<rule>.mjs`-orchestrator-а тут не закриває правило.
 ## [1.9.14] - 2026-05-13
 ### Added

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.14",
+  "version": "1.9.16",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/graphql/vscode_extensions/vscode_extensions.rego ADDED Viewed

@@ -0,0 +1,20 @@
+# Перевірка `.vscode/extensions.json` для graphql (graphql.mdc).
+#
+# Викликається з `check-graphql.mjs` через `runConftestBatch` лише ПІСЛЯ того,
+# як JS виявив `gql\`…\`` tagged template literal у джерелах (умовне правило).
+# Тому в `lint-conftest.mjs` TARGETS глобально не реєструється — інакше були б
+# false-positive порушення на проєктах без gql.
+#
+# Canonical (graphql.mdc):
+#   { "recommendations": ["graphql.vscode-graphql"] }
+#
+# Канон задає мінімум; інші записи (від markdownlint/oxc/...) дозволені.
+package graphql.vscode_extensions
+import rego.v1
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "graphql.vscode-graphql" in {r | some r in recs}
+	msg := ".vscode/extensions.json: додай у recommendations \"graphql.vscode-graphql\" (graphql.mdc)"
+}

package/policy/graphql/vscode_extensions/vscode_extensions_test.rego ADDED Viewed

@@ -0,0 +1,34 @@
+# Тести для `graphql.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/graphql/vscode_extensions
+package graphql.vscode_extensions_test
+import rego.v1
+import data.graphql.vscode_extensions
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["graphql.vscode-graphql"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"graphql.vscode-graphql",
+		"oxc.oxc-vscode",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/image_avif/package_json/package_json.rego ADDED Viewed

@@ -0,0 +1,61 @@
+# Структурна перевірка опт-аут конфігу для image-avif у `package.json` (image-avif.mdc).
+#
+# Запуск (локально):
+#   conftest test <pkg>/package.json -p npm/policy/image_avif/package_json \
+#     --namespace image_avif.package_json
+#
+# Канонічна форма опт-ауту з image-avif.mdc:
+#   { "@nitra/minify-image": { "disable-avif": true } }
+#
+# Поле опційне — більшість проєктів його не мають. Полісі deny лише, якщо поле
+# присутнє, але має нелегітимну форму: типовий typo (`disabled-avif`) або
+# неправильний тип (`"disable-avif": "yes"`). Без цієї перевірки помилкове
+# написання тихо повертає AVIF-генерацію всередину пакета, де її хотіли вимкнути.
+#
+# FS / behavior (запуск `npx @nitra/minify-image`, walk `.vue`, видалення AVIF-сиріт) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package image_avif.package_json
+import rego.v1
+minify_image_field := "@nitra/minify-image"
+# ── deny: значення поля має бути обʼєктом, якщо присутнє ──────────────────
+deny contains msg if {
+	value := object.get(input, minify_image_field, null)
+	value != null
+	not is_object(value)
+	msg := sprintf(
+		"package.json: поле \"@nitra/minify-image\" має бути обʼєктом (зараз: %v) (image-avif.mdc)",
+		[value],
+	)
+}
+# ── deny: відомі ключі мають правильний тип ──────────────────────────────
+deny contains msg if {
+	cfg := object.get(input, minify_image_field, {})
+	is_object(cfg)
+	value := object.get(cfg, "disable-avif", null)
+	value != null
+	not is_boolean(value)
+	msg := sprintf(
+		"package.json: \"@nitra/minify-image.disable-avif\" має бути boolean (зараз: %v) (image-avif.mdc)",
+		[value],
+	)
+}
+# ── deny: захист від typo `disabled-avif` ────────────────────────────────
+deny contains msg if {
+	cfg := object.get(input, minify_image_field, {})
+	is_object(cfg)
+	"disabled-avif" in object.keys(cfg)
+	msg := concat(" ", [
+		"package.json: ключ \"@nitra/minify-image.disabled-avif\" виглядає як typo —",
+		"канонічна назва \"disable-avif\" (image-avif.mdc)",
+	])
+}

package/policy/image_avif/package_json/package_json_test.rego ADDED Viewed

@@ -0,0 +1,69 @@
+# Тести для `image_avif.package_json`. Запуск:
+#   conftest verify -p npm/policy/image_avif/package_json
+package image_avif.package_json_test
+import rego.v1
+import data.image_avif.package_json
+# ── happy path ────────────────────────────────────────────────────────────
+test_allow_no_field if {
+	count(package_json.deny) == 0 with input as {"name": "x"}
+}
+test_allow_canonical_opt_out if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": true}}
+	count(package_json.deny) == 0 with input as pkg
+}
+test_allow_disable_avif_false if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": false}}
+	count(package_json.deny) == 0 with input as pkg
+}
+test_allow_empty_config if {
+	pkg := {"name": "x", "@nitra/minify-image": {}}
+	count(package_json.deny) == 0 with input as pkg
+}
+test_allow_other_keys_inside if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": true, "future-flag": "y"}}
+	count(package_json.deny) == 0 with input as pkg
+}
+# ── deny: тип поля ───────────────────────────────────────────────────────
+test_deny_field_is_string if {
+	pkg := {"name": "x", "@nitra/minify-image": "disable-avif"}
+	count(package_json.deny) > 0 with input as pkg
+}
+test_deny_field_is_array if {
+	pkg := {"name": "x", "@nitra/minify-image": ["disable-avif"]}
+	count(package_json.deny) > 0 with input as pkg
+}
+test_deny_field_is_boolean if {
+	pkg := {"name": "x", "@nitra/minify-image": true}
+	count(package_json.deny) > 0 with input as pkg
+}
+# ── deny: тип disable-avif ──────────────────────────────────────────────
+test_deny_disable_avif_string if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": "yes"}}
+	count(package_json.deny) > 0 with input as pkg
+}
+test_deny_disable_avif_number if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": 1}}
+	count(package_json.deny) > 0 with input as pkg
+}
+# ── deny: typo disabled-avif ────────────────────────────────────────────
+test_deny_typo_disabled_avif if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disabled-avif": true}}
+	count(package_json.deny) > 0 with input as pkg
+}

package/policy/js_run/jsconfig/jsconfig_test.rego ADDED Viewed

@@ -0,0 +1,88 @@
+# Тести для `js_run.jsconfig`. Запуск:
+#   conftest verify -p npm/policy/js_run/jsconfig
+package js_run.jsconfig_test
+import rego.v1
+import data.js_run.jsconfig
+valid_cfg := {
+	"compilerOptions": {
+		"lib": ["esnext"],
+		"module": "NodeNext",
+		"moduleResolution": "NodeNext",
+		"target": "esnext",
+		"checkJs": false,
+	},
+	"include": ["src/**/*"],
+}
+# ── happy path ────────────────────────────────────────────────────────────
+test_allow_canonical if {
+	count(jsconfig.deny) == 0 with input as valid_cfg
+}
+# ── compilerOptions.lib ───────────────────────────────────────────────────
+test_deny_lib_not_array if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/lib", "value": "esnext"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_lib_wrong_value if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/lib", "value": ["es2022"]}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_lib_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/compilerOptions/lib"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+# ── compilerOptions.module / moduleResolution / target / checkJs ──────────
+test_deny_module_not_nodenext if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/module", "value": "esnext"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_module_resolution_not_nodenext if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "replace", "path": "/compilerOptions/moduleResolution", "value": "node"}],
+	)
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_target_not_esnext if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/target", "value": "es2022"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_check_js_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/checkJs", "value": true}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_check_js_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/compilerOptions/checkJs"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+# ── include ──────────────────────────────────────────────────────────────
+test_deny_include_not_array if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/include", "value": "src/**/*"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_include_wrong_value if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/include", "value": ["lib/**/*"]}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+test_deny_include_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/include"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}

package/policy/nginx_default_tpl/vscode_extensions/vscode_extensions.rego ADDED Viewed

@@ -0,0 +1,16 @@
+# Перевірка `.vscode/extensions.json` для nginx-default-tpl (nginx-default-tpl.mdc).
+#
+# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# ПІСЛЯ того, як JS виявив `default.conf.template` у дереві (умовне правило).
+# Глобально у `lint-conftest.mjs` TARGETS не реєструється.
+#
+# Canonical: `recommendations` має містити `ahmadalli.vscode-nginx-conf`.
+package nginx_default_tpl.vscode_extensions
+import rego.v1
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "ahmadalli.vscode-nginx-conf" in {r | some r in recs}
+	msg := ".vscode/extensions.json: recommendations має містити \"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)"
+}

package/policy/nginx_default_tpl/vscode_extensions/vscode_extensions_test.rego ADDED Viewed

@@ -0,0 +1,30 @@
+# Тести для `nginx_default_tpl.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/nginx_default_tpl/vscode_extensions
+package nginx_default_tpl.vscode_extensions_test
+import rego.v1
+import data.nginx_default_tpl.vscode_extensions
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["ahmadalli.vscode-nginx-conf"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint", "ahmadalli.vscode-nginx-conf"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/nginx_default_tpl/vscode_settings/vscode_settings.rego ADDED Viewed

@@ -0,0 +1,36 @@
+# Перевірка `.vscode/settings.json` для nginx-default-tpl (nginx-default-tpl.mdc).
+#
+# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# ПІСЛЯ того, як JS виявив `default.conf.template`. Глобально у `lint-conftest`
+# не реєструється.
+#
+# Canonical:
+#   { "editor.formatOnSave": true,
+#     "[nginx]": { "editor.defaultFormatter": "ahmadalli.vscode-nginx-conf" } }
+package nginx_default_tpl.vscode_settings
+import rego.v1
+deny contains msg if {
+	object.get(input, "editor.formatOnSave", null) != true
+	msg := ".vscode/settings.json: \"editor.formatOnSave\" має бути true (nginx-default-tpl.mdc)"
+}
+deny contains msg if {
+	nginx_block := object.get(input, "[nginx]", {})
+	not is_object(nginx_block)
+	msg := concat(" ", [
+		".vscode/settings.json: \"[nginx]\" має бути обʼєктом з",
+		"\"editor.defaultFormatter\": \"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)",
+	])
+}
+deny contains msg if {
+	nginx_block := object.get(input, "[nginx]", {})
+	is_object(nginx_block)
+	object.get(nginx_block, "editor.defaultFormatter", null) != "ahmadalli.vscode-nginx-conf"
+	msg := concat(" ", [
+		".vscode/settings.json: \"[nginx].editor.defaultFormatter\" має бути",
+		"\"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)",
+	])
+}

package/policy/nginx_default_tpl/vscode_settings/vscode_settings_test.rego ADDED Viewed

@@ -0,0 +1,53 @@
+# Тести для `nginx_default_tpl.vscode_settings`. Запуск:
+#   conftest verify -p npm/policy/nginx_default_tpl/vscode_settings
+package nginx_default_tpl.vscode_settings_test
+import rego.v1
+import data.nginx_default_tpl.vscode_settings
+valid_cfg := {
+	"editor.formatOnSave": true,
+	"[nginx]": {"editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"},
+}
+test_allow_canonical if {
+	count(vscode_settings.deny) == 0 with input as valid_cfg
+}
+test_allow_with_additional_keys if {
+	cfg := json.patch(valid_cfg, [{
+		"op": "add",
+		"path": "/[javascript]",
+		"value": {"editor.defaultFormatter": "oxc.oxc-vscode"},
+	}])
+	count(vscode_settings.deny) == 0 with input as cfg
+}
+test_deny_format_on_save_false if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/editor.formatOnSave", "value": false}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+test_deny_format_on_save_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/editor.formatOnSave"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+test_deny_nginx_block_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/[nginx]"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+test_deny_nginx_block_wrong_type if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/[nginx]", "value": "ahmadalli.vscode-nginx-conf"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+test_deny_nginx_wrong_formatter if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "replace", "path": "/[nginx]/editor.defaultFormatter", "value": "ms-vscode.cpptools"}],
+	)
+	count(vscode_settings.deny) > 0 with input as cfg
+}

package/policy/style_lint/vscode_extensions/vscode_extensions.rego ADDED Viewed

@@ -0,0 +1,23 @@
+# Перевірка `.vscode/extensions.json` для style-lint (style-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test .vscode/extensions.json -p npm/policy/style_lint/vscode_extensions \
+#     --namespace style_lint.vscode_extensions
+#
+# Canonical (style-lint.mdc):
+#   { "recommendations": ["stylelint.vscode-stylelint"] }
+#
+# Канон задає мінімум — `recommendations` має МІСТИТИ `stylelint.vscode-stylelint`;
+# додаткові записи (від інших правил — markdownlint, oxc тощо) дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package style_lint.vscode_extensions
+import rego.v1
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "stylelint.vscode-stylelint" in {r | some r in recs}
+	msg := ".vscode/extensions.json: recommendations має містити \"stylelint.vscode-stylelint\" (style-lint.mdc)"
+}

package/policy/style_lint/vscode_extensions/vscode_extensions_test.rego ADDED Viewed

@@ -0,0 +1,39 @@
+# Тести для `style_lint.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/style_lint/vscode_extensions
+package style_lint.vscode_extensions_test
+import rego.v1
+import data.style_lint.vscode_extensions
+# ── happy path ────────────────────────────────────────────────────────────
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["stylelint.vscode-stylelint"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"stylelint.vscode-stylelint",
+		"oxc.oxc-vscode",
+		"DavidAnson.vscode-markdownlint",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+# ── deny ──────────────────────────────────────────────────────────────────
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/style_lint/vscode_settings/vscode_settings.rego ADDED Viewed

@@ -0,0 +1,24 @@
+# Перевірка `.vscode/settings.json` для style-lint (style-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test .vscode/settings.json -p npm/policy/style_lint/vscode_settings \
+#     --namespace style_lint.vscode_settings
+#
+# Canonical (style-lint.mdc): вимкнути вбудовану валідацію CSS/SCSS/Less, щоб
+# stylelint був єдиним джерелом діагностики.
+#   { "css.validate": false, "less.validate": false, "scss.validate": false }
+#
+# `editor.codeActionsOnSave` у каноні є, але це smell-test — навмисно не deny,
+# щоб не падати на пакетах, які мають свій codeActionsOnSave-конфіг.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package style_lint.vscode_settings
+import rego.v1
+deny contains msg if {
+	some key in {"css.validate", "less.validate", "scss.validate"}
+	object.get(input, key, null) != false
+	msg := sprintf(".vscode/settings.json: \"%s\" має бути false (style-lint.mdc)", [key])
+}

package/policy/style_lint/vscode_settings/vscode_settings_test.rego ADDED Viewed

@@ -0,0 +1,49 @@
+# Тести для `style_lint.vscode_settings`. Запуск:
+#   conftest verify -p npm/policy/style_lint/vscode_settings
+package style_lint.vscode_settings_test
+import rego.v1
+import data.style_lint.vscode_settings
+valid_cfg := {
+	"css.validate": false,
+	"less.validate": false,
+	"scss.validate": false,
+}
+# ── happy path ────────────────────────────────────────────────────────────
+test_allow_canonical if {
+	count(vscode_settings.deny) == 0 with input as valid_cfg
+}
+test_allow_with_additional_keys if {
+	cfg := json.patch(valid_cfg, [{
+		"op": "add",
+		"path": "/editor.codeActionsOnSave",
+		"value": {"source.fixAll": "explicit"},
+	}])
+	count(vscode_settings.deny) == 0 with input as cfg
+}
+# ── deny ──────────────────────────────────────────────────────────────────
+test_deny_css_validate_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/css.validate", "value": true}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+test_deny_scss_validate_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/scss.validate"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+test_deny_less_validate_string if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/less.validate", "value": "off"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+test_deny_empty_object if {
+	count(vscode_settings.deny) > 0 with input as {}
+}

package/scripts/check-graphql.mjs CHANGED Viewed

@@ -17,6 +17,7 @@ import {
   sourceFileHasGqlTaggedTemplate
 } from './utils/graphql-gql-scan.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 /** Очікуваний файл GraphQL Config у корені (graphql.mdc). */
@@ -68,38 +69,29 @@ async function collectGqlHits(root, candidates) {
 }
 /**
- * Перевіряє `.vscode/extensions.json` на рекомендацію GraphQL extension.
+ * Делегує валідацію `.vscode/extensions.json` rego-пакету `graphql.vscode_extensions`
+ * через `runConftestBatch`. Викликається лише після того, як JS виявив `gql` у дереві
+ * (умовне правило — без gql цей крок не запускається).
  * @param {(msg: string) => void} pass success-репортер
  * @param {(msg: string) => void} fail fail-репортер
- * @returns {Promise<void>}
+ * @returns {void}
  */
-async function checkExtensionsRecommendation(pass, fail) {
-  if (!existsSync('.vscode/extensions.json')) {
-    fail(
-      '.vscode/extensions.json не існує — створи файл і додай у recommendations graphql.vscode-graphql (graphql.mdc)'
-    )
+function checkExtensionsRecommendation(pass, fail) {
+  const path = '.vscode/extensions.json'
+  if (!existsSync(path)) {
+    fail(`${path} не існує — створи файл і додай у recommendations ${REQUIRED_GRAPHQL_VSCODE_EXTENSION} (graphql.mdc)`)
     return
   }
-  let ext
-  try {
-    ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-  } catch {
-    fail('.vscode/extensions.json не є валідним JSON')
+  const violations = runConftestBatch({
+    policyDirRel: 'graphql/vscode_extensions',
+    namespace: 'graphql.vscode_extensions',
+    files: [path]
+  })
+  if (violations.length === 0) {
+    pass(`${path} відповідає graphql.vscode_extensions (rego)`)
     return
   }
-  const rec = ext.recommendations
-  if (!Array.isArray(rec)) {
-    fail('.vscode/extensions.json: поле recommendations має бути масивом')
-    return
-  }
-  if (rec.includes(REQUIRED_GRAPHQL_VSCODE_EXTENSION)) {
-    pass(`.vscode/extensions.json: є ${REQUIRED_GRAPHQL_VSCODE_EXTENSION}`)
-  } else {
-    fail(`.vscode/extensions.json: додай у recommendations "${REQUIRED_GRAPHQL_VSCODE_EXTENSION}" (graphql.mdc)`)
-  }
+  for (const v of violations) fail(v.message)
 }
 /**
@@ -133,7 +125,7 @@ export async function check() {
     )
   }
-  await checkExtensionsRecommendation(pass, fail)
+  checkExtensionsRecommendation(pass, fail)
   return reporter.getExitCode()
 }

package/scripts/check-js-run.mjs CHANGED Viewed

@@ -40,6 +40,7 @@ import {
 } from './utils/bunyan-imports.mjs'
 import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './utils/check-env-scan.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
 import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './utils/conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
@@ -67,10 +68,11 @@ function backendPackageHasSrcDir(absPackageRoot) {
 }
 /**
- * FS-existence для `jsconfig.json` у backend-пакеті з каталогом `src/` (cross-file:
- * наявність каталогу + файла). Структуру самого `jsconfig.json` (canonical
- * compilerOptions і include) валідує `npm/policy/js_run/jsconfig/`; її прогоняє
- * `bun run lint-conftest`.
+ * FS-existence + структурна валідація `jsconfig.json` у backend-пакеті з
+ * каталогом `src/`. Структуру (canonical `compilerOptions` і `include`)
+ * делегуємо у rego-пакет `js_run.jsconfig` через `runConftestBatch` — Plan B:
+ * Rego-authoritative, JS оркеструє per-package gate (frontend з `vite` сюди
+ * взагалі не доходить, бо викликається лише з backend-гілки).
  * @param {string} rootDir відносний шлях workspace
  * @param {string} absPackageRoot абсолютний корінь пакета
  * @param {string} label префікс `[pkg] `
@@ -82,14 +84,23 @@ function checkBackendJsconfigWhenSrcPresent(rootDir, absPackageRoot, label, fail
   if (!backendPackageHasSrcDir(absPackageRoot)) return
   const jcPath = join(rootDir, 'jsconfig.json')
-  if (existsSync(jcPath)) {
-    passFn(`${label}jsconfig.json є (структуру перевіряє bun run lint-conftest → js_run.jsconfig)`)
-  } else {
+  if (!existsSync(jcPath)) {
     fail(
       `${label}є каталог src/, але немає jsconfig.json — додай канонічний файл з js-run.mdc ` +
         `(NodeNext, include: src/**/*).`
     )
+    return
+  }
+  const violations = runConftestBatch({
+    policyDirRel: 'js_run/jsconfig',
+    namespace: 'js_run.jsconfig',
+    files: [jcPath]
+  })
+  if (violations.length === 0) {
+    passFn(`${label}jsconfig.json відповідає js_run.jsconfig (rego)`)
+    return
   }
+  for (const v of violations) fail(`${label}${v.message}`)
 }
 /**

package/scripts/check-nginx-default-tpl.mjs CHANGED Viewed

@@ -20,6 +20,7 @@ import { basename, dirname, join, relative } from 'node:path'
 import { findDockerfilePaths } from './check-docker.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
 import { walkDir } from './utils/walkDir.mjs'
 const LINE_SPLIT_RE = /\r?\n/u
@@ -350,36 +351,45 @@ async function checkDockerfiles(root, ignorePaths, passFn, failFn) {
 }
 /**
- * Перевіряє VSCode extensions.json та settings.json для nginx.
+ * Делегує валідацію `.vscode/extensions.json` і `.vscode/settings.json` rego-пакетам
+ * `nginx_default_tpl.vscode_extensions` і `nginx_default_tpl.vscode_settings`
+ * через `runConftestBatch`. Викликається лише після того, як JS виявив
+ * `default.conf.template` (умовне правило — без шаблона цей крок не запускається).
  * @param {(msg: string) => void} passFn callback при успішній перевірці
  * @param {(msg: string) => void} failFn callback при помилці
+ * @returns {void}
  */
-async function checkVscodeNginx(passFn, failFn) {
-  if (existsSync('.vscode/extensions.json')) {
-    const ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-    if (ext.recommendations?.includes('ahmadalli.vscode-nginx-conf')) {
-      passFn('extensions.json містить ahmadalli.vscode-nginx-conf')
+function checkVscodeNginx(passFn, failFn) {
+  const extPath = '.vscode/extensions.json'
+  if (existsSync(extPath)) {
+    const violations = runConftestBatch({
+      policyDirRel: 'nginx_default_tpl/vscode_extensions',
+      namespace: 'nginx_default_tpl.vscode_extensions',
+      files: [extPath]
+    })
+    if (violations.length === 0) {
+      passFn(`${extPath} відповідає nginx_default_tpl.vscode_extensions (rego)`)
     } else {
-      failFn('extensions.json не містить ahmadalli.vscode-nginx-conf')
+      for (const v of violations) failFn(v.message)
     }
   } else {
     failFn('Очікується .vscode/extensions.json з ahmadalli.vscode-nginx-conf (див. nginx-default-tpl.mdc)')
   }
-  if (!existsSync('.vscode/settings.json')) {
+  const setPath = '.vscode/settings.json'
+  if (!existsSync(setPath)) {
     failFn('Очікується .vscode/settings.json з форматером nginx і formatOnSave (див. nginx-default-tpl.mdc)')
     return
   }
-  const s = JSON.parse(await readFile('.vscode/settings.json', 'utf8'))
-  if (s['editor.formatOnSave'] === true) {
-    passFn('settings.json: editor.formatOnSave увімкнено')
-  } else {
-    failFn('settings.json: увімкни editor.formatOnSave: true (див. nginx-default-tpl.mdc)')
-  }
-  if (s['[nginx]']?.['editor.defaultFormatter'] === 'ahmadalli.vscode-nginx-conf') {
-    passFn('settings.json: [nginx] defaultFormatter налаштовано')
+  const violations = runConftestBatch({
+    policyDirRel: 'nginx_default_tpl/vscode_settings',
+    namespace: 'nginx_default_tpl.vscode_settings',
+    files: [setPath]
+  })
+  if (violations.length === 0) {
+    passFn(`${setPath} відповідає nginx_default_tpl.vscode_settings (rego)`)
   } else {
-    failFn('settings.json: [nginx].editor.defaultFormatter має бути ahmadalli.vscode-nginx-conf')
+    for (const v of violations) failFn(v.message)
   }
 }
@@ -416,7 +426,7 @@ export async function check() {
   }
   await checkDockerfiles(root, ignorePaths, pass, fail)
-  await checkVscodeNginx(pass, fail)
+  checkVscodeNginx(pass, fail)
   return reporter.getExitCode()
 }

package/scripts/check-style-lint.mjs CHANGED Viewed

@@ -1,18 +1,20 @@
 /**
  * Перевіряє CSS/SCSS лінт за правилом style-lint.mdc.
  *
- * **Що тут лишилося** (FS / VSCode-конфіги — не покривається conftest):
+ * **Що тут лишилося** (FS / cross-file — не покривається conftest):
  *  - наявність зовнішнього файлу конфігу stylelint (`.stylelintrc.*`,
  *    `stylelint.config.js`) як альтернатива полю `stylelint` у `package.json`
  *    (cross-file: треба знати, чи є поле, чи немає);
- *  - `.stylelintignore` у корені;
- *  - `.vscode/extensions.json` recommendation `stylelint.vscode-stylelint`;
- *  - `.vscode/settings.json` `css.validate` / `scss.validate` / `less.validate: false`.
+ *  - `.stylelintignore` у корені.
  *
  * **Що покрила Rego** (`bun run lint-conftest`):
  *  - `npm/policy/style_lint/package_json/` — скрипт `lint-style` через `npx stylelint`,
  *    `@nitra/stylelint-config` у `devDependencies`, поле `stylelint.extends`;
- *  - `npm/policy/style_lint/lint_style_yml/` — `npx stylelint` у `run` workflow.
+ *  - `npm/policy/style_lint/lint_style_yml/` — `npx stylelint` у `run` workflow;
+ *  - `npm/policy/style_lint/vscode_extensions/` — `stylelint.vscode-stylelint`
+ *    у `recommendations` `.vscode/extensions.json`;
+ *  - `npm/policy/style_lint/vscode_settings/` — `css.validate`/`scss.validate`/
+ *    `less.validate: false` у `.vscode/settings.json`.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -39,32 +41,10 @@ async function checkStylelintConfigPresence(reporter) {
   }
 }
-/**
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
- */
-async function checkVscodeStylelint(reporter) {
-  const { pass, fail } = reporter
-  if (existsSync('.vscode/extensions.json')) {
-    const ext = JSON.parse(await readFile('.vscode/extensions.json', 'utf8'))
-    if (ext.recommendations?.includes('stylelint.vscode-stylelint')) {
-      pass('extensions.json містить stylelint.vscode-stylelint')
-    } else {
-      fail('extensions.json не містить stylelint.vscode-stylelint')
-    }
-  } else {
-    fail('.vscode/extensions.json не існує')
-  }
-  if (!existsSync('.vscode/settings.json')) return
-  const s = JSON.parse(await readFile('.vscode/settings.json', 'utf8'))
-  for (const key of ['css.validate', 'scss.validate', 'less.validate']) {
-    if (s[key] === false) {
-      pass(`${key} вимкнено`)
-    } else {
-      fail(`settings.json: ${key} має бути false`)
-    }
-  }
-}
+// `.vscode/extensions.json` (`stylelint.vscode-stylelint`) і `.vscode/settings.json`
+// (`css.validate`/`scss.validate`/`less.validate: false`) — у rego-пакетах
+// `style_lint.vscode_extensions` і `style_lint.vscode_settings`, прогоняє
+// `bun run lint-conftest`. JS-копії видалено, щоб не було двох джерел істини.
 /**
  * Перевіряє відповідність проєкту правилам style-lint.mdc
@@ -89,7 +69,5 @@ export async function check() {
     fail(`${wfPath} не існує — створи його`)
   }
-  await checkVscodeStylelint(reporter)
   return reporter.getExitCode()
 }

package/scripts/lint-conftest.mjs CHANGED Viewed

@@ -112,6 +112,18 @@ const TARGETS = [
     rule: 'style-lint',
     single: '.github/workflows/lint-style.yml'
   },
+  {
+    namespace: 'style_lint.vscode_extensions',
+    policyDir: 'style_lint',
+    rule: 'style-lint',
+    single: '.vscode/extensions.json'
+  },
+  {
+    namespace: 'style_lint.vscode_settings',
+    policyDir: 'style_lint',
+    rule: 'style-lint',
+    single: '.vscode/settings.json'
+  },
   // ── php ─────────────────────────────────────────────────────────────────
   { namespace: 'php.package_json', policyDir: 'php', rule: 'php', single: 'package.json' },
@@ -157,13 +169,19 @@ const TARGETS = [
     single: '.github/workflows/lint-js.yml'
   },
-  // ── image-compress / capacitor ──────────────────────────────────────────
+  // ── image-compress / image-avif / capacitor ─────────────────────────────
   {
     namespace: 'image_compress.package_json',
     policyDir: 'image_compress',
     rule: 'image-compress',
     single: 'package.json'
   },
+  {
+    namespace: 'image_avif.package_json',
+    policyDir: 'image_avif',
+    rule: 'image-avif',
+    walk: { match: rel => rel.endsWith('/package.json') || rel === 'package.json' }
+  },
   {
     namespace: 'capacitor.package_json',
     policyDir: 'capacitor',
@@ -214,6 +232,12 @@ const TARGETS = [
     rule: 'js-run',
     walk: { match: rel => rel.endsWith('/package.json') || rel === 'package.json' }
   },
+  // `js_run.jsconfig` НЕ реєструємо тут — `jsconfig.json` має канонічну структуру
+  // лише для backend-пакетів (без `vite` у `devDependencies`) з каталогом `src/`,
+  // а lint-conftest фільтрує лише по `activeRules` на рівні репозиторію — не
+  // вміє пропустити окремий workspace-пакет за наявністю `vite`. Тому валідація
+  // структури делегується з `check-js-run.mjs` через `runConftestBatch` після
+  // того, як JS визначить, що пакет — backend з `src/`.
   {
     namespace: 'vue.package_json',
     policyDir: 'vue',