@nitra/cursor 1.9.14 → 1.9.17

package/CHANGELOG.md

@@ -4,6 +4,62 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.17] - 2026-05-13
+
+### Added
+
+- **2 нові rego-полісі для text.mdc VSCode-канону** (мігровано з `check-text.mjs`):
+  - `text.vscode_extensions` — `recommendations` має містити три розширення: `DavidAnson.vscode-markdownlint`, `oxc.oxc-vscode`, `timonwong.shellcheck`. Шаблон повідомлень + множина `recommendations_set` (винесена поза `deny`, щоб не порушити `performance/non-loop-expression`).
+  - `text.vscode_settings` — `editor.formatOnSave: true` плюс шість мов-блоків (`[javascript]`/`[typescript]`/`[json]`/`[vue]`/`[css]`/`[html]`) з `editor.defaultFormatter: "oxc.oxc-vscode"`. Окремі deny для «не object» і «неправильний defaultFormatter». Канон задає мінімум — додаткові lang-блоки дозволені.
+- **18 нових rego-тестів** (7 для `vscode_extensions` + 11 для `vscode_settings`): happy path, додаткові поля, відсутність кожного розширення, відсутність `formatOnSave`, неправильний defaultFormatter, відсутні lang-блоки. `conftest verify` — **252/252 pass** (+18).
+- **`lint-conftest.mjs` TARGETS — два нові entry для text:** `text.vscode_extensions` (`single: '.vscode/extensions.json'`) і `text.vscode_settings` (`single: '.vscode/settings.json'`), обидва з `rule: 'text'`. Глобально активуються для всіх проєктів з `text` у `.n-cursor.json:rules`.
+
+### Removed
+
+- **`check-text.mjs::checkVscodeTextExtensions` / `checkVscodeTextSettings` / `checkVscodeText`** — три JS-функції видалено разом з викликом `await checkVscodeText(pass, fail)` у `check()`. Зміст delegated у rego (`text.vscode_extensions` + `text.vscode_settings`).
+
+### Changed
+
+- **`check-text.mjs::checkTextConfigsExistence` — розширено двома записами:** тепер вимагає FS-існування `.vscode/extensions.json` і `.vscode/settings.json` поряд з `.oxfmtrc.json` / `.cspell.json` / `.markdownlint-cli2.jsonc`. lint-conftest з rego skip-ить неіснуючі файли, тому FS-existence лишається в JS — це працює як «єдина точка контролю наявності файлу + delegated content-валідація у rego».
+
+## [1.9.16] - 2026-05-13
+
+### Added
+
+- **5 нових rego-полісі для `.vscode/extensions.json` / `.vscode/settings.json`** (мігровано канон з .mdc у rego, прибрано JS-дублі):
+  - `style_lint.vscode_extensions` — `recommendations` має містити `stylelint.vscode-stylelint` (style-lint.mdc).
+  - `style_lint.vscode_settings` — `css.validate` / `scss.validate` / `less.validate: false`; `editor.codeActionsOnSave` свідомо не enforced (smell-test, мдс показує як рекомендацію).
+  - `graphql.vscode_extensions` — `recommendations` має містити `graphql.vscode-graphql` (graphql.mdc). НЕ реєструється глобально у `lint-conftest` TARGETS — правило conditional на наявність `gql\`…\``у джерелах; викликається з`check-graphql.mjs`через`runConftestBatch` після gql-scan.
+  - `nginx_default_tpl.vscode_extensions` — `recommendations` має містити `ahmadalli.vscode-nginx-conf` (nginx-default-tpl.mdc).
+  - `nginx_default_tpl.vscode_settings` — `editor.formatOnSave: true` і `[nginx].editor.defaultFormatter: "ahmadalli.vscode-nginx-conf"`. Обидва nginx-полісі викликаються з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише після виявлення `default.conf.template`.
+- **28 нових тестів** до пʼяти полісі: 5 (style_lint.vscode_extensions) + 6 (style_lint.vscode_settings) + 5 (graphql.vscode_extensions) + 5 (nginx_default_tpl.vscode_extensions) + 7 (nginx_default_tpl.vscode_settings). `conftest verify` — **234/234 pass** (+28).
+
+### Removed
+
+- **`check-style-lint.mjs::checkVscodeStylelint`** — функція повністю видалена; зміст delegated у `style_lint.vscode_extensions` і `style_lint.vscode_settings`. JSDoc-преамбулу оновлено.
+- **`check-graphql.mjs::checkExtensionsRecommendation` — JS-копія тіла перевірки видалена:** функція тепер є тонкою обгорткою над `runConftestBatch`, делегує `graphql.vscode_extensions`. Зник дубль JSON-парсингу й порівняння `recommendations`.
+- **`check-nginx-default-tpl.mjs::checkVscodeNginx` — JS-копія тіла перевірки видалена:** функція тепер делегує `nginx_default_tpl.vscode_extensions` і `nginx_default_tpl.vscode_settings` через `runConftestBatch`. Зник дубль перевірок `editor.formatOnSave` і `[nginx].editor.defaultFormatter` у JS.
+
+### Changed
+
+- **`lint-conftest.mjs` TARGETS — два нові глобальні entry для style-lint:** `style_lint.vscode_extensions` (`single: .vscode/extensions.json`) і `style_lint.vscode_settings` (`single: .vscode/settings.json`), обидва з `rule: 'style-lint'`. Не-style-lint проєкти не зачіпають (filter по `activeRules` з `.n-cursor.json`).
+- **graphql/nginx — НЕ реєструються глобально у `lint-conftest`:** правила conditional на per-package умовах, які lint-conftest не вміє виразити (`gql\`…\``у джерелах для graphql; наявність`default.conf.template`для nginx). Plan B: rego-authoritative + JS-orchestrator з`runConftestBatch`.
+
+## [1.9.15] - 2026-05-13
+
+### Added
+
+- **`npm/policy/js_run/jsconfig/jsconfig_test.rego` — 12 нових тестів для канону `jsconfig.json`:** rego-полісі `js_run.jsconfig` (canonical compilerOptions — `lib: ["esnext"]`, `module/moduleResolution: NodeNext`, `target: esnext`, `checkJs: false`, `include: ["src/**/*"]`) існувала, але не мала тестів і не запускалась на реальних файлах. Додано happy path + 11 негативних кейсів через `json.patch`-фікстури.
+- **`npm/policy/image_avif/package_json/` — структурна валідація опт-аут конфігу:** новий rego-пакет `image_avif.package_json` з 3 deny-правилами для `package.json`: значення `"@nitra/minify-image"` має бути обʼєктом (якщо присутнє), `disable-avif` має бути boolean (якщо присутнє), захист від typo `disabled-avif`. Поле опційне — більшість проєктів його не мають, deny спрацьовує лише на нелегітимну форму (typo або wrong type, що тихо ламає опт-аут). +11 тестів. Зареєстровано у `lint-conftest.mjs` TARGETS з `walk` по всіх `package.json` (з фільтром `rule: "image-avif"`).
+
+### Changed
+
+- **`check-js-run.mjs::checkBackendJsconfigWhenSrcPresent` — структуру `jsconfig.json` тепер валідує rego через `runConftestBatch`:** замість FS-existence-only + посилання на `lint-conftest` (яке насправді не запускалось — rego не була зареєстрована глобально), JS тепер викликає rego-пакет `js_run.jsconfig` через `runConftestBatch` після того, як визначить, що пакет — backend (без `vite` у `devDependencies`) з каталогом `src/`. Це Plan B: Rego-authoritative + JS-orchestrator. Глобальна реєстрація `js_run.jsconfig` у `lint-conftest.mjs` свідомо не додавалась — rule стосується лише workspace-пакетів певної форми, що lint-conftest filter (`activeRules` на рівні репо) не вміє виразити.
+
+### Not done (Phase 1.5 — пізніше)
+
+- **`rego.mdc`, `tauri.mdc`** — rego-полісі для канонічних `.vscode/extensions.json` / `.vscode/settings.json` потрібен JS-orchestrator. Ці правила conditional (rego — glob `**/*.rego`, tauri — лише Tauri-проєкти), тож запускати rego безумовно на кожний `.vscode/extensions.json` дало б false-positive порушення для всіх не-rego/не-tauri проєктів. Чисте розширення rego-полісі без `check-<rule>.mjs`-orchestrator-а тут не закриває правило.
+
 ## [1.9.14] - 2026-05-13
 
 ### Added

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.14",
+  "version": "1.9.17",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/graphql/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,20 @@
+# Перевірка `.vscode/extensions.json` для graphql (graphql.mdc).
+#
+# Викликається з `check-graphql.mjs` через `runConftestBatch` лише ПІСЛЯ того,
+# як JS виявив `gql\`…\`` tagged template literal у джерелах (умовне правило).
+# Тому в `lint-conftest.mjs` TARGETS глобально не реєструється — інакше були б
+# false-positive порушення на проєктах без gql.
+#
+# Canonical (graphql.mdc):
+#   { "recommendations": ["graphql.vscode-graphql"] }
+#
+# Канон задає мінімум; інші записи (від markdownlint/oxc/...) дозволені.
+package graphql.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "graphql.vscode-graphql" in {r | some r in recs}
+	msg := ".vscode/extensions.json: додай у recommendations \"graphql.vscode-graphql\" (graphql.mdc)"
+}

package/policy/graphql/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,34 @@
+# Тести для `graphql.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/graphql/vscode_extensions
+package graphql.vscode_extensions_test
+
+import rego.v1
+
+import data.graphql.vscode_extensions
+
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["graphql.vscode-graphql"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"graphql.vscode-graphql",
+		"oxc.oxc-vscode",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/image_avif/package_json/package_json.rego

@@ -0,0 +1,61 @@
+# Структурна перевірка опт-аут конфігу для image-avif у `package.json` (image-avif.mdc).
+#
+# Запуск (локально):
+#   conftest test <pkg>/package.json -p npm/policy/image_avif/package_json \
+#     --namespace image_avif.package_json
+#
+# Канонічна форма опт-ауту з image-avif.mdc:
+#   { "@nitra/minify-image": { "disable-avif": true } }
+#
+# Поле опційне — більшість проєктів його не мають. Полісі deny лише, якщо поле
+# присутнє, але має нелегітимну форму: типовий typo (`disabled-avif`) або
+# неправильний тип (`"disable-avif": "yes"`). Без цієї перевірки помилкове
+# написання тихо повертає AVIF-генерацію всередину пакета, де її хотіли вимкнути.
+#
+# FS / behavior (запуск `npx @nitra/minify-image`, walk `.vue`, видалення AVIF-сиріт) — у JS.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package image_avif.package_json
+
+import rego.v1
+
+minify_image_field := "@nitra/minify-image"
+
+# ── deny: значення поля має бути обʼєктом, якщо присутнє ──────────────────
+
+deny contains msg if {
+	value := object.get(input, minify_image_field, null)
+	value != null
+	not is_object(value)
+	msg := sprintf(
+		"package.json: поле \"@nitra/minify-image\" має бути обʼєктом (зараз: %v) (image-avif.mdc)",
+		[value],
+	)
+}
+
+# ── deny: відомі ключі мають правильний тип ──────────────────────────────
+
+deny contains msg if {
+	cfg := object.get(input, minify_image_field, {})
+	is_object(cfg)
+	value := object.get(cfg, "disable-avif", null)
+	value != null
+	not is_boolean(value)
+	msg := sprintf(
+		"package.json: \"@nitra/minify-image.disable-avif\" має бути boolean (зараз: %v) (image-avif.mdc)",
+		[value],
+	)
+}
+
+# ── deny: захист від typo `disabled-avif` ────────────────────────────────
+
+deny contains msg if {
+	cfg := object.get(input, minify_image_field, {})
+	is_object(cfg)
+	"disabled-avif" in object.keys(cfg)
+	msg := concat(" ", [
+		"package.json: ключ \"@nitra/minify-image.disabled-avif\" виглядає як typo —",
+		"канонічна назва \"disable-avif\" (image-avif.mdc)",
+	])
+}

package/policy/image_avif/package_json/package_json_test.rego

@@ -0,0 +1,69 @@
+# Тести для `image_avif.package_json`. Запуск:
+#   conftest verify -p npm/policy/image_avif/package_json
+package image_avif.package_json_test
+
+import rego.v1
+
+import data.image_avif.package_json
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_no_field if {
+	count(package_json.deny) == 0 with input as {"name": "x"}
+}
+
+test_allow_canonical_opt_out if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": true}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_disable_avif_false if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": false}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_empty_config if {
+	pkg := {"name": "x", "@nitra/minify-image": {}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_other_keys_inside if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": true, "future-flag": "y"}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+# ── deny: тип поля ───────────────────────────────────────────────────────
+
+test_deny_field_is_string if {
+	pkg := {"name": "x", "@nitra/minify-image": "disable-avif"}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_field_is_array if {
+	pkg := {"name": "x", "@nitra/minify-image": ["disable-avif"]}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_field_is_boolean if {
+	pkg := {"name": "x", "@nitra/minify-image": true}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+# ── deny: тип disable-avif ──────────────────────────────────────────────
+
+test_deny_disable_avif_string if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": "yes"}}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_disable_avif_number if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disable-avif": 1}}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+# ── deny: typo disabled-avif ────────────────────────────────────────────
+
+test_deny_typo_disabled_avif if {
+	pkg := {"name": "x", "@nitra/minify-image": {"disabled-avif": true}}
+	count(package_json.deny) > 0 with input as pkg
+}

package/policy/js_run/jsconfig/jsconfig_test.rego

@@ -0,0 +1,88 @@
+# Тести для `js_run.jsconfig`. Запуск:
+#   conftest verify -p npm/policy/js_run/jsconfig
+package js_run.jsconfig_test
+
+import rego.v1
+
+import data.js_run.jsconfig
+
+valid_cfg := {
+	"compilerOptions": {
+		"lib": ["esnext"],
+		"module": "NodeNext",
+		"moduleResolution": "NodeNext",
+		"target": "esnext",
+		"checkJs": false,
+	},
+	"include": ["src/**/*"],
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(jsconfig.deny) == 0 with input as valid_cfg
+}
+
+# ── compilerOptions.lib ───────────────────────────────────────────────────
+
+test_deny_lib_not_array if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/lib", "value": "esnext"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_lib_wrong_value if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/lib", "value": ["es2022"]}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_lib_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/compilerOptions/lib"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+# ── compilerOptions.module / moduleResolution / target / checkJs ──────────
+
+test_deny_module_not_nodenext if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/module", "value": "esnext"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_module_resolution_not_nodenext if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "replace", "path": "/compilerOptions/moduleResolution", "value": "node"}],
+	)
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_target_not_esnext if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/target", "value": "es2022"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_check_js_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/compilerOptions/checkJs", "value": true}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_check_js_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/compilerOptions/checkJs"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+# ── include ──────────────────────────────────────────────────────────────
+
+test_deny_include_not_array if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/include", "value": "src/**/*"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_include_wrong_value if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/include", "value": ["lib/**/*"]}])
+	count(jsconfig.deny) > 0 with input as cfg
+}
+
+test_deny_include_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/include"}])
+	count(jsconfig.deny) > 0 with input as cfg
+}

package/policy/nginx_default_tpl/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,16 @@
+# Перевірка `.vscode/extensions.json` для nginx-default-tpl (nginx-default-tpl.mdc).
+#
+# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# ПІСЛЯ того, як JS виявив `default.conf.template` у дереві (умовне правило).
+# Глобально у `lint-conftest.mjs` TARGETS не реєструється.
+#
+# Canonical: `recommendations` має містити `ahmadalli.vscode-nginx-conf`.
+package nginx_default_tpl.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "ahmadalli.vscode-nginx-conf" in {r | some r in recs}
+	msg := ".vscode/extensions.json: recommendations має містити \"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)"
+}

package/policy/nginx_default_tpl/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,30 @@
+# Тести для `nginx_default_tpl.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/nginx_default_tpl/vscode_extensions
+package nginx_default_tpl.vscode_extensions_test
+
+import rego.v1
+
+import data.nginx_default_tpl.vscode_extensions
+
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["ahmadalli.vscode-nginx-conf"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint", "ahmadalli.vscode-nginx-conf"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/nginx_default_tpl/vscode_settings/vscode_settings.rego

@@ -0,0 +1,36 @@
+# Перевірка `.vscode/settings.json` для nginx-default-tpl (nginx-default-tpl.mdc).
+#
+# Викликається з `check-nginx-default-tpl.mjs` через `runConftestBatch` лише
+# ПІСЛЯ того, як JS виявив `default.conf.template`. Глобально у `lint-conftest`
+# не реєструється.
+#
+# Canonical:
+#   { "editor.formatOnSave": true,
+#     "[nginx]": { "editor.defaultFormatter": "ahmadalli.vscode-nginx-conf" } }
+package nginx_default_tpl.vscode_settings
+
+import rego.v1
+
+deny contains msg if {
+	object.get(input, "editor.formatOnSave", null) != true
+	msg := ".vscode/settings.json: \"editor.formatOnSave\" має бути true (nginx-default-tpl.mdc)"
+}
+
+deny contains msg if {
+	nginx_block := object.get(input, "[nginx]", {})
+	not is_object(nginx_block)
+	msg := concat(" ", [
+		".vscode/settings.json: \"[nginx]\" має бути обʼєктом з",
+		"\"editor.defaultFormatter\": \"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)",
+	])
+}
+
+deny contains msg if {
+	nginx_block := object.get(input, "[nginx]", {})
+	is_object(nginx_block)
+	object.get(nginx_block, "editor.defaultFormatter", null) != "ahmadalli.vscode-nginx-conf"
+	msg := concat(" ", [
+		".vscode/settings.json: \"[nginx].editor.defaultFormatter\" має бути",
+		"\"ahmadalli.vscode-nginx-conf\" (nginx-default-tpl.mdc)",
+	])
+}

package/policy/nginx_default_tpl/vscode_settings/vscode_settings_test.rego

@@ -0,0 +1,53 @@
+# Тести для `nginx_default_tpl.vscode_settings`. Запуск:
+#   conftest verify -p npm/policy/nginx_default_tpl/vscode_settings
+package nginx_default_tpl.vscode_settings_test
+
+import rego.v1
+
+import data.nginx_default_tpl.vscode_settings
+
+valid_cfg := {
+	"editor.formatOnSave": true,
+	"[nginx]": {"editor.defaultFormatter": "ahmadalli.vscode-nginx-conf"},
+}
+
+test_allow_canonical if {
+	count(vscode_settings.deny) == 0 with input as valid_cfg
+}
+
+test_allow_with_additional_keys if {
+	cfg := json.patch(valid_cfg, [{
+		"op": "add",
+		"path": "/[javascript]",
+		"value": {"editor.defaultFormatter": "oxc.oxc-vscode"},
+	}])
+	count(vscode_settings.deny) == 0 with input as cfg
+}
+
+test_deny_format_on_save_false if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/editor.formatOnSave", "value": false}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_format_on_save_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/editor.formatOnSave"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_nginx_block_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/[nginx]"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_nginx_block_wrong_type if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/[nginx]", "value": "ahmadalli.vscode-nginx-conf"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_nginx_wrong_formatter if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "replace", "path": "/[nginx]/editor.defaultFormatter", "value": "ms-vscode.cpptools"}],
+	)
+	count(vscode_settings.deny) > 0 with input as cfg
+}

package/policy/style_lint/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,23 @@
+# Перевірка `.vscode/extensions.json` для style-lint (style-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test .vscode/extensions.json -p npm/policy/style_lint/vscode_extensions \
+#     --namespace style_lint.vscode_extensions
+#
+# Canonical (style-lint.mdc):
+#   { "recommendations": ["stylelint.vscode-stylelint"] }
+#
+# Канон задає мінімум — `recommendations` має МІСТИТИ `stylelint.vscode-stylelint`;
+# додаткові записи (від інших правил — markdownlint, oxc тощо) дозволені.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package style_lint.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "stylelint.vscode-stylelint" in {r | some r in recs}
+	msg := ".vscode/extensions.json: recommendations має містити \"stylelint.vscode-stylelint\" (style-lint.mdc)"
+}

package/policy/style_lint/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,39 @@
+# Тести для `style_lint.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/style_lint/vscode_extensions
+package style_lint.vscode_extensions_test
+
+import rego.v1
+
+import data.style_lint.vscode_extensions
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["stylelint.vscode-stylelint"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"stylelint.vscode-stylelint",
+		"oxc.oxc-vscode",
+		"DavidAnson.vscode-markdownlint",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+# ── deny ──────────────────────────────────────────────────────────────────
+
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/style_lint/vscode_settings/vscode_settings.rego

@@ -0,0 +1,24 @@
+# Перевірка `.vscode/settings.json` для style-lint (style-lint.mdc).
+#
+# Запуск (локально):
+#   conftest test .vscode/settings.json -p npm/policy/style_lint/vscode_settings \
+#     --namespace style_lint.vscode_settings
+#
+# Canonical (style-lint.mdc): вимкнути вбудовану валідацію CSS/SCSS/Less, щоб
+# stylelint був єдиним джерелом діагностики.
+#   { "css.validate": false, "less.validate": false, "scss.validate": false }
+#
+# `editor.codeActionsOnSave` у каноні є, але це smell-test — навмисно не deny,
+# щоб не падати на пакетах, які мають свій codeActionsOnSave-конфіг.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package style_lint.vscode_settings
+
+import rego.v1
+
+deny contains msg if {
+	some key in {"css.validate", "less.validate", "scss.validate"}
+	object.get(input, key, null) != false
+	msg := sprintf(".vscode/settings.json: \"%s\" має бути false (style-lint.mdc)", [key])
+}

package/policy/style_lint/vscode_settings/vscode_settings_test.rego

@@ -0,0 +1,49 @@
+# Тести для `style_lint.vscode_settings`. Запуск:
+#   conftest verify -p npm/policy/style_lint/vscode_settings
+package style_lint.vscode_settings_test
+
+import rego.v1
+
+import data.style_lint.vscode_settings
+
+valid_cfg := {
+	"css.validate": false,
+	"less.validate": false,
+	"scss.validate": false,
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(vscode_settings.deny) == 0 with input as valid_cfg
+}
+
+test_allow_with_additional_keys if {
+	cfg := json.patch(valid_cfg, [{
+		"op": "add",
+		"path": "/editor.codeActionsOnSave",
+		"value": {"source.fixAll": "explicit"},
+	}])
+	count(vscode_settings.deny) == 0 with input as cfg
+}
+
+# ── deny ──────────────────────────────────────────────────────────────────
+
+test_deny_css_validate_true if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/css.validate", "value": true}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_scss_validate_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/scss.validate"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_less_validate_string if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/less.validate", "value": "off"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_empty_object if {
+	count(vscode_settings.deny) > 0 with input as {}
+}