@nitra/cursor 1.9.19 → 1.9.20

package/CHANGELOG.md

@@ -4,6 +4,35 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.20] - 2026-05-14
+
+### Added
+
+- **`check-rego.mjs` orchestrator + 3 rego-полісі для `rego.mdc`:**
+  - JS gate у `npm/scripts/check-rego.mjs`: walk дерева від `cwd` (з типовими skip-ами і `.n-cursor.json:ignore`); якщо немає жодного `.rego` файла — `pass` (skip) ("rego-tooling не вимагається"). Інакше — FS-existence + content-валідація 3 файлів через `runConftestBatch`.
+  - `rego.vscode_extensions` — `recommendations` ∋ `tsandall.opa`.
+  - `rego.vscode_settings` — `[rego]` блок з `editor.defaultFormatter: "tsandall.opa"` + `editor.formatOnSave: true`; окремі deny на «не object», «неправильний defaultFormatter», «formatOnSave не true / відсутній».
+  - `rego.package_json` — `scripts.lint-rego` присутній і дорівнює `"bun ./npm/scripts/lint-rego.mjs"` (точне значення, з підтримкою whitespace через `trim_space`).
+  - +20 rego-тестів (5 + 7 + 8). Глобально у `lint-conftest` НЕ реєструються — це conditional правило, gating через JS.
+- **`check-tauri.mjs` orchestrator + 1 rego-полісі для `tauri.mdc`:**
+  - JS detector маркера Tauri-проєкту: `src-tauri/` каталог, `tauri.conf.json` у корені, або `@tauri-apps/*` у `dependencies`/`devDependencies` кореневого `package.json`. Якщо немає — `pass` (skip).
+  - `tauri.vscode_extensions` — `recommendations` ∋ обидва: `tauri-apps.tauri-vscode` і `rust-lang.rust-analyzer`. Один deny з шаблоном повідомлень + `recommendations_set` поза deny (performance hint).
+  - +6 rego-тестів (canonical, додаткові розширення, кожний відсутній маркер окремо, empty, no field).
+- **`conftest verify`** — **293/293 pass** (+26).
+
+### Changed
+
+- **CLI auto-discovery** підхоплює `check-rego.mjs` і `check-tauri.mjs` через `discoverCheckScripts()` у `bin/n-cursor.js`. Окрема реєстрація не потрібна — будь-який `check-*.mjs` стає доступним через `npx @nitra/cursor check <rule>`.
+
+### Verified
+
+- **На цьому репо `npx @nitra/cursor check rego` детектує реальні гепи у `.vscode/extensions.json` (немає `tsandall.opa`) і `.vscode/settings.json` (немає `[rego]` блока).** Це true-positive: репо має `rego` у `.n-cursor.json:rules` і містить `.rego` файли, тож канонічний tooling-набір вимагається. Фікс — додати entries у `.vscode/*` згідно `rego.mdc`.
+
+### Not migrated (explained)
+
+- **`changelog.mdc` format-валідація** — пропущено: `conftest` не парсить markdown без pre-processing. Структурна валідація формату `## [version] - YYYY-MM-DD` лишається в `check-changelog.mjs` (JS), яке через regex розбирає текст. Перенесення вимагало б pre-processing markdown → JSON у JS перед викликом conftest — додаткова складність без виграшу.
+- **`image-compress.mdc`** — вже має повне покриття rego через `image_compress.package_json` (8 deny, тести у [npm/policy/image_compress/package_json/](npm/policy/image_compress/package_json/)). `.gitignore` cross-file checks залишаються в `check-image-compress.mjs` як FS-логіка (rego не вміє).
+
 ## [1.9.19] - 2026-05-14
 
 ### Removed

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.19",
+  "version": "1.9.20",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/rego/package_json/package_json.rego

@@ -0,0 +1,35 @@
+# Перевірка `package.json` для rego (rego.mdc).
+#
+# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
+# `.rego` файлів у дереві. Глобально у `lint-conftest` НЕ реєструється.
+#
+# Canonical (rego.mdc): scripts.lint-rego має бути "bun ./npm/scripts/lint-rego.mjs".
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package rego.package_json
+
+import rego.v1
+
+canonical_lint_rego := "bun ./npm/scripts/lint-rego.mjs"
+
+lint_rego_template := concat(" ", [
+	"package.json: scripts.lint-rego має бути %q",
+	"(зараз: %q) (rego.mdc)",
+])
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	not "lint-rego" in object.keys(scripts)
+	msg := concat(" ", [
+		"package.json: відсутній scripts.lint-rego — додай",
+		"\"lint-rego\": \"bun ./npm/scripts/lint-rego.mjs\" (rego.mdc)",
+	])
+}
+
+deny contains msg if {
+	scripts := object.get(input, "scripts", {})
+	lint_rego := object.get(scripts, "lint-rego", "")
+	lint_rego != ""
+	trim_space(lint_rego) != canonical_lint_rego
+	msg := sprintf(lint_rego_template, [canonical_lint_rego, lint_rego])
+}

package/policy/rego/package_json/package_json_test.rego

@@ -0,0 +1,42 @@
+# Тести для `rego.package_json`. Запуск:
+#   conftest verify -p npm/policy/rego/package_json
+package rego.package_json_test
+
+import rego.v1
+
+import data.rego.package_json
+
+canonical_lint_rego := "bun ./npm/scripts/lint-rego.mjs"
+
+test_allow_canonical if {
+	pkg := {"scripts": {"lint-rego": canonical_lint_rego}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_with_other_scripts if {
+	pkg := {"scripts": {"lint-rego": canonical_lint_rego, "test": "bun test"}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_allow_with_whitespace if {
+	pkg := {"scripts": {"lint-rego": concat("", ["  ", canonical_lint_rego, " "])}}
+	count(package_json.deny) == 0 with input as pkg
+}
+
+test_deny_missing_lint_rego if {
+	count(package_json.deny) > 0 with input as {"scripts": {}}
+}
+
+test_deny_no_scripts if {
+	count(package_json.deny) > 0 with input as {"name": "x"}
+}
+
+test_deny_wrong_value if {
+	pkg := {"scripts": {"lint-rego": "opa check ."}}
+	count(package_json.deny) > 0 with input as pkg
+}
+
+test_deny_npx_form if {
+	pkg := {"scripts": {"lint-rego": "npx opa check ."}}
+	count(package_json.deny) > 0 with input as pkg
+}

package/policy/rego/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,19 @@
+# Перевірка `.vscode/extensions.json` для rego (rego.mdc).
+#
+# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ того, як
+# JS виявив `.rego` файли у дереві (умовне правило — проєкти без rego не
+# зобовʼязані ставити tsandall.opa). Глобально у `lint-conftest` НЕ
+# реєструється.
+#
+# Canonical (rego.mdc): `recommendations` має містити `tsandall.opa`.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package rego.vscode_extensions
+
+import rego.v1
+
+deny contains msg if {
+	recs := object.get(input, "recommendations", [])
+	not "tsandall.opa" in {r | some r in recs}
+	msg := ".vscode/extensions.json: recommendations має містити \"tsandall.opa\" (rego.mdc)"
+}

package/policy/rego/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,34 @@
+# Тести для `rego.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/rego/vscode_extensions
+package rego.vscode_extensions_test
+
+import rego.v1
+
+import data.rego.vscode_extensions
+
+test_allow_with_required_extension if {
+	cfg := {"recommendations": ["tsandall.opa"]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"tsandall.opa",
+		"oxc.oxc-vscode",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_deny_missing_extension if {
+	cfg := {"recommendations": ["dbaeumer.vscode-eslint"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/policy/rego/vscode_settings/vscode_settings.rego

@@ -0,0 +1,38 @@
+# Перевірка `.vscode/settings.json` для rego (rego.mdc).
+#
+# Викликається з `check-rego.mjs` через `runConftestBatch` лише ПІСЛЯ виявлення
+# `.rego` файлів у дереві. Глобально у `lint-conftest` НЕ реєструється.
+#
+# Canonical (rego.mdc):
+#   { "[rego]": { "editor.defaultFormatter": "tsandall.opa",
+#                 "editor.formatOnSave": true } }
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package rego.vscode_settings
+
+import rego.v1
+
+# ── deny: [rego] block ──────────────────────────────────────────────────
+
+deny contains msg if {
+	not is_object(object.get(input, "[rego]", null))
+	msg := concat(" ", [
+		".vscode/settings.json: \"[rego]\" має бути обʼєктом з",
+		"\"editor.defaultFormatter\": \"tsandall.opa\" і",
+		"\"editor.formatOnSave\": true (rego.mdc)",
+	])
+}
+
+deny contains msg if {
+	rego_block := object.get(input, "[rego]", {})
+	is_object(rego_block)
+	object.get(rego_block, "editor.defaultFormatter", null) != "tsandall.opa"
+	msg := ".vscode/settings.json: \"[rego].editor.defaultFormatter\" має бути \"tsandall.opa\" (rego.mdc)"
+}
+
+deny contains msg if {
+	rego_block := object.get(input, "[rego]", {})
+	is_object(rego_block)
+	object.get(rego_block, "editor.formatOnSave", null) != true
+	msg := ".vscode/settings.json: \"[rego].editor.formatOnSave\" має бути true (rego.mdc)"
+}

package/policy/rego/vscode_settings/vscode_settings_test.rego

@@ -0,0 +1,55 @@
+# Тести для `rego.vscode_settings`. Запуск:
+#   conftest verify -p npm/policy/rego/vscode_settings
+package rego.vscode_settings_test
+
+import rego.v1
+
+import data.rego.vscode_settings
+
+valid_cfg := {"[rego]": {
+	"editor.defaultFormatter": "tsandall.opa",
+	"editor.formatOnSave": true,
+}}
+
+test_allow_canonical if {
+	count(vscode_settings.deny) == 0 with input as valid_cfg
+}
+
+test_allow_with_additional_lang_blocks if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "add", "path": "/[javascript]", "value": {"editor.defaultFormatter": "oxc.oxc-vscode"}}],
+	)
+	count(vscode_settings.deny) == 0 with input as cfg
+}
+
+test_deny_rego_block_missing if {
+	count(vscode_settings.deny) > 0 with input as {}
+}
+
+test_deny_rego_block_not_object if {
+	count(vscode_settings.deny) > 0 with input as {"[rego]": "tsandall.opa"}
+}
+
+test_deny_wrong_default_formatter if {
+	cfg := json.patch(
+		valid_cfg,
+		[{"op": "replace", "path": "/[rego]/editor.defaultFormatter", "value": "prettier"}],
+	)
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_default_formatter_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/[rego]/editor.defaultFormatter"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_format_on_save_false if {
+	cfg := json.patch(valid_cfg, [{"op": "replace", "path": "/[rego]/editor.formatOnSave", "value": false}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}
+
+test_deny_format_on_save_missing if {
+	cfg := json.patch(valid_cfg, [{"op": "remove", "path": "/[rego]/editor.formatOnSave"}])
+	count(vscode_settings.deny) > 0 with input as cfg
+}

package/policy/tauri/vscode_extensions/vscode_extensions.rego

@@ -0,0 +1,28 @@
+# Перевірка `.vscode/extensions.json` для tauri (tauri.mdc).
+#
+# Викликається з `check-tauri.mjs` через `runConftestBatch` лише ПІСЛЯ того,
+# як JS виявив маркер Tauri-проєкту (`src-tauri/` каталог, `tauri.conf.json`
+# у будь-якому пакеті, або залежність `@tauri-apps/*`). Глобально у
+# `lint-conftest` НЕ реєструється — інакше false-positive порушення на не-Tauri проєктах.
+#
+# Canonical (tauri.mdc): `recommendations` має містити обидва записи —
+#   - tauri-apps.tauri-vscode
+#   - rust-lang.rust-analyzer
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+package tauri.vscode_extensions
+
+import rego.v1
+
+required_extensions := {"tauri-apps.tauri-vscode", "rust-lang.rust-analyzer"}
+
+missing_extension_template := ".vscode/extensions.json: recommendations має містити %q (tauri.mdc)"
+
+# Множина усіх записів `recommendations` (поза deny — performance/non-loop-expression).
+recommendations_set := {r | some r in object.get(input, "recommendations", [])}
+
+deny contains msg if {
+	some required in required_extensions
+	not required in recommendations_set
+	msg := sprintf(missing_extension_template, [required])
+}

package/policy/tauri/vscode_extensions/vscode_extensions_test.rego

@@ -0,0 +1,44 @@
+# Тести для `tauri.vscode_extensions`. Запуск:
+#   conftest verify -p npm/policy/tauri/vscode_extensions
+package tauri.vscode_extensions_test
+
+import rego.v1
+
+import data.tauri.vscode_extensions
+
+canonical := {"recommendations": [
+	"tauri-apps.tauri-vscode",
+	"rust-lang.rust-analyzer",
+]}
+
+test_allow_canonical if {
+	count(vscode_extensions.deny) == 0 with input as canonical
+}
+
+test_allow_with_additional_extensions if {
+	cfg := {"recommendations": [
+		"dbaeumer.vscode-eslint",
+		"tauri-apps.tauri-vscode",
+		"rust-lang.rust-analyzer",
+		"oxc.oxc-vscode",
+	]}
+	count(vscode_extensions.deny) == 0 with input as cfg
+}
+
+test_deny_missing_tauri if {
+	cfg := {"recommendations": ["rust-lang.rust-analyzer"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_missing_rust_analyzer if {
+	cfg := {"recommendations": ["tauri-apps.tauri-vscode"]}
+	count(vscode_extensions.deny) > 0 with input as cfg
+}
+
+test_deny_empty_recommendations if {
+	count(vscode_extensions.deny) > 0 with input as {"recommendations": []}
+}
+
+test_deny_no_recommendations_field if {
+	count(vscode_extensions.deny) > 0 with input as {}
+}

package/scripts/check-abie.mjs

@@ -76,7 +76,6 @@ const UA_KUSTOMIZATION_PATH_RE = /(^|\/)ua\/kustomization\.yaml$/u
 const OVERLAY_PACKAGE_DIR_RE = /^(.+)\/k8s\/ua\/kustomization\.yaml$/u
 const BASE_SEGMENT_RE = /(^|\/)base\//u
 const YAML_EXTENSION_RE = /\.ya?ml$/iu
-const K8S_PACKAGE_DIR_RE = /^(.+)\/k8s\//u
 const PATCH_NODE_SELECTOR_PATH_RE = /path:\s*\/spec\/template\/spec\/nodeSelector\b/u
 const PATCH_PREEM_FALSE_RE = /\bpreem:\s*['"]?false['"]?\b/u
 const TRAILING_SLASH_RE = /\/$/u

package/scripts/check-hasura.mjs

@@ -143,7 +143,7 @@ async function checkEnvFile(relPath, expected, reporter) {
   const value = m[1].trim()
   const parsed = parseInternalHasuraEndpoint(value)
   if (!parsed.ok) {
-    const example = 'http://<service>.<namespace>.svc.<cluster>.internal:<port>'
+    const example = "https://<service>.<namespace>.svc.<cluster>.internal:<port>"
     fail(
       `${relPath}: HASURA_GRAPHQL_ENDPOINT="${value}" — потрібен внутрішній кластерний URL виду ${example} (hasura.mdc)`
     )

package/scripts/check-rego.mjs

@@ -0,0 +1,106 @@
+/**
+ * Перевіряє інструментарій rego (rego.mdc): VSCode та `package.json` для проєктів,
+ * які мають хоча б один `.rego` файл у дереві.
+ *
+ * Cross-file gating (JS):
+ *   1. Walk дерева від `cwd` (з типовими skip-ами і `.n-cursor.json:ignore`).
+ *   2. Якщо немає жодного `.rego` — пропустити перевірку (rego-tooling не вимагається).
+ *   3. Інакше — для кожного канонічного файла:
+ *      - FS-existence (з повідомленням, якщо відсутній);
+ *      - делегувати content-валідацію rego-пакетам через `runConftestBatch`:
+ *        `rego.vscode_extensions` — `.vscode/extensions.json`: `tsandall.opa`
+ *          у `recommendations`;
+ *        `rego.vscode_settings` — `.vscode/settings.json`: `[rego]` з
+ *          `editor.defaultFormatter: "tsandall.opa"` і `editor.formatOnSave: true`;
+ *        `rego.package_json` — `package.json#scripts.lint-rego` має бути
+ *          канонічним `"bun ./npm/scripts/lint-rego.mjs"`.
+ *
+ * Rego-полісі глобально у `lint-conftest` НЕ реєструються — це conditional
+ * правило (без `.rego` файлів вимоги не діють). Plan B: Rego-authoritative +
+ * JS-orchestrator з `runConftestBatch`.
+ *
+ * `bun run lint-rego` (`npm/scripts/lint-rego.mjs`) — окрема перевірка САМИХ
+ * rego-полісі (opa check / regal lint / conftest verify), не плутати з цим
+ * скриптом, який перевіряє ПРОЄКТНЕ оточення для роботи з rego.
+ */
+import { existsSync } from 'node:fs'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
+import { walkDir } from './utils/walkDir.mjs'
+
+/** Список (path, namespace, policyDirRel) для трьох канонічних конфігів rego.mdc. */
+const REGO_TARGETS = [
+  ['.vscode/extensions.json', 'rego.vscode_extensions', 'rego/vscode_extensions'],
+  ['.vscode/settings.json', 'rego.vscode_settings', 'rego/vscode_settings'],
+  ['package.json', 'rego.package_json', 'rego/package_json']
+]
+
+/**
+ * Чи є хоча б один `.rego` файл у дереві від `cwd`.
+ * @param {string} root абсолютний шлях кореня
+ * @param {string[]} ignorePaths шляхи каталогів, повністю виключених з обходу
+ * @returns {Promise<boolean>} `true`, якщо знайдено хоча б один `.rego`
+ */
+async function projectHasRegoFiles(root, ignorePaths) {
+  let found = false
+  await walkDir(
+    root,
+    p => {
+      if (p.endsWith('.rego')) {
+        found = true
+      }
+    },
+    ignorePaths
+  )
+  return found
+}
+
+/**
+ * Делегує content-валідацію одного канонічного конфіга rego-пакету через
+ * `runConftestBatch`. FS-існування — попередньо перевірено.
+ * @param {string} path відносний шлях до файлу
+ * @param {string} namespace rego-пакет (наприклад `rego.vscode_extensions`)
+ * @param {string} policyDirRel піддиректорія у `npm/policy/`
+ * @param {(msg: string) => void} pass success-репортер
+ * @param {(msg: string) => void} fail fail-репортер
+ * @returns {void}
+ */
+function runRegoPolicyOnPath(path, namespace, policyDirRel, pass, fail) {
+  const violations = runConftestBatch({ policyDirRel, namespace, files: [path] })
+  if (violations.length === 0) {
+    pass(`${path} відповідає ${namespace} (rego)`)
+    return
+  }
+  for (const v of violations) fail(v.message)
+}
+
+/**
+ * Перевіряє відповідність проєкту правилам rego.mdc.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const root = process.cwd()
+  const ignorePaths = await loadCursorIgnorePaths(root)
+  const hasRego = await projectHasRegoFiles(root, ignorePaths)
+  if (!hasRego) {
+    pass('Немає *.rego у дереві — rego-tooling не вимагається (rego.mdc)')
+    return reporter.getExitCode()
+  }
+
+  pass('Знайдено *.rego у дереві — перевіряємо канонічні конфіги rego.mdc')
+
+  for (const [path, namespace, policyDirRel] of REGO_TARGETS) {
+    if (!existsSync(path)) {
+      fail(`${path} не існує — створи згідно rego.mdc (${namespace})`)
+      continue
+    }
+    runRegoPolicyOnPath(path, namespace, policyDirRel, pass, fail)
+  }
+
+  return reporter.getExitCode()
+}

package/scripts/check-tauri.mjs

@@ -0,0 +1,88 @@
+/**
+ * Перевіряє інструментарій Tauri (tauri.mdc): VSCode `extensions.json` для
+ * проєктів, у яких є маркер Tauri.
+ *
+ * Cross-file gating (JS):
+ *   1. Tauri-маркер визначаємо за **будь-яким** з:
+ *      - існує каталог `src-tauri/` у `cwd`;
+ *      - існує файл `tauri.conf.json` у `cwd` або в workspace-пакетах;
+ *      - кореневий `package.json#devDependencies` або `dependencies` містить
+ *        ключ з префіксом `@tauri-apps/`.
+ *   2. Якщо маркера немає — пропустити перевірку (tauri-tooling не вимагається).
+ *   3. Інакше — для `.vscode/extensions.json` зробити FS-existence + делегувати
+ *      content `rego.tauri.vscode_extensions` через `runConftestBatch`.
+ *
+ * Rego-полісі глобально у `lint-conftest` НЕ реєструється — це conditional
+ * правило. Plan B: Rego-authoritative + JS-orchestrator з `runConftestBatch`.
+ */
+import { existsSync, statSync } from 'node:fs'
+import { readFile } from 'node:fs/promises'
+
+import { createCheckReporter } from './utils/check-reporter.mjs'
+import { runConftestBatch } from './utils/run-conftest-batch.mjs'
+
+/**
+ * Чи є префікс `@tauri-apps/` у ключах `dependencies` або `devDependencies`.
+ * @param {Record<string, unknown> | null | undefined} pkg розпарсений `package.json`
+ * @returns {boolean} true, якщо знайдено хоча б один `@tauri-apps/*`
+ */
+function packageHasTauriDep(pkg) {
+  if (!pkg || typeof pkg !== 'object') return false
+  for (const field of ['dependencies', 'devDependencies']) {
+    const deps = /** @type {Record<string, unknown> | undefined} */ (pkg[field])
+    if (!deps || typeof deps !== 'object') continue
+    for (const name of Object.keys(deps)) {
+      if (name.startsWith('@tauri-apps/')) return true
+    }
+  }
+  return false
+}
+
+/**
+ * Чи є у проєкті маркер Tauri: `src-tauri/`, `tauri.conf.json` (root або
+ * workspace), або `@tauri-apps/*` у залежностях кореневого `package.json`.
+ * @returns {Promise<boolean>} true, якщо проєкт використовує Tauri
+ */
+async function projectHasTauriMarker() {
+  if (existsSync('src-tauri') && statSync('src-tauri').isDirectory()) return true
+  if (existsSync('tauri.conf.json')) return true
+  if (!existsSync('package.json')) return false
+  const pkg = JSON.parse(await readFile('package.json', 'utf8'))
+  if (packageHasTauriDep(pkg)) return true
+  return false
+}
+
+/**
+ * Перевіряє відповідність проєкту правилам tauri.mdc.
+ * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const hasTauri = await projectHasTauriMarker()
+  if (!hasTauri) {
+    pass('Немає маркера Tauri (src-tauri/, tauri.conf.json, @tauri-apps/*) — tauri-tooling не вимагається')
+    return reporter.getExitCode()
+  }
+
+  pass('Знайдено маркер Tauri — перевіряємо канонічні конфіги tauri.mdc')
+
+  const extPath = '.vscode/extensions.json'
+  if (!existsSync(extPath)) {
+    fail(`${extPath} не існує — створи з recommendations "tauri-apps.tauri-vscode" і "rust-lang.rust-analyzer" (tauri.mdc)`)
+    return reporter.getExitCode()
+  }
+  const violations = runConftestBatch({
+    policyDirRel: 'tauri/vscode_extensions',
+    namespace: 'tauri.vscode_extensions',
+    files: [extPath]
+  })
+  if (violations.length === 0) {
+    pass(`${extPath} відповідає tauri.vscode_extensions (rego)`)
+  } else {
+    for (const v of violations) fail(v.message)
+  }
+
+  return reporter.getExitCode()
+}