@nitra/cursor 1.9.23 → 1.11.0

package/.claude-template/hooks/capture-decisions.sh

@@ -22,10 +22,10 @@ TRANSCRIPT_PATH=$(printf '%s' "$INPUT" | jq -r '.transcript_path // empty')
 SESSION_ID=$(printf '%s' "$INPUT" | jq -r '.session_id // "unknown"')
 
 PROJECT_ROOT="${CLAUDE_PROJECT_DIR:-$PWD}"
-INBOX="$PROJECT_ROOT/docs/adr/_inbox"
+ADR_DIR="$PROJECT_ROOT/docs/adr"
 LOG_DIR="$PROJECT_ROOT/.claude/hooks"
 LOG="$LOG_DIR/capture-decisions.log"
-mkdir -p "$INBOX" "$LOG_DIR"
+mkdir -p "$ADR_DIR" "$LOG_DIR"
 
 log() { printf '%s %s\n' "$(date -Iseconds)" "$*" >> "$LOG"; }
 
@@ -145,7 +145,7 @@ if ! printf '%s' "$RESPONSE_TRIMMED" | grep -q '^## '; then
 fi
 
 TS=$(date +%Y%m%d-%H%M%S)
-OUT="$INBOX/$TS-${SESSION_ID:0:8}.md"
+OUT="$ADR_DIR/$TS-${SESSION_ID:0:8}.md"
 {
   printf -- '---\nsession: %s\ncaptured: %s\ntranscript: %s\n---\n\n' \
     "$SESSION_ID" "$(date -Iseconds)" "$TRANSCRIPT_PATH"

package/.claude-template/hooks/normalize-decisions.sh

@@ -0,0 +1,370 @@
+#!/usr/bin/env bash
+# Stop hook: normalize ADR drafts in docs/adr/ via LLM.
+#
+# Triggers when number of draft files (with `session:` in YAML frontmatter)
+# reaches ADR_NORMALIZE_THRESHOLD (default 30). Asks LLM to return a JSON list
+# of operations (rewrite / delete / merge-into) and applies them to the working
+# tree. Never invokes git — developer reviews via `git status` / `git diff`.
+#
+# LLM CLI selection (first available wins):
+#   1. claude        — `claude -p --model "$ADR_NORMALIZE_MODEL"` (default: sonnet)
+#   2. cursor-agent  — `cursor-agent -p --mode ask --output-format text --model …`
+#                      (default: claude-4.6-sonnet-medium)
+#   neither          — exit 0 silently
+#
+# Portable bash 3.2 (macOS /bin/bash): no `mapfile`, no associative arrays.
+#
+# Bundled with @nitra/cursor; project copy is auto-synced by the `adr` rule.
+set -eu
+set -o pipefail
+
+if [ -n "${ADR_NORMALIZE_RUNNING:-}" ]; then
+  exit 0
+fi
+export ADR_NORMALIZE_RUNNING=1
+
+PROJECT_ROOT="${CLAUDE_PROJECT_DIR:-$PWD}"
+ADR_DIR="$PROJECT_ROOT/docs/adr"
+LOG_DIR="$PROJECT_ROOT/.claude/hooks"
+LOG="$LOG_DIR/normalize-decisions.log"
+STATE_FILE="$LOG_DIR/.normalize-state"
+LOCK_FILE="$LOG_DIR/.normalize.lock"
+mkdir -p "$LOG_DIR"
+
+log() { printf '%s %s\n' "$(date -Iseconds)" "$*" >> "$LOG"; }
+
+# Skip if repo is mid-rebase / mid-merge — editing files now would tangle the user.
+if [ -d "$PROJECT_ROOT/.git" ]; then
+  for marker in MERGE_HEAD CHERRY_PICK_HEAD REVERT_HEAD rebase-apply rebase-merge; do
+    if [ -e "$PROJECT_ROOT/.git/$marker" ]; then
+      log "skip: git is mid-$marker"
+      exit 0
+    fi
+  done
+fi
+
+if [ ! -d "$ADR_DIR" ]; then
+  exit 0
+fi
+
+# Acquire lock if `flock` is available (Linux). macOS lacks flock by default —
+# treat absence as "no concurrent runs expected" and skip locking.
+if command -v flock >/dev/null 2>&1; then
+  exec 9>"$LOCK_FILE"
+  if ! flock -n 9; then
+    log "skip: another normalize run holds the lock"
+    exit 0
+  fi
+fi
+
+# Min interval between attempts — when LLM returns nothing for the batch, do not
+# spin on every Stop event. Default 6 hours.
+MIN_INTERVAL_HOURS="${ADR_NORMALIZE_MIN_INTERVAL_HOURS:-6}"
+if [ -f "$STATE_FILE" ]; then
+  LAST_ATTEMPT=$(cat "$STATE_FILE" 2>/dev/null || printf '0')
+  NOW=$(date +%s)
+  ELAPSED=$(( NOW - LAST_ATTEMPT ))
+  MIN_SECS=$(( MIN_INTERVAL_HOURS * 3600 ))
+  if [ "$ELAPSED" -lt "$MIN_SECS" ]; then
+    log "skip: only $ELAPSED s since last attempt (min ${MIN_SECS}s)"
+    exit 0
+  fi
+fi
+
+THRESHOLD="${ADR_NORMALIZE_THRESHOLD:-30}"
+BATCH_SIZE="${ADR_NORMALIZE_BATCH:-30}"
+DRY_RUN="${ADR_NORMALIZE_DRY:-0}"
+
+# Detects whether a markdown file is a draft: has YAML frontmatter with `session:` field.
+is_draft() {
+  awk '
+    NR==1 && /^---$/ { fm=1; next }
+    fm && /^---$/    { exit }
+    fm && /^session: / { found=1 }
+    END              { exit !found }
+  ' "$1" 2>/dev/null
+}
+
+TMP_DIR=$(mktemp -d "${TMPDIR:-/tmp}/adr-normalize.XXXXXX")
+trap 'rm -rf "$TMP_DIR"' EXIT
+
+DRAFTS_LIST="$TMP_DIR/drafts.txt"
+CLEAN_LIST="$TMP_DIR/clean.txt"
+BATCH_LIST="$TMP_DIR/batch.txt"
+CLAIMED_SLUGS="$TMP_DIR/claimed.txt"
+: > "$DRAFTS_LIST"
+: > "$CLEAN_LIST"
+: > "$CLAIMED_SLUGS"
+
+# Find all draft files (recursive) under docs/adr/.
+find "$ADR_DIR" -type f -name '*.md' 2>/dev/null | while IFS= read -r f; do
+  if is_draft "$f"; then
+    printf '%s\n' "$f"
+  fi
+done | sort > "$DRAFTS_LIST"
+
+DRAFT_COUNT=$(wc -l < "$DRAFTS_LIST" | tr -d ' ')
+log "drafts found: $DRAFT_COUNT (threshold: $THRESHOLD)"
+
+if [ "$DRAFT_COUNT" -lt "$THRESHOLD" ]; then
+  exit 0
+fi
+
+head -n "$BATCH_SIZE" "$DRAFTS_LIST" > "$BATCH_LIST"
+BATCH_COUNT=$(wc -l < "$BATCH_LIST" | tr -d ' ')
+log "batch size: $BATCH_COUNT"
+
+# Find clean ADR files at root of docs/adr/ (no `session:`).
+find "$ADR_DIR" -maxdepth 1 -type f -name '*.md' 2>/dev/null | while IFS= read -r f; do
+  if ! is_draft "$f"; then
+    basename "$f"
+  fi
+done | sort > "$CLEAN_LIST"
+
+# Build prompt input section.
+INPUT_FILE="$TMP_DIR/input.md"
+{
+  i=0
+  while IFS= read -r f; do
+    i=$(( i + 1 ))
+    idx=$(printf '%03d' "$i")
+    rel="${f#"$ADR_DIR/"}"
+    printf '\n[DRAFT-%s] %s\n' "$idx" "$rel"
+    cat "$f"
+    printf '\n[END DRAFT-%s]\n' "$idx"
+  done < "$BATCH_LIST"
+} > "$INPUT_FILE"
+
+CLEAN_SECTION_FILE="$TMP_DIR/clean-section.md"
+: > "$CLEAN_SECTION_FILE"
+if [ -s "$CLEAN_LIST" ]; then
+  {
+    printf '\nClean ADR files already in docs/adr/ (potential merge-into targets):\n'
+    while IFS= read -r c; do
+      printf '%s\n' "- $c"
+    done < "$CLEAN_LIST"
+  } > "$CLEAN_SECTION_FILE"
+fi
+
+PROMPT_HEADER=$(cat <<'EOF'
+Ти нормалізуєш чернетки ADR/Runbook/Knowledge у `docs/adr/` репозиторію. Для кожного драфта обери одну з трьох операцій і поверни ЛИШЕ JSON-обʼєкт без markdown-обгортки, без передмови.
+
+Схема відповіді:
+
+{
+  "operations": [
+    { "op": "delete",     "file": "<basename>.md", "reason": "..." },
+    { "op": "rewrite",    "file": "<basename>.md", "slug": "<kebab-case-ukrainian>", "content": "<повний markdown файлу>" },
+    { "op": "merge-into", "file": "<basename>.md", "target": "<slug>.md", "additions": "<markdown для дописування>" }
+  ]
+}
+
+Правила:
+
+1. `delete` — драфт тривіальний / повністю покритий іншим існуючим clean-ADR-ом / порожній. Поясни короткою причиною українською.
+
+2. `rewrite` — драфт має самостійну цінність. Повертай у `content` повний фінальний вміст файлу:
+   - Без YAML frontmatter (жодного `session:`, `captured:`, `transcript:`).
+   - Заголовок `# <Title>` українською.
+   - Один рядок `**Status:** Accepted` і один рядок `**Date:** YYYY-MM-DD` — дату беремо з поля `captured:` оригінальної чернетки (перші 10 символів ISO-дати).
+   - Далі розділи **Контекст**, **Рішення/Процедура/Факт**, **Обґрунтування**, **Розглянуті альтернативи**, **Зачіпає** — як у драфті, але причесані: цілісні речення, без скорочень, без слідів автогенерованого тегу типу `## Knowledge`.
+   - `slug` — kebab-case українською (наприклад `ланцюжок-запуску-abie`, `npm-publish-flow`). Без розширення `.md`. Літери малі, дозволено цифри, дефіс, кирилиця. Якщо тема технічна англійською (назва пакету, ключове слово) — лиши англійською без транслітерації.
+
+3. `merge-into` — драфт повторює тему вже існуючого clean-файлу зі списку нижче. `target` — точна назва файлу зі списку (з `.md`). `additions` — лише новий зміст, який варто дописати в кінець target-файлу під підзаголовком `## Update YYYY-MM-DD` (date з `captured` драфта). Якщо нічого нового додати — використовуй `delete`.
+
+Жорсткі обмеження:
+
+- Поверни валідний JSON, нічого крім нього. Жодних code-fence, жодних коментарів.
+- Кожен файл з вхідного списку має зʼявитися у `operations` рівно один раз.
+- Слаги не повторювати між операціями того самого батча. Якщо дві чернетки про одну тему — одна `rewrite`, інша `merge-into target: <slug>.md` з тим самим slug-ом.
+- Не вигадуй target, якого нема у списку clean-файлів.
+
+Вхідні драфти і clean-список — нижче.
+EOF
+)
+
+FULL_PROMPT_FILE="$TMP_DIR/prompt.md"
+{
+  printf '%s\n' "$PROMPT_HEADER"
+  cat "$CLEAN_SECTION_FILE"
+  printf '\n=== DRAFTS ===\n'
+  cat "$INPUT_FILE"
+} > "$FULL_PROMPT_FILE"
+
+# Update state BEFORE calling LLM — even if LLM fails, we honor min-interval.
+date +%s > "$STATE_FILE"
+
+CLAUDE_MODEL="${ADR_NORMALIZE_MODEL:-sonnet}"
+CURSOR_MODEL="${ADR_NORMALIZE_CURSOR_MODEL:-claude-4.6-sonnet-medium}"
+
+RESPONSE_FILE="$TMP_DIR/response.txt"
+
+if command -v claude >/dev/null 2>&1; then
+  log "using claude CLI (model: $CLAUDE_MODEL)"
+  claude -p --model "$CLAUDE_MODEL" < "$FULL_PROMPT_FILE" > "$RESPONSE_FILE" 2>>"$LOG" || true
+elif command -v cursor-agent >/dev/null 2>&1; then
+  log "using cursor-agent CLI (model: $CURSOR_MODEL)"
+  FULL_PROMPT=$(cat "$FULL_PROMPT_FILE")
+  cursor-agent -p --mode ask --output-format text --model "$CURSOR_MODEL" -- "$FULL_PROMPT" > "$RESPONSE_FILE" 2>>"$LOG" || true
+else
+  log "no LLM CLI found, skipping"
+  exit 0
+fi
+
+if [ ! -s "$RESPONSE_FILE" ]; then
+  log "empty LLM response"
+  exit 0
+fi
+
+# Strip markdown code-fence lines and surrounding blank lines.
+# Use awk to avoid backtick/end-anchor lint false positives in sed regex.
+RESPONSE_CLEAN_FILE="$TMP_DIR/response-clean.json"
+awk '
+  /^[[:space:]]*```/ { next }
+  started || /[^[:space:]]/ { started = 1; print }
+' "$RESPONSE_FILE" > "$RESPONSE_CLEAN_FILE"
+
+# Validate JSON.
+if ! jq -e '.operations | type == "array"' "$RESPONSE_CLEAN_FILE" >/dev/null 2>&1; then
+  HEAD200=$(head -c 200 "$RESPONSE_CLEAN_FILE" | tr '\n' ' ')
+  log "invalid JSON response (first 200 chars): $HEAD200"
+  exit 0
+fi
+
+OP_COUNT=$(jq '.operations | length' "$RESPONSE_CLEAN_FILE")
+log "operations parsed: $OP_COUNT"
+
+if [ "$DRY_RUN" = "1" ]; then
+  log "DRY RUN — would apply $OP_COUNT operations:"
+  jq -r '.operations[] | "  " + .op + " " + .file + (if .slug then " → " + .slug else "" end) + (if .target then " → " + .target else "" end)' \
+    "$RESPONSE_CLEAN_FILE" >> "$LOG"
+  exit 0
+fi
+
+# Resolve unique target path for slug — appends -2, -3 on collision.
+# Tracks claims via CLAIMED_SLUGS file (one slug per line).
+resolve_unique_slug_path() {
+  slug="$1"
+  base="$ADR_DIR/${slug}.md"
+  if [ ! -e "$base" ] && ! grep -Fxq "$slug" "$CLAIMED_SLUGS" 2>/dev/null; then
+    printf '%s\n' "$slug" >> "$CLAIMED_SLUGS"
+    printf '%s\n' "$base"
+    return
+  fi
+  n=2
+  while :; do
+    cand="$ADR_DIR/${slug}-${n}.md"
+    key="${slug}-${n}"
+    if [ ! -e "$cand" ] && ! grep -Fxq "$key" "$CLAIMED_SLUGS" 2>/dev/null; then
+      printf '%s\n' "$key" >> "$CLAIMED_SLUGS"
+      printf '%s\n' "$cand"
+      return
+    fi
+    n=$(( n + 1 ))
+  done
+}
+
+APPLIED=0
+SKIPPED=0
+
+jq -c '.operations[]' "$RESPONSE_CLEAN_FILE" | while IFS= read -r op_json; do
+  OP=$(printf '%s' "$op_json" | jq -r '.op // empty')
+  FILE=$(printf '%s' "$op_json" | jq -r '.file // empty')
+  SRC_PATH="$ADR_DIR/$FILE"
+
+  if [ -z "$OP" ] || [ -z "$FILE" ]; then
+    log "skip: malformed op (missing op/file)"
+    SKIPPED=$(( SKIPPED + 1 ))
+    continue
+  fi
+  case "$FILE" in
+    */*|.*)
+      log "skip: refusing path-like file '$FILE'"
+      SKIPPED=$(( SKIPPED + 1 ))
+      continue
+      ;;
+  esac
+
+  # Resolve nested batch files by basename if not at docs/adr/ root.
+  if [ ! -f "$SRC_PATH" ]; then
+    while IFS= read -r bf; do
+      bn=$(basename "$bf")
+      if [ "$bn" = "$FILE" ]; then
+        SRC_PATH="$bf"
+        break
+      fi
+    done < "$BATCH_LIST"
+  fi
+  if [ ! -f "$SRC_PATH" ]; then
+    log "skip: source missing '$FILE'"
+    SKIPPED=$(( SKIPPED + 1 ))
+    continue
+  fi
+
+  case "$OP" in
+    delete)
+      REASON=$(printf '%s' "$op_json" | jq -r '.reason // ""')
+      rm -- "$SRC_PATH"
+      log "delete: $FILE — $REASON"
+      APPLIED=$(( APPLIED + 1 ))
+      ;;
+    rewrite)
+      SLUG=$(printf '%s' "$op_json" | jq -r '.slug // empty')
+      CONTENT=$(printf '%s' "$op_json" | jq -r '.content // empty')
+      if [ -z "$SLUG" ] || [ -z "$CONTENT" ]; then
+        log "skip rewrite: missing slug or content for '$FILE'"
+        SKIPPED=$(( SKIPPED + 1 ))
+        continue
+      fi
+      case "$SLUG" in
+        */*|.*)
+          log "skip rewrite: refusing path-like slug '$SLUG'"
+          SKIPPED=$(( SKIPPED + 1 ))
+          continue
+          ;;
+      esac
+      DEST_PATH=$(resolve_unique_slug_path "$SLUG")
+      printf '%s\n' "$CONTENT" > "$DEST_PATH"
+      rm -- "$SRC_PATH"
+      log "rewrite: $FILE → $(basename "$DEST_PATH")"
+      APPLIED=$(( APPLIED + 1 ))
+      ;;
+    merge-into)
+      TARGET=$(printf '%s' "$op_json" | jq -r '.target // empty')
+      ADDITIONS=$(printf '%s' "$op_json" | jq -r '.additions // empty')
+      if [ -z "$TARGET" ] || [ -z "$ADDITIONS" ]; then
+        log "skip merge-into: missing target or additions for '$FILE'"
+        SKIPPED=$(( SKIPPED + 1 ))
+        continue
+      fi
+      case "$TARGET" in
+        */*|.*)
+          log "skip merge-into: refusing path-like target '$TARGET'"
+          SKIPPED=$(( SKIPPED + 1 ))
+          continue
+          ;;
+      esac
+      TARGET_PATH="$ADR_DIR/$TARGET"
+      if [ ! -f "$TARGET_PATH" ]; then
+        log "skip merge-into: target '$TARGET' missing"
+        SKIPPED=$(( SKIPPED + 1 ))
+        continue
+      fi
+      if is_draft "$TARGET_PATH"; then
+        log "skip merge-into: target '$TARGET' is itself a draft"
+        SKIPPED=$(( SKIPPED + 1 ))
+        continue
+      fi
+      printf '\n%s\n' "$ADDITIONS" >> "$TARGET_PATH"
+      rm -- "$SRC_PATH"
+      log "merge-into: $FILE → $TARGET"
+      APPLIED=$(( APPLIED + 1 ))
+      ;;
+    *)
+      log "skip: unknown op '$OP' for '$FILE'"
+      SKIPPED=$(( SKIPPED + 1 ))
+      ;;
+  esac
+done
+
+log "done"

package/CHANGELOG.md

@@ -4,6 +4,58 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.11.0] - 2026-05-15
+
+### Added
+
+- **Concern-based JS + per-policy `target.json`** — нова інфраструктура для CLI `check`:
+  - `npm/rules/<id>/js/<concern>/check*.mjs` — JS-концерни замість одного плаского `js/check.mjs`. Дзеркалить `policy/<name>/`: один `<name>` = одна одиниця відповідальності (rego, JS, або hybrid).
+  - `npm/rules/<id>/policy/<name>/target.json` — декларативний маніфест поруч із `<name>.rego` описує, які файли фідити в conftest (`{ "files": { "single": "..." | "walkGlob": [...] } }`). CLI читає сам і викликає `runConftestBatch` — JS не зобовʼязаний дублювати.
+  - **Pure-rego правила** працюють без жодного `.mjs`: CLI знаходить полісі за `target.json` і прогонить їх через `runConftestBatch`.
+  - **Applies-гейт**: `rules/<id>/js/applies/check.mjs` може експортувати `applies()`. Якщо повертає `false` — CLI пропускає правило цілком (включно з policy-концернами).
+  - **JSON Schema** у `npm/schemas/target.json` для IDE-валідації `target.json`.
+  - **picomatch@^4.0.4** — runtime dependency для `walkGlob`-резолверу.
+- **Нові утиліти** в `npm/scripts/utils/`:
+  - `discover-checkable-rules.mjs` — обхід `rules/`, повертає `{ id, jsConcerns, policyConcerns }[]`. Legacy-fallback: плаский `js/check.mjs` маппиться у концерн `legacy`, щоб не ламати ще не мігровані правила під час переходу.
+  - `resolve-target-files.mjs` — резолвер `files.single` / `files.walkGlob` з спільним walk-кешем на check-прогон (повторні таргети з тим самим `ignorePaths` не роблять додаткового `walkDir`). Path-traversal у `single` блокується.
+  - `run-rule.mjs` — оркестратор одного правила: applies-гейт → JS-концерни → policy-концерни. Exit-код агрегується OR-ом.
+
+### Changed
+
+- **`npm/bin/n-cursor.js`** — `discoverCheckScripts` тепер делегує у `discoverCheckableRules` і повертає `CheckableRule[]` замість `string[]`. `runChecks` запускає `runRule` для кожного id зі shared `walkCache` (один обхід дерева на унікальний `ignorePaths`-сигнатуру).
+- **`npm/rules/rego/`** — пілот міграції на нову структуру:
+  - `js/check.mjs` → `js/applies/check.mjs` з експортами `applies()` (gate за наявністю `*.rego` у дереві) і `check()` (короткий context-pass). Виклики `runConftestBatch` прибрано — їх тепер виконує CLI через `target.json`.
+  - `policy/{package_json,vscode_extensions,vscode_settings}/target.json` додано (`single` + `required: true` + кастомні `missingMessage`).
+- **`npm/package.json`** — додано `picomatch` у `dependencies`.
+
+- **Правило `adr` — фаза 2 (Normalize).** Новий Stop-hook `.claude/hooks/normalize-decisions.sh` батчево нормалізує ADR-чернетки через LLM: коли кількість файлів з `session:` у frontmatter досягає `ADR_NORMALIZE_THRESHOLD` (default 30), бере до `ADR_NORMALIZE_BATCH` найстарших, отримує JSON-операції (`rewrite` / `delete` / `merge-into`) і застосовує їх до робочого дерева. **Жодних git-операцій** — розробник дивиться `git status`/`git diff` і вирішує сам. Recursion guard `ADR_NORMALIZE_RUNNING=1`, мінімальний інтервал між спробами `ADR_NORMALIZE_MIN_INTERVAL_HOURS=6`, lock-файл, skip при mid-rebase/mid-merge, `ADR_NORMALIZE_DRY=1` для dry-run. Slug-стиль — kebab-case українською; дата у фінальному ADR береться з `captured` чернетки.
+- **Skill `adr-normalize`** (slash-команда `/n-adr-normalize`) — ручний запуск normalize поза порогом і поза Stop-hook (виставляє `ADR_NORMALIZE_THRESHOLD=0` і `ADR_NORMALIZE_MIN_INTERVAL_HOURS=0`, корисно для dry-run або разової чистки). Авто-додається при `adr` у `rules`.
+- **`sync-claude-config`**: експортовано `ADR_NORMALIZE_HOOK_COMMAND_MARKER` і функцію `syncAdrNormalizeHookScript`; managed-група normalize додається до `hooks.Stop` поряд з capture-групою (`async: true`, `timeout: 600`) при `"adr"` у `rules`. Маркер `.claude/hooks/normalize-decisions.sh` додано в `MANAGED_HOOK_COMMAND_MARKERS`.
+- **Rego-перевірка `adr.settings_json`** тепер вимагає Stop-hook групу і для capture, і для normalize; **`adr.settings_local_json`** забороняє дублі обох хуків.
+- **Інкрементальна міграція правил на `target.json`** (декларативні маніфести поруч із кожним `<concern>.rego`):
+  - **Single-file правила** (11): `bun`, `text`, `style-lint`, `php`, `docker`, `npm-module`, `js-lint`, `image-compress`, `capacitor`, `hasura`, `adr` — `target.json` з `single` для кожного канонічного конфіг-файлу. Сумарно 27 нових маніфестів. `bun.bunfig`, `text.cspell`, `npm_module.npm_publish_yml` тощо тепер прогоняються через CLI `check <id>` без додаткового `bun run lint-conftest`.
+  - **Walk-glob правила** (6): `js-mssql`, `js-bun-db`, `js-bun-redis`, `js-run` (package_json + configmap), `vue`, `image-avif` — `walkGlob: "**/package.json"` або відповідний патерн.
+  - **k8s.* концерни** (8): `manifest`, `gateway`, `hpa_pdb`, `kustomization`, `svc_yaml`, `svc_hl_yaml`, `base_kustomization`, `base_manifest` — `walkGlob` по YAML під сегментом `k8s/`; `base_manifest` використовує негативний glob для виключення `kustomization.yaml`.
+  - **abie концерни** (4): `clean_merged_ignore_branches` (single), `health_check_policy` (walkGlob `**/k8s/**/hc.yaml`), `http_route_base` (walkGlob `**/k8s/**/base/**/hr.yaml`), `base_deployment_preem` (walkGlob `**/k8s/**/base/**/*.{yaml,yml}` з виключенням `kustomization.yaml`).
+
+### Changed
+
+- **`capture-decisions.sh` тепер пише чернетки напряму в `docs/adr/<timestamp>-<sid>.md`** (раніше — у `docs/adr/_inbox/`). Сам каталог `_inbox/` більше не створюється, але `normalize-decisions.sh` бачить його рекурсивно — старі чернетки з `_inbox/` поступово розчищаються нормалізацією. Можна також одноразово `git mv docs/adr/_inbox/*.md docs/adr/` і прибрати порожній каталог.
+- **Правило `adr` (`npm/rules/adr/adr.mdc`)**: повне переписування під дві фази (capture + normalize). Видалено згадки `_inbox/`. Версія `version: '2.0'`.
+- **`npm/rules/adr/js/check.mjs`**: перевірка обох hook-скриптів (canonicity), обох log-файлів у `.gitignore`.
+- **`npm/scripts/lint-conftest.mjs`**: повне переписування. Замість hardcoded `TARGETS`-таблиці (~280 рядків з регексами та walker-преди­катами) скрипт викликає `discoverCheckableRules` і читає `target.json` для кожного policy-концерну. Файл-резолвер — спільний з CLI `check` (`resolveTargetFiles` + walk-кеш). Поведінка для користувача однакова (`stdio: 'inherit'` зберігається для рідного форматування conftest), але джерело правди тепер — `target.json` поруч із `.rego`. Скрипт став `async` (для `await readFile`/`discoverCheckableRules`).
+- **`npm/rules/abie/`** — завершено concern-split:
+  - `js/check.mjs` (1153 рядки) видалено, його логіка розпорошена по `js/{applies,firebase_hosting,hc_pairing,ua_node_selector,ua_http_route,env_dns}/check.mjs`.
+  - Спільні стан і утиліти у `utils/{enabled,k8s-tree,overlay-paths,kustomization-patches,http-route,hc-yaml,env-dns,yaml}.mjs`. `k8s-tree.mjs` тримає module-level кеш `findK8sYamlFiles` + `collectDeploymentDirs` — повторні виклики з різних концернів не роблять нового обходу дерева.
+  - Виклики `runConftestBatch` прибрано з JS — їх тепер виконує CLI через `target.json`.
+
+### Fixed
+
+- `npm/rules/adr/js/check.{mjs,test.mjs}`: виправлено `BUNDLED_HOOKS_DIR` (після phase 3 co-location шлях `'..'` указував у `npm/rules/adr/.claude-template/`, потрібно `'../../..'` — до `npm/.claude-template/`).
+- **`scripts/utils/run-rule.mjs`**: kebab-id правила (`style-lint`, `image-compress`, `js-lint`, `npm-module`, `js-mssql`, `js-bun-db`, `js-bun-redis`, `js-run`, `image-avif`, `nginx-default-tpl`) тепер коректно мапиться у snake-namespace rego (`style_lint.<concern>` тощо). Раніше `namespace: <id>.<concern>` давав `style-lint.package_json`, що не збігалося з `package style_lint.package_json` у `.rego` → conftest повертав 0 violations попри реальні порушення.
+- **`scripts/utils/resolve-target-files.mjs`**: виправлено інтерпретацію негативних glob-патернів. `picomatch(['pos', '!neg'])` за дефолтом трактує `!neg` як окремий позитивний матчер «не-neg» (OR-логіка), що матчило майже всі шляхи. Тепер позитивні/негативні розділяються вручну, негативи застосовуються через `!isExcluded`. Виправляє `k8s.base_manifest`-таргет, який мав виключати `kustomization.yaml`, але до фіксу матчив усе дерево.
+- **`scripts/utils/discover-checkable-rules.mjs`**: коли правило має й плаский `js/check.mjs`, і concern-підкаталоги, CLI прогонить **тільки** концерни. Раніше додавалися обидва → дублюючий вивід для правил у стані часткової міграції.
+
 ## [1.9.23] - 2026-05-14
 
 ### Fixed

package/bin/n-cursor.js

@@ -66,8 +66,10 @@ import {
 } from '../scripts/auto-rules.mjs'
 import { detectAutoSkills } from '../scripts/auto-skills.mjs'
 import { runStopHookCli } from '../scripts/claude-stop-hook.mjs'
+import { discoverCheckableRules } from '../scripts/utils/discover-checkable-rules.mjs'
 import { ensureNitraCursorInRootDevDependencies } from '../scripts/ensure-nitra-cursor-dev-dependencies.mjs'
 import { runLintGaCli } from '../rules/ga/js/lint.mjs'
+import { runRule } from '../scripts/utils/run-rule.mjs'
 import { syncClaudeConfig } from '../scripts/sync-claude-config.mjs'
 import { upgradeNitraCursorToLatestAndBunInstall } from '../scripts/upgrade-nitra-cursor-and-install.mjs'
 import { runRenameYamlExtensionsCli } from './rename-yaml-extensions.mjs'
@@ -986,18 +988,14 @@ function logRemovedManagedItems(title, basePath, names) {
 }
 
 /**
- * Знаходить доступні check-скрипти. Кожне правило з check-скриптом тримає його у
- * `rules/<id>/js/check.mjs` (rule-centric layout).
- * @returns {Promise<string[]>} відсортовані id правил, для яких є check.mjs
+ * Знаходить правила, для яких є хоча б щось прогонне: JS-концерн у `rules/<id>/js/<concern>/check*.mjs`
+ * (плюс legacy `rules/<id>/js/check.mjs` як концерн `legacy`) або policy-концерн у
+ * `rules/<id>/policy/<concern>/target.json`. Делегує у `discoverCheckableRules` —
+ * див. `scripts/utils/discover-checkable-rules.mjs`.
+ * @returns {Promise<import('../scripts/utils/discover-checkable-rules.mjs').CheckableRule[]>} опис правил у алфавітному порядку
  */
 async function discoverCheckScripts() {
-  if (!existsSync(BUNDLED_RULES_DIR)) return []
-  const entries = await readdir(BUNDLED_RULES_DIR, { withFileTypes: true })
-  return entries
-    .filter(e => e.isDirectory() && !e.name.startsWith('.'))
-    .filter(e => existsSync(join(BUNDLED_RULES_DIR, e.name, 'js', 'check.mjs')))
-    .map(e => e.name)
-    .toSorted((a, b) => a.localeCompare(b))
+  return discoverCheckableRules(BUNDLED_RULES_DIR)
 }
 
 /**
@@ -1048,13 +1046,15 @@ async function discoverCheckRulesFromAgentsMd(available) {
 }
 
 /**
- * Запускає перевірки: без аргументів — за списком у AGENTS.md; з аргументами — лише вказані правила
+ * Запускає перевірки: без аргументів — за списком у AGENTS.md; з аргументами — лише вказані правила.
+ * Делегує оркестрацію concern-ів (JS-checks + policy через `runConftestBatch`) у `runRule`;
+ * сам `runChecks` відповідає лише за фільтр id, агрегацію exit-кодів і shared walk-cache на прогон.
  * @param {string[]} requestedRules імена правил; порожній масив — брати з AGENTS.md
  * @returns {Promise<void>}
  */
 async function runChecks(requestedRules) {
-  const available = await discoverCheckScripts()
-  if (available.length === 0) {
+  const allRules = await discoverCheckScripts()
+  if (allRules.length === 0) {
     console.error('❌ Не знайдено жодного check-скрипта у пакеті')
     throw new Error('No check scripts found')
   }
@@ -1070,38 +1070,38 @@ async function runChecks(requestedRules) {
     }
   }
 
-  let rulesToCheck
+  const available = allRules.map(r => r.id)
+  let idsToCheck
   if (requestedRules.length > 0) {
-    rulesToCheck = requestedRules
+    idsToCheck = requestedRules
   } else {
-    rulesToCheck = await discoverCheckRulesFromAgentsMd(available)
-    if (rulesToCheck.length === 0) {
+    idsToCheck = await discoverCheckRulesFromAgentsMd(available)
+    if (idsToCheck.length === 0) {
       console.log(
         `\n🔍 ${PACKAGE_NAME} check — у ${AGENTS_FILE} немає правил з programmatic перевіркою ` +
-          `(відповідного check-*.mjs у пакеті). Нічого не запущено.\n`
+          `(відповідного check-*.mjs або policy/<name>/target.json у пакеті). Нічого не запущено.\n`
       )
       return
     }
   }
 
-  const unknown = rulesToCheck.filter(r => !available.includes(r))
+  const unknown = idsToCheck.filter(id => !available.includes(id))
   if (unknown.length > 0) {
     console.error(`❌ Невідомі правила: ${unknown.join(', ')}`)
     console.log(`   Доступні: ${available.join(', ')}`)
     throw new Error(`Unknown rules: ${unknown.join(', ')}`)
   }
 
-  console.log(`\n🔍 ${PACKAGE_NAME} check — перевірка правил (${rulesToCheck.length})\n`)
+  console.log(`\n🔍 ${PACKAGE_NAME} check — перевірка правил (${idsToCheck.length})\n`)
 
+  const ruleMap = new Map(allRules.map(r => [r.id, r]))
+  /** @type {Map<string, Promise<string[]>>} shared walk-cache (cross-concern, cross-rule у межах одного прогону) */
+  const walkCache = new Map()
   let totalFailed = 0
 
-  for (const rule of rulesToCheck) {
-    const scriptPath = join(BUNDLED_RULES_DIR, rule, 'js', 'check.mjs')
-    console.log(`📋 ${rule}:`)
+  for (const id of idsToCheck) {
     try {
-      // eslint-disable-next-line no-unsanitized/method -- rule валідовано проти available, scriptPath будується з фіксованої BUNDLED_RULES_DIR
-      const { check } = await import(scriptPath)
-      const code = await check()
+      const code = await runRule(ruleMap.get(id), BUNDLED_RULES_DIR, walkCache)
       if (code !== 0) totalFailed++
     } catch (error) {
       console.log(`  ❌ Помилка виконання: ${error.message}`)
@@ -1110,11 +1110,11 @@ async function runChecks(requestedRules) {
     console.log()
   }
 
-  const passedCount = rulesToCheck.length - totalFailed
-  console.log(`✨ Результат: ${passedCount}/${rulesToCheck.length} правил без зауважень\n`)
+  const passedCount = idsToCheck.length - totalFailed
+  console.log(`✨ Результат: ${passedCount}/${idsToCheck.length} правил без зауважень\n`)
 
   if (totalFailed > 0) {
-    throw new Error(`${totalFailed} з ${rulesToCheck.length} правил мають проблеми`)
+    throw new Error(`${totalFailed} з ${idsToCheck.length} правил мають проблеми`)
   }
 }
 
@@ -1294,6 +1294,7 @@ async function runSync() {
     if (result.npmClaudeMd) parts.push('npm/CLAUDE.md')
     if (result.commands.length > 0) parts.push(`${result.commands.length} slash-commands`)
     if (result.adrHook) parts.push('.claude/hooks/capture-decisions.sh')
+    if (result.adrNormalizeHook) parts.push('.claude/hooks/normalize-decisions.sh')
     if (parts.length > 0) {
       console.log(`🤖 Claude-конфіг: ${parts.join(', ')}`)
     }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.23",
+  "version": "1.11.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -45,6 +45,7 @@
   },
   "dependencies": {
     "oxc-parser": "^0.128.0",
+    "picomatch": "^4.0.4",
     "yaml": "^2.8.3"
   },
   "engines": {

package/rules/abie/js/applies/check.mjs

@@ -0,0 +1,24 @@
+/**
+ * Applies-гейт правила abie: rule-level через `isAbieRuleEnabled` (поле `rules` у `.n-cursor.json`).
+ * Якщо повертає `false` — CLI пропускає всі концерни (JS і policy) цього правила.
+ * `check()` друкує тільки context-pass; решта концернів роблять справжню роботу.
+ */
+import { createCheckReporter } from '../../../../scripts/utils/check-reporter.mjs'
+
+import { isAbieRuleEnabled } from '../../utils/enabled.mjs'
+
+/**
+ * @returns {Promise<boolean>}
+ */
+export async function applies() {
+  return isAbieRuleEnabled(process.cwd())
+}
+
+/**
+ * @returns {Promise<number>}
+ */
+export async function check() {
+  const reporter = createCheckReporter()
+  reporter.pass('Правило abie увімкнено — виконуємо перевірки')
+  return reporter.getExitCode()
+}