@nitra/cursor 1.9.4 → 1.9.6

package/.claude-template/npm-CLAUDE.md

@@ -21,9 +21,17 @@ npx @nitra/cursor check changelog
 npx @nitra/cursor check npm-module
 ```
 
-## Перш ніж писати `check-*.mjs`
+## Перш ніж писати / розширювати `check-*.mjs`
 
-Перед створенням нового `npm/scripts/check-<rule>.mjs` оціни, чи задача лягає на rego-полісі. **Default — Rego**: пер-документні структурні перевірки (kind/apiVersion, поля, форма масивів) пишуться у `npm/policy/<rule>/<name>/<name>.rego` + `_test.rego`. JS — тільки для cross-file resolution, file-system access (`readdir`/`stat`), autofix/rewrite або парсингу до YAML-body. Гібрид (rego як швидкий gate + JS-оркестратор для cross-file) — нормальний патерн; референс — `npm/policy/k8s/*` ↔ `npm/scripts/check-k8s.mjs`. Деталі алгоритму рішення — `.cursor/rules/conftest.mdc` (alwaysApply).
+**STOP — спершу пройди алгоритм Rego-first** (`.cursor/rules/conftest.mdc`, alwaysApply). Це стосується **і нової** перевірки, **і додавання нового deny у вже існуючий** `check-<rule>.mjs`: подивись `npm/policy/<rule>/`, чи задача не лягає у вже існуючий rego-пакет як ще одне `deny contains`.
+
+Швидкий self-check для нової перевірки (порядок важливий):
+
+1. **Це пер-документна перевірка одного JSON/YAML?** (наявність / форма поля, regex по значенню, перелік дозволених літералів). → **Rego, без JS-коду.** Пиши у `npm/policy/<rule>/<name>/<name>.rego` + `<name>_test.rego`.
+2. Потрібен `readdir`, `stat`, парність файлів, AST-парсинг JS/TS, autofix, modeline до YAML-body? → **JS** у `check-<rule>.mjs`. Per-document частина (якщо є) усе одно лишається у rego — JS викликає її через `runConftestBatch`.
+3. Не впевнений? Подивись референс **`npm/policy/k8s/*`** ↔ **`npm/scripts/check-k8s.mjs`** (Plan B: Rego-authoritative + JS-orchestrator) і список «що Rego об'єктивно не вміє» у `conftest.mdc`.
+
+**Червоний прапор:** дописуєш `if (pkg.<field>) fail(…)` у JS — майже завжди це варто було робити як `deny contains msg if { … }` у відповідному rego-пакеті. Перевір `npm/policy/<rule>/` **перед** редагуванням `check-<rule>.mjs`.
 
 ## Джерело правил
 

package/CHANGELOG.md

@@ -4,11 +4,27 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.6] - 2026-05-12
+
+### Changed
+
+- **js-lint — ігнорувати `.claude/worktrees/` для jscpd і всіх лінтів:** правило `js-lint.mdc` (v1.18) тепер документує, що каталог `.claude/worktrees/` (робочі копії, які Claude Code створює через superpowers-skill `using-git-worktrees`) має бути виключений з лінт-перевірок. Канонічне місце — `.gitignore` (паралельні воркті — це за визначенням не-комітні робочі копії; `gitignore: true` у `.jscpd.json` уже є, тож запис у `.gitignore` каскадно вимикає сканування). Як страховку на випадок запуску jscpd без `gitignore: true` рекомендовано додати `.claude/worktrees/**` у `ignore` `.jscpd.json` — приклад у правилі оновлено. Без цього `bunx jscpd .` фіксує дзеркальні «клони» між кореневим репо і його worktree-копією у `.claude/worktrees/<name>/…`.
+
+## [1.9.5] - 2026-05-12
+
+### Changed
+
+- **npm-module — компактний пакет: whitelist `files`, без `devDependencies`, тести/фікстури поза опублікованим деревом:** правило `npm-module.mdc` тепер вимагає максимально компактний tarball. (1) Поле `"files"` у `npm/package.json` обовʼязкове як whitelist (без нього npm пакує майже все). (2) `npm/package.json` не повинен містити `devDependencies` — інструментарій для розробки тримаємо у кореневому `package.json` монорепо, щоб `npm install @nitra/<pkg>` не тягнув його кінцевим користувачам. (3) Тести й фікстури не повинні потрапляти у tarball: канонічне місце — `npm/tests/` (не додається до `"files"`); це стосується і test-style каталогів (`tests/`, `__tests__/`, `fixtures/`, `__fixtures__/`, `spec/`, `test/`), і файлів за патернами `*.test.*` / `*.spec.*`, і JS/TS-файлів з імпортами test-фреймворків (`bun:test`, `node:test`, `vitest`, `@jest/globals`, `mocha`, `jest`, `ava`, …). **Виняток — Rego (`*_test.rego`):** за конвенцією conftest юніт-тест лежить поруч з полісі у тому самому `package`, тож rego-тести дозволені всередині опублікованого `policy/`-каталогу і входять у tarball.
+- **npm-module — пер-документні deny у rego (Rego-authoritative):** `npm/policy/npm_module/npm_package_json/npm_package_json.rego` розширено двома deny: (а) `"files"` як whitelist обовʼязковий (відсутній / не масив / порожній); (б) `"devDependencies"` мають бути відсутні або порожні. Додано `npm_package_json_test.rego` з happy-path + 7 негативних кейсів (`json.patch` фікстури). Покривається `bun run lint-rego` (`conftest verify`) і `bun run lint-conftest` (батч проти реального `npm/package.json`). Раніше я помилково реалізував ці перевірки у JS — це порушує `.cursor/rules/conftest.mdc` (Rego-default для пер-документних структурних перевірок). Тепер виправлено: JS-функцію `checkPackageCompactness` видалено з `check-npm-module.mjs` разом з виклик-сайтом.
+- **npm-module — `check-npm-module.mjs` лишає лише FS/AST-частину:** функція `checkNoTestsInPublishedFiles` резолвить позитивні patterns поля `files`, віднімає негативні (підтримка `!…` glob з `*` / `**` / `?`), і для кожного файлу-кандидата ловить test-style ім'я каталога/файлу або імпорт тест-фреймворку через oxc-parser (`module.staticImports` + `require()` + динамічний `import()`). `*_test.rego` свідомо не входить у `TEST_FILE_PATTERNS` — дозволений виняток для conftest-конвенції (юніт-тест поруч з полісі у тому самому `package`).
+- **npm/package.json — приведено до правила:** видалено секцію `devDependencies` (`@nitra/cursor` вже є у корені як `workspace:*`). `policy/**/*_test.rego` свідомо лишаються у tarball — як виняток для conftest-конвенції.
+- **conftest.mdc + npm/.claude-template/npm-CLAUDE.md — гостріший Rego-first сигнал:** у `.cursor/rules/conftest.mdc` додано STOP-блок перед `Edit` будь-якого `check-<rule>.mjs` (стосується і нових перевірок, і розширення вже існуючих; типовий ляп — `if (pkg.<field>) fail(…)` у JS замість ще одного `deny contains` у відповідному rego-пакеті). Перший пункт алгоритму уточнено прикладом «заборона/наявність ключа верхнього рівня типу `devDependencies` / `scripts.<name>`». У `npm-CLAUDE.md` секцію «Перш ніж писати `check-*.mjs`» переписано у self-check з 3 пунктів і червоним прапором. Регенеровано `npm/CLAUDE.md`.
+
 ## [1.9.4] - 2026-05-11
 
 ### Removed
 
-- **graphql — вимога `scripts.dump-schema` у `package.json` прибрана:** правило `graphql.mdc` більше не вимагає канонічний скрипт `dump-schema` (раніше — `bunx graphqurl http://localhost:4040/v1/graphql -H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql`) у корені проєкту за наявності gql tagged template literals. У `.mdc` відповідну буліт-точку та JSON-фрагмент видалено; фраза про «стандартний спосіб оновлення локальної `schema.graphql`» теж прибрана з підсумкового речення. Каталог `npm/policy/graphql/` (єдиний файл `package_json/package_json.rego` з deny-правилами на відсутність/неканонічний `scripts.dump-schema`) видалено повністю. Запис реєстру `graphql.package_json` (policyDir `graphql`, rule `graphql`, single `package.json`) прибрано з `npm/scripts/lint-conftest.mjs` (заголовок секції перейменовано — `graphql` вилучено). JSDoc-преамбулу `npm/scripts/check-graphql.mjs` оновлено: видалено абзац про rego-порт перевірки `dump-schema` і згадку `scripts.dump-schema` з докстрингу `check()`. Сам JS-чек і так не торкався `package.json` — після видалення rego-полісі ніяких runtime-перевірок `dump-schema` не лишається. У кореневому `package.json` репо cursor скрипт `dump-schema` теж видалено, оскільки тримати його як shim без правила немає сенсу.
+- **graphql — вимога `scripts.dump-schema` у `package.json` прибрана:** правило `graphql.mdc` більше не вимагає канонічний скрипт `dump-schema` (раніше — `bunx graphqurl http://localhost:4040/v1/graphql -H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql`) у корені проєкту за наявності gql tagged template literals. У `.mdc` відповідну буліт-точку та JSON-фрагмент видалено; фраза про «стандартний спосіб оновлення локальної `schema.graphql`» теж прибрана з підсумкового речення. Каталог `npm/policy/graphql/` (єдиний файл `package_json/package_json.rego` з deny-правилами на відсутність/неканонічний `scripts.dump-schema`) видалено повністю. Запис реєстру `graphql.package_json` (policyDir `graphql`, rule `graphql`, single `package.json`) прибрано з `npm/scripts/lint-conftest.mjs` (заголовок секції перейменовано — `graphql` вилучено). JSDoc-преамбулу `npm/scripts/check-graphql.mjs` оновлено: видалено абзац про rego-порт перевірки `dump-schema` і згадку `scripts.dump-schema` з JSDoc функції `check()`. Сам JS-чек і так не торкався `package.json` — після видалення rego-полісі ніяких runtime-перевірок `dump-schema` не лишається. У кореневому `package.json` репо cursor скрипт `dump-schema` теж видалено, оскільки тримати його як shim без правила немає сенсу.
 
 ## [1.9.3] - 2026-05-11
 

package/mdc/js-lint.mdc

@@ -1,7 +1,7 @@
 ---
 description: Перевірка JavaScript коду
 alwaysApply: true
-version: '1.17'
+version: '1.18'
 ---
 
 **oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
@@ -43,7 +43,9 @@ version: '1.17'
 }
 ```
 
-У корені проєкту має бути `.jscpd.json`. Мінімум: увімкнути облік `.gitignore`, ненульовий код виходу при знаходженні клонів, консольний звіт. За потреби додай `ignore` (дзеркальні каталоги, шаблони) та `minLines`, щоб відсікти дрібні збіги:
+У корені проєкту має бути `.jscpd.json`. Мінімум: увімкнути облік `.gitignore`, ненульовий код виходу при знаходженні клонів, консольний звіт. За потреби додай `ignore` (дзеркальні каталоги, шаблони) та `minLines`, щоб відсікти дрібні збіги.
+
+Каталог `.claude/worktrees/` (робочі копії, які Claude Code створює через **superpowers:using-git-worktrees**) має ігноруватися: додай його у кореневий `.gitignore` (це штатне місце для не-комітних робочих копій), а в `.jscpd.json` додай `.claude/worktrees/**` у `ignore` як страховку на випадок запуску без `gitignore: true`. Без цього jscpd сканує паралельну копію репо в worktree і фіксує самозбіги між дзеркальними файлами.
 
 ```json title=".jscpd.json"
 {
@@ -51,10 +53,14 @@ version: '1.17'
   "exitCode": 1,
   "reporters": ["console"],
   "minLines": 25,
-  "ignore": ["**/dist/**"]
+  "ignore": [".claude/worktrees/**", "**/dist/**"]
 }
 ```
 
+```text title=".gitignore (фрагмент)"
+.claude/worktrees/
+```
+
 ## jscpd: рефакторинг і структура
 
 Коли **jscpd** знаходить клони, спочатку зменшуй дублювання кодом, а не конфігом.

package/mdc/npm-module.mdc

@@ -1,11 +1,24 @@
 ---
 description: Оформлення репозиторію для npm модуля
 alwaysApply: true
-version: '1.10'
+version: '1.11'
 ---
 
 Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.github/workflows/`**; опційно **`demo/`**.
 
+## Компактний пакет
+
+Мета — **максимально компактний** опублікований пакет: у npm потрапляє тільки те, що потрібно під час `require`/`import` користувачем.
+
+- **`"files"` обовʼязковий** у `npm/package.json` як **whitelist** того, що публікується (без `"files"` npm пакує майже все — це антипатерн для цього правила).
+- **Тести й фікстури — поза будь-яким шляхом з `"files"`.** Канонічне місце для всього тестового — `npm/tests/` (його **не** додаємо до `"files"`). Це стосується **і** фреймворк-тестів (`bun:test`, `node:test`, `vitest`, `@jest/globals`, `mocha`, …), **і** test-style каталогів (`tests/`, `__tests__/`, `fixtures/`, `__fixtures__/`, `spec/`), **і** файлів за патернами `*.test.*` / `*.spec.*`. **Виняток — Rego (`*_test.rego`):** за конвенцією conftest юніт-тест лежить поруч з полісі у тому самому `package`, тож rego-тести дозволені всередині опублікованого `policy/`-каталогу.
+- **Лише runtime-залежності у `npm/package.json`.** `devDependencies` тримай у **кореневому** `package.json` монорепо — тоді `npm install @nitra/<pkg>` не тягне інструментарій, потрібний лише для розробки самого пакета.
+
+Деталі алгоритму перевірки:
+
+- Пер-документні правила для `npm/package.json` (whitelist `files`, заборона `devDependencies`, форма `types`) — у rego-пакеті `npm_module.npm_package_json` (`npm/policy/npm_module/npm_package_json/`).
+- Скан опублікованого простору файлів на тест-патерни (walking + AST JS/TS) — у `check-npm-module.mjs::checkNoTestsInPublishedFiles` (FS / AST не лягають у rego).
+
 ## TypeScript declaration (`npm/types`)
 
 Файл **`npm/package.json`** має містити **`"types"`** (шлях до головного `.d.ts` або `.d.mts` під **`./types/…`**) і запис **`"types"`** у **`files`**, щоб npm публікував декларації.

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.4",
+  "version": "1.9.6",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -45,9 +45,6 @@
     "oxc-parser": "^0.128.0",
     "yaml": "^2.8.3"
   },
-  "devDependencies": {
-    "@nitra/cursor": "^1.8.170"
-  },
   "engines": {
     "bun": ">=1.3",
     "node": ">=25"

package/policy/npm_module/npm_package_json/npm_package_json.rego

@@ -5,13 +5,18 @@
 #   conftest test npm/package.json -p npm/policy/npm_module \
 #     --namespace npm_module.npm_package_json
 #
-# Перевіряє: поле `types` має будь-який з двох канонічних патернів:
-#  - `./types/index.d.ts` (layout `npm/src` з `.js`); або
-#  - `./types/<…>.d.ts` чи `.d.mts` (layout `tsconfig.emit-types.json`).
+# Перевіряє:
+#  - поле `types` має один із двох канонічних патернів: `./types/index.d.ts`
+#    (layout `npm/src` з `.js`) або `./types/<…>.d.ts`/`.d.mts` (emit-types);
+#  - масив `files` присутній, непорожній і містить `"types"` (whitelist
+#    обовʼязковий — без нього npm пакує майже все);
+#  - `devDependencies` відсутні або порожні: dev-інструментарій тримаємо у
+#    кореневому `package.json` монорепо, щоб `npm install @nitra/<pkg>` його
+#    не тягнув (npm-module.mdc: компактний пакет).
 #
-# Масив `files` має містити `"types"`. Те, який саме layout активний (зокрема
-# наявність `.js` під `npm/src`), а також існування файлу зі шляху `types` —
-# у JS-перевірці (`check-npm-module.mjs`).
+# Те, який саме типовий layout активний (наявність `.js` під `npm/src`),
+# існування файлу зі шляху `types` і скан тест-патернів у tarball — у
+# JS-перевірці (`check-npm-module.mjs`: cross-file / FS-access / AST).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
@@ -27,6 +32,12 @@ types_field_template := concat(" ", [
 	"або \"./types/<…>.d.ts|.d.mts\" (зараз: %v) (npm-module.mdc)",
 ])
 
+# Шаблон повідомлення про присутність `devDependencies`.
+dev_deps_template := concat(" ", [
+	"npm/package.json: \"devDependencies\" не публікуються користувачам пакета —",
+	"перенеси у кореневий package.json: %v (npm-module.mdc: компактний пакет)",
+])
+
 # ── deny: types ────────────────────────────────────────────────────────────
 
 deny contains msg if {
@@ -35,19 +46,35 @@ deny contains msg if {
 	msg := sprintf(types_field_template, [types_field])
 }
 
-# ── deny: files має містити "types" ───────────────────────────────────────
+# ── deny: files має існувати, бути непорожнім, містити "types" ────────────
 
 deny contains msg if {
 	not is_array(object.get(input, "files", null))
-	msg := "npm/package.json: масив \"files\" відсутній — має містити \"types\" (npm-module.mdc)"
+	msg := "npm/package.json: обовʼязковий whitelist \"files\" (без нього npm пакує майже все) (npm-module.mdc)"
+}
+
+deny contains msg if {
+	is_array(input.files)
+	count(input.files) == 0
+	msg := "npm/package.json: масив \"files\" не повинен бути порожнім (npm-module.mdc: компактний пакет)"
 }
 
 deny contains msg if {
 	is_array(input.files)
+	count(input.files) > 0
 	not "types" in {f | some f in input.files}
 	msg := "npm/package.json: масив \"files\" має містити \"types\" (npm-module.mdc)"
 }
 
+# ── deny: жодних devDependencies у npm/package.json ───────────────────────
+
+deny contains msg if {
+	dev := object.get(input, "devDependencies", {})
+	count(dev) > 0
+	names := concat(", ", sort([n | some n, _ in dev]))
+	msg := sprintf(dev_deps_template, [names])
+}
+
 # ── helpers ────────────────────────────────────────────────────────────────
 
 valid_types_field("./types/index.d.ts")

package/policy/npm_module/npm_package_json/npm_package_json_test.rego

@@ -0,0 +1,81 @@
+# Тести для `npm_module.npm_package_json`. Запуск:
+#   conftest verify -p npm/policy/npm_module/npm_package_json
+package npm_module.npm_package_json_test
+
+import rego.v1
+
+import data.npm_module.npm_package_json
+
+valid_pkg := {
+	"name": "@nitra/cursor",
+	"version": "1.9.5",
+	"types": "./types/bin/n-cursor.d.ts",
+	"files": [
+		"types",
+		"mdc",
+		"bin",
+		"CHANGELOG.md",
+	],
+	"dependencies": {"oxc-parser": "^0.128.0"},
+}
+
+# ── happy path ────────────────────────────────────────────────────────────
+
+test_allow_canonical if {
+	count(npm_package_json.deny) == 0 with input as valid_pkg
+}
+
+test_allow_types_index_d_ts if {
+	pkg := json.patch(valid_pkg, [{"op": "replace", "path": "/types", "value": "./types/index.d.ts"}])
+	count(npm_package_json.deny) == 0 with input as pkg
+}
+
+# ── types ─────────────────────────────────────────────────────────────────
+
+test_deny_types_outside_types_dir if {
+	pkg := json.patch(valid_pkg, [{"op": "replace", "path": "/types", "value": "./dist/index.d.ts"}])
+	count(npm_package_json.deny) > 0 with input as pkg
+}
+
+test_deny_types_wrong_extension if {
+	pkg := json.patch(valid_pkg, [{"op": "replace", "path": "/types", "value": "./types/index.ts"}])
+	count(npm_package_json.deny) > 0 with input as pkg
+}
+
+# ── files ─────────────────────────────────────────────────────────────────
+
+test_deny_missing_files if {
+	pkg := json.patch(valid_pkg, [{"op": "remove", "path": "/files"}])
+	count(npm_package_json.deny) > 0 with input as pkg
+}
+
+test_deny_files_not_array if {
+	pkg := json.patch(valid_pkg, [{"op": "replace", "path": "/files", "value": "types"}])
+	count(npm_package_json.deny) > 0 with input as pkg
+}
+
+test_deny_files_empty if {
+	pkg := json.patch(valid_pkg, [{"op": "replace", "path": "/files", "value": []}])
+	count(npm_package_json.deny) > 0 with input as pkg
+}
+
+test_deny_files_without_types if {
+	pkg := json.patch(valid_pkg, [{"op": "replace", "path": "/files", "value": ["bin", "mdc"]}])
+	count(npm_package_json.deny) > 0 with input as pkg
+}
+
+# ── devDependencies ──────────────────────────────────────────────────────
+
+test_allow_no_dev_dependencies if {
+	count(npm_package_json.deny) == 0 with input as valid_pkg
+}
+
+test_allow_empty_dev_dependencies if {
+	pkg := json.patch(valid_pkg, [{"op": "add", "path": "/devDependencies", "value": {}}])
+	count(npm_package_json.deny) == 0 with input as pkg
+}
+
+test_deny_dev_dependencies_present if {
+	pkg := json.patch(valid_pkg, [{"op": "add", "path": "/devDependencies", "value": {"@nitra/cursor": "^1.9.5"}}])
+	count(npm_package_json.deny) > 0 with input as pkg
+}

package/scripts/check-npm-module.mjs

@@ -11,6 +11,15 @@
  *
  * Поля workflow перевіряються після **YAML parse**, щоб не плутати з коментарями.
  *
+ * Компактність опублікованого пакета (cross-file / FS / AST частина):
+ *  - Пер-документні структурні deny для `npm/package.json` (`files` whitelist обовʼязковий,
+ *    без `devDependencies`) — у rego-пакеті `npm_module.npm_package_json` (Rego-authoritative).
+ *  - Тут лишається лише `checkNoTestsInPublishedFiles`: walk шляхів з `"files"` (з урахуванням
+ *    негативних glob-патернів) і скан test-style каталогів (`tests/`, `__tests__/`, `fixtures/`,
+ *    `__fixtures__/`, `spec/`, `test/`), імен файлів (`*.test.*` / `*.spec.*`) і AST-імпортів
+ *    test-фреймворків (`bun:test`, `node:test`, `vitest`, `@jest/globals`, `mocha`, `jest`, `ava`, …).
+ *    Виняток: `*_test.rego` дозволені поруч з полісі — це конвенція conftest.
+ *
  * Версія та CHANGELOG: перший заголовок `## [version]` у `npm/CHANGELOG.md` має збігатися з `version` у
  * `npm/package.json` (найсвіжіший реліз зверху). Якщо в git є незакомічені зміни під `npm/`, `version` у робочому
  * файлі має відрізнятися від `HEAD` — інакше типовий пропуск bump після правок у пакеті.
@@ -18,9 +27,17 @@
 import { execFile } from 'node:child_process'
 import { existsSync } from 'node:fs'
 import { readFile, stat } from 'node:fs/promises'
-import { join } from 'node:path'
+import { join, sep } from 'node:path'
 import { promisify } from 'node:util'
 
+import { parseSync } from 'oxc-parser'
+
+import {
+  dynamicImportModule,
+  langFromPath,
+  requireCallModule,
+  walkAstWithAncestors
+} from './utils/ast-scan-utils.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
 import { walkDir } from './utils/walkDir.mjs'
@@ -36,6 +53,40 @@ const PACKAGE_JSON_VERSION_RE = /"version":\s*"([^"]+)"/u
 /** Файл проєкту TypeScript для emit без каталогу `src` (див. npm-module.mdc) */
 const EMIT_TYPES_CONFIG = 'npm/tsconfig.emit-types.json'
 
+/** Каталоги, які за конвенцією тримають тести / фікстури і не повинні публікуватися. */
+const TEST_DIR_NAMES = new Set(['tests', '__tests__', 'fixtures', '__fixtures__', 'spec', 'test'])
+
+/**
+ * Імена файлів за патернами test/spec (тільки basename, без path). Rego
+ * (`*_test.rego`) свідомо не входить: за конвенцією conftest юніт-тест лежить
+ * поруч з полісі у тому самому `package` — і це дозволений виняток усередині
+ * опублікованого `policy/`-каталогу (npm-module.mdc).
+ */
+const TEST_FILE_PATTERNS = [/^.+\.(test|spec)\.[cm]?[jt]sx?$/iu]
+
+/** Розширення, у яких ловимо імпорти test-фреймворків. */
+const JS_LIKE_EXT_RE = /\.[cm]?[jt]sx?$/iu
+
+/** Імпорти/require/dynamic-import, які видають test-файл. */
+const TEST_FRAMEWORK_MODULES = new Set([
+  'bun:test',
+  'node:test',
+  'vitest',
+  '@jest/globals',
+  'jest',
+  'mocha',
+  'ava',
+  'tap',
+  'tape'
+])
+
+/** Символи у glob-сегменті, які треба екранувати для RegExp (без `*` / `?` — їх обробляємо окремо). */
+const REGEX_SPECIAL_IN_GLOB = new Set(['.', '+', '^', '$', '{', '}', '(', ')', '|', '[', ']', '\\'])
+
+/** Збіги для post-обробки glob → regex після злиття сегментів через `/` (див. `globToRegex`). */
+const GLOBSTAR_LEADING_RE = /^__GLOBSTAR__\//u
+const GLOBSTAR_TRAILING_RE = /\/__GLOBSTAR__$/u
+
 /**
  * Чи є під `npm/src` хоча б один `.js` (рекурсивно).
  * @param {string[]} [ignorePaths] абсолютні шляхи каталогів, повністю виключених з обходу
@@ -293,6 +344,162 @@ function checkPublishWorkflow(passFn, failFn) {
   }
 }
 
+/**
+ * Перетворює glob-патерн (як у npm `files`) у `RegExp` з якорями `^` / `$`.
+ * Підтримує globstar (нуль або більше сегментів), `*` (символи без `/`) і `?`
+ * (один символ без `/`). Не підтримує brace-expansion і class `[…]` — у
+ * негативних патернах `files` цього достатньо для практичних випадків
+ * (приклад: negation з префіксом `!` і двома зірочками поряд з `_test.rego`).
+ * @param {string} glob posix-шлях у glob-нотації
+ * @returns {RegExp} `RegExp` з якорями `^` / `$`
+ */
+export function globToRegex(glob) {
+  const parts = glob.split('/')
+  const tokens = parts.map(p => {
+    if (p === '**') return '__GLOBSTAR__'
+    let out = ''
+    for (const c of p) {
+      if (c === '*') out += '[^/]*'
+      else if (c === '?') out += '[^/]'
+      else if (REGEX_SPECIAL_IN_GLOB.has(c)) out += `\\${c}`
+      else out += c
+    }
+    return out
+  })
+  let re = tokens.join('/')
+  re = re.replaceAll('/__GLOBSTAR__/', '(?:/.*/|/)')
+  re = re.replace(GLOBSTAR_LEADING_RE, '(?:.*/)?')
+  re = re.replace(GLOBSTAR_TRAILING_RE, '(?:/.*)?')
+  re = re.replaceAll('__GLOBSTAR__', '.*')
+  return new RegExp(`^${re}$`, 'u')
+}
+
+/**
+ * Збирає список файлів, що потраплять у tarball, виходячи з `files` у
+ * `npm/package.json`. Підтримує позитивні patterns (директорії або файли) і
+ * негативні (`!…`). Шляхи повертаються у posix-формі, відносно `npm/`.
+ * Не пробує дублювати всю логіку `npm pack` (license/readme/тощо) — тут лише
+ * простір імен `files`, бо саме його сканує check.
+ * @param {string[]} filesField значення поля `files`
+ * @returns {Promise<string[]>} відсортовані posix-шляхи без `npm/` префікса
+ */
+async function collectPublishedFiles(filesField) {
+  const positives = filesField.filter(p => typeof p === 'string' && !p.startsWith('!'))
+  const negatives = filesField
+    .filter(p => typeof p === 'string' && p.startsWith('!'))
+    .map(p => globToRegex(p.slice(1)))
+  /** @type {Set<string>} */
+  const collected = new Set()
+  for (const entry of positives) {
+    const fullPath = join('npm', entry)
+    if (!existsSync(fullPath)) continue
+    const s = await stat(fullPath)
+    if (s.isFile()) {
+      collected.add(entry)
+      continue
+    }
+    if (!s.isDirectory()) continue
+    await walkDir(fullPath, p => {
+      const rel = p.slice('npm/'.length).split(sep).join('/')
+      collected.add(rel)
+    })
+  }
+  const filtered = [...collected].filter(rel => !negatives.some(re => re.test(rel)))
+  filtered.sort()
+  return filtered
+}
+
+/**
+ * Чи є у файлі імпорт/require/dynamic-import з модуля тест-фреймворку.
+ * Парсимо через oxc-parser (як `bunyan-imports`/`redis-imports`). При помилці
+ * парсингу повертаємо `null` — це не наш checker для синтаксису.
+ * @param {string} content повний текст файлу
+ * @param {string} virtualPath шлях для вибору `lang`
+ * @returns {string | null} модуль, через який видно тест, або `null`
+ */
+export function findTestFrameworkImport(content, virtualPath) {
+  const lang = langFromPath(virtualPath)
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return null
+  }
+  if (result.errors?.length) return null
+  for (const imp of result.module?.staticImports ?? []) {
+    const mod = imp.moduleRequest?.value
+    if (typeof mod === 'string' && TEST_FRAMEWORK_MODULES.has(mod)) return mod
+  }
+  /** @type {string | null} */
+  let found = null
+  walkAstWithAncestors(result.program, [], node => {
+    if (found) return
+    const reqMod = requireCallModule(node)
+    if (reqMod && TEST_FRAMEWORK_MODULES.has(reqMod)) {
+      found = reqMod
+      return
+    }
+    const dynMod = dynamicImportModule(node)
+    if (dynMod && TEST_FRAMEWORK_MODULES.has(dynMod)) {
+      found = dynMod
+    }
+  })
+  return found
+}
+
+/**
+ * Класифікує опублікований файл як test/fixture, якщо хоча б одна з ознак:
+ * (1) у шляху є каталог із `TEST_DIR_NAMES`; (2) basename відповідає
+ * `TEST_FILE_PATTERNS`; (3) для JS/TS-розширень — імпорт test-фреймворку.
+ * @param {string} relPath posix-шлях відносно `npm/`
+ * @returns {Promise<string | null>} причина порушення або `null`
+ */
+export async function classifyPublishedFileAsTest(relPath) {
+  const segments = relPath.split('/')
+  const base = segments.at(-1)
+  const dirs = segments.slice(0, -1)
+  const testDir = dirs.find(seg => TEST_DIR_NAMES.has(seg.toLowerCase()))
+  if (testDir) return `test-style каталог "${testDir}/"`
+  if (TEST_FILE_PATTERNS.some(re => re.test(base))) return `test-style ім'я файлу`
+  if (JS_LIKE_EXT_RE.test(base)) {
+    const content = await readFile(join('npm', relPath), 'utf8')
+    const mod = findTestFrameworkImport(content, relPath)
+    if (mod) return `імпорт test-фреймворку "${mod}"`
+  }
+  return null
+}
+
+/**
+ * Для всіх файлів, що потрапили б у tarball (positive `files` мінус negative
+ * patterns), забороняє test-style каталоги/імена/імпорти. Так пакет лишається
+ * компактним і не везе користувачам тести й фікстури.
+ * @param {(msg: string) => void} pass callback при успіху
+ * @param {(msg: string) => void} fail callback при порушенні
+ * @returns {Promise<void>}
+ */
+async function checkNoTestsInPublishedFiles(pass, fail) {
+  if (!existsSync('npm/package.json')) return
+  const pkg = JSON.parse(await readFile('npm/package.json', 'utf8'))
+  if (!Array.isArray(pkg.files)) return
+  const files = await collectPublishedFiles(pkg.files)
+  /** @type {{ file: string, reason: string }[]} */
+  const violations = []
+  for (const rel of files) {
+    const reason = await classifyPublishedFileAsTest(rel)
+    if (reason) violations.push({ file: rel, reason })
+  }
+  if (violations.length === 0) {
+    pass(`npm/: усі ${files.length} опублікованих файли без тестів і fixtures`)
+    return
+  }
+  for (const v of violations) {
+    fail(
+      `npm/${v.file}: ${v.reason} — винеси за межі шляхів з "files" або додай негативний glob ` +
+        '(наприклад "!**/*_test.rego") у npm/package.json (npm-module.mdc)'
+    )
+  }
+}
+
 /**
  * Перевіряє базову структуру монорепо: наявність каталогу `npm/` і
  * `npm/package.json`. Поле `workspaces ∋ "npm"` у кореневому `package.json`
@@ -334,6 +541,7 @@ export async function check() {
   const { pass, fail } = reporter
 
   await checkNpmModuleBasicStructure(pass, fail)
+  await checkNoTestsInPublishedFiles(pass, fail)
 
   const ignorePaths = await loadCursorIgnorePaths(process.cwd())
   const useSrcJsLayout = await npmSrcTreeHasJsFile(ignorePaths)