@nitra/cursor 1.9.5 → 1.9.7

package/CHANGELOG.md

@@ -4,6 +4,26 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.7] - 2026-05-12
+
+### Changed
+
+- **js-lint (mdc v1.18 → v1.19) — `depcheck` мігровано на `knip`:** канонічний `lint-js` тепер `bunx oxlint --fix && bunx eslint --fix . && bunx jscpd . && bunx knip` (раніше — без `bunx knip`); крок `bunx knip` додано і в приклад workflow `lint-js.yml`. У корені має бути `knip.json` з мінімальним `ignoreDependencies: ["graphql"]` (peer-залежність, яку `knip` не розпізнає як використану). Пакет `knip` окремо в `devDependencies` не оголошуй — `bunx` тягне його ad-hoc. `CANONICAL_LINT_JS` у `npm/scripts/check-js-lint.mjs` і `canonical_lint_js` у `npm/policy/js_lint/package_json/package_json.rego` оновлено; додано `checkKnipConfig` (наявність файла + `ignoreDependencies` містить `graphql`) і `deny`-правило у `npm/policy/js_lint/lint_js_yml/` на відсутність `bunx knip` у `run:` кроці lint-js workflow.
+
+- **ga (mdc v1.8 → v1.9) — заборона `depcheck` у workflow-файлах:** додано полісі `ga.workflow_common.deny` на будь-який виклик `depcheck` (через `npx`/`bunx`/`npm exec`/`pnpm exec` чи як standalone-команду) у `run:` кроку `.github/workflows/*.yml`. Перевірка невикористаних залежностей виконується разом з рештою лінтерів у `bun run lint-js` (`bunx knip`), окремий depcheck-крок у workflow зайвий. У `npm/mdc/ga.mdc` додано буліт «`depcheck`: не використовувати» з посиланням на `js-lint.mdc` і `ga.workflow_common`.
+
+- **ci (тільки в цьому репо) — lint-ga встановлює conftest; knip.json налаштовано під монорепо:** `.github/workflows/lint-ga.yml` отримав крок `Install conftest` (curl-розпаковка релізу), бо `check-ga.mjs::runAllGaRego` ходить у `runConftestBatch` і hard-fail без бінарника. Кореневий `knip.json` розширено `workspaces.npm.entry` (всі CLI/scripts/tests як entry points — інакше knip false-positive репортить їх як unused), `ignoreBinaries` для `cspell`/`oxfmt`/`stylelint`/`vite` (всі через `bunx`/`npx`, не з deps), і `ignoreDependencies` для workspace self-refs. Це налаштування є кастомним для цього репо; інші проєкти налаштовують `knip.json` під свою структуру.
+
+### Removed
+
+- **js-run (mdc v1.6 → v1.7) — секцію «depcheck у GitHub Actions з path-фільтром» прибрано:** правило про обовʼязковий `npx depcheck --ignores="graphql,bun"` з `working-directory` у path-scoped workflow більше не діє — `depcheck` повністю мігровано на `knip` (див. js-lint.mdc), окремий крок у per-package workflow не потрібен. Файл `npm/scripts/utils/depcheck-workflow.mjs` видалено. У `npm/scripts/check-js-run.mjs` прибрано `checkDepcheckInWorkflows`, імпорти `findDepcheckViolationsForPackage` / `readAllWorkflowFiles` і параметр `workflows` у `checkWorkspacePackage`. У `npm/tests/check-js-run-fixture.test.mjs` видалено `describe('check-js-run: depcheck у path-scoped workflow', …)` (9 тест-кейсів) і допоміжну `writeRepoWithCronJobAndWorkflow`. У `.github/workflows/npm-publish.yml` прибрано крок `npx depcheck --ignores="graphql,bun,bun:test,@nitra/cursor"` з `working-directory: npm` — `lint-js` workflow покриває цю перевірку через `bunx knip`.
+
+## [1.9.6] - 2026-05-12
+
+### Changed
+
+- **js-lint — ігнорувати `.claude/worktrees/` для jscpd і всіх лінтів:** правило `js-lint.mdc` (v1.18) тепер документує, що каталог `.claude/worktrees/` (робочі копії, які Claude Code створює через superpowers-skill `using-git-worktrees`) має бути виключений з лінт-перевірок. Канонічне місце — `.gitignore` (паралельні воркті — це за визначенням не-комітні робочі копії; `gitignore: true` у `.jscpd.json` уже є, тож запис у `.gitignore` каскадно вимикає сканування). Як страховку на випадок запуску jscpd без `gitignore: true` рекомендовано додати `.claude/worktrees/**` у `ignore` `.jscpd.json` — приклад у правилі оновлено. Без цього `bunx jscpd .` фіксує дзеркальні «клони» між кореневим репо і його worktree-копією у `.claude/worktrees/<name>/…`.
+
 ## [1.9.5] - 2026-05-12
 
 ### Changed
@@ -18,7 +38,7 @@
 
 ### Removed
 
-- **graphql — вимога `scripts.dump-schema` у `package.json` прибрана:** правило `graphql.mdc` більше не вимагає канонічний скрипт `dump-schema` (раніше — `bunx graphqurl http://localhost:4040/v1/graphql -H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql`) у корені проєкту за наявності gql tagged template literals. У `.mdc` відповідну буліт-точку та JSON-фрагмент видалено; фраза про «стандартний спосіб оновлення локальної `schema.graphql`» теж прибрана з підсумкового речення. Каталог `npm/policy/graphql/` (єдиний файл `package_json/package_json.rego` з deny-правилами на відсутність/неканонічний `scripts.dump-schema`) видалено повністю. Запис реєстру `graphql.package_json` (policyDir `graphql`, rule `graphql`, single `package.json`) прибрано з `npm/scripts/lint-conftest.mjs` (заголовок секції перейменовано — `graphql` вилучено). JSDoc-преамбулу `npm/scripts/check-graphql.mjs` оновлено: видалено абзац про rego-порт перевірки `dump-schema` і згадку `scripts.dump-schema` з докстрингу `check()`. Сам JS-чек і так не торкався `package.json` — після видалення rego-полісі ніяких runtime-перевірок `dump-schema` не лишається. У кореневому `package.json` репо cursor скрипт `dump-schema` теж видалено, оскільки тримати його як shim без правила немає сенсу.
+- **graphql — вимога `scripts.dump-schema` у `package.json` прибрана:** правило `graphql.mdc` більше не вимагає канонічний скрипт `dump-schema` (раніше — `bunx graphqurl http://localhost:4040/v1/graphql -H 'X-Hasura-Admin-Secret: secret' --introspect > schema.graphql`) у корені проєкту за наявності gql tagged template literals. У `.mdc` відповідну буліт-точку та JSON-фрагмент видалено; фраза про «стандартний спосіб оновлення локальної `schema.graphql`» теж прибрана з підсумкового речення. Каталог `npm/policy/graphql/` (єдиний файл `package_json/package_json.rego` з deny-правилами на відсутність/неканонічний `scripts.dump-schema`) видалено повністю. Запис реєстру `graphql.package_json` (policyDir `graphql`, rule `graphql`, single `package.json`) прибрано з `npm/scripts/lint-conftest.mjs` (заголовок секції перейменовано — `graphql` вилучено). JSDoc-преамбулу `npm/scripts/check-graphql.mjs` оновлено: видалено абзац про rego-порт перевірки `dump-schema` і згадку `scripts.dump-schema` з JSDoc функції `check()`. Сам JS-чек і так не торкався `package.json` — після видалення rego-полісі ніяких runtime-перевірок `dump-schema` не лишається. У кореневому `package.json` репо cursor скрипт `dump-schema` теж видалено, оскільки тримати його як shim без правила немає сенсу.
 
 ## [1.9.3] - 2026-05-11
 

package/mdc/ga.mdc

@@ -1,6 +1,6 @@
 ---
 description: Правила форматів для .github/workflows
-version: '1.8'
+version: '1.9'
 globs: ".github/workflows/*.yml"
 alwaysApply: false
 ---
@@ -287,6 +287,8 @@ rules:
 
 **MegaLinter:** не використовувати; прибрати workflow, конфіги (`.mega-linter.yml`, `.megalinter.yaml`, `.mega-linter.yaml`), залежності та згадки в CI / pre-commit / документації.
 
+**`depcheck`:** не використовувати у `.github/workflows/*.yml` — мігровано на `knip` (див. `js-lint.mdc`). Перевірка невикористаних залежностей виконується разом з рештою лінтерів у `lint-js`, окремий крок `npx depcheck` у workflow не потрібен і блокується полісі `ga.workflow_common`.
+
 ## Перевірка
 
 - `bun run lint-ga`

package/mdc/js-lint.mdc

@@ -1,10 +1,10 @@
 ---
 description: Перевірка JavaScript коду
 alwaysApply: true
-version: '1.17'
+version: '1.19'
 ---
 
-**oxlint**, **ESLint**, **jscpd**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd не додавай без потреби монорепо.
+**oxlint**, **ESLint**, **jscpd**, **knip**. У скрипті **`lint-js`** і в CI — **`bunx oxlint`**, **`bunx eslint`**, **`bunx jscpd`**, **`bunx knip`** (у CI без **`--fix`** для oxlint/eslint — див. приклад workflow нижче). Без **prettier** і **@nitra/prettier-config**. У **`devDependencies`** має бути **`@nitra/eslint-config` мінімум `^3.9.2`** (з **3.8.0** правило `no-restricted-syntax` забороняє `for...in`; з **3.9.2** у `getConfig` вбудовано ignore для **`**/adr/**`** — ADR-документи не валідуються ESLint, локально цей glob додавати не потрібно; також транзитивно йде **`@e18e/eslint-plugin`** для oxlint); пакет **`@e18e/eslint-plugin`** окремо не додавай. Пакети oxlint/eslint/jscpd/knip не додавай без потреби монорепо.
 
 ```json title=".vscode/extensions.json"
 {
@@ -22,7 +22,7 @@ version: '1.17'
 {
   "type": "module",
   "scripts": {
-    "lint-js": "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd ."
+    "lint-js": "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd . && bunx knip"
   },
   "devDependencies": {
     "@nitra/eslint-config": "^3.9.2"
@@ -43,7 +43,9 @@ version: '1.17'
 }
 ```
 
-У корені проєкту має бути `.jscpd.json`. Мінімум: увімкнути облік `.gitignore`, ненульовий код виходу при знаходженні клонів, консольний звіт. За потреби додай `ignore` (дзеркальні каталоги, шаблони) та `minLines`, щоб відсікти дрібні збіги:
+У корені проєкту має бути `.jscpd.json`. Мінімум: увімкнути облік `.gitignore`, ненульовий код виходу при знаходженні клонів, консольний звіт. За потреби додай `ignore` (дзеркальні каталоги, шаблони) та `minLines`, щоб відсікти дрібні збіги.
+
+Каталог `.claude/worktrees/` (робочі копії, які Claude Code створює через **superpowers:using-git-worktrees**) має ігноруватися: додай його у кореневий `.gitignore` (це штатне місце для не-комітних робочих копій), а в `.jscpd.json` додай `.claude/worktrees/**` у `ignore` як страховку на випадок запуску без `gitignore: true`. Без цього jscpd сканує паралельну копію репо в worktree і фіксує самозбіги між дзеркальними файлами.
 
 ```json title=".jscpd.json"
 {
@@ -51,10 +53,30 @@ version: '1.17'
   "exitCode": 1,
   "reporters": ["console"],
   "minLines": 25,
-  "ignore": ["**/dist/**"]
+  "ignore": [".claude/worktrees/**", "**/dist/**"]
+}
+```
+
+```text title=".gitignore (фрагмент)"
+.claude/worktrees/
+```
+
+## knip
+
+Перевірку невикористаних залежностей і експортів виконує **knip** (заміна `depcheck`). Викликається у скрипті `lint-js` і в CI разом з oxlint/eslint/jscpd — окремий крок у CI не потрібен.
+
+У корені проєкту має бути `knip.json` із `ignoreDependencies` для `graphql` (peer-залежність, часто використовується без прямого імпорту):
+
+```json title="knip.json"
+{
+  "ignoreDependencies": [
+    "graphql"
+  ]
 }
 ```
 
+Пакет `knip` окремо в `devDependencies` не додавай — `bunx knip` тягне його ad-hoc, як oxlint/eslint/jscpd.
+
 ## jscpd: рефакторинг і структура
 
 Коли **jscpd** знаходить клони, спочатку зменшуй дублювання кодом, а не конфігом.
@@ -112,6 +134,7 @@ jobs:
           bunx oxlint
           bunx eslint .
           bunx jscpd .
+          bunx knip
 ```
 
 Перед **`./.github/actions/setup-bun-deps`** — **`actions/checkout@v6`** (див. **ga.mdc**). Composite: Node 24, Bun, кеш, `bun install --frozen-lockfile`.

package/mdc/js-run.mdc

@@ -1,7 +1,7 @@
 ---
 description: Це правила для backend проектів на JavaScript/Node.js, сюди входять і job і WEB сервери.
 alwaysApply: true
-version: '1.6'
+version: '1.7'
 ---
 
 ## Область застосування
@@ -209,26 +209,6 @@ await setTimeout(500)
 
 Імпорт `setTimeout` з `node:timers/promises` затіняє глобальний таймер у файлі — якщо в тому ж файлі потрібен callback-варіант, імпортуй його під іншим іменем (наприклад, `import { setTimeout as setTimeoutCb } from 'node:timers'`).
 
-## depcheck у GitHub Actions з path-фільтром
-
-Якщо в `.github/workflows/*.yml` є тригер з `paths:`, який обмежує запуск workflow змінами в каталозі конкретного backend-пакета, в job цього workflow має бути крок `npx depcheck` з `working-directory`, який вказує на той самий каталог пакета. Це гарантує, що декларація залежностей у `package.json` пакета відповідає реальним імпортам — інакше можна випадково зламати білд після видалення «зайвої» залежності, яка насправді використовується через побічний імпорт.
-
-Список `--ignores` **обов'язково** містить як мінімум `graphql,bun` (це ті, які `depcheck` не вміє коректно розпізнавати: `graphql` — peer-залежність, що часто використовується без прямого імпорту в коді; `bun` — рантайм, не npm-пакет). За потреби список можна розширити іншими модулями, специфічними для пакета — список значень розділяється комою без пробілів.
-
-```yaml title="Приклад: workflow для cron-jobs/refund-loyalty-points"
-on:
-  push:
-    paths:
-      - 'cron-jobs/refund-loyalty-points/**'
-
-# …
-
-      - run: npx depcheck --ignores="graphql,bun"
-        working-directory: cron-jobs/refund-loyalty-points
-```
-
-Правило не застосовується до workflow без `paths:` або з `paths:`, який не звужує тригер до одного backend-пакета (наприклад, кореневі `lint-*.yml` з глобальними `**/*.js`).
-
 ## Перевірка
 
 `npx @nitra/cursor check js-run` — зокрема для кожного backend workspace-пакета з каталогом **`src/`** перевіряє наявність **`jsconfig.json`** і збіг вмісту з каноном вище. Додатково для файлів у каталозі `#conn/` (за замовчуванням `src/conn/`) перевіряється:

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.5",
+  "version": "1.9.7",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/ga/workflow_common/workflow_common.rego

@@ -33,6 +33,11 @@ forbidden_step_substrings := {
 	"bun install": "використовуй .github/actions/setup-bun-deps замість bun install",
 }
 
+# Заборонені бінарки у `run:` кроках (ga.mdc). `depcheck` мігровано на `knip`
+# у `lint-js.mdc` — окремий крок у workflow не потрібен. Регексп ловить виклики
+# через `npx`, `bunx`, `npm exec`, або як standalone-команду на початку рядка.
+forbidden_run_command_patterns := {"depcheck": `(?:^|[\s;&|])(?:npx|bunx|npm exec|pnpm exec)?[ \t]*depcheck\b`}
+
 # Шаблони довгих повідомлень — через `concat`, щоб дотримуватися regal style/line-length.
 
 concurrency_missing_template := concat(" ", [
@@ -73,6 +78,19 @@ deny contains msg if {
 	msg := sprintf("jobs.%s.steps[%d]: %s (ga.mdc)", [entry.job_id, entry.step_index, hint])
 }
 
+# ── deny: depcheck у будь-якому `run:` ────────────────────────────────────
+#
+# `depcheck` мігровано на `knip` (js-lint.mdc); `knip` вже запускається у lint-js
+# CI як частина `bunx knip` у скрипті, тож окремий depcheck-крок зайвий і має
+# бути видалений з workflow-файлів.
+
+deny contains msg if {
+	some entry in all_flat_steps
+	some name, pattern in forbidden_run_command_patterns
+	regex.match(pattern, step_run_text(entry.step))
+	msg := sprintf("jobs.%s.steps[%d]: `%s` заборонено у workflow — мігровано на knip (js-lint.mdc, ga.mdc)", [entry.job_id, entry.step_index, name])
+}
+
 # ── deny: shell-продовження `\` перед переносом рядка у `run:` ─────────────
 #
 # `\` + `\n` — bash line-continuation; у workflow замінюй на folded block `>-`

package/policy/js_lint/lint_js_yml/lint_js_yml.rego

@@ -71,6 +71,11 @@ deny contains msg if {
 	msg := "lint-js.yml: у run немає `bunx jscpd .` (js-lint.mdc)"
 }
 
+deny contains msg if {
+	not contains(all_run_blob, "bunx knip")
+	msg := "lint-js.yml: у run немає `bunx knip` (js-lint.mdc)"
+}
+
 # ── deny: --fix у CI заборонено ───────────────────────────────────────────
 
 deny contains msg if {

package/policy/js_lint/package_json/package_json.rego

@@ -17,7 +17,7 @@ package js_lint.package_json
 
 import rego.v1
 
-canonical_lint_js := "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd ."
+canonical_lint_js := "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd . && bunx knip"
 
 # ── deny: `lint-js` скрипт ─────────────────────────────────────────────────
 

package/scripts/check-js-lint.mjs

@@ -26,7 +26,7 @@ export const OXLINT_CANONICAL_JSON_PATH = join(
 )
 
 /** Очікуваний локальний скрипт. */
-export const CANONICAL_LINT_JS = 'bunx oxlint --fix && bunx eslint --fix . && bunx jscpd .'
+export const CANONICAL_LINT_JS = 'bunx oxlint --fix && bunx eslint --fix . && bunx jscpd . && bunx knip'
 
 /** Мінімальні рекомендації розширень редактора з js-lint.mdc (eslint, oxlint, GA). */
 export const REQUIRED_VSCODE_EXTENSIONS = ['dbaeumer.vscode-eslint', 'github.vscode-github-actions', 'oxc.oxc-vscode']
@@ -472,6 +472,34 @@ async function checkJscpdConfig(passFn, failFn) {
   }
 }
 
+/**
+ * Перевіряє `knip.json`: файл існує і `ignoreDependencies` містить `graphql`
+ * (peer-залежність, що часто використовується без прямого імпорту — без цього
+ * `knip` фолсово репортить її як unused).
+ * @param {(msg: string) => void} passFn callback при успішній перевірці
+ * @param {(msg: string) => void} failFn callback при помилці
+ */
+async function checkKnipConfig(passFn, failFn) {
+  if (!existsSync('knip.json')) {
+    failFn('knip.json не існує — додай конфіг з ignoreDependencies: ["graphql"] (js-lint.mdc)')
+    return
+  }
+  let cfg
+  try {
+    cfg = JSON.parse(await readFile('knip.json', 'utf8'))
+  } catch {
+    failFn('knip.json не є валідним JSON')
+    return
+  }
+  passFn('knip.json існує')
+  const ignoreDeps = cfg?.ignoreDependencies
+  if (Array.isArray(ignoreDeps) && ignoreDeps.includes('graphql')) {
+    passFn('knip.json: ignoreDependencies містить "graphql"')
+  } else {
+    failFn('knip.json: ignoreDependencies має містити "graphql" (peer-залежність) (js-lint.mdc)')
+  }
+}
+
 /**
  * Перевіряє відповідність проєкту правилам js-lint.mdc
  * @returns {Promise<number>} 0 — все OK, 1 — є проблеми
@@ -486,6 +514,7 @@ export async function check() {
   await checkVscodeExtensions(pass, fail)
   await checkLintJsWorkflows(pass, fail)
   await checkJscpdConfig(pass, fail)
+  await checkKnipConfig(pass, fail)
 
   for (const dup of ['.eslintrc', '.eslintrc.js', '.eslintrc.json', '.eslintrc.yml']) {
     if (existsSync(dup)) fail(`Знайдено застарілий конфіг ESLint: ${dup} — видали, використовуй flat config`)

package/scripts/check-js-run.mjs

@@ -23,10 +23,6 @@
  *    кожен `env.X` має бути закритий літеральним викликом `checkEnv(['X', ...])`
  *    у тому ж файлі або коментарем `// \@nitra/cursor ignore-next-line checkEnv`
  *    на попередньому рядку (див. `utils/check-env-scan.mjs`);
- *  - «depcheck у GitHub Actions з path-фільтром»: для кожного workflow з `paths:`,
- *    обмеженим каталогом цього пакета (`<rootDir>/...`), має бути крок
- *    `npx depcheck --ignores="graphql,bun"` (плюс інші, за потреби) з
- *    `working-directory: <rootDir>` (див. `utils/depcheck-workflow.mjs`);
  *  - «Паузи через setTimeout»: `new Promise(resolve => setTimeout(resolve, ms))` (з/без `await`)
  *    треба замінити на `await setTimeout(ms)` з `node:timers/promises`
  *    (див. `utils/promise-settimeout-scan.mjs`);
@@ -44,7 +40,6 @@ import {
 } from './utils/bunyan-imports.mjs'
 import { findUncheckedProcessEnvInText, isCheckEnvScanSourceFile } from './utils/check-env-scan.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
-import { findDepcheckViolationsForPackage, readAllWorkflowFiles } from './utils/depcheck-workflow.mjs'
 import { findConnFileRuleViolations, isConnFileRulesSourceFile } from './utils/conn-file-rules.mjs'
 import {
   findConnFactoryImportsInText,
@@ -310,12 +305,11 @@ async function checkPromiseSetTimeoutPause(absPackageRoot, sourcePaths, label, f
  * Перевіряє відповідність правилам js-run.mdc для одного workspace-пакета.
  * @param {string} rootDir відносний шлях workspace (не `'.'`)
  * @param {string[]} ignorePaths абсолютні шляхи каталогів, повністю виключених з обходу
- * @param {{ relPath: string, content: string }[]} workflows кешований список workflow-файлів репо
  * @param {(msg: string) => void} fail функція зворотного виклику для реєстрації помилки перевірки
  * @param {(msg: string) => void} passFn успішне повідомлення (як у check-reporter)
  * @returns {Promise<void>} завершується після перевірок цього пакета
  */
-async function checkWorkspacePackage(rootDir, ignorePaths, workflows, fail, passFn) {
+async function checkWorkspacePackage(rootDir, ignorePaths, fail, passFn) {
   const label = `[${rootDir}] `
   const absPackageRoot = join(process.cwd(), rootDir)
   const pkgJson = await loadPackageJson(rootDir)
@@ -365,33 +359,6 @@ async function checkWorkspacePackage(rootDir, ignorePaths, workflows, fail, pass
   }
 
   checkOtelConfigmap(rootDir, passFn)
-
-  checkDepcheckInWorkflows(rootDir, workflows, label, fail, passFn)
-}
-
-/**
- * Перевіряє правило «depcheck у workflow» для одного пакета.
- *
- * Для кожного `.github/workflows/*.yml`, чий `paths:` обмежено до `<rootDir>/...`,
- * має бути крок `npx depcheck --ignores="graphql,bun"` з `working-directory: <rootDir>`.
- * Якщо в репо немає каталогу `.github/workflows`, перевірка no-op.
- * @param {string} rootDir відносний шлях workspace-пакета
- * @param {{ relPath: string, content: string }[]} workflows кешований список workflow-файлів
- * @param {string} label префікс повідомлення `[<pkg>] `
- * @param {(msg: string) => void} fail callback при помилці
- * @param {(msg: string) => void} passFn успішне повідомлення
- * @returns {void}
- */
-function checkDepcheckInWorkflows(rootDir, workflows, label, fail, passFn) {
-  if (workflows.length === 0) return
-  const violations = findDepcheckViolationsForPackage(workflows, rootDir.replaceAll('\\', '/'))
-  if (violations.length === 0) {
-    passFn(`${label}depcheck у path-scoped workflow налаштовано (або відсутній path-scoped workflow для пакета)`)
-    return
-  }
-  for (const v of violations) {
-    fail(`${label}${v}`)
-  }
 }
 
 /**
@@ -454,9 +421,8 @@ export async function check() {
   }
 
   const ignorePaths = await loadCursorIgnorePaths(process.cwd())
-  const workflows = await readAllWorkflowFiles(process.cwd())
   for (const r of workspaceRoots) {
-    await checkWorkspacePackage(r, ignorePaths, workflows, fail, pass)
+    await checkWorkspacePackage(r, ignorePaths, fail, pass)
   }
 
   return reporter.getExitCode()

package/scripts/check-npm-module.mjs

@@ -32,12 +32,7 @@ import { promisify } from 'node:util'
 
 import { parseSync } from 'oxc-parser'
 
-import {
-  dynamicImportModule,
-  langFromPath,
-  requireCallModule,
-  walkAstWithAncestors
-} from './utils/ast-scan-utils.mjs'
+import { dynamicImportModule, langFromPath, requireCallModule, walkAstWithAncestors } from './utils/ast-scan-utils.mjs'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import { loadCursorIgnorePaths } from './utils/load-cursor-config.mjs'
 import { walkDir } from './utils/walkDir.mjs'
@@ -80,6 +75,13 @@ const TEST_FRAMEWORK_MODULES = new Set([
   'tape'
 ])
 
+/** Символи у glob-сегменті, які треба екранувати для RegExp (без `*` / `?` — їх обробляємо окремо). */
+const REGEX_SPECIAL_IN_GLOB = new Set(['.', '+', '^', '$', '{', '}', '(', ')', '|', '[', ']', '\\'])
+
+/** Збіги для post-обробки glob → regex після злиття сегментів через `/` (див. `globToRegex`). */
+const GLOBSTAR_LEADING_RE = /^__GLOBSTAR__\//u
+const GLOBSTAR_TRAILING_RE = /\/__GLOBSTAR__$/u
+
 /**
  * Чи є під `npm/src` хоча б один `.js` (рекурсивно).
  * @param {string[]} [ignorePaths] абсолютні шляхи каталогів, повністю виключених з обходу
@@ -338,13 +340,13 @@ function checkPublishWorkflow(passFn, failFn) {
 }
 
 /**
- * Перетворює glob-патерн (як у npm `files`) у анкоровану `RegExp`. Підтримує
- * globstar (нуль або більше сегментів), `*` (символи без `/`) і `?` (один
- * символ без `/`). Не підтримує brace-expansion і class `[…]` — у негативних
- * патернах `files` цього достатньо для практичних випадків (приклад:
- * negation з префіксом `!` і двома зірочками поряд з `_test.rego`).
+ * Перетворює glob-патерн (як у npm `files`) у `RegExp` з якорями `^` / `$`.
+ * Підтримує globstar (нуль або більше сегментів), `*` (символи без `/`) і `?`
+ * (один символ без `/`). Не підтримує brace-expansion і class `[…]` — у
+ * негативних патернах `files` цього достатньо для практичних випадків
+ * (приклад: negation з префіксом `!` і двома зірочками поряд з `_test.rego`).
  * @param {string} glob posix-шлях у glob-нотації
- * @returns {RegExp} регулярка, анкорована з обох боків
+ * @returns {RegExp} `RegExp` з якорями `^` / `$`
  */
 export function globToRegex(glob) {
   const parts = glob.split('/')
@@ -354,16 +356,16 @@ export function globToRegex(glob) {
     for (const c of p) {
       if (c === '*') out += '[^/]*'
       else if (c === '?') out += '[^/]'
-      else if ('.+^${}()|[]\\'.includes(c)) out += `\\${c}`
+      else if (REGEX_SPECIAL_IN_GLOB.has(c)) out += `\\${c}`
       else out += c
     }
     return out
   })
   let re = tokens.join('/')
-  re = re.replace(/\/__GLOBSTAR__\//gu, '(?:/.*/|/)')
-  re = re.replace(/^__GLOBSTAR__\//u, '(?:.*/)?')
-  re = re.replace(/\/__GLOBSTAR__$/u, '(?:/.*)?')
-  re = re.replace(/__GLOBSTAR__/gu, '.*')
+  re = re.replaceAll('/__GLOBSTAR__/', '(?:/.*/|/)')
+  re = re.replace(GLOBSTAR_LEADING_RE, '(?:.*/)?')
+  re = re.replace(GLOBSTAR_TRAILING_RE, '(?:/.*)?')
+  re = re.replaceAll('__GLOBSTAR__', '.*')
   return new RegExp(`^${re}$`, 'u')
 }
 
@@ -378,9 +380,7 @@ export function globToRegex(glob) {
  */
 async function collectPublishedFiles(filesField) {
   const positives = filesField.filter(p => typeof p === 'string' && !p.startsWith('!'))
-  const negatives = filesField
-    .filter(p => typeof p === 'string' && p.startsWith('!'))
-    .map(p => globToRegex(p.slice(1)))
+  const negatives = filesField.filter(p => typeof p === 'string' && p.startsWith('!')).map(p => globToRegex(p.slice(1)))
   /** @type {Set<string>} */
   const collected = new Set()
   for (const entry of positives) {
@@ -449,7 +449,7 @@ export function findTestFrameworkImport(content, virtualPath) {
  */
 export async function classifyPublishedFileAsTest(relPath) {
   const segments = relPath.split('/')
-  const base = segments[segments.length - 1]
+  const base = segments.at(-1)
   const dirs = segments.slice(0, -1)
   const testDir = dirs.find(seg => TEST_DIR_NAMES.has(seg.toLowerCase()))
   if (testDir) return `test-style каталог "${testDir}/"`
@@ -482,7 +482,7 @@ async function checkNoTestsInPublishedFiles(pass, fail) {
     if (reason) violations.push({ file: rel, reason })
   }
   if (violations.length === 0) {
-    pass(`npm/: усі ${files.length} опублікованих файли без тестів/фікстур`)
+    pass(`npm/: усі ${files.length} опублікованих файли без тестів і fixtures`)
     return
   }
   for (const v of violations) {

package/scripts/utils/depcheck-workflow.mjs

@@ -1,205 +0,0 @@
-/**
- * Аналіз GitHub Actions workflow на правило «depcheck для path-scoped backend-пакета»
- * (див. секцію в `npm/mdc/js-run.mdc`).
- *
- * Алгоритм для одного workspace-пакета (`<rootDir>`):
- *  1. Шукаємо всі workflow, у яких `on.push.paths` або `on.pull_request.paths` містить
- *     glob, що починається з `<rootDir>/` — це означає, що workflow обмежено саме цим пакетом
- *     (повністю або частково).
- *  2. У кожному такому workflow має бути крок, чий `run` починається з `npx depcheck …`,
- *     `working-directory` дорівнює `<rootDir>`, а список `--ignores="…"` містить
- *     щонайменше `graphql` і `bun` (інші значення допустимі).
- *
- * Якщо паттерн `paths:` стосується цього пакета, але крок depcheck відсутній / без потрібних
- * ignores / у неправильному working-directory — фіксується порушення.
- *
- * Workflow без `paths:` або з глобальними патернами (`**\/*.js`, `npm/**`) ігноруються —
- * вони не «належать» жодному окремому пакету і виходять за межі правила.
- */
-import { readdir, readFile } from 'node:fs/promises'
-import { join, relative } from 'node:path'
-
-import { flattenWorkflowSteps, getStepRun, parseWorkflowYaml } from './gha-workflow.mjs'
-
-const WORKFLOWS_DIR_REL = '.github/workflows'
-const REQUIRED_IGNORES = ['graphql', 'bun']
-// `npx depcheck` як ціла команда у одному рядку shell-скрипту.
-// `[^\n]*` обмежено явним `\n`-stop'ом — `*` не може backtrack-нутися за межі рядка.
-const DEPCHECK_RUN_RE = /(?:^|[\s;&|])npx[ \t]+depcheck\b([^\n]*)/u
-// `--ignores=…` або `--ignores …` з трьома формами значення (двійкові, одинарні, без лапок).
-// Розділювач — або `=` з опційними пробілами, або один+ пробіл. Альтернативи значення
-// не перетинаються (стартують з різних символів), тож backtrack-у між ними нема.
-const IGNORES_FLAG_RE = /--ignores(?:=[ \t]*|[ \t]+)(?:"([^"]*)"|'([^']*)'|([^\s"']+))/u
-
-/**
- * Нормалізує шлях: бекслеші → forward, обрізає trailing-слеші. Без regex-у на trailing,
- * щоб не тригерити `sonarjs/slow-regex` на `\/+$`.
- * @param {string} p вхідний шлях
- * @returns {string} нормалізований шлях
- */
-function normalizePath(p) {
-  let end = p.length
-  while (end > 0) {
-    const cp = p.codePointAt(end - 1)
-    if (cp !== 47 && cp !== 92) break
-    end--
-  }
-  let out = end === p.length ? p : p.slice(0, end)
-  if (out.includes('\\')) out = out.replaceAll('\\', '/')
-  return out
-}
-
-/**
- * Чи містить workflow.on[event].paths хоча б один patten, що починається з `<pkgRoot>/`.
- * @param {Record<string, unknown>} root корінь workflow
- * @param {string} pkgRoot відносний (POSIX) шлях каталогу пакета (наприклад `cron-jobs/refund-loyalty-points`)
- * @returns {boolean} `true`, якщо знайдено хоча б один підходящий glob
- */
-export function workflowHasPathsScopedToPackage(root, pkgRoot) {
-  const prefix = `${normalizePath(pkgRoot)}/`
-  const on = root?.on
-  if (!on || typeof on !== 'object') return false
-  for (const event of /** @type {const} */ (['push', 'pull_request'])) {
-    const ev = /** @type {Record<string, unknown>} */ (on)[event]
-    if (!ev || typeof ev !== 'object') continue
-    const paths = /** @type {Record<string, unknown>} */ (ev).paths
-    if (!Array.isArray(paths)) continue
-    if (paths.some(p => typeof p === 'string' && p.startsWith(prefix))) return true
-  }
-  return false
-}
-
-/**
- * Розбирає `--ignores="a,b,c"` (також `--ignores=a,b`, single-quotes тощо) з аргументів `npx depcheck`.
- * @param {string} depcheckArgs частина рядка `run` після `npx depcheck`
- * @returns {string[] | null} масив значень ignores або `null`, якщо прапор відсутній
- */
-export function parseDepcheckIgnoresArg(depcheckArgs) {
-  const m = IGNORES_FLAG_RE.exec(depcheckArgs)
-  if (!m) return null
-  const raw = m[1] ?? m[2] ?? m[3] ?? ''
-  return raw
-    .split(',')
-    .map(s => s.trim())
-    .filter(s => s.length > 0)
-}
-
-/**
- * Шукає `npx depcheck` у `run` кроку. Повертає рядок аргументів після `npx depcheck` або `null`.
- * @param {string} runText значення `run:` (можливо багаторядкове)
- * @returns {string | null} текст аргументів depcheck або `null`
- */
-export function extractDepcheckArgs(runText) {
-  if (typeof runText !== 'string' || runText.length === 0) return null
-  const m = DEPCHECK_RUN_RE.exec(runText)
-  return m ? m[1] : null
-}
-
-/**
- * Чи `working-directory` кроку дорівнює очікуваному pkgRoot (з нормалізацією слешів і хвостових `/`).
- * @param {Record<string, unknown>} step об'єкт кроку
- * @param {string} pkgRoot очікуваний шлях
- * @returns {boolean} `true`, якщо збігаються
- */
-export function stepWorkingDirectoryEquals(step, pkgRoot) {
-  const wd = step['working-directory']
-  if (typeof wd !== 'string') return false
-  return normalizePath(wd) === normalizePath(pkgRoot)
-}
-
-/**
- * Перевіряє один workflow на наявність валідного depcheck-кроку для пакета.
- * @param {Record<string, unknown>} root корінь workflow
- * @param {string} pkgRoot відносний шлях пакета
- * @returns {{ kind: 'ok' } | { kind: 'missing' } | { kind: 'wrong-cwd', actual: string } | { kind: 'missing-ignores', missing: string[] }} результат
- */
-export function evaluateDepcheckStepForPackage(root, pkgRoot) {
-  /** @type {{ args: string, step: Record<string, unknown> }[]} */
-  const depcheckSteps = []
-  for (const { step } of flattenWorkflowSteps(root)) {
-    const args = extractDepcheckArgs(getStepRun(step))
-    if (args !== null) depcheckSteps.push({ args, step })
-  }
-  if (depcheckSteps.length === 0) return { kind: 'missing' }
-
-  // Серед усіх знайдених depcheck-кроків шукаємо хоча б один, що відповідає пакету.
-  const stepsForThisPackage = depcheckSteps.filter(s => stepWorkingDirectoryEquals(s.step, pkgRoot))
-  if (stepsForThisPackage.length === 0) {
-    const actual = depcheckSteps
-      .map(s => /** @type {string} */ (s.step['working-directory'] ?? '<repo root>'))
-      .join(', ')
-    return { kind: 'wrong-cwd', actual }
-  }
-
-  for (const { args } of stepsForThisPackage) {
-    const ignores = parseDepcheckIgnoresArg(args) ?? []
-    const missing = REQUIRED_IGNORES.filter(req => !ignores.includes(req))
-    if (missing.length === 0) return { kind: 'ok' }
-  }
-  // Усі знайдені кроки існують, але жоден не має повного списку обов'язкових ignores —
-  // повертаємо missing з першого, щоб дати конкретний фідбек.
-  const firstMissing = REQUIRED_IGNORES.filter(
-    req => !(parseDepcheckIgnoresArg(stepsForThisPackage[0].args) ?? []).includes(req)
-  )
-  return { kind: 'missing-ignores', missing: firstMissing }
-}
-
-/**
- * Зчитує всі `.github/workflows/*.yml` (без `*.yaml` — за правилом n-ga) з коренем у `repoRoot`.
- * @param {string} repoRoot абсолютний корінь репозиторію
- * @returns {Promise<{ relPath: string, content: string }[]>} список workflow-файлів
- */
-export async function readAllWorkflowFiles(repoRoot) {
-  const dir = join(repoRoot, WORKFLOWS_DIR_REL)
-  /** @type {{ relPath: string, content: string }[]} */
-  const out = []
-  let entries
-  try {
-    entries = await readdir(dir, { withFileTypes: true })
-  } catch {
-    return out
-  }
-  for (const ent of entries) {
-    if (!ent.isFile() || !ent.name.endsWith('.yml')) continue
-    const abs = join(dir, ent.name)
-    const content = await readFile(abs, 'utf8')
-    out.push({ relPath: relative(repoRoot, abs).split('\\').join('/'), content })
-  }
-  return out
-}
-
-/**
- * Знаходить порушення правила depcheck для конкретного workspace-пакета.
- *
- * Повертає список повідомлень про порушення (порожній — все ok). Для кожного workflow,
- * чий `paths:` обмежено до цього пакета, перевіряє, що серед кроків є валідний `npx depcheck`
- * з потрібним `working-directory` та `--ignores`.
- * @param {{ relPath: string, content: string }[]} workflows список workflow-файлів (з `readAllWorkflowFiles`)
- * @param {string} pkgRoot відносний шлях workspace-пакета
- * @returns {string[]} повідомлення про порушення, по одному на workflow
- */
-export function findDepcheckViolationsForPackage(workflows, pkgRoot) {
-  /** @type {string[]} */
-  const violations = []
-  for (const { relPath, content } of workflows) {
-    const root = parseWorkflowYaml(content)
-    if (!root) continue
-    if (!workflowHasPathsScopedToPackage(root, pkgRoot)) continue
-    const result = evaluateDepcheckStepForPackage(root, pkgRoot)
-    if (result.kind === 'ok') continue
-    if (result.kind === 'missing') {
-      violations.push(
-        `${relPath}: paths обмежено до '${pkgRoot}/**', але немає кроку 'npx depcheck --ignores="graphql,bun"' з working-directory: ${pkgRoot}`
-      )
-    } else if (result.kind === 'wrong-cwd') {
-      violations.push(
-        `${relPath}: 'npx depcheck' знайдено, але working-directory не дорівнює '${pkgRoot}' (фактично: ${result.actual})`
-      )
-    } else {
-      violations.push(
-        `${relPath}: 'npx depcheck' у '${pkgRoot}' має містити --ignores з '${result.missing.join(',')}' (мінімум: graphql,bun)`
-      )
-    }
-  }
-  return violations
-}