@nitra/cursor 1.9.8 → 1.9.9

package/CHANGELOG.md

@@ -4,11 +4,18 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.9.9] - 2026-05-13
+
+### Changed
+
+- **AGENTS.md — додано `bunx knip` до секції Commands:** `build-agents-commands.mjs` тепер завжди додає рядок `- **knip (невикористані залежності та експорти)**: \`bunx knip\``після`npx @nitra/cursor check`; оновлено тест (`items.length`3 → 4, перевірка`toContain('bunx knip')`).
+- **`knip.json` — `graphql` у `ignoreDependencies`:** повернуто `graphql` до кореневого `ignoreDependencies` (peer-залежність, яку knip фолсово репортить як unused; вимога `js-lint.mdc` / `check-js-lint.mjs`).
+
 ## [1.9.8] - 2026-05-12
 
 ### Changed
 
-- **Корінь монорепо:** у `eslint.config.js` після `...getConfig(...)` додано перевизначення `sonarjs/cognitive-complexity` на `['warn', 20]` (поріг 20, severity `warn`).
+- **Корінь монорепо:** локальне перевизначення `sonarjs/cognitive-complexity` у `eslint.config.js` прибрано — поріг і severity задаються в `@nitra/eslint-config`.
 
 ## [1.9.7] - 2026-05-12
 
@@ -18,7 +25,7 @@
 
 - **ga (mdc v1.8 → v1.9) — заборона `depcheck` у workflow-файлах:** додано полісі `ga.workflow_common.deny` на будь-який виклик `depcheck` (через `npx`/`bunx`/`npm exec`/`pnpm exec` чи як standalone-команду) у `run:` кроку `.github/workflows/*.yml`. Перевірка невикористаних залежностей виконується разом з рештою лінтерів у `bun run lint-js` (`bunx knip`), окремий depcheck-крок у workflow зайвий. У `npm/mdc/ga.mdc` додано буліт «`depcheck`: не використовувати» з посиланням на `js-lint.mdc` і `ga.workflow_common`.
 
-- **ci (тільки в цьому репо) — lint-ga встановлює conftest; knip.json налаштовано під монорепо:** `.github/workflows/lint-ga.yml` отримав крок `Install conftest` (curl-розпаковка релізу), бо `check-ga.mjs::runAllGaRego` ходить у `runConftestBatch` і hard-fail без бінарника. Кореневий `knip.json` розширено `workspaces.npm.entry` (всі CLI/scripts/tests як entry points — інакше knip false-positive репортить їх як unused), `ignoreBinaries` для `cspell`/`oxfmt`/`stylelint`/`vite` (всі через `bunx`/`npx`, не з deps), і `ignoreDependencies` для workspace self-refs. Це налаштування є кастомним для цього репо; інші проєкти налаштовують `knip.json` під свою структуру.
+- **ci (тільки в цьому репо) — lint-ga встановлює conftest; knip.json налаштовано під монорепо:** `.github/workflows/lint-ga.yml` отримав крок `Install conftest` (curl-витяг релізу), бо `check-ga.mjs::runAllGaRego` ходить у `runConftestBatch` і hard-fail без бінарника. Кореневий `knip.json` розширено `workspaces.npm.entry` (всі CLI/scripts/tests як entry points — інакше knip false-positive репортить їх як unused), `ignoreBinaries` для `cspell`/`oxfmt`/`stylelint`/`vite` (всі через `bunx`/`npx`, не з deps), і `ignoreDependencies` для workspace self-refs. Це налаштування специфічне для цього репо; інші проєкти налаштовують `knip.json` під свою структуру.
 
 ### Removed
 

package/mdc/js-lint.mdc

@@ -25,7 +25,7 @@ version: '1.19'
     "lint-js": "bunx oxlint --fix && bunx eslint --fix . && bunx jscpd . && bunx knip"
   },
   "devDependencies": {
-    "@nitra/eslint-config": "^3.9.2"
+    "@nitra/eslint-config": "^3.9.4"
   }
 }
 ```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.9.8",
+  "version": "1.9.9",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/ga/workflow_common/workflow_common.rego

@@ -55,6 +55,11 @@ setup_bun_no_checkout_template := concat(" ", [
 	"інакше runner не знайде action.yml (ga.mdc)",
 ])
 
+forbidden_run_command_template := concat(" ", [
+	"jobs.%s.steps[%d]: `%s` заборонено у workflow —",
+	"мігровано на knip (js-lint.mdc, ga.mdc)",
+])
+
 # ── Аліаси на input ────────────────────────────────────────────────────────
 
 # Усі jobs (з гарантією, що це обʼєкт) — щоб не падати на нетипових YAML.
@@ -88,7 +93,7 @@ deny contains msg if {
 	some entry in all_flat_steps
 	some name, pattern in forbidden_run_command_patterns
 	regex.match(pattern, step_run_text(entry.step))
-	msg := sprintf("jobs.%s.steps[%d]: `%s` заборонено у workflow — мігровано на knip (js-lint.mdc, ga.mdc)", [entry.job_id, entry.step_index, name])
+	msg := sprintf(forbidden_run_command_template, [entry.job_id, entry.step_index, name])
 }
 
 # ── deny: shell-продовження `\` перед переносом рядка у `run:` ─────────────

package/scripts/build-agents-commands.mjs

@@ -81,7 +81,8 @@ export async function buildAgentsCommandBulletItems(projectRoot) {
     {
       name: `- **Оновити правила та ${AGENTS_MD}** (після змін у правилах/шаблоні CLI): \`npx ${PACKAGE_NAME}\``
     },
-    { name: `- **Перевірки правил (programmatic)**: \`npx ${PACKAGE_NAME} check\`` }
+    { name: `- **Перевірки правил (programmatic)**: \`npx ${PACKAGE_NAME} check\`` },
+    { name: `- **knip (невикористані залежності та експорти)**: \`bunx knip\`` }
   )
 
   return items

package/scripts/check-ga.mjs

@@ -48,7 +48,6 @@ function gitHasAnyTrackedFileMatchingGlob(globPattern) {
   if (!p) return false
   if (p.startsWith('!')) return true
   try {
-    // eslint-disable-next-line sonarjs/no-os-command-from-path -- git як стандартне dev-середовище через PATH; альтернативи (хардкод шляху) непортативні
     const out = execFileSync('git', ['ls-files', '-z', '--', `:(glob)${p}`], { encoding: 'utf8' })
     return out.length > 0
   } catch {

package/scripts/check-npm-module.mjs

@@ -366,6 +366,10 @@ export function globToRegex(glob) {
   re = re.replace(GLOBSTAR_LEADING_RE, '(?:.*/)?')
   re = re.replace(GLOBSTAR_TRAILING_RE, '(?:/.*)?')
   re = re.replaceAll('__GLOBSTAR__', '.*')
+  // Дозволено: уся функція існує саме для конструкції RegExp з glob-pattern
+  // у `files` (значення з npm/package.json, не від кінцевого користувача), і
+  // спецсимволи вже екрановано через `REGEX_SPECIAL_IN_GLOB` вище.
+  // eslint-disable-next-line security/detect-non-literal-regexp
   return new RegExp(`^${re}$`, 'u')
 }
 

package/scripts/claude-stop-hook.mjs

@@ -62,7 +62,7 @@ export async function runStopHookCli() {
   if (isRecursiveStopHookCall(stdin)) {
     return 0
   }
-  // eslint-disable-next-line sonarjs/no-os-command-from-path -- npx як стандартне dev-середовище через PATH; альтернативи (хардкод шляху) непортативні
+
   const child = spawn('npx', ['--no', '@nitra/cursor', 'check'], { stdio: 'inherit' })
   try {
     const [code] = await once(child, 'exit')

package/scripts/lint-ga.mjs

@@ -8,7 +8,7 @@
  * `check-ga.mjs::check()` як перший крок — `lint-ga.mjs` про це не знає. Раніше `lint-ga.mjs` сам
  * спавнив conftest для `ga.<name>` per-workflow і `ga.workflow_common` (PoC); тепер ця логіка
  * централізована у `check-ga.mjs`, тож одне джерело істини, без дублювання між
- * `lint-ga` і `npx @nitra/cursor check ga`.
+ * `lint-ga` і `npx \@nitra/cursor check ga`.
  *
  * Без preflight `actionlint` (через `bunx github-actionlint`) мовчки пропускає shell-перевірки в
  * `run:` блоках, коли `shellcheck` відсутній у PATH; локально `bun lint-ga` лишається зеленим, а CI
@@ -143,7 +143,7 @@ function runStep(title, cmd, args) {
  * 2) `bunx github-actionlint`;
  * 3) `uvx zizmor --offline --collect=workflows .`;
  * 4) `check-ga.mjs::check()` — Rego-полісі (батч conftest з `npm/policy/ga/`) + JS cross-file
- *    перевірки правил `ga.mdc`. Це **те саме**, що робить `npx @nitra/cursor check ga`, тож
+ *    перевірки правил `ga.mdc`. Це **те саме**, що робить `npx \@nitra/cursor check ga`, тож
  *    `lint-ga` тепер є суперсетом перевірки правила: external-tools + check.
  *
  * Якщо хоча б один preflight не пройшов — виходимо одразу з кодом 1, **до** запуску actionlint/zizmor,