@nitra/cursor 12.11.0 → 12.11.2

package/CHANGELOG.md

@@ -1,5 +1,17 @@
 # Changelog
 
+## [12.11.2] - 2026-06-25
+
+### Changed
+
+- docs: файлова документація для fix-<concern>.mjs та суміжних файлів; feat(fix): розкладаємо T0-паттерни по правилах — fix-<concern>.mjs конвенція
+
+## [12.11.1] - 2026-06-25
+
+### Changed
+
+- ♻️ refactor(scripts): T0-autofix контракт fix-<concern>.mjs — нова конвенція в scripts.mdc
+
 ## [12.11.0] - 2026-06-25
 
 ### Changed

package/bin/n-cursor.js

@@ -64,7 +64,7 @@
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
 import { mkdir, readdir, readFile, rename, rm, unlink, writeFile } from 'node:fs/promises'
-import { basename, dirname, join } from 'node:path'
+import { basename, dirname, join, resolve } from 'node:path'
 import { cwd, env } from 'node:process'
 import { fileURLToPath } from 'node:url'
 
@@ -1457,7 +1457,7 @@ async function runSync() {
  * `--root`-команди `doc-aggregate`/`rename-yaml-extensions`,
  * sub-лінтери) гард не зачіпає.
  */
-const ROOT_GUARDED_COMMANDS = new Set([undefined, '', 'lint', 'coverage', 'change', 'release'])
+const ROOT_GUARDED_COMMANDS = new Set([undefined, '', 'lint', 'change', 'release'])
 
 /**
  * Короткий опис дії для тексту root-guard помилки за іменем команди.
@@ -1473,9 +1473,6 @@ function describeRootGuardedAction(cmd) {
     case 'lint': {
       return '`lint` за замовчуванням авто-fix лінтерів (oxfmt/eslint --fix/stylelint --fix) і конформності (--full) у поточному каталозі'
     }
-    case 'coverage': {
-      return '`coverage` генерує COVERAGE.md і Stryker-артефакти в поточному каталозі'
-    }
     case 'change': {
       return '`change` пише change-файл у .changes/ поточного каталогу'
     }
@@ -1493,7 +1490,7 @@ const [command, ...args] = process.argv.slice(2)
 
 try {
   // Root-guard до перших мутацій: дефолтний sync скаффолдить .cursor/.claude/CLAUDE.md/
-  // .n-cursor.json + bun install, а fix/lint/coverage/change/release переписують файли в CWD —
+  // .n-cursor.json + bun install, а lint/change/release переписують файли в CWD —
   // усе це ключиться на cwd(). Запуск із піддиректорії git-репо (типово прямий
   // `bun npm/bin/n-cursor.js` не з кореня) зачепив би не той каталог → STOP. Read-only та
   // `--root`-команди (trace, graph, doc-aggregate, rename-yaml-extensions) не зачіпаємо.
@@ -1523,33 +1520,18 @@ try {
       // Дві ортогональні осі: --full (scope: весь репо vs дельта vs origin) × --read-only (behavior).
       // Позиційні (не-флаг) аргументи — фільтр правил конформності (напр. `lint changelog`):
       // прогнати лише конформність цих правил, без лінтер-скану (мапить колишній `fix <rule>`).
-      const rules = args.filter(a => !a.startsWith('-'))
+      const cwdIdx = args.indexOf('--cwd')
+      const cwdArg = cwdIdx !== -1 ? resolve(args[cwdIdx + 1]) : undefined
+      const rules = args.filter((a, i) => !a.startsWith('-') && i !== cwdIdx + 1)
       process.exitCode = await runLint({
         full: args.includes('--full'),
         readOnly: args.includes('--read-only'),
-        rules
+        rules,
+        cwd: cwdArg
       })
 
       break
     }
-    case 'coverage': {
-      // n-cursor coverage — оркестратор покриття + мутаційного тестування з discovery
-      // провайдерів через .n-cursor.json#rules (test.mdc). --changed звужує scope до
-      // змінених від base файлів (flow-турнікет: лише vitest/Stryker по diff).
-      const { runCoverageCli } = await import('../rules/test/coverage/coverage.mjs')
-      process.exitCode = await runCoverageCli({ fix: args.includes('--fix'), changed: args.includes('--changed') })
-
-      break
-    }
-    case 'coverage-fix': {
-      // n-cursor coverage-fix index|slice — read-only витяг вцілілих мутантів із
-      // COVERAGE.md для скілу n-coverage-fix. Важкий парсинг несе скрипт (0 LLM-
-      // токенів); агент отримує лише компактний index або зріз під один файл.
-      const { runCoverageFixCli } = await import('../scripts/coverage-fix-extract.mjs')
-      process.exitCode = await runCoverageFixCli(args)
-
-      break
-    }
     case 'analyze-escalation': {
       // n-cursor analyze-escalation — читає весь escalation-лог (.n-cursor/fix-escalation.jsonl),
       // чанкує й просить хмарну avg-модель запропонувати, як зменшити LLM-залежність fix-
@@ -1634,7 +1616,7 @@ try {
     default: {
       console.error(`❌ Невідома команда: ${command}`)
       console.error(
-        `   Очікується: (без аргументів) синхронізація правил, rename-yaml-extensions, hook, adr-normalize-local, lint (включно зі scope: lint ga|rego|k8s|docker|text), coverage, coverage-fix, analyze-escalation, taze, start-check, release, skill, trace, doc-aggregate`
+        `   Очікується: (без аргументів) синхронізація правил, rename-yaml-extensions, hook, adr-normalize-local, lint (включно зі scope: lint ga|rego|k8s|docker|text), analyze-escalation, taze, start-check, release, skill, trace, doc-aggregate`
       )
       process.exitCode = 1
     }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "12.11.0",
+  "version": "12.11.2",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/adr/js/docs/hooks.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль перевіряє стан проєкту, валідуючи конфігураційні файли (`settings.json`, `hooks.json`, `settings.local.json`) та перевіряючи наявність структур для документації (adr.mdc). Перевірка включає перевірку наявності необхідних елементів, при цьому шляхи `.git` свідомо ігноруються.
 
 ## Поведінка

package/rules/bun/js/docs/fix-layout.md

@@ -0,0 +1,25 @@
+---
+type: JS Module
+title: fix-layout.mjs
+resource: npm/rules/bun/js/fix-layout.mjs
+docgen:
+  crc: 168821f1
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Файл T0-autofix паттерни для `bun/js/layout.mjs` детермінують FS-виправлення, які видаляють заборонені файли залежностей (наприклад, package-lock.json), створюють відсутній bunfig.toml та рекурсивно видаляють каталог .yarn. Ці виправлення спираються на конфіги, зокрема package-lock.json.
+
+## Поведінка
+
+patterns
+
+1. Перевіряє вивід на наявність повідомлення про знайдений заборонений файл. Якщо знайдено, ідентифікує всі заборонені файли. Для кожного ідентифікованого файлу, якщо він існує, видаляє його. Повертає результат, що вказує на успішне видалення файлів або відсутність відповідності.
+2. Перевіряє вивід на наявність повідомлення про відсутність `bunfig.toml`. Якщо повідомлення знайдено, і якщо файл `bunfig.toml` не існує, створює його з базовим вмістом. Повертає результат, що вказує на успішне створення файлу або на те, що він вже існує.
+3. Перевіряє вивід на наявність повідомлення про знайдену директорію `.yarn`. Якщо повідомлення знайдено, і якщо директорія `.yarn` існує, рекурсивно видаляє її. Повертає результат, що вказує на успішне видалення директорії або на її відсутність.
+
+## Гарантії поведінки
+
+- (специфічних машинно-виведених гарантій немає)

package/rules/bun/js/fix-layout.mjs

@@ -0,0 +1,55 @@
+/**
+ * T0-autofix паттерни для `bun/js/layout.mjs` — детерміновані FS-виправлення
+ * заборонених файлів (package-lock.json, yarn.lock тощо), відсутнього bunfig.toml
+ * та каталогу .yarn без звернення до LLM.
+ */
+import { existsSync, rmSync, writeFileSync } from 'node:fs'
+import { join } from 'node:path'
+
+const FORBIDDEN_FILE_RE = /Знайдено заборонений файл: \S+/
+const FORBIDDEN_FILE_MATCH_ALL_RE = /Знайдено заборонений файл: (\S+)/g
+
+/** @type {import('../../../scripts/lib/fix/discover-t0-patterns.mjs').T0Pattern[]} */
+export const patterns = [
+  {
+    id: 'rm-forbidden-file',
+    test: out => FORBIDDEN_FILE_RE.test(out),
+    apply: (out, cwd) => {
+      const matches = [...out.matchAll(FORBIDDEN_FILE_MATCH_ALL_RE)]
+      if (matches.length === 0) return { ok: false, action: 'no match' }
+
+      const removed = []
+      for (const m of matches) {
+        const filePath = join(cwd, m[1])
+        if (existsSync(filePath)) {
+          rmSync(filePath, { force: true })
+          removed.push(m[1])
+        }
+      }
+      if (removed.length === 0) return { ok: false, action: 'файлів не знайдено' }
+      return { ok: true, action: `видалено: ${removed.join(', ')}` }
+    }
+  },
+
+  {
+    id: 'bun-bunfig-create',
+    test: out => /Відсутній bunfig\.toml/.test(out),
+    apply: (_out, cwd) => {
+      const target = join(cwd, 'bunfig.toml')
+      if (existsSync(target)) return { ok: false, action: 'bunfig.toml вже існує' }
+      writeFileSync(target, '[install]\nlinker = "hoisted"\n', 'utf8')
+      return { ok: true, action: 'створено bunfig.toml' }
+    }
+  },
+
+  {
+    id: 'bun-yarn-dir-remove',
+    test: out => /Знайдено директорію \.yarn/.test(out),
+    apply: (_out, cwd) => {
+      const target = join(cwd, '.yarn')
+      if (!existsSync(target)) return { ok: false, action: '.yarn не знайдено' }
+      rmSync(target, { recursive: true, force: true })
+      return { ok: true, action: 'видалено .yarn/' }
+    }
+  }
+]

package/rules/changelog/js/docs/consistency.md

@@ -8,8 +8,6 @@ docgen:
   score: 95
 ---
 
-## Огляд
-
 Модуль сканує монорепозиторій, ідентифікує проєкти та порівнює їхні версії з даними, отриманими з https://pypi.org/pypi/, для верифікації відповідності версій. Для проєктів, що не призначені для публікації, виконуються локальні перевірки на відповідність файлу `CHANGELOG.md` конфігурації, визначеній у res.json.
 
 ## Поведінка
@@ -19,18 +17,18 @@ docgen:
 3. `check` знаходить усі кореневі каталоги проєктів у монорепозиторії.
 4. `check` класифікує знайдені проєкти на ті, що можуть бути опубліковані в реєстрі, та ті, що є локальними.
 5. Для кожного проєкту, що може бути опублікованим, `check` перевіряє його відповідність вимогам:
-    а. Перевіряє наявність файлу `CHANGELOG.md`.
-    б. Перевіряє базовий формат `CHANGELOG.md` на наявність заголовка `# Changelog`.
-    в. Якщо проєкт має поле `version` у маніфесті, `check` порівнює його з опублікованою версією, отриманою через мережевий запит до https://pypi.org/pypi/ або `npm view`.
-    г. Якщо версія у проєкті випереджає опубліковану, `check` повідомляє про заборонений ручний bump.
-    д. Якщо версія у проєкті відстає від опублікованої, `check` повідомляє про відставання локальної копії від реєстру.
-    е. Якщо версії збігаються, `check` перевіряє, чи є незрелі зміни у проєкті відносно базового релізу.
-    ж. Якщо проєкт має незрелі зміни, `check` перевіряє наявність change-файлу. Якщо його немає, `check` або повідомляє про необхідність створити його (якщо не в режимі autofix), або автоматично створює його та додає до індексу.
+   а. Перевіряє наявність файлу `CHANGELOG.md`.
+   б. Перевіряє базовий формат `CHANGELOG.md` на наявність заголовка `# Changelog`.
+   в. Якщо проєкт має поле `version` у маніфесті, `check` порівнює його з опублікованою версією, отриманою через мережевий запит до https://pypi.org/pypi/ або `npm view`.
+   г. Якщо версія у проєкті випереджає опубліковану, `check` повідомляє про заборонений ручний bump.
+   д. Якщо версія у проєкті відстає від опублікованої, `check` повідомляє про відставання локальної копії від реєстру.
+   е. Якщо версії збігаються, `check` перевіряє, чи є незрелі зміни у проєкті відносно базового релізу.
+   ж. Якщо проєкт має незрелі зміни, `check` перевіряє наявність change-файлу. Якщо його немає, `check` або повідомляє про необхідність створити його (якщо не в режимі autofix), або автоматично створює його та додає до індексу.
 6. `check` виконує локальні перевірки для проєктів, які не призначені для публікації:
-    а. Для кожного локального проєкту `check` перевіряє наявність файлу `CHANGELOG.md` та його формат.
-    б. `check` визначає точку порівняння (базу) на основі поточної гілки.
-    в. `check` перевіряє, чи є релевантні зміни у проєкті відносно цієї бази.
-    г. Якщо зміни є, `check` перевіряє наявність change-файлу. Якщо його немає, `check` або повідомляє про необхідність створити його (якщо не в режимі autofix), або автоматично створює його та додає до індексу.
+   а. Для кожного локального проєкту `check` перевіряє наявність файлу `CHANGELOG.md` та його формат.
+   б. `check` визначає точку порівняння (базу) на основі поточної гілки.
+   в. `check` перевіряє, чи є релевантні зміни у проєкті відносно цієї бази.
+   г. Якщо зміни є, `check` перевіряє наявність change-файлу. Якщо його немає, `check` або повідомляє про необхідність створити його (якщо не в режимі autofix), або автоматично створює його та додає до індексу.
 7. `check` повертає кінцевий код завершення, що відображає результати всіх перевірок.
 
 ## Гарантії поведінки

package/rules/changelog/js/docs/fix-consistency.md

@@ -0,0 +1,27 @@
+---
+type: JS Module
+title: fix-consistency.mjs
+resource: npm/rules/changelog/js/fix-consistency.mjs
+docgen:
+  crc: f8727498
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Створює change-файл для воркспейсів у `changelog/js/consistency.mjs`, коли відсутній відповідний файл. Опис change-файлу береться з суб'єкта останнього git-коміту, а рівень зміни (`bump`) завжди встановлюється як `patch`.
+
+## Поведінка
+
+1. Визначає шаблони для автоматичного виправлення.
+2. `patterns` містить один шаблон, який перевіряє наявність повідомлення про відсутність change-файлу.
+3. Якщо шаблон спрацьовує, він виявляє всі воркспейси, які потребують створення change-файлу.
+4. Визначає опис для change-файлу на основі суб'єкта останнього git-коміту в корені репозиторію. Якщо суб'єкт відсутній, використовується зарезервоване повідомлення.
+5. Для кожного виявленого воркспейсу створюється change-файл з рівнем `patch` та розділом `Changed`, використовуючи визначений опис.
+6. Повертає результат, що вказує на успішне створення change-файлів для відповідних воркспейсів.
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).
+- Перехоплює помилки і не пропускає винятків назовні (fail-safe).

package/rules/changelog/js/docs/index.md

@@ -6,6 +6,6 @@ resource: npm/rules/changelog/js/
 
 # npm/rules/changelog/js
 
-| Файл | Тип |
-|---|---|
+| Файл                              | Тип       |
+| --------------------------------- | --------- |
 | [consistency.mjs](consistency.md) | JS Module |

package/rules/changelog/js/fix-consistency.mjs

@@ -0,0 +1,50 @@
+/**
+ * T0-autofix для `changelog/js/consistency.mjs` — детерміноване створення
+ * change-файлу для воркспейсів з релевантними змінами без change-файлу.
+ * Subject останнього git-коміту стає описом; bump завжди `patch`.
+ */
+import { spawnSync } from 'node:child_process'
+import { join } from 'node:path'
+
+import { writeChange } from '../../release/change.mjs'
+
+const MISSING_CHANGE_RE = /є релевантні зміни, але немає change-файлу/
+const MISSING_CHANGE_MATCH_ALL_RE = /(?:^|\s)([\w./@-]+): є релевантні зміни, але немає change-файлу/gm
+
+const CHANGE_BUMP = 'patch'
+const CHANGE_SECTION = 'Changed'
+const CHANGE_FALLBACK_MESSAGE = 'оновлення'
+
+/**
+ * @param {string} cwd корінь репозиторію
+ * @returns {string} непорожній опис
+ */
+function autoChangeMessage(cwd) {
+  const r = spawnSync('git', ['log', '-1', '--format=%s'], { cwd, encoding: 'utf8' })
+  const subject = r.status === 0 ? (r.stdout ?? '').trim() : ''
+  return subject || CHANGE_FALLBACK_MESSAGE
+}
+
+/** @type {import('../../../scripts/lib/fix/discover-t0-patterns.mjs').T0Pattern[]} */
+export const patterns = [
+  {
+    id: 'changelog-create-change-file',
+    test: out => MISSING_CHANGE_RE.test(out),
+    apply: async (out, cwd) => {
+      const workspaces = Array.from(out.matchAll(MISSING_CHANGE_MATCH_ALL_RE), m => m[1])
+      if (workspaces.length === 0) return { ok: false, action: 'no match' }
+
+      const message = autoChangeMessage(cwd)
+      const created = []
+      for (const ws of workspaces) {
+        try {
+          const rel = await writeChange({ bump: CHANGE_BUMP, section: CHANGE_SECTION, message, ws, cwd })
+          created.push(ws === '.' ? rel : join(ws, rel))
+        } catch (error) {
+          return { ok: false, action: `writeChange ${ws}: ${error.message}` }
+        }
+      }
+      return { ok: true, action: `створено change-файл (${CHANGE_BUMP}/${CHANGE_SECTION}): ${created.join(', ')}` }
+    }
+  }
+]

package/rules/ci4/policy/vscode_extensions/docs/fix-vscode_extensions.md

@@ -0,0 +1,21 @@
+---
+type: JS Module
+title: fix-vscode_extensions.mjs
+resource: npm/rules/ci4/policy/vscode_extensions/fix-vscode_extensions.mjs
+docgen:
+  crc: 319883fc
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Цей файл відповідає за завантаження шаблонів, необхідних для функціонування розширення VS Code.
+
+## Поведінка
+
+1. Імпортує шаблони для виправлення розширень VS Code з іншого скрипта.
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).

package/rules/ci4/policy/vscode_extensions/fix-vscode_extensions.mjs

@@ -0,0 +1 @@
+export { patterns } from '../../../../scripts/lib/fix/vscode-ext-add.mjs'

package/rules/ga/policy/vscode_extensions/docs/fix-vscode_extensions.md

@@ -0,0 +1,22 @@
+---
+type: JS Module
+title: fix-vscode_extensions.mjs
+resource: npm/rules/ga/policy/vscode_extensions/fix-vscode_extensions.mjs
+docgen:
+  crc: 319883fc
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Цей файл реалізує застосування шаблонів для форматування розширень VS Code. Він застосовує правила форматування, використовуючи імпортовані шаблони.
+
+## Поведінка
+
+1. Імпортує шаблони для виправлення розширень VS Code.
+2. Використовує імпортовані шаблони для виконання логіки виправлення розширень VS Code.
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).

package/rules/ga/policy/vscode_extensions/fix-vscode_extensions.mjs

@@ -0,0 +1 @@
+export { patterns } from '../../../../scripts/lib/fix/vscode-ext-add.mjs'

package/rules/ga/policy/workflow_common/workflow_common.rego

@@ -127,6 +127,21 @@ deny contains msg if {
 	msg := sprintf(setup_bun_no_checkout_template, [job_id])
 }
 
+# ── deny: actions/checkout без persist-credentials: false ─────────────────
+#
+# `persist-credentials: false` запобігає кешуванню git-токена після checkout,
+# що є обов'язковою вимогою безпеки (ga.mdc).
+
+deny contains msg if {
+	some _job_id, job in jobs
+	some step in object.get(job, "steps", [])
+	uses := object.get(step, "uses", "")
+	startswith(uses, "actions/checkout@")
+	creds := object.get(object.get(step, "with", {}), "persist-credentials", true)
+	creds != false
+	msg := sprintf("jobs.%s: actions/checkout@v6 потребує `with: persist-credentials: false` (ga.mdc)", [_job_id])
+}
+
 # ── deny: concurrency блок ─────────────────────────────────────────────────
 #
 # Дублює окремі per-workflow перевірки для clean-ga-workflows / clean-merged-branch /

package/rules/graphql/policy/vscode_extensions/docs/fix-vscode_extensions.md

@@ -0,0 +1,21 @@
+---
+type: JS Module
+title: fix-vscode_extensions.mjs
+resource: npm/rules/graphql/policy/vscode_extensions/fix-vscode_extensions.mjs
+docgen:
+  crc: 319883fc
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Завантажує шаблони, необхідні для функціонування розширення VS Code.
+
+## Поведінка
+
+1. Імпортує шаблони для виправлення розширень VS Code з іншого скрипта.
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).

package/rules/graphql/policy/vscode_extensions/fix-vscode_extensions.mjs

@@ -0,0 +1 @@
+export { patterns } from '../../../../scripts/lib/fix/vscode-ext-add.mjs'

package/rules/js/js/docs/dep-policy.md

@@ -3,26 +3,28 @@ type: JS Module
 title: dep-policy.mjs
 resource: npm/rules/js/js/dep-policy.mjs
 docgen:
-  crc: 020620cb
+  crc: a2417b44
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
-Модуль сканує файли з розширеннями JS/TS у проєкті. Він перевіряє, чи не містять ці файли імпортів, заборонених відповідно до політики (dep-policy.mdc). Модуль виконує перевірку у режимі лише для читання. У разі виявлення порушень, він реєструє їх у звіті. Модуль перехоплює всі можливі помилки (fail-safe) і не генерує винятків назовні. Результат роботи відображається через код виходу, що інформує про статус перевірки (js.mdc).
+## Огляд
+
+Модуль аналізує вміст файлів з розширеннями JS/TS у проєкті. Він перевіряє, чи містять ці файли імпорти, які заборонені відповідно до політики, визначеної в (dep-policy.mdc). При виявленні заборонених специфікаторів, модуль реєструє помилку у звіті та надає рекомендацію щодо заміни, згідно з (js.mdc). Модуль перехоплює всі внутрішні помилки під час сканування, забезпечуючи безпечну роботу.
 
 ## Поведінка
 
 1. Ініціалізує звітність.
 2. Визначає кореневу директорію проєкту.
-3. Завантажує списки шляхів, які слід ігнорувати.
-4. Збирає список усіх файлів з розширеннями JS/TS у кореневій директорії, ігноруючи визначені шляхи.
-5. Для кожного зібраного файлу:
+3. Зчитує списки шляхів, які слід ігнорувати.
+4. Знаходить усі файли з розширеннями JS/TS у кореневій директорії, дотримуючись списку ігнорування.
+5. Для кожного знайденого файлу:
    а. Зчитує вміст файлу.
-   б. Витягує з вмісту всі імпортовані специфікатори (статичні, динамічні та через `require`).
-   в. Для кожного витягнутого специфікатора перевіряє, чи він є забороненим відповідно до політики (dep-policy.mdc).
-   г. Якщо специфікатор заборонений, реєструє помилку у звіті, вказуючи шлях до файлу та заборонений імпорт. Збільшує лічильник порушень.
-6. Якщо порушень не знайдено, реєструє повідомлення про успішну перевірку (js.mdc).
-7. Повертає код виходу звіту.
+   б. Витягує всі імпортовані специфікатори з файлу.
+   в. Перевіряє кожен витягнутий специфікатор на наявність у списку заборонених специфікаторів (dep-policy.mdc).
+   г. Якщо специфікатор заборонений, реєструє помилку у звіті, вказуючи відносний шлях до файлу та підказку про заміну (js.mdc).
+6. Якщо жодних порушень не знайдено, реєструє успішне повідомлення про перевірку.
+7. Повертає код виходу з репортера.
 
 ## Публічний API
 

package/rules/js/policy/vscode_extensions/docs/fix-vscode_extensions.md

@@ -0,0 +1,22 @@
+---
+type: JS Module
+title: fix-vscode_extensions.mjs
+resource: npm/rules/js/policy/vscode_extensions/fix-vscode_extensions.mjs
+docgen:
+  crc: 319883fc
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Файл застосовує шаблони для виправлення розширень VS Code. Він виконує заміну рядків у розширеннях відповідно до імпортованих шаблонів.
+
+## Поведінка
+
+1. Імпортує шаблони для виправлення розширень VS Code.
+2. Використовує імпортовані шаблони для виконання логіки виправлення розширень VS Code.
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).

package/rules/js/policy/vscode_extensions/fix-vscode_extensions.mjs

@@ -0,0 +1 @@
+export { patterns } from '../../../../scripts/lib/fix/vscode-ext-add.mjs'

package/rules/js-run/js/docs/fix-runtime.md

@@ -0,0 +1,25 @@
+---
+type: JS Module
+title: fix-runtime.mjs
+resource: npm/rules/js-run/js/fix-runtime.mjs
+docgen:
+  crc: d3b1824f
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+## Огляд
+
+Детерміновано створює канонічний `jsconfig.json` у каталогах `src/` бекенд-пакетів, якщо він відсутній. Конфігурація береться з `jsconfig.json.snippet.json` (єдине джерело істини) і застосовується через публічні функції `patterns`.
+
+## Поведінка
+
+1. `patterns` надає набір правил для автоматичного виправлення.
+2. Кожне правило перевіряє, чи відсутній `jsconfig.json` у каталогах `src/` бекенд-пакетів, якщо вони існують.
+3. Якщо правило спрацьовує, воно зчитує канонічне вміст `jsconfig.json` з `policy/jsconfig/template/jsconfig.json.snippet.json`.
+4. Для кожного знайденого каталогу `src/`, якщо `jsconfig.json` відсутній, він створюється з канонічним вмістом.
+5. `patterns` повертає результат, що вказує на успішне створення файлів або на відсутність необхідних змін.
+
+## Гарантії поведінки
+
+- (специфічних машинно-виведених гарантій немає)

package/rules/js-run/js/fix-runtime.mjs

@@ -0,0 +1,41 @@
+/**
+ * T0-autofix для `js-run/js/runtime.mjs` — детерміноване створення канонічного
+ * `jsconfig.json` у backend-пакетах із `src/` де він відсутній. Канон читається
+ * з `policy/jsconfig/template/jsconfig.json.snippet.json` (єдине джерело істини).
+ */
+import { existsSync, readFileSync, writeFileSync } from 'node:fs'
+import { join } from 'node:path'
+import { fileURLToPath } from 'node:url'
+
+const JSCONFIG_MISSING_RE = /є каталог src\/, але немає jsconfig\.json/
+const JSCONFIG_MISSING_MATCH_ALL_RE = /\[([^\]]+)\] є каталог src\/, але немає jsconfig\.json/gu
+
+const JSCONFIG_CONTENT =
+  readFileSync(
+    fileURLToPath(new URL('../policy/jsconfig/template/jsconfig.json.snippet.json', import.meta.url)),
+    'utf8'
+  ).trimEnd() + '\n'
+
+/** @type {import('../../../scripts/lib/fix/discover-t0-patterns.mjs').T0Pattern[]} */
+export const patterns = [
+  {
+    id: 'js-run-jsconfig-create',
+    test: out => JSCONFIG_MISSING_RE.test(out),
+    apply: (out, cwd) => {
+      const matches = [...out.matchAll(JSCONFIG_MISSING_MATCH_ALL_RE)]
+      if (matches.length === 0) return { ok: false, action: 'no match' }
+
+      const created = []
+      for (const m of matches) {
+        const ws = m[1]
+        const target = join(cwd, ws, 'jsconfig.json')
+        if (!existsSync(target)) {
+          writeFileSync(target, JSCONFIG_CONTENT, 'utf8')
+          created.push(ws)
+        }
+      }
+      if (created.length === 0) return { ok: false, action: 'jsconfig.json вже існує в усіх воркспейсах' }
+      return { ok: true, action: `створено jsconfig.json: ${created.join(', ')}` }
+    }
+  }
+]

package/rules/k8s/policy/lint_k8s_yml/lint_k8s_yml.rego

@@ -0,0 +1,57 @@
+# Перевірка `.github/workflows/lint-k8s.yml` (k8s.mdc).
+#
+# Канон надходить через --data: { "template": { "snippet": ... } }
+# Структура --data сформована з template/lint-k8s.yml.snippet.yml.
+# Перевіряємо (drift-safe — усе ведеться з template, без inline-літералів):
+#   - кожен `uses` з template: actions/checkout@v6, setup-bun-deps;
+#   - кожен `run` з template (як substring): install kubeconform, kubescape,
+#     n-cursor lint k8s --read-only.
+# Універсальні workflow-перевірки (name, concurrency, branches,
+# persist-credentials) — у `ga.workflow_common`.
+package k8s.lint_k8s_yml
+
+import rego.v1
+
+# Усі `uses` з канону workflow (по всіх job'ах template).
+expected_uses contains u if {
+	some job in data.template.snippet.jobs
+	some step in job.steps
+	u := object.get(step, "uses", "")
+	u != ""
+}
+
+# Усі `uses` з input workflow.
+actual_uses contains u if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	u := object.get(step, "uses", "")
+	u != ""
+}
+
+# Конкатенація всіх `run`-кроків з input workflow.
+all_run_text := concat("\n", [run_text |
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	run_text := step_run_to_text(step)
+])
+
+deny contains msg if {
+	some required_use in expected_uses
+	not required_use in actual_uses
+	msg := sprintf("lint-k8s.yml: відсутній step з `uses: %s` (k8s.mdc)", [required_use])
+}
+
+deny contains msg if {
+	some job in data.template.snippet.jobs
+	some step in job.steps
+	expected_run := object.get(step, "run", "")
+	expected_run != ""
+	not contains(all_run_text, expected_run)
+	msg := sprintf("lint-k8s.yml: жоден крок run не містить %q (k8s.mdc)", [expected_run])
+}
+
+step_run_to_text(step) := step.run if is_string(step.run)
+
+else := concat("\n", [s | some s in step.run]) if is_array(step.run)
+
+else := ""