@nitra/cursor 12.11.2 → 12.12.0

package/CHANGELOG.md

@@ -1,5 +1,18 @@
 # Changelog
 
+## [12.12.0] - 2026-06-25
+
+### Changed
+
+- Додано автоматичне додавання посилань на template-файли у main.mdc
+- Додано підтримку Blue Oak Bronze+ для перевірки ліцензій у `bun`, `python` та `rust
+
+## [12.11.3] - 2026-06-25
+
+### Changed
+
+- rm doc-aggregate; dep policy
+
 ## [12.11.2] - 2026-06-25
 
 ### Changed

package/bin/n-cursor.js

@@ -14,7 +14,6 @@
  *                                     весь репо (`per-file` ∪ `full`); `--read-only` = без мутацій/LLM (CI); позиційні
  *                                     (не-флаг) аргументи — фільтр правил конформності (мапить колишній `fix <rule>`).
  *                                     CI = `lint --read-only --full` (весь репо, нуль мутацій/LLM).
- *   `npx \@nitra/cursor doc-aggregate modules` — JSON-лістинг логічних модулів (межі за `package.json`) для Tier 2 скілу doc-aggregate
  *   `npx \@nitra/cursor skill list`     — скіли пакета без синку в проєкт
  *   `npx \@nitra/cursor skill taze`     — промпт на stdout
  *   `npx \@nitra/cursor skill cursor taze ["task"]` — Cursor CLI (`cursor-agent -p`)
@@ -1453,11 +1452,11 @@ async function runSync() {
 
 /**
  * Команди, що мутують проєкт у CWD і вимагають кореня репо. `undefined`/`''` —
- * дефолтний sync; `check` — deprecated-alias `fix`. Решта (read-only `trace`,
+ * дефолтний sync; `check` — deprecated-alias `fix`. Решта (read-only,
  * `--root`-команди `doc-aggregate`/`rename-yaml-extensions`,
  * sub-лінтери) гард не зачіпає.
  */
-const ROOT_GUARDED_COMMANDS = new Set([undefined, '', 'lint', 'change', 'release'])
+const ROOT_GUARDED_COMMANDS = new Set([undefined, '', 'lint', 'release'])
 
 /**
  * Короткий опис дії для тексту root-guard помилки за іменем команди.
@@ -1473,9 +1472,6 @@ function describeRootGuardedAction(cmd) {
     case 'lint': {
       return '`lint` за замовчуванням авто-fix лінтерів (oxfmt/eslint --fix/stylelint --fix) і конформності (--full) у поточному каталозі'
     }
-    case 'change': {
-      return '`change` пише change-файл у .changes/ поточного каталогу'
-    }
     case 'release': {
       return '`release` бампає version і переписує CHANGELOG у поточному каталозі'
     }
@@ -1490,10 +1486,10 @@ const [command, ...args] = process.argv.slice(2)
 
 try {
   // Root-guard до перших мутацій: дефолтний sync скаффолдить .cursor/.claude/CLAUDE.md/
-  // .n-cursor.json + bun install, а lint/change/release переписують файли в CWD —
+  // .n-cursor.json + bun install, а lint/release переписують файли в CWD —
   // усе це ключиться на cwd(). Запуск із піддиректорії git-репо (типово прямий
   // `bun npm/bin/n-cursor.js` не з кореня) зачепив би не той каталог → STOP. Read-only та
-  // `--root`-команди (trace, graph, doc-aggregate, rename-yaml-extensions) не зачіпаємо.
+  // `--root`-команди (doc-aggregate, rename-yaml-extensions) не зачіпаємо.
   if (ROOT_GUARDED_COMMANDS.has(command)) {
     assertCwdIsProjectRoot(cwd(), describeRootGuardedAction(command))
   }
@@ -1559,12 +1555,6 @@ try {
 
       break
     }
-    case 'change': {
-      const { runChangeCli } = await import('../rules/release/change.mjs')
-      process.exitCode = await runChangeCli(args)
-
-      break
-    }
     case 'release': {
       const { runReleaseCli } = await import('../rules/release/release.mjs')
       process.exitCode = await runReleaseCli(args)
@@ -1576,14 +1566,6 @@ try {
 
       break
     }
-    case 'trace': {
-      // n-cursor trace — наскрізна простежуваність (spec §5.4/§7): граф
-      // ADR↔spec↔plan↔change за front-matter + флаг розривів. exit 1 на розрив.
-      const { runTraceCli } = await import('../scripts/dispatcher/trace.mjs')
-      process.exitCode = runTraceCli(args)
-
-      break
-    }
     case 'adr-normalize-local': {
       // Local-backend ADR-нормалізації: викликається з .claude/hooks/normalize-decisions.sh
       // як заміна single-shot LLM-виклику. Проганяє конвеєр (retrieval→edge-judge→
@@ -1593,20 +1575,6 @@ try {
 
       break
     }
-    case 'doc-aggregate': {
-      // n-cursor doc-aggregate modules — детермінований лістинг логічних модулів
-      // (межі за package.json) для Tier 2 module-summary скілу doc-aggregate.
-      // Друкує JSON; module-summary і доменні доки пише скіл, диспатчачи субагентів.
-      const { runDocAggregateModulesCli } = await import('../skills/doc-aggregate/js/docgen-scan.mjs')
-      if (args[0] === 'modules') {
-        process.exitCode = await runDocAggregateModulesCli(args.slice(1))
-      } else {
-        console.error('Usage: npx @nitra/cursor doc-aggregate <modules> [--root <dir>]')
-        process.exitCode = 1
-      }
-
-      break
-    }
     case undefined:
     case '': {
       await runSync()
@@ -1616,7 +1584,7 @@ try {
     default: {
       console.error(`❌ Невідома команда: ${command}`)
       console.error(
-        `   Очікується: (без аргументів) синхронізація правил, rename-yaml-extensions, hook, adr-normalize-local, lint (включно зі scope: lint ga|rego|k8s|docker|text), analyze-escalation, taze, start-check, release, skill, trace, doc-aggregate`
+        `   Очікується: (без аргументів) синхронізація правил, rename-yaml-extensions, hook, adr-normalize-local, lint (включно зі scope: lint ga|rego|k8s|docker|text), analyze-escalation, taze, start-check, release, skill, doc-aggregate`
       )
       process.exitCode = 1
     }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "12.11.2",
+  "version": "12.12.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/bun/docs/index.md

@@ -6,6 +6,6 @@ resource: npm/rules/bun/
 
 # npm/rules/bun
 
-| Файл                | Тип       |
-| ------------------- | --------- |
+| Файл | Тип |
+|---|---|
 | [main.mjs](main.md) | JS Module |

package/rules/bun/docs/main.md

@@ -3,26 +3,25 @@ type: JS Module
 title: main.mjs
 resource: npm/rules/bun/main.mjs
 docgen:
-  crc: 762b6875
+  crc: 18950415
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
-Модуль валідує дані, застосовуючи правила, визначені у конфігурації meta.json, та збирає посилання на MDC. При виклику публічної функції run він здійснює повний запуск правила, включаючи завантаження конфігурацій та застосування білих списків. Результат виконання повертається як код виходу процесу.
+## Огляд
+
+Модуль застосовує політики до коду та перевіряє ліцензії залежностей (bun.mdc). Функція `run` застосовує політику до коду, використовуючи кешування у межах прогону для прискорення. Функція `lint` перевіряє ліцензії npm-залежностей, спираючись на конфігурацію в .licensee.json. У режимі `fix` вона створює .licensee.json, а в режимі `readOnly` блокує виконання.
 
 ## Поведінка
 
-1. Викликається функція `run` для виконання перевірки.
-2. Виконання перевірки включає застосування правил, обробку логіки, визначену в конфігурації `meta.json`, та збір посилань на MDC.
-3. Якщо код виконується як окремий інструмент (standalone), ініціюється повний запуск правила.
-4. Повний запуск правила включає завантаження конфігурацій, застосування білих списків та підбиття підсумків.
-5. Результат виконання повертається як код виходу процесу.
+run виконує перевірку, застосовуючи політику до коду, використовуючи кешування.
+lint виконує перевірку ліцензій npm-залежностей, генеруючи `.licensee.json` у fix-режимі або відмовляючись у readOnly режимі.
 
 ## Публічний API
 
-run — виконує основну логіку правила: застосовує перевірки до коду, аналізує відповідність політиці та перевіряє посилання на метадані.
+run — Точка входу правила, що виконує перевірку: застосовує логіку, перевіряє відповідність політиці та посилання на маркери повідомлень (bun.mdc).
+lint — Інструмент для перевірки ліцензій npm-залежностей у всьому репозиторії. У режимі `--full` він працює повноцінно; у режимі виправлення автоматично створює файл .licensee.json, якщо його немає.
 
 ## Гарантії поведінки
 
-- Read-only: не виконує операцій запису (ФС/БД).
 - Кешує результати в межах одного прогону.

package/rules/bun/js/docs/index.md

@@ -6,6 +6,7 @@ resource: npm/rules/bun/js/
 
 # npm/rules/bun/js
 
-| Файл                    | Тип       |
-| ----------------------- | --------- |
+| Файл | Тип |
+|---|---|
+| [fix-layout.mjs](fix-layout.md) | JS Module |
 | [layout.mjs](layout.md) | JS Module |

package/rules/bun/main.json

@@ -1 +1 @@
-{ "auto": { "glob": "package.json" } }
+{ "auto": { "glob": ["package.json", ".licensee.json"] }, "lint": "full" }

package/rules/bun/main.mdc

@@ -5,4 +5,6 @@ alwaysApply: false
 version: '2.1'
 ---
 
-Проект використовує тільки Bun для керування залежностями та запуску скриптів.
+Проект використовує тільки Bun для керування залежностями та запуску скриптів.
+- [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+- [bunfig.toml.snippet.toml](./policy/bunfig/template/bunfig.toml.snippet.toml)

package/rules/bun/main.mjs

@@ -1,11 +1,17 @@
+import { existsSync, writeFileSync } from 'node:fs'
+import { join } from 'node:path'
+import { spawnSync } from 'node:child_process'
+
+import { createCheckReporter } from '../../scripts/lib/check-reporter.mjs'
+import { runStandardLint } from '../../scripts/lib/run-standard-lint.mjs'
+import { resolveCmd } from '../../scripts/utils/resolve-cmd.mjs'
 import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
 import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
 
 /**
  * Єдиний entrypoint правила (ADR 2026-06-21). `run()` — check-поверхня: applies →
- * JS-concerns → policy → mdc-refs (через runStandardRule). Lint-поверхні правило не має
- * (`meta.json` без `lint`), тож експорту `lint` тут немає.
- * Library mode: викликається CLI orchestration через `import + run(ctx)`.
+ * JS-concerns → policy → mdc-refs (через runStandardRule). `lint()` — lint-поверхня
+ * (licensee — перевірка ліцензій npm-залежностей, лише у `--full`).
  * @param {import('../../scripts/lib/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
  * @returns {Promise<number>} 0 — OK, 1 — порушення
  */
@@ -13,6 +19,60 @@ export function run(ctx) {
   return runStandardRule(import.meta.dirname, ctx)
 }
 
+/** Дефолтний allowlist: Blue Oak bronze — дозволяє MIT/Apache/BSD/ISC, блокує GPL/AGPL/LGPL. */
+const DEFAULT_LICENSEE_CONFIG = JSON.stringify({ licenses: { blueOak: 'bronze' }, corrections: true }, null, 2) + '\n'
+
+/**
+ * Перевірка ліцензій npm-залежностей через `licensee`.
+ * У fix-режимі: якщо `.licensee.json` відсутній — генерує його з дефолтним allowlist
+ * (blueOak: bronze) і запускає перевірку. У readOnly (CI): відсутність файлу → fail.
+ * @param {string} [cwd] корінь проєкту
+ * @param {{ readOnly?: boolean }} [opts]
+ * @returns {number} 0 — OK, 1 — порушення
+ */
+function runLicenseeSteps(cwd = process.cwd(), opts = {}) {
+  const readOnly = opts.readOnly === true
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const configPath = join(cwd, '.licensee.json')
+  if (!existsSync(configPath)) {
+    if (readOnly) {
+      fail('lint-bun: licensee — немає .licensee.json; запустіть `npx @nitra/cursor fix bun` локально для генерації (bun.mdc)')
+      return reporter.getExitCode()
+    }
+    writeFileSync(configPath, DEFAULT_LICENSEE_CONFIG, 'utf8')
+    pass('lint-bun: licensee — створено .licensee.json з дефолтним allowlist (blueOak: bronze)')
+  }
+
+  const bun = resolveCmd('bun')
+  if (!bun) {
+    fail('lint-bun: `bun` не знайдено в PATH (bun.mdc)')
+    return reporter.getExitCode()
+  }
+
+  const r = spawnSync(bun, ['x', 'licensee', '--production', '--quiet'], { cwd, stdio: 'inherit', shell: false })
+  if (r.status === 0) {
+    pass('lint-bun: licensee — ліцензії OK')
+  } else {
+    const code = typeof r.status === 'number' ? r.status : 1
+    fail(`lint-bun: licensee — порушення ліцензій (код ${code}, bun.mdc)`)
+  }
+  return reporter.getExitCode()
+}
+
+/**
+ * Оркестраторний адаптер `n-cursor lint bun`: licensee-перевірка ліцензій npm-залежностей.
+ * Whole-repo (ігнорує `_files`). Fix-режим: auto-генерує `.licensee.json` якщо відсутній.
+ * @param {string[] | undefined} _files ігнорується
+ * @param {string} [cwd] корінь
+ * @param {{ readOnly?: boolean }} [opts] readOnly → не мутує ФС; відсутність конфігу → fail
+ * @returns {Promise<number>} exit code
+ */
+export function lint(_files, cwd = process.cwd(), opts = {}) {
+  return runStandardLint(import.meta.dirname, () => runLicenseeSteps(cwd, opts))
+}
+
 if (isRunAsCli(import.meta.url)) {
   // Standalone: bun rules/<id>/main.mjs — повний еквівалент `npx @nitra/cursor check <id>`
   // (config-loading + whitelist + summary): library-роль (run) + standalone-роль (CLI-блок).

package/rules/changelog/js/docs/index.md

@@ -6,6 +6,7 @@ resource: npm/rules/changelog/js/
 
 # npm/rules/changelog/js
 
-| Файл                              | Тип       |
-| --------------------------------- | --------- |
+| Файл | Тип |
+|---|---|
 | [consistency.mjs](consistency.md) | JS Module |
+| [fix-consistency.mjs](fix-consistency.md) | JS Module |

package/rules/ci4/main.mdc

@@ -372,3 +372,4 @@ Rego-перевірки, що запускаються через `conftest` у
 | --------------------------- | -------------------------------------------------------------------- |
 | `ci4.vscode_extensions`     | `.vscode/extensions.json` містить `arr.marksman` у `recommendations` |
 
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)

package/rules/ci4/policy/vscode_extensions/docs/index.md

@@ -0,0 +1,11 @@
+---
+type: Directory Index
+title: npm/rules/ci4/policy/vscode_extensions
+resource: npm/rules/ci4/policy/vscode_extensions/
+---
+
+# npm/rules/ci4/policy/vscode_extensions
+
+| Файл                                                  | Тип       |
+| ----------------------------------------------------- | --------- |
+| [fix-vscode_extensions.mjs](fix-vscode_extensions.md) | JS Module |

package/rules/ga/main.mdc

@@ -5,4 +5,12 @@ globs: ".github/workflows/*.yml"
 alwaysApply: false
 ---
 
-Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.
+Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.
+- [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+- [git-ai.yml.snippet.yml](./policy/git_ai/template/git-ai.yml.snippet.yml)
+- [clean-ga-workflows.yml.snippet.yml](./policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml)
+- [lint-ga.yml.snippet.yml](./policy/lint_ga/template/lint-ga.yml.snippet.yml)
+- [zizmor.yml.snippet.yml](./policy/zizmor_yml/template/zizmor.yml.snippet.yml)
+- [clean-merged-branch.yml.snippet.yml](./policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+- [uses-min-versions.snippet.json](./policy/workflow_common/template/uses-min-versions.snippet.json)

package/rules/ga/policy/vscode_extensions/docs/index.md

@@ -0,0 +1,11 @@
+---
+type: Directory Index
+title: npm/rules/ga/policy/vscode_extensions
+resource: npm/rules/ga/policy/vscode_extensions/
+---
+
+# npm/rules/ga/policy/vscode_extensions
+
+| Файл                                                  | Тип       |
+| ----------------------------------------------------- | --------- |
+| [fix-vscode_extensions.mjs](fix-vscode_extensions.md) | JS Module |

package/rules/graphql/policy/vscode_extensions/docs/index.md

@@ -0,0 +1,11 @@
+---
+type: Directory Index
+title: npm/rules/graphql/policy/vscode_extensions
+resource: npm/rules/graphql/policy/vscode_extensions/
+---
+
+# npm/rules/graphql/policy/vscode_extensions
+
+| Файл                                                  | Тип       |
+| ----------------------------------------------------- | --------- |
+| [fix-vscode_extensions.mjs](fix-vscode_extensions.md) | JS Module |

package/rules/js/js/dep-policy.mdc

@@ -2,6 +2,25 @@
 
 `@e18e/eslint-plugin` окремо не додавай — він уже в залежностях `@nitra/eslint-config` (з **3.8.0**), oxlint підвантажує його з `node_modules`. Пакети `oxlint`/`eslint`/`jscpd`/`knip` теж не додавай у `devDependencies` без потреби монорепо — `bunx` тягне їх ad-hoc.
 
+### Заборона `ua-parser-js`
+
+Пакет **`ua-parser-js`** заборонений починаючи з версії **2.x**, де ліцензія змінилась з MIT на **AGPL-3.0** — несумісну з комерційним використанням у закритому SaaS. Замінити на **`bowser`** (MIT, ~6 KB gzip):
+
+```javascript title="❌ до"
+import { UAParser } from 'ua-parser-js'
+const parser = new UAParser(userAgent)
+const result = parser.getResult()
+const browserName = result.browser.name
+```
+
+```javascript title="✅ після"
+import Bowser from 'bowser'
+const browser = Bowser.getParser(userAgent)
+const browserName = browser.getBrowserName()
+```
+
+Bowser надає ті самі поля: `getBrowserName()`, `getOSName()`, `getPlatform().vendor`. Міграція займає кілька рядків; логіка не змінюється.
+
 ### Заборона `@nitra/as-integrations-fastify`
 
 Пакет **`@nitra/as-integrations-fastify`** заборонений у **`dependencies`**, **`peerDependencies`** та в import-specifier-ах. Це чистий републіш upstream, застряглий на peer `@apollo/server: "^4.0.0"`, тож на Apollo 5 `bun install` дає `warn: incorrect peer dependency`. Заміна — upstream **`@as-integrations/fastify`** (**`^3.1.0`**): peer `@apollo/server: "^4.0.0 || ^5.0.0"` + `fastify: "^5.3.0"`.

package/rules/js/js/dep-policy.mjs

@@ -16,8 +16,17 @@ import {
 
 const JS_SOURCE_RE = /\.(?:[cm]?[jt]sx?)$/u
 
-/** Пакети, заборонені як import-specifier у будь-якому JS/TS-файлі. */
-const BANNED_SPECIFIERS = new Set(['@nitra/as-integrations-fastify'])
+/**
+ * Пакети, заборонені як import-specifier у будь-якому JS/TS-файлі.
+ * Ключ — specifier, значення — підказка про заміну.
+ */
+const BANNED_SPECIFIERS = new Map([
+  ['@nitra/as-integrations-fastify', 'використовуй @as-integrations/fastify'],
+  [
+    'ua-parser-js',
+    'замінити на bowser (MIT, ~6 KB) — npm i bowser. ua-parser-js v2 змінив ліцензію на AGPL-3.0, несумісну з комерційним використанням'
+  ]
+])
 
 /**
  * Витягає з джерела всі import-specifier'и (static + dynamic + require).
@@ -73,11 +82,10 @@ export async function check(cwdParam = process.cwd()) {
     const source = await readFile(absPath, 'utf8')
     const specifiers = extractImportSpecifiers(source, absPath)
     for (const spec of specifiers) {
-      if (BANNED_SPECIFIERS.has(spec)) {
+      const hint = BANNED_SPECIFIERS.get(spec)
+      if (hint !== undefined) {
         const rel = relative(cwd, absPath)
-        reporter.fail(
-          `${rel}: заборонений import '${spec}' — використовуй @as-integrations/fastify (js.mdc dep-policy)`
-        )
+        reporter.fail(`${rel}: заборонений import '${spec}' — ${hint} (js.mdc dep-policy)`)
         violations += 1
       }
     }

package/rules/js/js/docs/index.md

@@ -6,10 +6,10 @@ resource: npm/rules/js/js/
 
 # npm/rules/js/js
 
-| Файл                                  | Тип       |
-| ------------------------------------- | --------- |
-| [check.mjs](check.md)                 | JS Module |
-| [dep-policy.mjs](dep-policy.md)       | JS Module |
+| Файл | Тип |
+|---|---|
+| [check.mjs](check.md) | JS Module |
+| [dep-policy.mjs](dep-policy.md) | JS Module |
 | [lint-findings.mjs](lint-findings.md) | JS Module |
-| [tooling.mjs](tooling.md)             | JS Module |
+| [tooling.mjs](tooling.md) | JS Module |
 | [utils_imports.mjs](utils_imports.md) | JS Module |

package/rules/js/main.mdc

@@ -11,3 +11,7 @@ version: '1.30'
 
 Rego-пакети у `policy/` — запускаються `npx @nitra/cursor fix js` або `conftest`:
 
+- [lint-js.yml.snippet.yml](./policy/lint_js_yml/template/lint-js.yml.snippet.yml)
+- [.jscpd.json.snippet.json](./policy/jscpd/template/.jscpd.json.snippet.json)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+- [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)

package/rules/js/policy/vscode_extensions/docs/index.md

@@ -0,0 +1,11 @@
+---
+type: Directory Index
+title: npm/rules/js/policy/vscode_extensions
+resource: npm/rules/js/policy/vscode_extensions/
+---
+
+# npm/rules/js/policy/vscode_extensions
+
+| Файл                                                  | Тип       |
+| ----------------------------------------------------- | --------- |
+| [fix-vscode_extensions.mjs](fix-vscode_extensions.md) | JS Module |

package/rules/js-run/js/docs/index.md

@@ -6,6 +6,7 @@ resource: npm/rules/js-run/js/
 
 # npm/rules/js-run/js
 
-| Файл                      | Тип       |
-| ------------------------- | --------- |
+| Файл | Тип |
+|---|---|
+| [fix-runtime.mjs](fix-runtime.md) | JS Module |
 | [runtime.mjs](runtime.md) | JS Module |

package/rules/js-run/main.mdc

@@ -11,3 +11,6 @@ version: '1.12'
 
 Rego-пакети, які запускає `npx @nitra/cursor fix js-run` / `npx @nitra/cursor check`:
 
+- [jsconfig.json.snippet.json](./policy/jsconfig/template/jsconfig.json.snippet.json)
+- [configmap.yaml.contains.yml](./policy/configmap/template/configmap.yaml.contains.yml)
+- [package.json.deny.json](./policy/package_json/template/package.json.deny.json)

package/rules/nginx-default-tpl/policy/vscode_extensions/docs/index.md

@@ -0,0 +1,11 @@
+---
+type: Directory Index
+title: npm/rules/nginx-default-tpl/policy/vscode_extensions
+resource: npm/rules/nginx-default-tpl/policy/vscode_extensions/
+---
+
+# npm/rules/nginx-default-tpl/policy/vscode_extensions
+
+| Файл                                                  | Тип       |
+| ----------------------------------------------------- | --------- |
+| [fix-vscode_extensions.mjs](fix-vscode_extensions.md) | JS Module |

package/rules/npm-module/main.mdc

@@ -18,3 +18,7 @@ Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.g
 Rego-пакети (запускаються через `npx @nitra/cursor fix`):
 
 - `npm_module.npm_publish_yml` — template-driven перевірка `.github/workflows/npm-publish.yml` (deep-subset: усі обовʼязкові поля й кроки з канонічного сніпету).
+- [package.json.snippet.json](./policy/npm_package_json/template/package.json.snippet.json)
+- [npm-publish.yml.snippet.yml](./policy/npm_publish_yml/template/npm-publish.yml.snippet.yml)
+- [package.json.snippet.json](./policy/root_package_json/template/package.json.snippet.json)
+- [tsconfig.emit-types.json.snippet.json](./policy/emit_types_config/template/tsconfig.emit-types.json.snippet.json)

package/rules/python/docs/index.md

@@ -6,6 +6,6 @@ resource: npm/rules/python/
 
 # npm/rules/python
 
-| Файл                | Тип       |
-| ------------------- | --------- |
+| Файл | Тип |
+|---|---|
 | [main.mjs](main.md) | JS Module |

package/rules/python/docs/main.md

@@ -3,27 +3,30 @@ type: JS Module
 title: main.mjs
 resource: npm/rules/python/main.mjs
 docgen:
-  crc: d8a3aa1f
+  crc: b072766d
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 90
 ---
 
-Реалізує логіку запуску `lint-python` за правилом `python.mdc` на базі [uv](https://docs.astral.sh/uv/). Якщо `pyproject.toml` у корені відсутній, процес завершується з кодом виходу 0. Якщо файл присутній, але інструмент `uv` не знайдено в PATH, це розглядається як помилка. Обов'язкові кроки включають перевірку актуальності lock-файлу (`uv lock --check`) та синхронізацію середовища (`uv sync --frozen`). Опційні лінтери (`ruff`, `mypy`) запускаються лише за умови їх доступності через `uv run`. `ruff` виконується у режимі автоматичного виправлення (`--fix`) для мутації робочого дерева та для форматування. Цей підхід відповідає канону патерну `lint-*` (серіалізація через `runStandardLint`, без прямого `withLock`).
+## Огляд
+
+Виконує послідовність кроків для валідації коду Python відповідно до правил, визначених у (python.mdc). Перед запуском інструментів перевіряє наявність `pyproject.toml` у корені; якщо він відсутній, завершує роботу з кодом 0. Якщо файл присутній, перевіряє наявність `uv` у PATH, оскільки він є єдиним пакет-менеджером. Обов'язково виконує `uv lock --check` для підтвердження актуальності lock-файлу та `uv sync --frozen` для синхронізації середовища з `uv.lock` (див. https://docs.astral.sh/uv/). Опційні лінтери запускаються лише за умови їх доступності через `uv run`. При використанні `ruff` застосовується автоматичне виправлення (`auto-fix`), що модифікує робоче дерево. Усі операції виконуються з механізмом перехоплення помилок (fail-safe), запобігаючи викиданню винятків назовні.
 
 ## Поведінка
 
-run виконує стандартну перевірку для правила, використовуючи контекст прогону.
-runLintPythonSteps виконує послідовність кроків лінтування Python, перевіряючи наявність `pyproject.toml` та виконуючи команди `uv lock --check` та `uv sync --frozen`, а також запускаючи опціональні лінтери (`ruff`, `mypy`) через `uv run` на базі https://docs.astral.sh/uv/.
-runLintPython запускає послідовність кроків лінтування Python, серіалізуючи її через стандартний механізм перевірки.
-lint делегує виклик до `runLintPython`, забезпечуючи можливість запуску в режимі, що не мутує робоче дерево.
+run виконує стандартну перевірку на основі контексту.
+runLintPythonSteps виконує повний цикл лінтування Python, включаючи перевірку `uv lock --check`, `uv sync --frozen` та запуск лінтерів, якщо `pyproject.toml` присутній.
+runLintPython запускає кроки лінтування Python, використовуючи механізм серіалізації через `runStandardLint`.
+lint оркеструє запуск `runLintPython` з опцією `readOnly` для детектних перевірок.
 
 ## Публічний API
 
-run — Основна точка входу для виконання правил, яка перевіряє логіку застосування (JS-занепокложення $\rightarrow$ політика $\rightarrow$ mdc-посилання) та запускає перевірку коду (uv/ruff/mypy).
-runLintPythonSteps — Виконує внутрішні етапи перевірки Python-коду без збереження логу.
-runLintPython — Публічний інтерфейс для запуску перевірки Python-коду, який гарантує унікальність виконання через блокування та аналіз стану Git-дерева.
-lint — Адаптер, що керує запуском перевірки Python-коду, делегуючи цю роботу `runLintPython`.
+run — Точка входу для виконання правил, яка перевіряє аспекти застосування (JS-занепокложення $\rightarrow$ політика $\rightarrow$ mdc-посилання).
+runLintPythonSteps — Виконує внутрішні етапи перевірки коду Python без збереження результатів.
+runLintPython — Публічний інтерфейс командного рядка для запуску перевірки коду Python, що забезпечує унікальність завдяки блоку блокування та аналізу стану Git-дерева.
+lint — Адаптер, що керує запуском перевірки коду Python, делегуючи це `runLintPython`.
 
 ## Гарантії поведінки
 
 - Read-only: не виконує операцій запису (ФС/БД).
+- Перехоплює помилки і не пропускає винятків назовні (fail-safe).

package/rules/python/main.mjs

@@ -30,6 +30,7 @@ import { resolveCmd } from '../../scripts/utils/resolve-cmd.mjs'
 import { runStandardLint } from '../../scripts/lib/run-standard-lint.mjs'
 import { runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
 import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
+import { getBronzeAndAbove, isSpdxAllowed } from '../../scripts/lib/blue-oak.mjs'
 
 /**
  * Єдиний entrypoint правила (ADR 2026-06-21). `run()` — check-поверхня (applies → JS-concerns
@@ -112,12 +113,54 @@ export function runLintPythonSteps(cwd = process.cwd(), opts = {}) {
     return runTool(label, uv, ['run', '--frozen', tool, ...args], pass, fail)
   }
 
+  /**
+   * Перевірка ліцензій Python-залежностей через pip-licenses + Blue Oak Bronze+.
+   * Opt-in: пропускається якщо pip-licenses не встановлений у uv-середовищі.
+   * @param {string} uvPath абсолютний шлях до uv
+   * @param {string} cwdPath корінь проєкту
+   * @param {(msg: string) => void} passF
+   * @param {(msg: string) => void} failF
+   * @returns {boolean} true якщо OK або пропущено; false якщо порушення
+   */
+  function checkPipLicenses(uvPath, cwdPath, passF, failF) {
+    if (!uvToolAvailable(uvPath, 'pip-licenses')) {
+      passF('lint-python: pip-licenses недоступний у uv-середовищі — перевірку ліцензій пропущено')
+      return true
+    }
+    const r = spawnSync(uvPath, ['run', '--frozen', 'pip-licenses', '--from=mixed', '--format=spdx-json'], {
+      cwd: cwdPath, stdio: ['ignore', 'pipe', 'inherit'], shell: false,
+    })
+    if (r.status !== 0) {
+      failF('lint-python: pip-licenses — помилка виконання')
+      return false
+    }
+    const allowed = getBronzeAndAbove()
+    let doc
+    try { doc = JSON.parse(r.stdout.toString('utf8')) } catch { doc = null }
+    const packages = doc?.packages ?? []
+    const violations = packages.filter(pkg => {
+      const lic = pkg.licenseDeclared ?? pkg.licenseConcluded ?? 'NOASSERTION'
+      return !isSpdxAllowed(lic, allowed)
+    })
+    if (violations.length > 0) {
+      for (const pkg of violations) {
+        const lic = pkg.licenseDeclared ?? pkg.licenseConcluded ?? 'NOASSERTION'
+        process.stdout.write(`  ✗ ${pkg.name}@${pkg.versionInfo ?? '?'}: ${lic}\n`)
+      }
+      failF(`lint-python: pip-licenses — ${violations.length} пакет(ів) поза Blue Oak Bronze+ (python.mdc)`)
+      return false
+    }
+    passF(`lint-python: pip-licenses — ліцензії OK (Blue Oak Bronze+, ${packages.length} пакетів)`)
+    return true
+  }
+
   const ruffCheck = readOnly ? ['check', '.'] : ['check', '--fix', '.']
   const ruffFormat = readOnly ? ['format', '--check', '.'] : ['format', '.']
   if (!runOptionalUvTool('ruff', readOnly ? 'ruff check' : 'ruff check --fix', ruffCheck)) return reporter.getExitCode()
   if (!runOptionalUvTool('ruff', readOnly ? 'ruff format --check' : 'ruff format', ruffFormat))
     return reporter.getExitCode()
   if (!runOptionalUvTool('mypy', 'mypy', ['.'])) return reporter.getExitCode()
+  if (!checkPipLicenses(uv, cwd, pass, fail)) return reporter.getExitCode()
 
   return reporter.getExitCode()
 }

package/rules/rego/main.mdc

@@ -16,3 +16,5 @@ alwaysApply: false
 | `rego.vscode_extensions` | `.vscode/extensions.json` | `recommendations` містить `tsandall.opa` |
 | `rego.vscode_settings` | `.vscode/settings.json` | `[rego]`-блок з `defaultFormatter` + `formatOnSave` |
 
+- [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)