@nitra/cursor 12.11.3 → 12.13.0

package/CHANGELOG.md

@@ -1,5 +1,18 @@
 # Changelog
 
+## [12.13.0] - 2026-06-26
+
+### Changed
+
+- Заміна рекурсивного обходу файлів на використання globby для пошуку файлів
+
+## [12.12.0] - 2026-06-25
+
+### Changed
+
+- Додано автоматичне додавання посилань на template-файли у main.mdc
+- Додано підтримку Blue Oak Bronze+ для перевірки ліцензій у `bun`, `python` та `rust
+
 ## [12.11.3] - 2026-06-25
 
 ### Changed

package/bin/n-cursor.js

@@ -1452,11 +1452,11 @@ async function runSync() {
 
 /**
  * Команди, що мутують проєкт у CWD і вимагають кореня репо. `undefined`/`''` —
- * дефолтний sync; `check` — deprecated-alias `fix`. Решта (read-only `trace`,
+ * дефолтний sync; `check` — deprecated-alias `fix`. Решта (read-only,
  * `--root`-команди `doc-aggregate`/`rename-yaml-extensions`,
  * sub-лінтери) гард не зачіпає.
  */
-const ROOT_GUARDED_COMMANDS = new Set([undefined, '', 'lint', 'change', 'release'])
+const ROOT_GUARDED_COMMANDS = new Set([undefined, '', 'lint', 'release'])
 
 /**
  * Короткий опис дії для тексту root-guard помилки за іменем команди.
@@ -1472,9 +1472,6 @@ function describeRootGuardedAction(cmd) {
     case 'lint': {
       return '`lint` за замовчуванням авто-fix лінтерів (oxfmt/eslint --fix/stylelint --fix) і конформності (--full) у поточному каталозі'
     }
-    case 'change': {
-      return '`change` пише change-файл у .changes/ поточного каталогу'
-    }
     case 'release': {
       return '`release` бампає version і переписує CHANGELOG у поточному каталозі'
     }
@@ -1489,10 +1486,10 @@ const [command, ...args] = process.argv.slice(2)
 
 try {
   // Root-guard до перших мутацій: дефолтний sync скаффолдить .cursor/.claude/CLAUDE.md/
-  // .n-cursor.json + bun install, а lint/change/release переписують файли в CWD —
+  // .n-cursor.json + bun install, а lint/release переписують файли в CWD —
   // усе це ключиться на cwd(). Запуск із піддиректорії git-репо (типово прямий
   // `bun npm/bin/n-cursor.js` не з кореня) зачепив би не той каталог → STOP. Read-only та
-  // `--root`-команди (trace, graph, doc-aggregate, rename-yaml-extensions) не зачіпаємо.
+  // `--root`-команди (doc-aggregate, rename-yaml-extensions) не зачіпаємо.
   if (ROOT_GUARDED_COMMANDS.has(command)) {
     assertCwdIsProjectRoot(cwd(), describeRootGuardedAction(command))
   }
@@ -1558,12 +1555,6 @@ try {
 
       break
     }
-    case 'change': {
-      const { runChangeCli } = await import('../rules/release/change.mjs')
-      process.exitCode = await runChangeCli(args)
-
-      break
-    }
     case 'release': {
       const { runReleaseCli } = await import('../rules/release/release.mjs')
       process.exitCode = await runReleaseCli(args)
@@ -1575,14 +1566,6 @@ try {
 
       break
     }
-    case 'trace': {
-      // n-cursor trace — наскрізна простежуваність (spec §5.4/§7): граф
-      // ADR↔spec↔plan↔change за front-matter + флаг розривів. exit 1 на розрив.
-      const { runTraceCli } = await import('../scripts/dispatcher/trace.mjs')
-      process.exitCode = runTraceCli(args)
-
-      break
-    }
     case 'adr-normalize-local': {
       // Local-backend ADR-нормалізації: викликається з .claude/hooks/normalize-decisions.sh
       // як заміна single-shot LLM-виклику. Проганяє конвеєр (retrieval→edge-judge→
@@ -1601,7 +1584,7 @@ try {
     default: {
       console.error(`❌ Невідома команда: ${command}`)
       console.error(
-        `   Очікується: (без аргументів) синхронізація правил, rename-yaml-extensions, hook, adr-normalize-local, lint (включно зі scope: lint ga|rego|k8s|docker|text), analyze-escalation, taze, start-check, release, skill, trace, doc-aggregate`
+        `   Очікується: (без аргументів) синхронізація правил, rename-yaml-extensions, hook, adr-normalize-local, lint (включно зі scope: lint ga|rego|k8s|docker|text), analyze-escalation, taze, start-check, release, skill, doc-aggregate`
       )
       process.exitCode = 1
     }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "12.11.3",
+  "version": "12.13.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",
@@ -54,6 +54,7 @@
   },
   "dependencies": {
     "@7n/mt": "^0.5.1",
+    "globby": "^16.0.0",
     "oxc-parser": "^0.137.0",
     "picomatch": "^4.0.4",
     "smol-toml": "^1.7.0",

package/rules/bun/docs/index.md

@@ -6,6 +6,6 @@ resource: npm/rules/bun/
 
 # npm/rules/bun
 
-| Файл | Тип |
-|---|---|
+| Файл                | Тип       |
+| ------------------- | --------- |
 | [main.mjs](main.md) | JS Module |

package/rules/bun/docs/main.md

@@ -3,26 +3,25 @@ type: JS Module
 title: main.mjs
 resource: npm/rules/bun/main.mjs
 docgen:
-  crc: a2cfc572
+  crc: 18950415
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
-  score: 90
+  score: 100
 ---
 
 ## Огляд
 
-Модуль виконує перевірку відповідності коду встановленим політикам, використовуючи маркер повідомлень (bun.mdc). Він також аналізує ліцензії залежностей, спираючись на конфігурацію .licensee.json. Модуль надає функції для запуску перевірок (run) та лінтингу (lint).
+Модуль застосовує політики до коду та перевіряє ліцензії залежностей (bun.mdc). Функція `run` застосовує політику до коду, використовуючи кешування у межах прогону для прискорення. Функція `lint` перевіряє ліцензії npm-залежностей, спираючись на конфігурацію в .licensee.json. У режимі `fix` вона створює .licensee.json, а в режимі `readOnly` блокує виконання.
 
 ## Поведінка
 
-run виконує перевірку коду, застосовуючи політики та посилання MDC.
-lint виконує перевірку ліцензій npm-залежностей, якщо існує файл .licensee.json у корені проєкту.
+run виконує перевірку, застосовуючи політику до коду, використовуючи кешування.
+lint виконує перевірку ліцензій npm-залежностей, генеруючи `.licensee.json` у fix-режимі або відмовляючись у readOnly режимі.
 
 ## Публічний API
 
-run — Основний вхідний пункт правила, який виконує перевірку: застосовує логіку, перевіряє відповідність політикам та згадки в (bun.mdc).
-lint — Інструмент для перевірки ліцензій npm-залежностей у всьому репозиторії, що активується через конфігурацію (.licensee.json).
+run — Точка входу правила, що виконує перевірку: застосовує логіку, перевіряє відповідність політиці та посилання на маркери повідомлень (bun.mdc).
+lint — Інструмент для перевірки ліцензій npm-залежностей у всьому репозиторії. У режимі `--full` він працює повноцінно; у режимі виправлення автоматично створює файл .licensee.json, якщо його немає.
 
 ## Гарантії поведінки
 
-- Read-only: не виконує операцій запису (ФС/БД).
 - Кешує результати в межах одного прогону.

package/rules/bun/js/docs/index.md

@@ -6,7 +6,7 @@ resource: npm/rules/bun/js/
 
 # npm/rules/bun/js
 
-| Файл | Тип |
-|---|---|
+| Файл                            | Тип       |
+| ------------------------------- | --------- |
 | [fix-layout.mjs](fix-layout.md) | JS Module |
-| [layout.mjs](layout.md) | JS Module |
+| [layout.mjs](layout.md)         | JS Module |

package/rules/bun/main.json

@@ -1 +1 @@
-{ "auto": { "glob": "package.json" }, "lint": "full" }
+{ "auto": { "glob": ["package.json", ".licensee.json"] }, "lint": "full" }

package/rules/bun/main.mdc

@@ -5,4 +5,6 @@ alwaysApply: false
 version: '2.1'
 ---
 
-Проект використовує тільки Bun для керування залежностями та запуску скриптів.
+Проект використовує тільки Bun для керування залежностями та запуску скриптів.
+- [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+- [bunfig.toml.snippet.toml](./policy/bunfig/template/bunfig.toml.snippet.toml)

package/rules/bun/main.mjs

@@ -1,4 +1,4 @@
-import { existsSync } from 'node:fs'
+import { existsSync, writeFileSync } from 'node:fs'
 import { join } from 'node:path'
 import { spawnSync } from 'node:child_process'
 
@@ -19,20 +19,32 @@ export function run(ctx) {
   return runStandardRule(import.meta.dirname, ctx)
 }
 
+/** Дефолтний allowlist: Blue Oak bronze — дозволяє MIT/Apache/BSD/ISC, блокує GPL/AGPL/LGPL. */
+const DEFAULT_LICENSEE_CONFIG = JSON.stringify({ licenses: { blueOak: 'bronze' }, corrections: true }, null, 2) + '\n'
+
 /**
- * Перевірка ліцензій npm-залежностей через `licensee`. Opt-in: пропускається якщо
- * `.licensee.json` відсутній у cwd (проєкт не налаштував allowlist). `bun x licensee`
- * не потребує локальної установки — bunx завантажує пакет ad-hoc.
+ * Перевірка ліцензій npm-залежностей через `licensee`.
+ * У fix-режимі: якщо `.licensee.json` відсутній — генерує його з дефолтним allowlist
+ * (blueOak: bronze) і запускає перевірку. У readOnly (CI): відсутність файлу → fail.
  * @param {string} [cwd] корінь проєкту
+ * @param {{ readOnly?: boolean }} [opts]
  * @returns {number} 0 — OK, 1 — порушення
  */
-function runLicenseeSteps(cwd = process.cwd()) {
+function runLicenseeSteps(cwd = process.cwd(), opts = {}) {
+  const readOnly = opts.readOnly === true
   const reporter = createCheckReporter()
   const { pass, fail } = reporter
 
-  if (!existsSync(join(cwd, '.licensee.json'))) {
-    pass('lint-bun: licensee — немає .licensee.json, перевірку ліцензій пропущено')
-    return reporter.getExitCode()
+  const configPath = join(cwd, '.licensee.json')
+  if (!existsSync(configPath)) {
+    if (readOnly) {
+      fail(
+        'lint-bun: licensee — немає .licensee.json; запустіть `npx @nitra/cursor fix bun` локально для генерації (bun.mdc)'
+      )
+      return reporter.getExitCode()
+    }
+    writeFileSync(configPath, DEFAULT_LICENSEE_CONFIG, 'utf8')
+    pass('lint-bun: licensee — створено .licensee.json з дефолтним allowlist (blueOak: bronze)')
   }
 
   const bun = resolveCmd('bun')
@@ -53,14 +65,14 @@ function runLicenseeSteps(cwd = process.cwd()) {
 
 /**
  * Оркестраторний адаптер `n-cursor lint bun`: licensee-перевірка ліцензій npm-залежностей.
- * Whole-repo (ігнорує `_files`). Opt-in через `.licensee.json` у cwd.
+ * Whole-repo (ігнорує `_files`). Fix-режим: auto-генерує `.licensee.json` якщо відсутній.
  * @param {string[] | undefined} _files ігнорується
  * @param {string} [cwd] корінь
- * @param {{ readOnly?: boolean }} [_opts] не використовується (licensee завжди read-only)
+ * @param {{ readOnly?: boolean }} [opts] readOnly → не мутує ФС; відсутність конфігу → fail
  * @returns {Promise<number>} exit code
  */
-export function lint(_files, cwd = process.cwd(), _opts = {}) {
-  return runStandardLint(import.meta.dirname, () => runLicenseeSteps(cwd))
+export function lint(_files, cwd = process.cwd(), opts = {}) {
+  return runStandardLint(import.meta.dirname, () => runLicenseeSteps(cwd, opts))
 }
 
 if (isRunAsCli(import.meta.url)) {

package/rules/changelog/js/docs/index.md

@@ -6,7 +6,7 @@ resource: npm/rules/changelog/js/
 
 # npm/rules/changelog/js
 
-| Файл | Тип |
-|---|---|
-| [consistency.mjs](consistency.md) | JS Module |
+| Файл                                      | Тип       |
+| ----------------------------------------- | --------- |
+| [consistency.mjs](consistency.md)         | JS Module |
 | [fix-consistency.mjs](fix-consistency.md) | JS Module |

package/rules/ci4/main.mdc

@@ -372,3 +372,4 @@ Rego-перевірки, що запускаються через `conftest` у
 | --------------------------- | -------------------------------------------------------------------- |
 | `ci4.vscode_extensions`     | `.vscode/extensions.json` містить `arr.marksman` у `recommendations` |
 
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)

package/rules/ga/main.mdc

@@ -5,4 +5,12 @@ globs: ".github/workflows/*.yml"
 alwaysApply: false
 ---
 
-Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.
+Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.
+- [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+- [git-ai.yml.snippet.yml](./policy/git_ai/template/git-ai.yml.snippet.yml)
+- [clean-ga-workflows.yml.snippet.yml](./policy/clean_ga_workflows/template/clean-ga-workflows.yml.snippet.yml)
+- [lint-ga.yml.snippet.yml](./policy/lint_ga/template/lint-ga.yml.snippet.yml)
+- [zizmor.yml.snippet.yml](./policy/zizmor_yml/template/zizmor.yml.snippet.yml)
+- [clean-merged-branch.yml.snippet.yml](./policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+- [uses-min-versions.snippet.json](./policy/workflow_common/template/uses-min-versions.snippet.json)

package/rules/js/js/docs/index.md

@@ -6,10 +6,10 @@ resource: npm/rules/js/js/
 
 # npm/rules/js/js
 
-| Файл | Тип |
-|---|---|
-| [check.mjs](check.md) | JS Module |
-| [dep-policy.mjs](dep-policy.md) | JS Module |
+| Файл                                  | Тип       |
+| ------------------------------------- | --------- |
+| [check.mjs](check.md)                 | JS Module |
+| [dep-policy.mjs](dep-policy.md)       | JS Module |
 | [lint-findings.mjs](lint-findings.md) | JS Module |
-| [tooling.mjs](tooling.md) | JS Module |
+| [tooling.mjs](tooling.md)             | JS Module |
 | [utils_imports.mjs](utils_imports.md) | JS Module |

package/rules/js/main.mdc

@@ -11,3 +11,7 @@ version: '1.30'
 
 Rego-пакети у `policy/` — запускаються `npx @nitra/cursor fix js` або `conftest`:
 
+- [lint-js.yml.snippet.yml](./policy/lint_js_yml/template/lint-js.yml.snippet.yml)
+- [.jscpd.json.snippet.json](./policy/jscpd/template/.jscpd.json.snippet.json)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+- [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)

package/rules/js-run/js/docs/index.md

@@ -6,7 +6,7 @@ resource: npm/rules/js-run/js/
 
 # npm/rules/js-run/js
 
-| Файл | Тип |
-|---|---|
+| Файл                              | Тип       |
+| --------------------------------- | --------- |
 | [fix-runtime.mjs](fix-runtime.md) | JS Module |
-| [runtime.mjs](runtime.md) | JS Module |
+| [runtime.mjs](runtime.md)         | JS Module |

package/rules/js-run/main.mdc

@@ -11,3 +11,6 @@ version: '1.12'
 
 Rego-пакети, які запускає `npx @nitra/cursor fix js-run` / `npx @nitra/cursor check`:
 
+- [jsconfig.json.snippet.json](./policy/jsconfig/template/jsconfig.json.snippet.json)
+- [configmap.yaml.contains.yml](./policy/configmap/template/configmap.yaml.contains.yml)
+- [package.json.deny.json](./policy/package_json/template/package.json.deny.json)

package/rules/npm-module/main.mdc

@@ -18,3 +18,7 @@ Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.g
 Rego-пакети (запускаються через `npx @nitra/cursor fix`):
 
 - `npm_module.npm_publish_yml` — template-driven перевірка `.github/workflows/npm-publish.yml` (deep-subset: усі обовʼязкові поля й кроки з канонічного сніпету).
+- [package.json.snippet.json](./policy/npm_package_json/template/package.json.snippet.json)
+- [npm-publish.yml.snippet.yml](./policy/npm_publish_yml/template/npm-publish.yml.snippet.yml)
+- [package.json.snippet.json](./policy/root_package_json/template/package.json.snippet.json)
+- [tsconfig.emit-types.json.snippet.json](./policy/emit_types_config/template/tsconfig.emit-types.json.snippet.json)

package/rules/python/docs/index.md

@@ -6,6 +6,6 @@ resource: npm/rules/python/
 
 # npm/rules/python
 
-| Файл | Тип |
-|---|---|
+| Файл                | Тип       |
+| ------------------- | --------- |
 | [main.mjs](main.md) | JS Module |

package/rules/python/docs/main.md

@@ -3,29 +3,30 @@ type: JS Module
 title: main.mjs
 resource: npm/rules/python/main.mjs
 docgen:
-  crc: 7021a379
+  crc: b072766d
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 90
 ---
 
 ## Огляд
 
-Запускає `lint-python` за правилом `python.mdc` на базі [uv](https://docs.astral.sh/uv/). Якщо `pyproject.toml` відсутній у корені, вихід дорівнює 0 без запуску інструментів. Якщо `pyproject.toml` присутній, але `uv` не знайдено в PATH, це помилка (використовується лише `uv`, без Poetry). Обов'язково виконує `uv lock --check` для перевірки актуальності lock-файлу та `uv sync --frozen` для збірки середовища. Опціональні лінтери (`ruff`, `mypy`) запускаються лише якщо доступні через `uv run`. `ruff` виконується в режимі автоматичного виправлення (`ruff check --fix .`, `ruff format .`) та перевірки коду (`mypy .`). Це відповідає канону патерну `lint-*` (серіалізація через `runStandardLint`, без прямого `withLock`).
+Виконує послідовність кроків для валідації коду Python відповідно до правил, визначених у (python.mdc). Перед запуском інструментів перевіряє наявність `pyproject.toml` у корені; якщо він відсутній, завершує роботу з кодом 0. Якщо файл присутній, перевіряє наявність `uv` у PATH, оскільки він є єдиним пакет-менеджером. Обов'язково виконує `uv lock --check` для підтвердження актуальності lock-файлу та `uv sync --frozen` для синхронізації середовища з `uv.lock` (див. https://docs.astral.sh/uv/). Опційні лінтери запускаються лише за умови їх доступності через `uv run`. При використанні `ruff` застосовується автоматичне виправлення (`auto-fix`), що модифікує робоче дерево. Усі операції виконуються з механізмом перехоплення помилок (fail-safe), запобігаючи викиданню винятків назовні.
 
 ## Поведінка
 
-run виконує стандартну перевірку для правила.
-runLintPythonSteps виконує послідовність кроків лінтування Python, включаючи перевірку `pyproject.toml`, виконання `uv lock --check` та `uv sync --frozen`, а також запуск опціональних лінтерів (`ruff`, `mypy`, `liccheck`) через `uv run` за умови їх доступності.
-runLintPython запускає послідовність кроків лінтування Python, використовуючи механізм стандартного лінтування.
-lint оркеструє запуск `runLintPython` для виконання лінтування Python.
+run виконує стандартну перевірку на основі контексту.
+runLintPythonSteps виконує повний цикл лінтування Python, включаючи перевірку `uv lock --check`, `uv sync --frozen` та запуск лінтерів, якщо `pyproject.toml` присутній.
+runLintPython запускає кроки лінтування Python, використовуючи механізм серіалізації через `runStandardLint`.
+lint оркеструє запуск `runLintPython` з опцією `readOnly` для детектних перевірок.
 
 ## Публічний API
 
-run — Основна точка входу для виконання правил, яка перевіряє аспекти застосування (JS-занепокложення $\rightarrow$ політика $\rightarrow$ mdc-посилання) та виконує лінтинг.
-runLintPythonSteps — Виконує внутрішні етапи лінтингу Python без збереження логів.
-runLintPython — Публічний інтерфейс командного рядка для запуску лінтингу Python, який синхронізується з станом Git-дерева.
-lint — Координатор, що викликає публічний інтерфейс для лінтингу Python.
+run — Точка входу для виконання правил, яка перевіряє аспекти застосування (JS-занепокложення $\rightarrow$ політика $\rightarrow$ mdc-посилання).
+runLintPythonSteps — Виконує внутрішні етапи перевірки коду Python без збереження результатів.
+runLintPython — Публічний інтерфейс командного рядка для запуску перевірки коду Python, що забезпечує унікальність завдяки блоку блокування та аналізу стану Git-дерева.
+lint — Адаптер, що керує запуском перевірки коду Python, делегуючи це `runLintPython`.
 
 ## Гарантії поведінки
 
 - Read-only: не виконує операцій запису (ФС/БД).
+- Перехоплює помилки і не пропускає винятків назовні (fail-safe).

package/rules/python/main.mjs

@@ -30,6 +30,7 @@ import { resolveCmd } from '../../scripts/utils/resolve-cmd.mjs'
 import { runStandardLint } from '../../scripts/lib/run-standard-lint.mjs'
 import { runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
 import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
+import { getBronzeAndAbove, isSpdxAllowed } from '../../scripts/lib/blue-oak.mjs'
 
 /**
  * Єдиний entrypoint правила (ADR 2026-06-21). `run()` — check-поверхня (applies → JS-concerns
@@ -112,13 +113,60 @@ export function runLintPythonSteps(cwd = process.cwd(), opts = {}) {
     return runTool(label, uv, ['run', '--frozen', tool, ...args], pass, fail)
   }
 
+  /**
+   * Перевірка ліцензій Python-залежностей через pip-licenses + Blue Oak Bronze+.
+   * Opt-in: пропускається якщо pip-licenses не встановлений у uv-середовищі.
+   * @param {string} uvPath абсолютний шлях до uv
+   * @param {string} cwdPath корінь проєкту
+   * @param {(msg: string) => void} passF
+   * @param {(msg: string) => void} failF
+   * @returns {boolean} true якщо OK або пропущено; false якщо порушення
+   */
+  function checkPipLicenses(uvPath, cwdPath, passF, failF) {
+    if (!uvToolAvailable(uvPath, 'pip-licenses')) {
+      passF('lint-python: pip-licenses недоступний у uv-середовищі — перевірку ліцензій пропущено')
+      return true
+    }
+    const r = spawnSync(uvPath, ['run', '--frozen', 'pip-licenses', '--from=mixed', '--format=spdx-json'], {
+      cwd: cwdPath,
+      stdio: ['ignore', 'pipe', 'inherit'],
+      shell: false
+    })
+    if (r.status !== 0) {
+      failF('lint-python: pip-licenses — помилка виконання')
+      return false
+    }
+    const allowed = getBronzeAndAbove()
+    let doc
+    try {
+      doc = JSON.parse(r.stdout.toString('utf8'))
+    } catch {
+      doc = null
+    }
+    const packages = doc?.packages ?? []
+    const violations = packages.filter(pkg => {
+      const lic = pkg.licenseDeclared ?? pkg.licenseConcluded ?? 'NOASSERTION'
+      return !isSpdxAllowed(lic, allowed)
+    })
+    if (violations.length > 0) {
+      for (const pkg of violations) {
+        const lic = pkg.licenseDeclared ?? pkg.licenseConcluded ?? 'NOASSERTION'
+        process.stdout.write(`  ✗ ${pkg.name}@${pkg.versionInfo ?? '?'}: ${lic}\n`)
+      }
+      failF(`lint-python: pip-licenses — ${violations.length} пакет(ів) поза Blue Oak Bronze+ (python.mdc)`)
+      return false
+    }
+    passF(`lint-python: pip-licenses — ліцензії OK (Blue Oak Bronze+, ${packages.length} пакетів)`)
+    return true
+  }
+
   const ruffCheck = readOnly ? ['check', '.'] : ['check', '--fix', '.']
   const ruffFormat = readOnly ? ['format', '--check', '.'] : ['format', '.']
   if (!runOptionalUvTool('ruff', readOnly ? 'ruff check' : 'ruff check --fix', ruffCheck)) return reporter.getExitCode()
   if (!runOptionalUvTool('ruff', readOnly ? 'ruff format --check' : 'ruff format', ruffFormat))
     return reporter.getExitCode()
   if (!runOptionalUvTool('mypy', 'mypy', ['.'])) return reporter.getExitCode()
-  if (!runOptionalUvTool('liccheck', 'liccheck', [])) return reporter.getExitCode()
+  if (!checkPipLicenses(uv, cwd, pass, fail)) return reporter.getExitCode()
 
   return reporter.getExitCode()
 }

package/rules/rego/main.mdc

@@ -16,3 +16,5 @@ alwaysApply: false
 | `rego.vscode_extensions` | `.vscode/extensions.json` | `recommendations` містить `tsandall.opa` |
 | `rego.vscode_settings` | `.vscode/settings.json` | `[rego]`-блок з `defaultFormatter` + `formatOnSave` |
 
+- [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)

package/rules/rust/docs/index.md

@@ -6,6 +6,6 @@ resource: npm/rules/rust/
 
 # npm/rules/rust
 
-| Файл | Тип |
-|---|---|
+| Файл                | Тип       |
+| ------------------- | --------- |
 | [main.mjs](main.md) | JS Module |

package/rules/rust/docs/main.md

@@ -3,25 +3,26 @@ type: JS Module
 title: main.mjs
 resource: npm/rules/rust/main.mjs
 docgen:
-  crc: cbe9e650
+  crc: bbddef51
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
 ## Огляд
 
-Модуль забезпечує виконання перевірки коду Rust на відповідність встановленим правилам. Він також надає функціонал для запуску повного процесу лінтингу, що включає форматування та аналіз коду.
+Модуль надає інструменти для забезпечення якості коду на Rust. Він дозволяє виконати перевірку стилю за допомогою функції `lint` або запустити повну оркестрацію, що включає форматування та аналіз, за допомогою функції `run`. (rust.mdc)
 
 ## Поведінка
 
-run виконує перевірку коду Rust, застосовуючи політику, визначену в документації.
-lint запускає повний процес лінтингу Rust, включаючи форматування та аналіз, і повертає код виходу.
+run виконує стандартну перевірку для Rust-коду.
+
+lint запускає оркестрацію перевірки Rust-коду, включаючи форматування та аналіз.
 
 ## Публічний API
 
-run — точка входу для виконання правила, що перевіряє логіку, пов'язану з JS-зацікавленостями, політикою та посиланнями MDC.
-lint — точка входу для запуску лінтера Rust-коду.
+run — виконує основну перевірку, що включає перевірку логіки, пов'язаної з JS, політики та посиланнями MDC (rust.mdc).
+lint — забезпечує фіксацію та виконання перевірок стилю коду (аналогічно cargo fmt/clippy) для `n-cursor lint rust`.
 
 ## Гарантії поведінки
 
-- Read-only: не виконує операцій запису (ФС/БД).
+- (специфічних машинно-виведених гарантій немає)

package/rules/rust/main.json

@@ -1 +1 @@
-{ "auto": { "glob": "**/Cargo.toml" }, "lint": "full" }
+{ "auto": { "glob": ["**/Cargo.toml", "deny.toml"] }, "lint": "full" }

package/rules/rust/main.mjs

@@ -1,6 +1,6 @@
 /** @see ./docs/lint.md */
 import { spawnSync } from 'node:child_process'
-import { existsSync } from 'node:fs'
+import { existsSync, writeFileSync } from 'node:fs'
 import { join } from 'node:path'
 
 import { createCheckReporter } from '../../scripts/lib/check-reporter.mjs'
@@ -8,6 +8,7 @@ import { runStandardLint } from '../../scripts/lib/run-standard-lint.mjs'
 import { resolveCmd } from '../../scripts/utils/resolve-cmd.mjs'
 import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
 import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
+import { generateDenyTomlLicenses } from '../../scripts/lib/blue-oak.mjs'
 
 /**
  * Єдиний entrypoint правила (ADR 2026-06-21). `run()` — check-поверхня (applies → JS-concerns
@@ -83,8 +84,20 @@ function runRustLint(cwd = process.cwd(), opts = {}) {
     fail
   )
 
-  // cargo deny check licenses (opt-in): потрібен deny.toml + cargo-deny у PATH
-  if (existsSync(join(cwd, 'deny.toml'))) {
+  // cargo deny check licenses: fix-режим — auto-генерує deny.toml якщо відсутній;
+  // readOnly (CI) — відсутність файлу → fail.
+  const denyConfigPath = join(cwd, 'deny.toml')
+  if (!existsSync(denyConfigPath)) {
+    if (readOnly) {
+      fail(
+        'lint-rust: cargo deny — немає deny.toml; запустіть `npx @nitra/cursor fix rust` локально для генерації (rust.mdc)'
+      )
+    } else {
+      writeFileSync(denyConfigPath, generateDenyTomlLicenses(), 'utf8')
+      pass('lint-rust: cargo deny — створено deny.toml з дефолтним allowlist')
+    }
+  }
+  if (existsSync(denyConfigPath)) {
     const hasDeny = spawnSync(cargo, ['deny', '--version'], { stdio: 'ignore', shell: false }).status === 0
     if (hasDeny) {
       runCargo('cargo deny check licenses', cargo, ['deny', 'check', 'licenses'], pass, fail)

package/rules/security/main.mdc

@@ -9,3 +9,5 @@ version: '2.1'
 ## Перевірка
 
 `npx @nitra/cursor fix security`
+- [lint-security.yml.snippet.yml](./policy/lint_security_yml/template/lint-security.yml.snippet.yml)
+- [package.json.deny.json](./policy/package_json/template/package.json.deny.json)

package/rules/style/js/docs/index.md

@@ -6,7 +6,7 @@ resource: npm/rules/style/js/
 
 # npm/rules/style/js
 
-| Файл | Тип |
-|---|---|
+| Файл                              | Тип       |
+| --------------------------------- | --------- |
 | [fix-tooling.mjs](fix-tooling.md) | JS Module |
-| [tooling.mjs](tooling.md) | JS Module |
+| [tooling.mjs](tooling.md)         | JS Module |

package/rules/style/main.mdc

@@ -5,4 +5,8 @@ globs: "**/*.{css,scss,vue}"
 alwaysApply: false
 ---
 
-Правило **style** для Vue-проєктів: Quasar як стильова система, SCSS-конвенції кольорів і відступів, фікси компонентів, stylelint через `@nitra/stylelint-config`.
+Правило **style** для Vue-проєктів: Quasar як стильова система, SCSS-конвенції кольорів і відступів, фікси компонентів, stylelint через `@nitra/stylelint-config`.
+- [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+- [lint-style.yml.snippet.yml](./policy/lint_style_yml/template/lint-style.yml.snippet.yml)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+- [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)

package/rules/test/main.mdc

@@ -19,4 +19,5 @@ alwaysApply: false
 
 ### Multi-workspace iteration
 
-У monorepo `n-cursor coverage` ітерує усі workspaces з власним `package.json` і агрегує метрики lcov + Stryker у єдиний `JS`-рядок `COVERAGE.md`. Workspace без тестів пропускається без помилки.
+У monorepo `n-cursor coverage` ітерує усі workspaces з власним `package.json` і агрегує метрики lcov + Stryker у єдиний `JS`-рядок `COVERAGE.md`. Workspace без тестів пропускається без помилки.
+- [package.json.contains.json](./policy/package_json/template/package.json.contains.json)

package/rules/text/main.mdc

@@ -10,3 +10,12 @@ version: '1.30'
 
 Rego-пакети, що перевіряються через conftest (auto-discovered за `target.json` поряд із `.rego`):
 
+- [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+- [.oxfmtrc.json.snippet.json](./policy/oxfmtrc/template/.oxfmtrc.json.snippet.json)
+- [.markdownlint-cli2.jsonc.snippet.jsonc](./policy/markdownlint/template/.markdownlint-cli2.jsonc.snippet.jsonc)
+- [.cspell.json.snippet.json](./policy/cspell/template/.cspell.json.snippet.json)
+- [.cspell.json.deny.json](./policy/cspell/template/.cspell.json.deny.json)
+- [.cspell.json.contains.json](./policy/cspell/template/.cspell.json.contains.json)
+- [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+- [lint-text.yml.snippet.yml](./policy/lint_text/template/lint-text.yml.snippet.yml)
+- [package.json.deny.json](./policy/package_json/template/package.json.deny.json)