@nitra/cursor 12.6.1 → 12.7.0

package/rules/rego/lint/docs/lint.md

@@ -1,208 +0,0 @@
----
-type: JS Module
-title: lint.mjs
-resource: npm/rules/rego/lint/lint.mjs
-docgen:
-  crc: 1059537a
----
-
-Модуль реалізує лінт-крок для Rego-полісі пакета `@nitra/cursor`, який живуть у каталозі
-`npm/rules/<id>/policy/<concern>/`. Він послідовно запускає три інструменти й повертає код
-виходу першого, що впав:
-
-1. `opa check --strict` — компіляція Rego з типами та строгим режимом (ловить мертвий код,
-   неоднозначні правила, незадекларовані змінні).
-2. `regal lint` — статичний лінтер стилю/ідіоматичності Rego (v0-синтаксис, неявні set-rules,
-   відхилення від `rego.v1`, плюс правила категорій bugs/idiomatic/performance — див.
-   `https://docs.styra.com/regal`).
-3. `conftest verify` — опційно: виконує `test_*` правила у `*_test.rego` (юніт-тести
-   полісі). Якщо `conftest` відсутній у `PATH`, крок пропускається без помилки (з
-   повідомленням, як його встановити).
-
-Бінарники `opa` й `regal` резолвляться через `ensureTool` (`PATH` → локальний кеш → автоматичне
-встановлення через `brew`/`scoop`/GitHub Release → hard-fail). `conftest` шукається лише в
-`PATH` через `resolveCmd` без авто-install.
-
-Канон патерну `lint-*` (серіалізація через `runStandardLint`, без прямого `withLock`) описаний
-у `.cursor/rules/scripts.mdc`, секція «Серіалізація важких CLI-команд». Публічна CLI-форма
-обгорнута в `withLock('lint-rego')` з дедуплікацією за станом git-дерева.
-
-Файл одночасно є ESM-модулем (експортує функції) і CLI-точкою входу: якщо запущений напряму
-(`isRunAsCli`), виконує `await runLintRego()` і виставляє `process.exitCode`.
-
-## Експорти / API
-
-Модуль експортує два символи:
-
-| Експорт            | Тип                          | Призначення                                                                                                                                             |
-| ------------------ | ---------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------- |
-| `runLintRegoSteps` | named function               | Внутрішня форма без локу: запускає три кроки в заданому `cwd`. Призначена для тестів у тимчасових каталогах, де потрібен fresh-прогон без дедуплікації. |
-| `runLintRego`      | named const (arrow function) | Публічна CLI-форма: серіалізує виконання через `withLock('lint-rego')` + дедуп за станом git-дерева (через `runStandardLint`).                          |
-
-Також модуль має side-effect при прямому запуску: якщо `isRunAsCli(import.meta.url)` повертає
-`true`, виконується `await runLintRego()` із записом результату в `process.exitCode`.
-
-## Функції
-
-### `runStep(bin, args, cwd)`
-
-Внутрішня (не експортована) допоміжна функція. Запускає процес із успадкованим `stdio`, щоб
-вивід виглядав як прямий виклик у shell, і пре-логує команду користувачу.
-
-- **Сигнатура:** `runStep(bin: string, args: string[], cwd: string) => number`
-- **Параметри:**
-  - `bin` — абсолютний шлях до бінарника (`opa`, `regal`, `conftest`).
-  - `args` — масив аргументів командного рядка.
-  - `cwd` — робочий каталог для дочірнього процесу.
-- **Повертає:** код виходу (`0` — OK). Якщо `spawnSync` не зміг запустити бінарник
-  (`result.error`), повертає `1`.
-- **Side effects:**
-  - Друкує рядок `▶ <bin> <args...>` у `stdout` (логування команди).
-  - У випадку помилки запуску пише `❌ Не вдалося запустити <bin>: <message>\n` у `stderr`.
-  - Породжує дочірній процес через `spawnSync` з `stdio: 'inherit'` і `env: process.env`
-    (наслідування поточного середовища).
-
-### `runLintRegoSteps(cwd?)`
-
-Експортована функція, що виконує послідовність кроків лінту без локу.
-
-- **Сигнатура:** `runLintRegoSteps(cwd?: string) => number`
-- **Параметри:**
-  - `cwd` — робочий каталог (за замовчуванням `process.cwd()`).
-- **Повертає:** число — код виходу.
-  - `0` — усі кроки OK або жодної цілі не знайдено (skip).
-  - Ненульове — код виходу першого кроку, що впав (раннє повернення).
-- **Алгоритм:**
-  1. Резолвить `root = resolve(cwd)`.
-  2. `opa = ensureTool('opa')` — гарантує наявність `opa` (інакше `ensureTool` hard-fail).
-  3. `regal = ensureTool('regal')` — те саме для `regal`.
-  4. Фільтрує `LINT_TARGETS` за наявністю на диску (через `existsSync`). Якщо порожньо —
-     повертає `0` (skip).
-  5. `runStep(opa, ['check', '--strict', ...targets], root)` — якщо `!== 0`, повертає цей код.
-  6. `runStep(regal, ['lint', ...targets], root)` — якщо `!== 0`, повертає цей код.
-  7. `conftest = resolveCmd('conftest')` — якщо `null`, друкує інформативне повідомлення про
-     пропуск кроку й рекомендацію зі встановлення, повертає `0`.
-  8. Інакше `runStep(conftest, ['verify', ...targets.flatMap(t => ['-p', t])], root)` —
-     повертає його код виходу.
-- **Side effects:** виконує `ensureTool` (може встановити бінарник або hard-fail), породжує
-  дочірні процеси з успадкованим `stdio`, пише в `stdout`/`stderr`.
-
-### `runLintRego()`
-
-Експортована публічна CLI-форма (arrow-const).
-
-- **Сигнатура:** `runLintRego() => Promise<number>`
-- **Параметри:** немає.
-- **Повертає:** `Promise<number>` — код виходу.
-- **Поведінка:** делегує в `runStandardLint(import.meta.dirname, () => runLintRegoSteps())`.
-  `runStandardLint` забезпечує:
-  - Серіалізацію через `withLock('lint-rego')` (іменем серіалізатора виступає назва каталогу
-    `lint`, отримана з `import.meta.dirname` — конвенція `runStandardLint`).
-  - Дедуплікацію проти попереднього прогону за станом git-дерева.
-- **Side effects:** через делегування — ті самі, що в `runLintRegoSteps`, плюс файлові
-  side-effects лок-файлу й кешу станів від `runStandardLint`.
-
-### CLI-вхід (на верхньому рівні модуля)
-
-```js
-if (isRunAsCli(import.meta.url)) {
-  process.exitCode = await runLintRego()
-}
-```
-
-- Виконується лише при прямому запуску модуля як скрипта (а не при імпорті).
-- Очікує проміс `runLintRego()` і записує отриманий код у `process.exitCode` (не викликає
-  `process.exit` явно, щоб лог-флаш не обрізався).
-
-## Залежності
-
-### Стандартна бібліотека Node.js
-
-- `node:child_process` → `spawnSync` — синхронний запуск дочірніх процесів із `stdio: 'inherit'`.
-- `node:fs` → `existsSync` — перевірка наявності каталогів-цілей.
-- `node:path` → `resolve` — нормалізація абсолютних шляхів.
-
-### Внутрішні модулі (відносні шляхи від `npm/rules/rego/lint/lint.mjs`)
-
-- `../../../scripts/cli-entry.mjs` → `isRunAsCli` — детектор «запущений напряму як CLI».
-- `../../../scripts/lib/ensure-tool.mjs` → `ensureTool` — резолв бінарників (`PATH` → кеш →
-  авто-install brew/scoop/GitHub Release → hard-fail).
-- `../../../scripts/utils/resolve-cmd.mjs` → `resolveCmd` — м'який пошук команди в `PATH`
-  (повертає шлях або `null`, без авто-install і без hard-fail).
-- `../../../scripts/lib/run-standard-lint.mjs` → `runStandardLint` — обгортка з локом і
-  дедуплікацією для лінт-кроків.
-
-### Зовнішні бінарники (системні)
-
-- `opa` — обов'язковий, авто-install через `ensureTool` (Open Policy Agent CLI).
-- `regal` — обов'язковий, авто-install через `ensureTool` (Styra Regal lint CLI).
-- `conftest` — опційний, лише з `PATH` (без авто-install). За відсутності — `verify`
-  пропускається.
-
-### Константи модуля
-
-- `LINT_TARGETS = ['npm/rules']` — список відносних шляхів-цілей, що передаються в усі три
-  інструменти. Перед запуском фільтрується за `existsSync`.
-
-## Потік виконання / Використання
-
-### Як модуль (програмний імпорт)
-
-```js
-import { runLintRego, runLintRegoSteps } from './npm/rules/rego/lint/lint.mjs'
-
-// CLI-форма (з локом і дедуплікацією) — рекомендована для оркестрації
-const code = await runLintRego()
-
-// Внутрішня форма (без локу) — для тестів у тимчасових каталогах
-const codeFresh = runLintRegoSteps('/tmp/fixture-cwd')
-```
-
-### Як CLI (прямий запуск)
-
-```sh
-node npm/rules/rego/lint/lint.mjs
-```
-
-При прямому запуску модуль викликає `runLintRego()` і виставляє `process.exitCode` відповідно
-до результату. Це дозволяє оркестратору лінту (наприклад, кореневому `bun run lint`)
-підхопити цей файл як один із кроків і отримати правильний код виходу процесу.
-
-### Логічний потік (один прогон `runLintRegoSteps`)
-
-1. Резолв `cwd → root`.
-2. `ensureTool('opa')` — повертає шлях до бінарника або hard-fail (з повідомленням
-   `ensureTool`).
-3. `ensureTool('regal')` — те саме.
-4. Перевірка цілей: `LINT_TARGETS.filter(existsSync)`. Порожньо → `return 0` (skip).
-5. `opa check --strict <targets...>` → `runStep`. `!== 0` → early-return з цим кодом.
-6. `regal lint <targets...>` → `runStep`. `!== 0` → early-return з цим кодом.
-7. `resolveCmd('conftest')`:
-   - `null` → інформативний `console.log` із рекомендацією встановлення, `return 0`.
-   - інакше → `conftest verify -p <t1> -p <t2> ...` через `runStep`; повертається його код.
-8. Повернутий код піднімається до `runLintRego` → у `runStandardLint` → у `process.exitCode`
-   (для CLI-режиму).
-
-### Семантика помилок і пропусків
-
-- **Усі цілі відсутні** → skip із кодом `0` (немає чого лінтити на ранніх стадіях/у мінімальних
-  фікстурах).
-- **`opa`/`regal` відсутні** → hard-fail усередині `ensureTool` (без авто-install або з
-  невдалим авто-install).
-- **`opa check` або `regal lint` повернули `!== 0`** → раннє повернення з цим кодом; наступні
-  кроки не виконуються.
-- **`conftest` відсутній у `PATH`** → лог-нотатка про пропуск, фінальний код `0` (вважається
-  не помилкою — юніт-тести полісі опційні в локальному середовищі; у CI рекомендовано
-  встановлювати `conftest`).
-- **`spawnSync` не зміг запустити бінарник** (`result.error`) → лог `❌ Не вдалося запустити
-...` у `stderr`, `runStep` повертає `1`.
-
-### Контекст у проєкті
-
-- Цілі лінту — каталог `npm/rules` пакета `@nitra/cursor`, де живуть Rego-полісі у
-  `npm/rules/<id>/policy/<concern>/`. Усі три інструменти приймають один шлях і рекурсивно
-  знаходять `.rego`, ігноруючи інші розширення (наприклад, `target.json` чи template-фіх).
-- `opa` додатково потрібен VS Code-розширенню `tsandall.opa` (LSP, format-on-save через
-  `opa fmt`) — деталі в `mdc/rego.mdc`.
-- Канон патерну `lint-*` із серіалізацією через `runStandardLint` (а не прямий `withLock`) —
-  див. `.cursor/rules/scripts.mdc`, секція «Серіалізація важких CLI-команд».

package/rules/rust/fix.mjs

@@ -1,18 +0,0 @@
-import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
-import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
-
-/**
- * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
- * Library mode: викликається CLI orchestration через `import + run(ctx)`.
- * @param {import('../../scripts/lib/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
- * @returns {Promise<number>} 0 — OK, 1 — порушення
- */
-export function run(ctx) {
-  return runStandardRule(import.meta.dirname, ctx)
-}
-
-if (isRunAsCli(import.meta.url)) {
-  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
-  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
-  process.exitCode = await runRuleCli(import.meta.dirname)
-}

package/rules/rust/js/docs/lint.md

@@ -1,21 +0,0 @@
----
-type: JS Module
-title: lint.mjs
-resource: npm/rules/rust/js/lint.mjs
-docgen:
-  crc: 5d7c4123
-  score: 100
----
-
-Оркестраторний адаптер правила `rust` для `n-cursor lint`: rustfmt + clippy через `cargo`. Запускається на `n-cursor lint rust`. За відсутності `Cargo.toml` у корені — no-op (вихід 0). `cargo`/`rustfmt`/`clippy` резолвляться з PATH (Rust toolchain через rustup), не з npm-залежностей; якщо `cargo` відсутній за наявного `Cargo.toml` — помилка.
-
-## Поведінка
-
-1. `readOnly` (CI): `cargo fmt --all -- --check` + `cargo clippy --all-targets --all-features -- -D warnings` — детект без мутацій.
-2. fix-режим: `cargo fmt --all` + `cargo clippy --fix` + фінальний `cargo clippy … -D warnings`.
-3. Перший ненульовий cargo-крок спиняє ланцюг і повертає його код.
-
-## Гарантії поведінки
-
-- Read-only за наявності `readOnly`: cargo не мутує робоче дерево (`--check`, без `--fix`).
-- Не звертається до мережі напряму (cargo-кроки можуть тягнути crates, але це поведінка тулчейну).

package/rules/security/fix.mjs

@@ -1,18 +0,0 @@
-import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
-import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
-
-/**
- * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
- * Library mode: викликається CLI orchestration через `import + run(ctx)`.
- * @param {import('../../scripts/lib/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
- * @returns {Promise<number>} 0 — OK, 1 — порушення
- */
-export function run(ctx) {
-  return runStandardRule(import.meta.dirname, ctx)
-}
-
-if (isRunAsCli(import.meta.url)) {
-  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
-  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
-  process.exitCode = await runRuleCli(import.meta.dirname)
-}

package/rules/security/js/docs/lint.md

@@ -1,175 +0,0 @@
----
-type: JS Module
-title: lint.mjs
-resource: npm/rules/security/js/lint.mjs
-docgen:
-  crc: f3265f82
----
-
-Файл `npm/rules/security/js/lint.mjs` реалізує CI-крок правила **security** для пошуку секретів у репозиторії. Це обгортка над зовнішнім інструментом [TruffleHog](https://github.com/trufflesecurity/trufflehog), яка запускає сканування всього робочого дерева (`filesystem` mode) і повертає його exit-код як результат лінтингу.
-
-Особливості:
-
-- **Repo-wide, а не per-file.** Модуль свідомо ігнорує перший аргумент `_files` — TruffleHog у режимі `filesystem` обробляє кореневу теку цілком і завжди сканує однаковий набір шляхів, незалежно від того, які саме файли передає рушій правил. Тому пер-файлового різновиду немає; результат однаковий для будь-якого підмножина файлів.
-- **Один прохід на сесію.** Сканер виконується синхронно через `spawnSync`, що відповідає правилу «без паралельних лінт-запусків» у монорепо.
-- **Контрактний інтерфейс.** Експорт `lint(files, cwd)` сумісний із загальним контрактом per-rule lint-функцій (`(files?, cwd?) => Promise<number>`), що дозволяє інтегрувати security-правило в загальний раннер однаково з іншими.
-
-Файл не має побічних ефектів на момент імпорту: запуск зовнішнього процесу відбувається лише при виклику `lint()`.
-
-## Експорти / API
-
-| Експорт | Тип                       | Призначення                                                                                             |
-| ------- | ------------------------- | ------------------------------------------------------------------------------------------------------- |
-| `lint`  | `function` (named export) | Запускає TruffleHog filesystem-скан із кореня `cwd` і повертає `Promise<number>` із exit-кодом процесу. |
-
-Default-експорту немає. Імпорт відбувається у вигляді:
-
-```js
-import { lint } from './lint.mjs'
-```
-
-## Функції
-
-### `lint(_files, cwd?)`
-
-**Сигнатура:**
-
-```js
-export function lint(_files, cwd = process.cwd()) => Promise<number>
-```
-
-**Параметри:**
-
-| Параметр | Тип                     | Обовʼязковий | За замовчанням  | Опис                                                                                                                                                             |
-| -------- | ----------------------- | ------------ | --------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- |
-| `_files` | `string[] \| undefined` | ні           | —               | Список файлів від рушія правил. **Ігнорується**: TruffleHog у `filesystem`-режимі сканує дерево цілком. Префікс `_` у JSDoc сигналізує про навмисне ігнорування. |
-| `cwd`    | `string`                | ні           | `process.cwd()` | Робоча тека, у якій запускається TruffleHog. Сканування `.` виконуватиметься відносно неї.                                                                       |
-
-**Повертає:**
-
-`Promise<number>` — exit-код процесу TruffleHog:
-
-- `0` — секретів не знайдено (успіх).
-- Будь-яке інше число — або знайдено секрети, що відповідають критеріям `--results=verified,unknown` (через флаг `--fail`), або TruffleHog не зміг запуститись/упав.
-- `1` — fallback, який повертається, якщо `r.status` не є числом (наприклад, процес було вбито сигналом і `status === null`).
-
-**Side effects:**
-
-1. Запускає синхронний дочірній процес `trufflehog` через `node:child_process#spawnSync`.
-2. `stdio: 'inherit'` — stdout/stderr/stdin успадковуються з батьківського процесу; вивід TruffleHog потрапляє безпосередньо в консоль CI-runner.
-3. Блокує event loop до завершення процесу (`spawnSync` синхронний; результат лише обгортається у `Promise.resolve`).
-4. Не записує файли, не модифікує env, не змінює стан модуля.
-
-**Внутрішня механіка:**
-
-Викликається TruffleHog із набором аргументів:
-
-| Аргумент                     | Значення                                                                                                                         |
-| ---------------------------- | -------------------------------------------------------------------------------------------------------------------------------- |
-| Команда                      | `trufflehog` (резолвиться через `PATH`)                                                                                          |
-| Subcommand                   | `filesystem`                                                                                                                     |
-| Шлях                         | `.` (відносно `cwd`)                                                                                                             |
-| `--no-update`                | Не намагатися автооновити сам TruffleHog у CI.                                                                                   |
-| `--exclude-paths`            | `.trufflehog-exclude` — файл зі шляхами/патернами, які виключити зі сканування. Має лежати в `cwd`.                              |
-| `--results=verified,unknown` | Звітувати лише **верифіковані** секрети та секрети **невідомого** статусу верифікації (відсікти `unverified`, щоб зменшити шум). |
-| `--fail`                     | Завершуватись із ненульовим exit-кодом, якщо знайдено результати, що відповідають фільтру вище.                                  |
-
-Параметри `spawnSync`:
-
-- `cwd` — переданий або `process.cwd()`.
-- `stdio: 'inherit'` — прямий проброс I/O.
-
-Після завершення:
-
-```js
-return Promise.resolve(typeof r.status === 'number' ? r.status : 1)
-```
-
-— безпечна нормалізація: якщо `status` відсутній (наприклад, процес перерваний сигналом → `r.status === null`, `r.signal === 'SIGTERM'`), функція повертає `1` як індикатор помилки.
-
-**Контрактні нотатки:**
-
-- Функція **не кидає виключення** для звичайних випадків (TruffleHog знайшов секрети або не запустився) — все нормалізується в exit-код через `Promise.resolve`. Якщо `spawnSync` сам кине синхронне виключення (наприклад, ENOENT через відсутність бінарника та некоректну поведінку runtime), воно пробʼється вгору — але стандартна поведінка Node для відсутнього виконуваного файлу — повернути `r.error`, а `r.status === null`, тому функція дасть `1`.
-- Поверне `Promise`, навіть якщо все відбулось синхронно — це потрібно для уніфікованого `await` у виклику з рушія правил.
-
-## Залежності
-
-### Зовнішні (npm) бібліотеки
-
-Жодних — модуль не імпортує сторонні пакети.
-
-### Стандартна бібліотека Node.js
-
-- **`node:child_process`** — використовується `spawnSync` для синхронного запуску `trufflehog`. Імпорт із префіксом `node:` обовʼязковий за правилами проекту.
-
-### Системні залежності
-
-- **`trufflehog`** (бінарник) — має бути доступний у `PATH` середовища, де запускається CI-крок. Інакше `spawnSync` поверне об'єкт із `error` (ENOENT) та `status === null`, і функція віддасть `1`.
-- **Файл `.trufflehog-exclude`** — очікується у корені `cwd`. Це plaintext-файл із патернами шляхів для виключення (формат TruffleHog `--exclude-paths`). Якщо файл відсутній, TruffleHog може завершитись із ненульовим кодом — це теж буде повернуто як exit-код.
-
-### Внутрішні модулі
-
-- Зовнішніх внутрішньопроєктних імпортів модуль не має. Він самодостатній і викликається рушієм правил security (`npm/rules/security/...`), який інтегрує його у загальний lint-пайплайн.
-
-## Потік виконання / Використання
-
-### Загальний потік
-
-1. Рушій правил (npm-пакет, що оркеструє лінтери) виявляє правило `security` для активного workspace.
-2. Викликає `lint(files, cwd)` із `files` (списком змінених/вибраних файлів) та `cwd` (коренем workspace або репо).
-3. `lint`:
-   - Ігнорує `files`.
-   - Викликає `spawnSync('trufflehog', [...], { cwd, stdio: 'inherit' })`.
-   - Користувач/CI бачить весь stdout/stderr TruffleHog у реальному часі.
-   - Після завершення процесу повертає `Promise<exitCode>`.
-4. Рушій правил агрегує exit-коди всіх лінтерів і визначає загальний результат (зазвичай: будь-яке ненульове значення = провал CI).
-
-### Типовий виклик з коду
-
-```js
-import { lint } from './lint.mjs'
-
-const exitCode = await lint(undefined, process.cwd())
-if (exitCode !== 0) {
-  console.error('[security] TruffleHog знайшов секрети або не зміг виконатись')
-  process.exitCode = exitCode
-}
-```
-
-### CI-сценарій
-
-1. CI-runner клонує репозиторій і встановлює бінарник `trufflehog` (через apt/brew/curl/прекомпільований release).
-2. Запускається `n-cursor lint` (або еквівалент), який обходить правила.
-3. Для правила `security` рушій кличе цю `lint`-функцію.
-4. TruffleHog рекурсивно сканує всі файли під `cwd`, окрім перелічених у `.trufflehog-exclude`.
-5. Якщо знайдено **верифіковані** або **unknown**-секрети — повертається ненульовий exit-код, флаг `--fail` гарантує цю поведінку.
-6. CI завершується із помилкою, кроки нижче не виконуються.
-
-### Граничні випадки
-
-| Ситуація                        | Поведінка                                                                                                                                                                   |
-| ------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
-| `trufflehog` відсутній у `PATH` | `spawnSync` повертає `r.status === null`, функція віддає `1`. У stderr (через `inherit`) може зʼявитись повідомлення Node про відсутність бінарника, залежно від платформи. |
-| `.trufflehog-exclude` відсутній | TruffleHog зазвичай помиляється з ненульовим кодом — функція поверне його як є.                                                                                             |
-| Процес вбито сигналом           | `r.status === null` → повертається `1`.                                                                                                                                     |
-| Секретів немає                  | TruffleHog повертає `0` → функція повертає `0`.                                                                                                                             |
-| Передано `files=[...]`          | Аргумент проігноровано; сканування все одно зачіпає всю теку `cwd`.                                                                                                         |
-| `cwd` не вказано                | Використовується `process.cwd()` поточного Node-процесу.                                                                                                                    |
-
-### Конфігураційні «крутилки»
-
-Самі прапори зашиті в код і не параметризуються через аргументи функції. Якщо потрібно змінити поведінку (інший шлях `--exclude-paths`, інші типи результатів, увімкнути `--update`), правки робляться безпосередньо в `lint.mjs` — це навмисно, щоб уніфіковано тримати security-політику для всього монорепо.
-
-## Rebuild Test
-
-Перевірка контракту (для майбутніх refactor-ів — поведінка має зберігатись):
-
-1. **Експорт** named `lint` присутній; default-експорту немає.
-2. **Сигнатура** `lint(_files, cwd = process.cwd())` повертає `Promise<number>`.
-3. **Викликана команда** — рівно `trufflehog` із аргументами у точному порядку:
-   `filesystem`, `.`, `--no-update`, `--exclude-paths`, `.trufflehog-exclude`, `--results=verified,unknown`, `--fail`.
-4. **Options** для `spawnSync`: `{ cwd, stdio: 'inherit' }`.
-5. **Нормалізація exit-коду**: число → пробрасується; не число → `1`.
-6. **`_files` ігнорується** — наявність/відсутність/вміст не змінює викликаних аргументів TruffleHog.
-7. **Імпорт `child_process`** — лише через `node:`-префікс.
-8. **Жодних побічних ефектів на імпорті** — `lint` запускає процес лише при виклику.

package/rules/security/js/lint.mjs

@@ -1,26 +0,0 @@
-/**
- * Ci-крок security: trufflehog filesystem скан усього репо (per-file немає).
- */
-import { spawnSync } from 'node:child_process'
-
-/**
- * @param {string[] | undefined} _files ігнорується
- * @param {string} [cwd] корінь
- * @returns {Promise<number>} exit code
- */
-export function lint(_files, cwd = process.cwd()) {
-  const r = spawnSync(
-    'trufflehog',
-    [
-      'filesystem',
-      '.',
-      '--no-update',
-      '--exclude-paths',
-      '.trufflehog-exclude',
-      '--results=verified,unknown',
-      '--fail'
-    ],
-    { cwd, stdio: 'inherit' }
-  )
-  return Promise.resolve(typeof r.status === 'number' ? r.status : 1)
-}

package/rules/style-lint/fix.mjs

@@ -1,18 +0,0 @@
-import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
-import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
-
-/**
- * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
- * Library mode: викликається CLI orchestration через `import + run(ctx)`.
- * @param {import('../../scripts/lib/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
- * @returns {Promise<number>} 0 — OK, 1 — порушення
- */
-export function run(ctx) {
-  return runStandardRule(import.meta.dirname, ctx)
-}
-
-if (isRunAsCli(import.meta.url)) {
-  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
-  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
-  process.exitCode = await runRuleCli(import.meta.dirname)
-}

package/rules/style-lint/js/docs/lint.md

@@ -1,31 +0,0 @@
----
-type: JS Module
-title: lint.mjs
-resource: npm/rules/style-lint/js/lint.mjs
-docgen:
-  crc: 2013a66b
-  score: 100
----
-
-filterStyleFiles
-Вибирає файли, що мають розширення .css, .scss або .vue.
-
-lint
-Запускає команду stylelint з опцією --fix для перевірки та виправлення стилів.
-
-## Поведінка
-
-filterStyleFiles
-фільтрує список файлів, повертаючи лише ті, що закінчуються на .css, .scss або .vue
-
-lint
-запускає команду stylelint з опцією --fix для перевірки та виправлення стилів
-
-## Публічний API
-
-filterStyleFiles відбирає файли за стилем
-
-## Гарантії поведінки
-
-- Read-only: файл не виконує операцій запису у файлову систему.
-- Не звертається до мережі.

package/rules/tauri/fix.mjs

@@ -1,18 +0,0 @@
-import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
-import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
-
-/**
- * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
- * Library mode: викликається CLI orchestration через `import + run(ctx)`.
- * @param {import('../../scripts/lib/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
- * @returns {Promise<number>} 0 — OK, 1 — порушення
- */
-export function run(ctx) {
-  return runStandardRule(import.meta.dirname, ctx)
-}
-
-if (isRunAsCli(import.meta.url)) {
-  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
-  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
-  process.exitCode = await runRuleCli(import.meta.dirname)
-}

package/rules/test/fix.mjs

@@ -1,18 +0,0 @@
-import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
-import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
-
-/**
- * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
- * Library mode: викликається CLI orchestration через `import + run(ctx)`.
- * @param {import('../../scripts/lib/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
- * @returns {Promise<number>} 0 — OK, 1 — порушення
- */
-export function run(ctx) {
-  return runStandardRule(import.meta.dirname, ctx)
-}
-
-if (isRunAsCli(import.meta.url)) {
-  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
-  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
-  process.exitCode = await runRuleCli(import.meta.dirname)
-}

package/rules/text/fix.mjs

@@ -1,18 +0,0 @@
-import { isRunAsCli, runRuleCli } from '../../scripts/lib/run-rule-cli.mjs'
-import { runStandardRule } from '../../scripts/lib/run-standard-rule.mjs'
-
-/**
- * Запускає правило: applies → JS-concerns → policy → mdc-refs (через runStandardRule).
- * Library mode: викликається CLI orchestration через `import + run(ctx)`.
- * @param {import('../../scripts/lib/run-standard-rule.mjs').RuleContext} [ctx] контекст прогону (walkCache тощо)
- * @returns {Promise<number>} 0 — OK, 1 — порушення
- */
-export function run(ctx) {
-  return runStandardRule(import.meta.dirname, ctx)
-}
-
-if (isRunAsCli(import.meta.url)) {
-  // Standalone: bun rules/<id>/fix.mjs — повний еквівалент `npx @nitra/cursor fix <id>`
-  // (config-loading + whitelist + summary). Дві ролі fix.mjs: library (run) + standalone (main).
-  process.exitCode = await runRuleCli(import.meta.dirname)
-}

package/rules/text/js/docs/lint.md

@@ -1,23 +0,0 @@
----
-type: JS Module
-title: lint.mjs
-resource: npm/rules/text/js/lint.mjs
-docgen:
-  crc: eca3c531
-  score: 100
----
-
-Файл надає функцію lint, яка делегує завдання CLI правилам. Функція не підтримує режим per-file, і параметр files ігнорується. Функція повертає Promise з кодом виходу.
-
-## Поведінка
-
-1. Викликається функція lint з аргументом files.
-2. Функція lint делегує виконання у CLI правила.
-3. Режим per-file не підтримується.
-4. Параметр files ігнорується.
-5. Функція повертає Promise з кодом виходу.
-
-## Гарантії поведінки
-
-- Read-only: файл не виконує операцій запису у файлову систему.
-- Не звертається до мережі.

package/rules/text/js/lint.mjs

@@ -1,15 +0,0 @@
-/**
- * Крок text: делегує у наявний CLI правила (per-file режиму немає — `files` ігнорується).
- */
-import { runLintTextCli } from '../lint/lint.mjs'
-
-/**
- * @param {string[] | undefined} _files ігнорується (whole-repo аналіз)
- * @param {string} [_cwd] корінь (ігнорується — CLI працює від process.cwd())
- * @param {{ readOnly?: boolean, llmFix?: boolean }} [opts] readOnly → детект без авто-фіксу (нуль мутацій);
- *   llmFix → opt-in omlx-класифікація cspell (з `meta.json: llmFix:true`)
- * @returns {Promise<number>} exit code
- */
-export function lint(_files, _cwd, opts = {}) {
-  return runLintTextCli({ readOnly: opts.readOnly === true, llmFix: opts.llmFix === true })
-}