@nitra/cursor 12.8.4 → 12.8.6

package/CHANGELOG.md

@@ -1,5 +1,17 @@
 # Changelog
 
+## [12.8.6] - 2026-06-22
+
+### Changed
+
+- ✨ feat(rules/abie): http_route_base.mdc + активація + ua-домени у ua_http_route.mdc
+
+## [12.8.5] - 2026-06-22
+
+### Changed
+
+- ♻️ refactor(npm): Перехід з `style-lint` на `style` у правил та конфігах
+
 ## [12.8.4] - 2026-06-22
 
 ### Changed

package/bin/n-cursor.js

@@ -74,7 +74,7 @@ import { fileURLToPath } from 'node:url'
 
 import { buildAgentsCommandBulletItems } from '../scripts/build-agents-commands.mjs'
 import { formatGeneratedMarkdownLines, renderAgentsTemplate } from '../scripts/lib/generated-markdown.mjs'
-import { inlineTemplateLinks } from '../scripts/lib/inline-template-links.mjs'
+import { inlineMarkdownIncludes, inlineTemplateLinks } from '../scripts/lib/inline-template-links.mjs'
 import {
   detectAutoRules,
   detectLegacyRuleIds,
@@ -422,7 +422,8 @@ async function readBundledRuleContent(rule, bundledRulesDir = BUNDLED_RULES_DIR)
     )
   }
   const text = await readFile(bundledPath, 'utf8')
-  return inlineTemplateLinks(text, dirname(bundledPath))
+  const withTemplates = await inlineTemplateLinks(text, dirname(bundledPath))
+  return inlineMarkdownIncludes(withTemplates, dirname(bundledPath))
 }
 
 /**
@@ -629,16 +630,16 @@ function buildClaudeLintParallelismSectionLines() {
 }
 
 /**
- * Рендерить секцію для CLAUDE.md: скіли з `meta.json.worktree === true` запускаються
+ * Рендерить секцію для CLAUDE.md: скіли з `main.json.worktree === true` запускаються
  * лише в окремому git-worktree (дублює fail-fast банер `SKILL.md` як завжди-читане правило).
  * @returns {string[]} рядки для вставки (з порожнім рядком на початку)
  */
 function buildClaudeWorktreeEnforcementSectionLines() {
   return [
     '',
-    '## Worktree-only skills (`meta.json` → `worktree: true`)',
+    '## Worktree-only skills (`main.json` → `worktree: true`)',
     '',
-    'Скіл із **`worktree: true`** у `meta.json` запускається **виключно** в окремому git-worktree (`.worktrees/<current-branch>-<suffix>/`) — **не** в основному дереві й **не** паралельно. Перший крок такого скіла (блок `n-cursor:worktree:start` у його `SKILL.md`) — **preflight**: якщо `git rev-parse --show-toplevel` не вказує під `.worktrees/`, **STOP** і не питай користувача про назву гілки; створи worktree від поточної гілки готовим snippet з `SKILL.md` за конвенцією `<current-branch>-<suffix>` і без shell expansion (без command substitution, variable expansion чи backticks). Чисте робоче дерево — **не** привід пропустити preflight.',
+    'Скіл із **`worktree: true`** у `main.json` запускається **виключно** в окремому git-worktree (`.worktrees/<current-branch>-<suffix>/`) — **не** в основному дереві й **не** паралельно. Перший крок такого скіла (блок `n-cursor:worktree:start` у його `SKILL.md`) — **preflight**: якщо `git rev-parse --show-toplevel` не вказує під `.worktrees/`, **STOP** і не питай користувача про назву гілки; створи worktree від поточної гілки готовим snippet з `SKILL.md` за конвенцією `<current-branch>-<suffix>` і без shell expansion (без command substitution, variable expansion чи backticks). Чисте робоче дерево — **не** привід пропустити preflight.',
     ''
   ]
 }
@@ -794,10 +795,10 @@ async function syncSkills(configSkills, bundledSkillsDir = BUNDLED_SKILLS_DIR) {
         const rootOnly = !worktree && meta?.requireRoot === true
         const entries = await readdir(srcDir, { withFileTypes: true })
         for (const entry of entries) {
-          // Лише top-level файли скіла. `meta.json` — метадані (не для споживача);
+          // Лише top-level файли скіла. `main.json` — метадані (не для споживача);
           // підкаталоги (`js/` — скіл-специфічний код) виконуються з пакета через
           // `npx`, у проєкт не копіюються (як `npm/rules/<id>/js/`). Див. scripts.mdc.
-          if (!entry.isFile() || entry.name === 'meta.json') continue
+          if (!entry.isFile() || entry.name === 'main.json') continue
           let content = await readFile(join(srcDir, entry.name), 'utf8')
           if (entry.name === 'SKILL.md') {
             content = injectWorktreeNotice(content, worktree)

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "12.8.4",
+  "version": "12.8.6",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/js/env_dns.mdc

@@ -0,0 +1,33 @@
+## Внутрішньокластерні URL у env-файлах (dev / ua)
+
+Правило стосується **будь-якого** внутрішньокластерного URL у env-файлах abie-проєкту, а не лише `HASURA_GRAPHQL_ENDPOINT`. Це може бути URL до Hasura, KVCMS, `auth-run-hl`, `file-link-hl` чи будь-якого іншого Service у кластері — у всіх випадках DNS-суфікс і namespace-префікс мають відповідати **середовищу** з імені env-файлу.
+
+abie-проєкти живуть у **двох GKE-кластерах** (dev / ua), тож DNS-суфікс і namespace у URL відрізняються між `*.env`-файлами:
+
+| env-файл (basename) | namespace-префікс у URL | DNS-суфікс кластера | примітка |
+| --- | --- | --- | --- |
+| `dev.env`, `.dev.env` | `dev-…` | `abie-dev.internal` | GKE-кластер dev |
+| `ua.env`, `.ua.env` | `ua-…` | `abie-ua.internal` | GKE-кластер ua |
+
+Канонічна форма URL — `http://<service>.<namespace>.svc.<cluster-dns-suffix>:<port>`. Суфікс — `<cluster>.internal`.
+
+Приклади для одного env-файлу з двома сервісами (Hasura + KVCMS):
+
+```env title="hasura/.dev.env"
+HASURA_GRAPHQL_ENDPOINT=http://apruv-h-hl.dev-apruv.svc.abie-dev.internal:8080
+KVCMS_URL=http://kvcms-hl.dev-apruv.svc.abie-dev.internal:8080
+```
+
+```env title="hasura/.ua.env"
+HASURA_GRAPHQL_ENDPOINT=http://apruv-h-hl.ua-apruv.svc.abie-ua.internal:8080
+KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
+```
+
+`<namespace>` (наприклад `dev-apruv` / `ua-apruv`) — `metadata.name` цільового namespace після kustomize-overlay для відповідного середовища; `<service>` — `metadata.name` headless Service (`-hl`) того сервісу, до якого йде URL.
+
+**Перевірка `js/env_dns.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
+
+- DNS-суфікс відповідав env: `abie-dev.internal` / `abie-ua.internal`;
+- namespace починався з `dev-` / `ua-` відповідно.
+
+Загальне правило про **внутрішній** URL (не публічний домен) для `HASURA_GRAPHQL_ENDPOINT` лишається у **`hasura.mdc`** (для nitra і abie) — `rules/hasura/fix.mjs` приймає кластерний DNS-формат `<cluster>.internal`.

package/rules/abie/js/firebase_hosting.mdc

@@ -0,0 +1,3 @@
+## Firebase Hosting
+
+У **кожному** підкаталозі, що лежить **безпосередньо** в корені репозиторію, не тримати конфіг і кеш **Firebase Hosting**: у таких каталогах не повинно бути **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`** (у **самому** корені репозиторію ці імена перевіркою abie **не** розглядаються; `node_modules` / `.git` зі скану вилучаються).

package/rules/abie/js/hc_pairing.mdc

@@ -0,0 +1,23 @@
+## k8s: `hc.yaml` поруч із Deployment
+
+Якщо під **`k8s`** є **Deployment**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`httpHealthCheck.requestPath`** — непорожній шлях від кореня (рядок, що починається з **`/`**: канонічно **`/healthz`**, але також допустимі **`/IsAlive`**, **`/api/live`** тощо — узгоджується з реальним endpoint сервісу), порт **8080**, **`targetRef.name`** — **headless** **Service** з суфіксом **`-hl`** (узгоджено з парою **`svc.yaml`** / **`svc-hl.yaml`** у **k8s.mdc**): або **`${metadata.name}-hl`**, або те саме ім'я, якщо **`metadata.name`** уже з **`-hl`**.
+
+```yaml title="hc.yaml"
+# yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json
+apiVersion: networking.gke.io/v1
+kind: HealthCheckPolicy
+metadata:
+  name: СЕРВІС
+  namespace: dev # kustomize overlay
+spec:
+  default:
+    config:
+      type: HTTP
+      httpHealthCheck:
+        requestPath: /healthz
+        port: 8080
+  targetRef:
+    group: ''
+    kind: Service
+    name: СЕРВІС-hl
+```

package/rules/abie/js/http_route_base.mdc

@@ -0,0 +1,25 @@
+## k8s: **HTTPRoute** у base-шарі — домени `aiml.live`
+
+У **HTTPRoute** під шляхом **`…/k8s/.../base/...`** (сегмент `base` у path) усі значення **`spec.hostnames`** мають належати до домену **`aiml.live`**: точна відповідність **`aiml.live`**, wildcard **`*.aiml.live`** або будь-який піддомен (**`api.aiml.live`**, **`app.aiml.live`** тощо). Перевірка — case-insensitive.
+
+Rego-пакет: **`abie.http_route_base`** (`policy/http_route_base/`). Цільові файли: `…/k8s/.../base/.../*.yaml` типу HTTPRoute.
+
+```yaml title="…/k8s/base/hr.yaml"
+apiVersion: gateway.networking.k8s.io/v1
+kind: HTTPRoute
+metadata:
+  name: my-app
+spec:
+  hostnames:
+    - "my-app.aiml.live"   # ✓ піддомен aiml.live
+  parentRefs:
+    - name: gateway
+```
+
+Недозволені в base-шарі (але коректні для ua-overlay — `abie.app`, `vybeerai.com.ua`):
+
+```yaml
+  hostnames:
+    - "abie.app"            # ✗ ua-домен, не base
+    - "vybeerai.com.ua"     # ✗ ua-домен, не base
+```

package/rules/abie/js/ua_http_route.mdc

@@ -0,0 +1,47 @@
+## k8s: overlay **HTTPRoute** (**ua**)
+
+За наявності **Deployment** під **k8s** і наявності **Vite** (**`vite.config.js`**, **`vite.config.mjs`** або **`vite.config.ts`** у каталозі пакета) у **`ua/kustomization.yaml`** цього пакета потрібні **inline JSON6902** у **`patches`**: **target** **`kind: HTTPRoute`**, **непорожній `name`** (як у маніфесті маршруту). Мають бути зміни **`/spec/hostnames`** (хоча б один з доменів: **`abie.app`**, **`vybeerai.com.ua`**, **`*.abie.app`**, **`*.vybeerai.com.ua`**) та **`/spec/parentRefs/0/namespace`** (**`ua`**, також дозволені префікси **`ua-*`**, наприклад **`ua-b2b`**). Як обирати **`op`** (**add** / **replace** тощо) у patch — **k8s.mdc** (розділ про JSON patch у kustomization).
+
+### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`file-link-hl`**
+
+У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка — Rego-пакет **`abie.http_route_base`**, див. розділ нижче).
+
+Ці **Service** (headless **`-hl`**) живуть у **базовому** неймспейсі **`dev`**. У маніфесті **HTTPRoute** під **`k8s`** (шар без **`ua/`** — наприклад **`…/k8s/base/hr.yaml`**) для кожного **`backendRefs`** до такого сервісу явно вкажи **`namespace: dev`** і порт **8080**:
+
+```yaml title="…/k8s/base/hr.yaml (фрагмент)"
+spec:
+  rules:
+    - matches:
+        - path:
+            type: PathPrefix
+            value: /
+      backendRefs:
+        - name: auth-run-hl
+          namespace: dev
+          port: 8080
+        - name: file-link-hl
+          namespace: dev
+          port: 8080
+```
+
+У **`ua/kustomization.yaml`** додай до того самого **inline** patch на **`HTTPRoute`** (той самий **`target.name`**) операції **JSON6902** з **`path`**: **`/spec/rules/<i>/backendRefs/<j>/namespace`**, де **`<i>`** / **`<j>`** — індекси відповідно до порядку **`spec.rules`** та **`backendRefs`** у base-файлі; **`value`**: **`ua`** (також дозволені **`ua-*`**). Якщо кілька таких **`backendRefs`**, потрібна окрема операція для кожного.
+
+```yaml title="…/ua/kustomization.yaml (фрагмент)"
+  - target:
+      kind: HTTPRoute
+      name: my-httproute
+    patch: |-
+      - op: replace
+        path: /spec/hostnames
+        value:
+          - "abie.app" # зокрема vybeerai.com.ua, *.vybeerai.com.ua, *.abie.app
+      - op: replace
+        path: /spec/parentRefs/0/namespace
+        value: ua
+      - op: replace
+        path: /spec/rules/0/backendRefs/0/namespace
+        value: ua
+      - op: replace
+        path: /spec/rules/0/backendRefs/1/namespace
+        value: ua
+```

package/rules/abie/js/ua_node_selector.mdc

@@ -0,0 +1,27 @@
+## k8s: overlay **ua** і nodeSelector
+
+У **`…/ua/kustomization.yaml`** того пакета, у дереві **`k8s`** якого є **Deployment**, потрібен patch на **`kind: Deployment`**: **`spec.template.spec.nodeSelector`** з **`preem: false`**. Форму **JSON6902** (шлях **`/spec/template/spec/nodeSelector`**, **`op`**) див. **k8s.mdc**.
+
+```yaml title="…/ua/kustomization.yaml (фрагмент)"
+patches:
+  - target:
+      kind: Deployment
+      name: my-app
+    patch: |-
+      - op: add
+        path: /spec/template/spec/nodeSelector
+        value:
+          preem: 'false'
+```
+
+### Базовий Deployment (`…/base/`)
+
+Якщо **Deployment** у YAML під **`k8s`** лежить у шляху з сегментом **`base`**, у **`spec.template.spec.nodeSelector`** має бути **`preem`** зі значенням **істинно** (**`true`** або рядок **`'true'`**); overlay **ua** підміняє селектор.
+
+```yaml title="…/base/deploy.yaml (фрагмент)"
+spec:
+  template:
+    spec:
+      nodeSelector:
+        preem: 'true' # буде замінено через kustomize
+```

package/rules/abie/main.mdc

@@ -6,139 +6,25 @@ version: '1.22'
 
 Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`file-link-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua**)), гілки **dev**, **ua** у **clean-merged-branch**, а також заборона тримати артефакти **Firebase Hosting** у **підкаталогах першого рівня** (безпосередні діти кореня репозиторію; у самому корені ці імена не вимагаються до видалення).
 
-## k8s: `hc.yaml` поруч із Deployment
-
-Якщо під **`k8s`** є **Deployment**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`httpHealthCheck.requestPath`** — непорожній шлях від кореня (рядок, що починається з **`/`**: канонічно **`/healthz`**, але також допустимі **`/IsAlive`**, **`/api/live`** тощо — узгоджується з реальним endpoint сервісу), порт **8080**, **`targetRef.name`** — **headless** **Service** з суфіксом **`-hl`** (узгоджено з парою **`svc.yaml`** / **`svc-hl.yaml`** у **k8s.mdc**): або **`${metadata.name}-hl`**, або те саме ім’я, якщо **`metadata.name`** уже з **`-hl`**.
-
-```yaml title="hc.yaml"
-# yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json
-apiVersion: networking.gke.io/v1
-kind: HealthCheckPolicy
-metadata:
-  name: СЕРВІС
-  namespace: dev # kustomize overlay
-spec:
-  default:
-    config:
-      type: HTTP
-      httpHealthCheck:
-        requestPath: /healthz
-        port: 8080
-  targetRef:
-    group: ''
-    kind: Service
-    name: СЕРВІС-hl
-```
-
-## k8s: overlay **HTTPRoute** (**ua**)
-
-За наявності **Deployment** під **k8s** і наявності **Vite** (**`vite.config.js`**, **`vite.config.mjs`** або **`vite.config.ts`** у каталозі пакета) у **`ua/kustomization.yaml`** цього пакета потрібні **inline JSON6902** у **`patches`**: **target** **`kind: HTTPRoute`**, **непорожній `name`** (як у маніфесті маршруту). Мають бути зміни **`/spec/hostnames`** (домени abie — у скрипті) та **`/spec/parentRefs/0/namespace`** (**`ua`**, також дозволені префікси **`ua-*`**, наприклад **`ua-b2b`**). Як обирати **`op`** (**add** / **replace** тощо) у patch — **k8s.mdc** (розділ про JSON patch у kustomization).
-
-### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`file-link-hl`**
-
-У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка — Rego-пакет **`abie.http_route_base`**, див. розділ нижче).
-
-Ці **Service** (headless **`-hl`**) живуть у **базовому** неймспейсі **`dev`**. У маніфесті **HTTPRoute** під **`k8s`** (шар без **`ua/`** — наприклад **`…/k8s/base/hr.yaml`**) для кожного **`backendRefs`** до такого сервісу явно вкажи **`namespace: dev`** і порт **8080**:
-
-```yaml title="…/k8s/base/hr.yaml (фрагмент)"
-spec:
-  rules:
-    - matches:
-        - path:
-            type: PathPrefix
-            value: /
-      backendRefs:
-        - name: auth-run-hl
-          namespace: dev
-          port: 8080
-        - name: file-link-hl
-          namespace: dev
-          port: 8080
-```
-
-У **`ua/kustomization.yaml`** додай до того самого **inline** patch на **`HTTPRoute`** (той самий **`target.name`**) операції **JSON6902** з **`path`**: **`/spec/rules/<i>/backendRefs/<j>/namespace`**, де **`<i>`** / **`<j>`** — індекси відповідно до порядку **`spec.rules`** та **`backendRefs`** у base-файлі; **`value`**: **`ua`** (також дозволені **`ua-*`**). Якщо кілька таких **`backendRefs`**, потрібна окрема операція для кожного.
-
-```yaml title="…/ua/kustomization.yaml (фрагмент)"
-  - target:
-      kind: HTTPRoute
-      name: my-httproute
-    patch: |-
-      - op: replace
-        path: /spec/hostnames
-        value:
-          - "abie.app" # зокрема vybeerai.com.ua, *.vybeerai.com.ua, *.abie.app
-      - op: replace
-        path: /spec/parentRefs/0/namespace
-        value: ua
-      - op: replace
-        path: /spec/rules/0/backendRefs/0/namespace
-        value: ua
-      - op: replace
-        path: /spec/rules/0/backendRefs/1/namespace
-        value: ua
-```
-
-## k8s: overlay **ua** і nodeSelector
-
-У **`…/ua/kustomization.yaml`** того пакета, у дереві **`k8s`** якого є **Deployment**, потрібен patch на **`kind: Deployment`**: **`spec.template.spec.nodeSelector`** з **`preem: false`**. Форму **JSON6902** (шлях **`/spec/template/spec/nodeSelector`**, **`op`**) див. **k8s.mdc**.
+## Активація
 
-```yaml title="…/ua/kustomization.yaml (фрагмент)"
-patches:
-  - target:
-      kind: Deployment
-      name: my-app
-    patch: |-
-      - op: add
-        path: /spec/template/spec/nodeSelector
-        value:
-          preem: 'false'
-```
-
-### Базовий Deployment (`…/base/`)
-
-Якщо **Deployment** у YAML під **`k8s`** лежить у шляху з сегментом **`base`**, у **`spec.template.spec.nodeSelector`** має бути **`preem`** зі значенням **істинно** (**`true`** або рядок **`'true'`**); overlay **ua** підміняє селектор.
+Правило активується через **`.n-cursor.json`** у корені репозиторію:
 
-```yaml title="…/base/deploy.yaml (фрагмент)"
-spec:
-  template:
-    spec:
-      nodeSelector:
-        preem: 'true' # буде замінено через kustomize
+```json
+{ "rules": ["abie"] }
 ```
 
-## Внутрішньокластерні URL у env-файлах (dev / ua)
-
-Правило стосується **будь-якого** внутрішньокластерного URL у env-файлах abie-проєкту, а не лише `HASURA_GRAPHQL_ENDPOINT`. Це може бути URL до Hasura, KVCMS, `auth-run-hl`, `file-link-hl` чи будь-якого іншого Service у кластері — у всіх випадках DNS-суфікс і namespace-префікс мають відповідати **середовищу** з імені env-файлу.
-
-abie-проєкти живуть у **двох GKE-кластерах** (dev / ua), тож DNS-суфікс і namespace у URL відрізняються між `*.env`-файлами:
-
-| env-файл (basename) | namespace-префікс у URL | DNS-суфікс кластера | примітка |
-| --- | --- | --- | --- |
-| `dev.env`, `.dev.env` | `dev-…` | `abie-dev.internal` | GKE-кластер dev |
-| `ua.env`, `.ua.env` | `ua-…` | `abie-ua.internal` | GKE-кластер ua |
+Без цього запису `@nitra/cursor` пропускає всі abie-перевірки (JS-концерни та rego-полісі).
 
-Канонічна форма URL — `http://<service>.<namespace>.svc.<cluster-dns-suffix>:<port>`. Суфікс — `<cluster>.internal`.
+[k8s-hc-yaml](./js/hc_pairing.mdc)
 
-Приклади для одного env-файлу з двома сервісами (Hasura + KVCMS):
+[k8s-http-route-base](./js/http_route_base.mdc)
 
-```env title="hasura/.dev.env"
-HASURA_GRAPHQL_ENDPOINT=http://apruv-h-hl.dev-apruv.svc.abie-dev.internal:8080
-KVCMS_URL=http://kvcms-hl.dev-apruv.svc.abie-dev.internal:8080
-```
-
-```env title="hasura/.ua.env"
-HASURA_GRAPHQL_ENDPOINT=http://apruv-h-hl.ua-apruv.svc.abie-ua.internal:8080
-KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
-```
+[k8s-http-route-ua](./js/ua_http_route.mdc)
 
-`<namespace>` (наприклад `dev-apruv` / `ua-apruv`) — `metadata.name` цільового namespace після kustomize-overlay для відповідного середовища; `<service>` — `metadata.name` headless Service (`-hl`) того сервісу, до якого йде URL.
+[k8s-nodeselector](./js/ua_node_selector.mdc)
 
-**Перевірка `js/env_dns.mjs`** сканує всі `*.env` файли, basename яких збігається з `dev.env` / `ua.env` (з провідною крапкою чи без), знаходить **усі** internal URL (`http://<svc>.<ns>.svc.<dns>` — як для Hasura-ендпоінта, так і для KVCMS чи будь-якого іншого) і вимагає, щоб для кожного:
-
-- DNS-суфікс відповідав env: `abie-dev.internal` / `abie-ua.internal`;
-- namespace починався з `dev-` / `ua-` відповідно.
-
-Загальне правило про **внутрішній** URL (не публічний домен) для `HASURA_GRAPHQL_ENDPOINT` лишається у **`hasura.mdc`** (для nitra і abie) — `rules/hasura/fix.mjs` приймає кластерний DNS-формат `<cluster>.internal`.
+[env-dns](./js/env_dns.mdc)
 
 ## `@nitra/abie-shared` у `devDependencies`
 
@@ -148,9 +34,7 @@ KVCMS_URL=http://kvcms-hl.ua-apruv.svc.abie-ua.internal:8080
 bun add -d @nitra/abie-shared
 ```
 
-## Firebase Hosting
-
-У **кожному** підкаталозі, що лежить **безпосередньо** в корені репозиторію, не тримати конфіг і кеш **Firebase Hosting**: у таких каталогах не повинно бути **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`** (у **самому** корені репозиторію ці імена перевіркою abie **не** розглядаються; `node_modules` / `.git` зі скану вилучаються).
+[firebase](./js/firebase_hosting.mdc)
 
 ## Git branches
 

package/rules/doc-files/js/docs/index.md

@@ -6,19 +6,19 @@ resource: npm/rules/doc-files/js/
 
 # npm/rules/doc-files/js
 
-| Файл | Тип |
-|---|---|
-| [docgen-crc.mjs](docgen-crc.md) | JS Module |
+| Файл                                                    | Тип       |
+| ------------------------------------------------------- | --------- |
+| [docgen-crc.mjs](docgen-crc.md)                         | JS Module |
 | [docgen-extract-anchors.mjs](docgen-extract-anchors.md) | JS Module |
-| [docgen-extract.mjs](docgen-extract.md) | JS Module |
-| [docgen-files-batch.mjs](docgen-files-batch.md) | JS Module |
-| [docgen-gen.mjs](docgen-gen.md) | JS Module |
-| [docgen-ignore.mjs](docgen-ignore.md) | JS Module |
-| [docgen-judge-measure.mjs](docgen-judge-measure.md) | JS Module |
-| [docgen-judge.mjs](docgen-judge.md) | JS Module |
-| [docgen-prompts.mjs](docgen-prompts.md) | JS Module |
-| [docgen-scan.mjs](docgen-scan.md) | JS Module |
-| [run-lint.mjs](run-lint.md) | JS Module |
-| [units-js.mjs](units-js.md) | JS Module |
-| [units-rs.mjs](units-rs.md) | JS Module |
-| [units.mjs](units.md) | JS Module |
+| [docgen-extract.mjs](docgen-extract.md)                 | JS Module |
+| [docgen-files-batch.mjs](docgen-files-batch.md)         | JS Module |
+| [docgen-gen.mjs](docgen-gen.md)                         | JS Module |
+| [docgen-ignore.mjs](docgen-ignore.md)                   | JS Module |
+| [docgen-judge-measure.mjs](docgen-judge-measure.md)     | JS Module |
+| [docgen-judge.mjs](docgen-judge.md)                     | JS Module |
+| [docgen-prompts.mjs](docgen-prompts.md)                 | JS Module |
+| [docgen-scan.mjs](docgen-scan.md)                       | JS Module |
+| [run-lint.mjs](run-lint.md)                             | JS Module |
+| [units-js.mjs](units-js.md)                             | JS Module |
+| [units-rs.mjs](units-rs.md)                             | JS Module |
+| [units.mjs](units.md)                                   | JS Module |

package/rules/js/docs/main.md

@@ -10,19 +10,19 @@ docgen:
 
 ## Огляд
 
-Дозволяє запускати повний аналіз проєкту за допомогою `run`, виконувати лінтинг за допомогою `lint` або фільтрувати файли з розширенням JavaScript за допомогою `filterJsFiles`.
+Модуль забезпечує виконання функцій `run`, `filterJsFiles` та `lint` для аналізу кодової бази. Він виконує стандартну перевірку проєкту, відбираючи файли з розширеннями JavaScript за допомогою `filterJsFiles` та запускаючи перевірку JS-коду за допомогою `lint`.
 
 ## Поведінка
 
 run виконує стандартну перевірку проєкту.
-filterJsFiles відбирає з наданого списку лише файли, що мають розширення, характерне для JavaScript.
-lint запускає перевірку проєкту: або повний аналіз усіх файлів, або класифікований аналіз лише змінених файлів.
+filterJsFiles відбирає з наданого списку лише файли з розширеннями, характерними для JavaScript.
+lint запускає перевірку JS-коду, виконуючи або повний аналіз проєкту, або класифіковану перевірку змінених файлів.
 
 ## Публічний API
 
-run — виконує повний цикл перевірки: аналіз конфігурації, перевірку логіки та посилання на метадані.
-filterJsFiles — відбирає лише файли з розширенням JavaScript.
-lint — запускає інструменти для форматування та стилізації коду (oxlint, eslint, jscpd, knip).
+run — основна точка входу для виконання правил, що включає перевірку логіки застосування, логіки політик та посилань на метадані.
+filterJsFiles — відбирає лише файли, схожі на JavaScript, з наданого списку.
+lint — запускає інструменти oxlint та eslint (для окремих файлів або всього проекту) та jscpd+knip (тільки для всього проекту), з можливістю автоматичного виправлення або лише виявлення проблем.
 
 ## Гарантії поведінки
 

package/rules/js/js/docs/check.md

@@ -5,23 +5,24 @@ resource: npm/rules/js/js/check.mjs
 docgen:
   crc: 7ad4aa59
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
-  score: 90
+  score: 100
 ---
 
 ## Огляд
 
-Модуль перевіряє відповідність структури та конфігураційних файлів проєкту встановленим стандартам. Він валідує файли, такі як `package.json`, `.oxlintrc.json`, `.eslintrc.json` та файли робочих процесів GitHub, відповідно до вимог (js.mdc). Перевірка свідомо ігнорує шляхи `.github` та `.git`. Модуль забезпечує перехоплення помилок (fail-safe) під час виконання перевірок.
+Модуль виконує валідацію конфігураційних файлів, включаючи `package.json`, `.oxlintrc.json`, `knip.json`, `knip-canonical.json` та `.eslintrc.json`. Він перевіряє відповідність структури та конфігурацій встановленим стандартам. (js.mdc) (text.mdc)
 
 ## Поведінка
 
-1. Викликати `check` для запуску перевірок конфігурації проєкту.
-2. Перевірити наявність конфігурацій ESLint (flat config) та валідувати їх вміст відповідно до вимог (js.mdc).
-3. Перевірити `package.json` у корені та у всіх пакетах workspace на відповідність вимогам: наявність `"type": "module"` та мінімальні версії `engines.node` (>=24) та `engines.bun` (>=1.3) (js.mdc).
-4. Перевірити конфігураційний файл `.oxlintrc.json` на відповідність канонічному шаблону (js.mdc).
-5. Перевірити файли робочих процесів (`.github/workflows/lint-js.yml` та `.github/workflows/lint.yml`) на відповідність політикам лінтингу (js.mdc).
-6. Перевірити наявність конфігурацій Knip (`knip.json`). Якщо відсутній, створити його, скопіювавши канонічний шаблон (js.mdc).
-7. Перевірити наявність застарілих конфігурацій ESLint (наприклад, `.eslintrc.*`) та повідомити про їхнє використання.
-8. Ігнорувати перевірки у каталогах `.github` та `.git`.
+1. Викликається функція check.
+2. Ініціалізується механізм збору результатів перевірок.
+3. Перевіряється конфігураційний файл ESLint.
+4. Перевіряється структура пакетів у workspace'ах, включаючи наявність `"type": "module"` та вимоги до версій Node та Bun у `package.json` кожного пакета.
+5. Перевіряється конфігураційний файл `.oxlintrc.json` на відповідність канонічному шаблону.
+6. Перевіряється структура файлів у робочих процесах GitHub, зокрема наявність `lint-js.yml` та відсутність дублювання кроків лінтингу в `lint.yml`.
+7. Перевіряється наявність `knip.json` у корені проєкту. Якщо відсутній, він створюється з канонічного шаблону.
+8. Після виконання всіх перевірок, сканується проєкт на наявність застарілих конфігураційних файлів ESLint.
+9. Повертається код виходу, що відображає загальний статус виконання перевірок.
 
 ## Публічний API
 

package/rules/js/js/docs/tooling.md

@@ -10,19 +10,19 @@ docgen:
 
 ## Огляд
 
-Модуль визначає шляхи до канонічних JSON-файлів для інструментів oxlint та knip через функції OXLINT_CANONICAL_JSON_PATH та KNIP_CANONICAL_JSON_PATH. Він також надає функцію verifyOxlintRcAgainstCanonical для валідації конфігурацій, перевіряючи, чи відповідає `.oxlintrc.json` правилам, визначеним у oxlint-canonical.json.
+Визначає шляхи до канонічних JSON-файлів для інструментів oxlint та knip через OXLINT_CANONICAL_JSON_PATH та KNIP_CANONICAL_JSON_PATH. Також перевіряє відповідність конфігураційного файлу .oxlintrc.json значенням, встановленим у oxlint-canonical.json, за допомогою verifyOxlintRcAgainstCanonical.
 
 ## Поведінка
 
-OXLINT_CANONICAL_JSON_PATH — Вказує на шлях до канонічного JSON-файлу для oxlint у цьому пакеті.
-KNIP_CANONICAL_JSON_PATH — Вказує на шлях до канонічного JSON-файлу для knip у цьому пакеті.
-verifyOxlintRcAgainstCanonical — Перевіряє конфігурацію `.oxlintrc.json` на відповідність канонічному файлу oxlint-canonical.json, виявляючи відхилення у правилах та інших полях.
+OXLINT_CANONICAL_JSON_PATH — Вказує шлях до канонічного JSON-файлу для oxlint у цьому пакеті.
+KNIP_CANONICAL_JSON_PATH — Вказує шлях до канонічного JSON-файлу для knip у цьому пакеті.
+verifyOxlintRcAgainstCanonical — Перевіряє конфігураційний файл `.oxlintrc.json` на відповідність канонічним значенням, визначеним у `oxlint-canonical.json`.
 
 ## Публічний API
 
-OXLINT_CANONICAL_JSON_PATH — вказує на файл з еталонними налаштуваннями oxlint у пакеті.
-KNIP_CANONICAL_JSON_PATH — вказує на файл з еталонними налаштуваннями knip, який копіюється у корінь проєкту, якщо його там немає.
-verifyOxlintRcAgainstCanonical — порівнює конфігураційний файл `.oxlintrc.json` з еталоном, перевіряючи, чи всі правила з еталону присутні, а інші поля збігаються з `oxlint-canonical.json`.
+OXLINT_CANONICAL_JSON_PATH — Вказує на файл з еталонними налаштуваннями oxlint для валідації.
+KNIP_CANONICAL_JSON_PATH — Шлях до еталонних налаштувань knip, які копіюються у корінь проєкту, якщо їх немає.
+verifyOxlintRcAgainstCanonical — Порівнює конфігураційний файл `.oxlintrc.json` з еталоном, перевіряючи, чи всі правила з еталону присутні, а інші поля збігаються з каноном.
 
 ## Гарантії поведінки
 

package/rules/js/js/docs/utils_imports.md

@@ -10,21 +10,22 @@ docgen:
 
 ## Огляд
 
-Модуль сканує файли у монорепозиторії. Він зчитує вміст JavaScript/TypeScript файлів та витягує всі рядкові імпорти. На основі конфігурації `.n-cursor.json` він перевіряє, чи не містять імпорти заборонених відносних шляхів, реєструючи відповідний статус у логіці (js.mdc). Публічна функція `check` виконує цю перевірку, свідомо пропускаючи шляхи `.git` та `node_modules`.
+Модуль сканує монорепозиторій для пошуку каталогів `utils` та аналізу їхнього вмісту. Аналіз файлів JS/TS у цих каталогах здійснюється на відповідність шаблону забороненого відносного імпорту, що базується на конфігурації, визначеній у `.n-cursor.json`. При виявленні порушень, система генерує повідомлення, позначене як (js.mdc).
 
 ## Поведінка
 
-1. Визначає корінь проекту.
-2. Зчитує список шляхів, які слід ігнорувати, на основі конфігурації .n-cursor.json.
-3. Визначає кореневі каталоги пакетів у монорепозиторії.
-4. Для кожного кореневого каталогу пакета рекурсивно шукає каталоги з назвою `utils`, ігноруючи типові артефакти (наприклад, node_modules, .git, dist).
-5. Якщо знайдено каталоги `utils`, для кожного з них рекурсивно збирає всі файли з розширеннями `.js`, `.jsx`, `.ts`, `.tsx`, які не є тестовими.
-6. Для кожного зібраного файлу зчитує його вміст.
-7. Витягує з вмісту файлу всі рядкові імпорти (статичні, динамічні та виклики `require`).
-8. Для кожного витягнутого імпорту перевіряє, чи відповідає він шаблону забороненого відносного шляху, що вказує на імпорт з іншого каталогу, який не є загальним.
-9. Якщо заборонений імпорт знайдено, реєструє помилку, посилаючись на файл та заборонений імпорт (js.mdc).
-10. Якщо жодних порушень не знайдено, реєструє успіх (js.mdc).
-11. Повертає код виходу, що відображає статус перевірки.
+1. Визначає кореневий каталог для аналізу.
+2. Зчитує шляхи, які слід ігнорувати, на основі конфігурації .n-cursor.json.
+3. Знаходить усі каталоги з назвою `utils` у межах кореневих каталогів пакетів монорепозиторію, ігноруючи типові артефакти (наприклад, node_modules, .git, dist).
+4. Якщо знайдено жодних каталогів `utils`, перевірка вважається успішною і завершується.
+5. Для кожного знайденого каталогу `utils` збирає всі джерела файлів, які відповідають шаблону JS/TS, виключаючи тестові файли та файли у каталогах `tests/` чи `__fixtures__/`.
+6. Для кожного зібраного файлу:
+   а. Зчитує вміст файлу.
+   б. Витягує всі рядкові імпорти (статичні, динамічні, `require`) з коду.
+   в. Перевіряє кожен витягнутий імпорт на відповідність шаблону забороненого відносного імпорту.
+   г. Якщо імпорт є забороненим, фіксує порушення, вказуючи повний шлях до файлу та сам імпорт.
+7. Після перевірки всіх файлів, якщо порушень не знайдено, перевірка вважається успішною (js.mdc).
+8. Повертає код завершення, що відображає успіх або виявлені порушення (js.mdc).
 
 ## Гарантії поведінки