@nitra/cursor 12.8.5 → 12.8.7

package/rules/php/js/lint_php_yml.mdc

@@ -0,0 +1,12 @@
+## CI: `.github/workflows/lint-php.yml`
+
+Канон workflow — [lint-php.yml.snippet.yml](./policy/lint_php_yml/template/lint-php.yml.snippet.yml).
+
+Файл запускається при push/PR до `dev`/`main` за змінами в `**/*.php`, `composer.json`, `composer.lock`, `phpstan.neon`, `phpstan.neon.dist`, `psalm.xml` або самого workflow.
+
+Кроки job `php`:
+1. `actions/checkout@v6` (без persist-credentials)
+2. `./.github/actions/setup-bun-deps`
+3. `shivammathur/setup-php@v2` — PHP 8.5
+4. `composer install --no-interaction --no-progress --prefer-dist`
+5. `n-cursor lint php --read-only`

package/rules/php/js/tooling.mdc

@@ -0,0 +1,66 @@
+## PHP-інструменти лінту
+
+Весь код повинен відповідати PHP 8.5, перевірятися через PHPCompatibility і конвертуватися через Rector.
+
+Код має бути добре задокументований через phpDoc:
+
+```php
+/** @param array<int, string> $items */
+function process($items) {
+    foreach ($items as $id => $name) {
+        // PHPStan знає, що $id — int, $name — string
+    }
+}
+```
+
+### PHP_CodeSniffer (phpcs) і пакет `squizlabs/php_codesniffer`
+
+Стиль, базові ризики, за потреби окремі стандарти. Для **SQL injection**, **XSS**, **небезпечні функції** — PHPCS + **php-security-audit** (стандарт `Security`).
+
+```bash
+phpcs --standard=Security app/
+```
+
+### PHPStan
+
+Статичний аналіз типів і смертельних слабких місць; **PHPStan Taint Analysis** (`phpstan/phpstan-taint-analysis`) — для потоку даних (taint) у стилі security-аналізу.
+
+```bash
+vendor/bin/phpstan analyse
+# після підключення розширення taint — у phpstan.neon/ neon.dist
+```
+
+### PHP-CS-Fixer
+
+Форматтер/фіксер коду; у **lint** зазвичай перевірка без змін (`--dry-run`).
+
+```bash
+vendor/bin/php-cs-fixer fix --dry-run --diff
+```
+
+### Psalm
+
+Альтернативний/додатковий аналізатор; **Psalm Security Plugin** (`vimeo/psalm` + пакет на кшталт `psalm/plugin-security` залежно від вибраної збірки) — для security-орієнтованих правил.
+
+```bash
+vendor/bin/psalm
+```
+
+### `composer audit`
+
+Перевірка відомих вразливостей залежностей за даними **Packagist/security-advisories**.
+
+```bash
+composer audit
+```
+
+## Запуск lint-php
+
+`composer`-інструменти не мають єдиного CLI, який сам обходить репозиторій, тому php-лінт делегується у JS-скрипт-обгортку. Запуск — через **`n-cursor lint php`** (CI — `--read-only`); окремого `package.json`-скрипта немає.
+
+Скрипт `run-php.mjs`:
+
+- якщо `composer.json` у корені відсутній — вихід 0 (перевірка пропущена);
+- якщо `composer.json` є, але `composer` не знайдено в PATH — це помилка;
+- `composer audit` — обовʼязковий;
+- `vendor/bin/php-cs-fixer`, `vendor/bin/phpcs`, `vendor/bin/phpstan`, `vendor/bin/psalm` — запускаються лише якщо встановлені (інакше крок пропускається з повідомленням).

package/rules/php/main.mdc

@@ -5,73 +5,14 @@ globs: "**/*.php"
 alwaysApply: false
 ---
 
-Весь код повинен відповідати PHP 8.5, перевіряти за допомогою PHPCompatibility, конвертувати за допомогою Rector.
+Весь код повинен відповідати PHP 8.5 (PHPCompatibility + Rector). Лінт запускається через `n-cursor lint php`.
 
-Код повинен бути добре документований за допомогою phpDoc-ів:
+[php-tooling](./js/tooling.mdc)
 
-```php
-/** @param array<int, string> $items */
-function process($items) {
-    foreach ($items as $id => $name) {
-        // PHPStan знає, що $id — int, $name — string
-    }
-}
-```
+[php-lint_php_yml](./js/lint_php_yml.mdc)
 
-## Потрібно додати до lint-php
+## Швидкий gate через conftest
 
-### PHP_CodeSniffer (phpcs) і пакет `squizlabs/php_codesniffer`
-
-Стиль, базові ризики, за потреби окремі стандарти. Для **SQL injection**, **XSS**, **небезпечні функції** — PHPCS + **php-security-audit** (стандарт `Security`).
-
-```bash
-phpcs --standard=Security app/
-```
-
-### PHPStan
-
-Статичний аналіз типів і смертельних слабких місць; **PHPStan Taint Analysis** (`phpstan/phpstan-taint-analysis`) — для потоку даних (taint) у стилі security-аналізу.
-
-```bash
-vendor/bin/phpstan analyse
-# після підключення розширення taint — у phpstan.neon/ neon.dist
-```
-
-### PHP-CS-Fixer
-
-Форматтер/фіксер коду; у **lint** зазвичай перевірка без змін (`--dry-run`).
-
-```bash
-vendor/bin/php-cs-fixer fix --dry-run --diff
-```
-
-### Psalm
-
-Альтернативний/додатковий аналізатор; **Psalm Security Plugin** (`vimeo/psalm` + пакет на кшталт `psalm/plugin-security` залежно від вибраної збірки) — для security-орієнтованих правил.
-
-```bash
-vendor/bin/psalm
-```
-
-### `composer audit`
-
-Перевірка відомих вразливостей залежностей за даними **Packagist/security-advisories**.
-
-```bash
-composer audit
-```
-
-## lint-php
-
-`composer`-інструмененти не мають єдиного CLI, який сам обходить репозиторій, тому php-лінт делегується у JS-скрипт-обгортку. Запуск — через **`n-cursor lint php`** (CI — `--read-only`); окремого `package.json`-скрипта немає.
-
-Скрипт `run-php.mjs`:
-
-- якщо `composer.json` у корені відсутній — вихід 0 (перевірка пропущена);
-- якщо `composer.json` є, але `composer` не знайдено в PATH — це помилка;
-- `composer audit` — обовʼязковий;
-- `vendor/bin/php-cs-fixer`, `vendor/bin/phpcs`, `vendor/bin/phpstan`, `vendor/bin/psalm` — запускаються лише якщо встановлені (інакше крок пропускається з повідомленням).
-
-## CI: `.github/workflows/lint-php.yml`
-
-- Канон: [lint-php.yml.snippet.yml](./policy/lint_php_yml/template/lint-php.yml.snippet.yml)
+| Пакет | Що перевіряє |
+|---|---|
+| `php.lint_php_yml` | Структуру `.github/workflows/lint-php.yml` — наявність канонічних `run:`-кроків |

package/rules/python/js/lint_python_yml.mdc

@@ -0,0 +1,23 @@
+## CI: `.github/workflows/lint-python.yml`
+
+Канонічний workflow: [lint-python.yml.snippet.yml](./policy/lint_python_yml/template/lint-python.yml.snippet.yml)
+
+Без кроків `poetry install` / `snok/install-poetry` — лише `astral-sh/setup-uv@v8.0.0` + `uv sync --frozen`.
+
+Обовʼязкові кроки:
+- `actions/checkout@v6` з `persist-credentials: false`;
+- `./.github/actions/setup-bun-deps` — встановлення JS-залежностей (для `n-cursor lint`);
+- `astral-sh/setup-uv@v8.0.0` — встановлення uv;
+- `uv sync --frozen` — встановлення Python-залежностей строго з lock-файлу;
+- `n-cursor lint python --read-only` — запуск lint (без auto-fix у CI).
+
+`uv` / `ruff` / `mypy` **не** додаються в кореневі `devDependencies` споживача — це окремий toolchain, що ставиться через `astral-sh/setup-uv` у CI або локально.
+
+## Rego: python.lint_python_yml
+
+Polісі `policy/lint_python_yml/lint_python_yml.rego` — drift-safe перевірка через `--data template`:
+
+- кожен `uses` з template має бути присутнім у workflow input;
+- кожен `run` з template має бути substring серед run-кроків input.
+
+Заборона Poetry-кроків (`snok/install-poetry`, `poetry install`) забезпечується відсутністю у каноні: правило вимагає uv-кроки, і жодних poetry-кроків у template немає.

package/rules/python/js/pyproject_toml.mdc

@@ -0,0 +1,32 @@
+## pyproject.toml: PEP 621 і заборона Poetry
+
+Метадані проєкту — у секції **`[project]`** (PEP 621), а **не** в `[tool.poetry]`.
+
+Обовʼязкові поля:
+- `[project].name` — назва пакета;
+- `[project].version` — статична версія;
+- `[project].requires-python` — мінімальна версія Python;
+- `[project].dependencies` — залежності (навіть порожній список).
+
+Lock-файл — **`uv.lock`** (коммітиться). `poetry.lock` / `poetry.toml` мають бути відсутні.
+
+Залежності: `uv add <pkg>`; dev-залежності: `uv add --dev <pkg>`.
+
+Канонічний цільовий вигляд `pyproject.toml`: [pyproject.toml.snippet.toml](./policy/pyproject_toml/template/pyproject.toml.snippet.toml)
+
+Заборонені під-таблиці `[tool.*]` (Poetry): [pyproject.toml.deny.toml](./policy/pyproject_toml/template/pyproject.toml.deny.toml)
+
+## Міграція з Poetry на uv
+
+1. Прибери `[tool.poetry]` і `poetry.lock` / `poetry.toml`.
+2. Перенеси метадані в `[project]` (name, version, requires-python, dependencies) за PEP 621.
+3. Згенеруй lock: `uv lock` → `uv.lock`.
+4. Dev-залежності: `uv add --dev ruff mypy …`.
+
+## Rego: python.pyproject_toml
+
+Polисі `policy/pyproject_toml/pyproject_toml.rego` — дві групи правил:
+
+**1. Заборона Poetry** — перевіряє, чи є заборонені під-таблиці `[tool.*]` з `pyproject.toml.deny.toml` (drift-safe через `--data template`).
+
+**2. PEP 621** — `[project].name` і `[project].version` мають бути непорожніми рядками.

package/rules/python/js/tooling.mdc

@@ -0,0 +1,23 @@
+## Перевірка наявності uv-toolchain і відсутності Poetry
+
+JS-перевірка (`js/tooling.mjs`) запускається, якщо в корені репо є `pyproject.toml`. Перевіряє:
+
+- `uv.lock` — має існувати (зафіксувати командою `uv lock`);
+- `poetry.lock` / `poetry.toml` — мають **бути відсутніми** (Poetry заборонено);
+- `package.json` — має бути у корені (js-обгортка lint є частиною монорепо);
+- `.github/workflows/lint-python.yml` — має існувати (структуру перевіряє Rego-полісі `python.lint_python_yml`).
+
+Якщо `pyproject.toml` відсутній — перевірка пропускається з кодом 0 (проєкт не Python).
+
+## lint-python: JS-скрипт-обгортка
+
+Інструменти uv-екосистеми не мають єдиного CLI-обходу репо, тому python-лінт делегується у JS-скрипт-обгортку. Запуск — через **`n-cursor lint python`** (CI — `--read-only`); окремого `package.json`-скрипта немає.
+
+Скрипт `rules/python/lint/lint.mjs`:
+
+- якщо `pyproject.toml` у корені відсутній — вихід 0 (перевірка пропущена);
+- якщо `pyproject.toml` є, але `uv` не знайдено в PATH — це помилка;
+- `uv lock --check` і `uv sync --frozen` — обовʼязкові;
+- `uv run ruff check --fix .` + `uv run ruff format .` — auto-fix (мутують робоче дерево, як `markdownlint-cli2 --fix` у lint-text);
+- `uv run mypy .` — статична перевірка типів;
+- усі `ruff`/`mypy`-кроки запускаються лише якщо інструмент доступний у середовищі (інакше крок пропускається з повідомленням).

package/rules/python/main.mdc

@@ -5,41 +5,17 @@ alwaysApply: false
 version: '1.0'
 ---
 
-Python-проєкти ведуться **виключно** на [uv](https://docs.astral.sh/uv/) — єдиний пакет-менеджер і резолвер. **Poetry заборонено.**
+Python-проєкти ведуться **виключно** на [uv](https://docs.astral.sh/uv/) — єдиний пакет-менеджер і резолвер. **Poetry заборонено.** Середовище: `uv sync --frozen` (строго з `uv.lock`).
 
-- Метадані проєкту — у секції **`[project]`** (PEP 621), а **не** в `[tool.poetry]`.
-- Lock-файл — **`uv.lock`** (коммітиться). `poetry.lock` / `poetry.toml` мають бути відсутні.
-- Залежності: `uv add <pkg>`; dev-залежності: `uv add --dev <pkg>`.
-- Середовище: `uv sync --frozen` (строго з `uv.lock`).
+[python-pyproject_toml](./js/pyproject_toml.mdc)
 
-`uv` / `ruff` / `mypy` **не** додаються в кореневі `devDependencies` споживача — це окремий toolchain і ставиться через `astral-sh/setup-uv` у CI або локально (як `composer` / `regal`).
+[python-lint_python_yml](./js/lint_python_yml.mdc)
 
-## Міграція з Poetry на uv
+[python-tooling](./js/tooling.mdc)
 
-1. Прибери `[tool.poetry]` і `poetry.lock` / `poetry.toml`.
-2. Перенеси метадані в `[project]` (name, version, requires-python, dependencies) за PEP 621.
-3. Згенеруй lock: `uv lock` → `uv.lock`.
-4. Dev-залежності: `uv add --dev ruff mypy …`.
+## Швидкий gate через conftest (Rego)
 
-Канонічний цільовий вигляд `pyproject.toml`: [pyproject.toml.snippet.toml](./policy/pyproject_toml/template/pyproject.toml.snippet.toml)
-
-Заборонені під-таблиці `[tool.*]` (Poetry): [pyproject.toml.deny.toml](./policy/pyproject_toml/template/pyproject.toml.deny.toml)
-
-## lint-python
-
-Інструменти uv-екосистеми не мають єдиного CLI, що сам обходить репозиторій, тому python-лінт делегується у JS-скрипт-обгортку. Запуск — через **`n-cursor lint python`** (CI — `--read-only`); окремого `package.json`-скрипта немає.
-
-Скрипт `rules/python/lint/lint.mjs`:
-
-- якщо `pyproject.toml` у корені відсутній — вихід 0 (перевірка пропущена);
-- якщо `pyproject.toml` є, але `uv` не знайдено в PATH — це помилка;
-- `uv lock --check` і `uv sync --frozen` — обовʼязкові;
-- `uv run ruff check --fix .` + `uv run ruff format .` — auto-fix (мутують робоче дерево, як `markdownlint-cli2 --fix` у lint-text);
-- `uv run mypy .` — статична перевірка типів;
-- усі `ruff`/`mypy`-кроки запускаються лише якщо інструмент доступний у середовищі (інакше крок пропускається з повідомленням).
-
-## CI: `.github/workflows/lint-python.yml`
-
-- Канон: [lint-python.yml.snippet.yml](./policy/lint_python_yml/template/lint-python.yml.snippet.yml)
-
-Без кроків `poetry install` / `snok/install-poetry` — лише `astral-sh/setup-uv@v8.0.0` + `uv sync --frozen`.
+| Namespace | Що перевіряє |
+|-----------|-------------|
+| `python.pyproject_toml` | Заборона `[tool.poetry]`; наявність `[project].name` і `[project].version` (PEP 621) |
+| `python.lint_python_yml` | Обовʼязкові `uses` і `run`-кроки у `.github/workflows/lint-python.yml` |

package/rules/rego/js/rego-lint.mdc

@@ -0,0 +1,31 @@
+## Лінт Rego-файлів (opa / regal / conftest)
+
+```bash
+n-cursor lint rego
+```
+
+Цілі — `npm/rules/` (рекурсивно знаходить `.rego` у `<rule>/policy/<concern>/`).
+Інші `*.rego` поза деревом — додай у `LINT_TARGETS` у `npm/rules/rego/lint/lint.mjs`.
+
+`opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
+
+### Кроки лінту
+
+1. **`opa check --strict`** — компіляція з типами і строгим режимом: ловить мертвий код,
+   неоднозначні правила, незадекларовані змінні. Зупиняє пайплайн при помилці.
+2. **`regal lint`** — статичний лінтер: v0-синтаксис, неявні set-rules, відхилення від `rego.v1`,
+   bugs/idiomatic/performance-правила.
+3. **`conftest verify`** (опційно) — виконує `test_*` правила у `*_test.rego`.
+   Якщо `conftest` відсутній у `PATH` — пропускається без помилки (у CI потрібно встановити).
+
+### Конфіг regal
+
+У корені проєкту — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо
+(наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):
+
+```yaml title=".regal/config.yaml"
+rules:
+  idiomatic:
+    no-defined-entrypoint:
+      level: ignore
+```

package/rules/rego/js/vscode_extensions.mdc

@@ -0,0 +1,11 @@
+## Розширення VS Code для Rego
+
+`.vscode/extensions.json` має містити `tsandall.opa` у масиві `recommendations` —
+це забезпечує LSP-підтримку та форматування через `opa fmt` при збереженні.
+
+Канонічний сніпет: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+Перевірка — subset-of: кожне розширення зі сніпету має бути присутнє у `recommendations`.
+Додаткові розширення (від інших правил) — дозволені.
+
+Ціль (`target.json`): `.vscode/extensions.json` — обовʼязковий файл.

package/rules/rego/js/vscode_settings.mdc

@@ -0,0 +1,13 @@
+## Налаштування VS Code для Rego
+
+`.vscode/settings.json` має містити `[rego]`-блок з двома ключами:
+
+- `editor.defaultFormatter` = `"tsandall.opa"`
+- `editor.formatOnSave` = `true`
+
+Канонічний сніпет: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+
+Перевірка — leaf-by-leaf: кожен ключ/значення зі сніпету звіряється з файлом.
+Якщо `[rego]`-блок присутній, але не є обʼєктом — окрема помилка типу.
+
+Ціль (`target.json`): `.vscode/settings.json` — обовʼязковий файл.

package/rules/rego/main.mdc

@@ -9,31 +9,15 @@ alwaysApply: false
 
 Синтаксичні правила (`rego.v1`, `import rego.v1`, заборона legacy v0) — у `conftest.mdc` (alwaysApply). Цей файл — про **інструментарій**: VS Code, лінтери, форматування.
 
-## Перевірка
+[rego-rego-lint](./js/rego-lint.mdc)
 
-```bash
-n-cursor lint rego
-```
+## Швидкий gate через conftest
 
-Цілі — `npm/rules/` (рекурсивно знаходить `.rego` у `<rule>/policy/<concern>/`). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/lint/lint.mjs`.
+| Пакет | Ціль | Що перевіряє |
+|---|---|---|
+| `rego.vscode_extensions` | `.vscode/extensions.json` | `recommendations` містить `tsandall.opa` |
+| `rego.vscode_settings` | `.vscode/settings.json` | `[rego]`-блок з `defaultFormatter` + `formatOnSave` |
 
-`opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
+[rego-vscode_extensions](./js/vscode_extensions.mdc)
 
-### `.vscode/extensions.json`
-
-- Канон `recommendations` має містити `tsandall.opa` (LSP, format-on-save через `opa fmt`): [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
-
-### `.vscode/settings.json`
-
-- Канон `[rego]`-block (`editor.defaultFormatter` + `editor.formatOnSave`): [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
-
-## Конфіг regal
-
-У корені — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо (наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):
-
-```yaml title=".regal/config.yaml"
-rules:
-  idiomatic:
-    no-defined-entrypoint:
-      level: ignore
-```
+[rego-vscode_settings](./js/vscode_settings.mdc)

package/rules/rust/js/coverage.mdc

@@ -0,0 +1,28 @@
+## Покриття + мутаційне тестування Rust
+
+Покриття + мутаційне тестування Rust постачаються через `n-cursor coverage` (правило `test.mdc`). Реалізація провайдера — у `npm/rules/rust/coverage/coverage.mjs`: `cargo llvm-cov --json --summary-only` + `cargo mutants --jobs N`.
+
+Бінарники: `cargo install cargo-llvm-cov && cargo install cargo-mutants`.
+
+### Паралелізм cargo-mutants
+
+Паралельні воркери: дефолт `min(4, cpus/2)`; override через env **`CARGO_MUTANTS_JOBS`**. Прапорець `--in-place` відсутній — cargo-mutants створює власну sandbox-копію в `target/mutants.<i>/`, що сумісне з `--jobs > 1`.
+
+### Incremental mutation через `--in-diff`
+
+cargo-mutants **не** має persistent-кешу вердиктів між прогонами (на відміну від Stryker `incremental.json`). Штатний аналог «не передивляйся незмінений код» — scoping за git-diff. Вмикається env-змінною **`CARGO_MUTANTS_BASE_REF`**:
+
+- **не задано** (дефолт, типово для `main`) — повний прогін усіх мутантів;
+- задано (напр. `origin/main`, типово для feature-гілки в CI) — мутуються лише рядки, змінені у `<baseRef>...HEAD`. Провайдер бере `git diff --relative <baseRef>...HEAD` з каталогу crate, пише diff у sandbox і передає cargo-mutants `--in-diff`.
+
+Краєві випадки: порожній diff (немає змін під crate) → mutation `0/0` без запуску cargo-mutants; невідомий ref / не git-репо → попередження у stderr і fallback до повного прогону.
+
+### Пропуск baseline через `CARGO_MUTANTS_BASELINE=skip`
+
+cargo-mutants спершу ганяє немутований baseline (повний build+test), щоб переконатися, що suite зелений. **`CARGO_MUTANTS_BASELINE=skip`** прибирає цей крок (`--baseline skip`), економлячи один повний `cargo test`.
+
+Безпечно **лише** коли тести вже зелені у попередньому CI-степі (типовий порядок: `cargo test` → потім `n-cursor coverage` зі `skip`). Без цієї гарантії всі вердикти стають сміттєвими — дефолт: baseline-прогін. Найкорисніше в парі з `--in-diff`.
+
+### CI-кеш `target/` — множник
+
+`--in-diff` ріже **кількість** мутантів, кеш `target/` — **вартість кожної** компіляції; вони множаться. Без кешу холодний CI щоразу перебудовує всі залежності, і baseline-build (для Tauri — хвилини) затьмарює економію від меншої кількості мутантів. У workflow, що викликає `n-cursor coverage` для Rust, став `Swatinem/rust-cache@v2` після `dtolnay/rust-toolchain@stable`.

package/rules/rust/js/lint.mdc

@@ -0,0 +1,22 @@
+## Лінт Rust: rustfmt + clippy
+
+**rustfmt** ([rust-lang/rustfmt](https://github.com/rust-lang/rustfmt)) — форматер; **clippy** ([rust-lang/rust-clippy](https://github.com/rust-lang/rust-clippy)) — лінтер. Запуск — через **`n-cursor lint rust`** (адаптер `main.mjs`):
+
+- **локально (fix):** `cargo fmt --all` → `cargo clippy --fix --allow-staged --allow-dirty --all-targets --all-features` → фінальний `cargo clippy --all-targets --all-features -- -D warnings`
+- **`--read-only` (детект, CI):** `cargo fmt --all -- --check` + `cargo clippy --all-targets --all-features -- -D warnings`
+
+Без `Cargo.toml` у cwd — no-op (exit 0). Окремого `package.json`-скрипта немає.
+
+`cargo`, `rustfmt`, `clippy` **не додавай** у `devDependencies` — це Rust toolchain, ставиться через `rustup` локально або через `dtolnay/rust-toolchain@stable` у CI.
+
+### Канон CI workflow `.github/workflows/lint-rust.yml`
+
+[lint-rust.yml.snippet.yml](./policy/lint_rust_yml/template/lint-rust.yml.snippet.yml)
+
+Після `actions/checkout@v6` — `dtolnay/rust-toolchain@stable` (з `components: rustfmt, clippy`) + `Swatinem/rust-cache@v2` для кешу `~/.cargo` і `target/`. Bun composite дії тут не потрібен — toolchain ставиться напряму.
+
+**Перед** `actions/checkout@v6` у інших workflows йде стандартна послідовність (див. **ga.mdc**). У `lint-rust.yml` bun-composite не потрібен.
+
+Rego-перевірка `rust.lint_rust_yml` верифікує:
+- наявність кожного `uses` з канону (`actions/checkout@v6`, `dtolnay/rust-toolchain@stable`, `Swatinem/rust-cache@v2`);
+- наявність кожного `run`-кроку з канону як підрядка серед run-кроків input-файлу.

package/rules/rust/js/tauri_composition.mdc

@@ -0,0 +1,8 @@
+## Композиція з Tauri
+
+Tauri-проєкт завжди має `src-tauri/Cargo.toml`, тому правило `rust` активується автоматично разом з `tauri`. Поділ обов'язків:
+
+- `rust` — лінт через `n-cursor lint rust`, `rust-analyzer`, `even-better-toml`, CI workflow.
+- `tauri` — `tauri-apps.tauri-vscode` (див. **tauri.mdc**).
+
+Обидва правила перевіряють `.vscode/extensions.json` за `contains`-семантикою; конкурентного запису немає.

package/rules/rust/js/vscode_extensions.mdc

@@ -0,0 +1,12 @@
+## Розширення VS Code для Rust
+
+У `.vscode/extensions.json` поле `recommendations` **має містити**:
+
+- `rust-lang.rust-analyzer`
+- `tamasfe.even-better-toml`
+
+Перевірка `contains`-семантики: інші розширення дозволені, усі з канону мають бути присутні.
+
+Канон: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+Rego-перевірка `rust.vscode_extensions` для кожного запису з канону перевіряє його наявність у `recommendations` вхідного файлу.

package/rules/rust/main.mdc

@@ -5,44 +5,14 @@ alwaysApply: false
 version: '1.4'
 ---
 
-**rustfmt** ([rust-lang/rustfmt](https://github.com/rust-lang/rustfmt)) — форматер; **clippy** ([rust-lang/rust-clippy](https://github.com/rust-lang/rust-clippy)) — лінтер. Запуск — через **`n-cursor lint rust`** (адаптер `js/lint.mjs`): локально (fix) `cargo fmt --all` → `cargo clippy --fix --allow-staged --allow-dirty --all-targets --all-features` → фінальний `cargo clippy --all-targets --all-features -- -D warnings`; у `--read-only` (детект) — `cargo fmt --all -- --check` + `cargo clippy ... -- -D warnings`. Окремого `package.json`-скрипта немає. У CI cargo викликається напряму (див. `lint-rust.yml`).
+Правило забезпечує форматування (rustfmt), лінт (clippy), CI workflow та покриття для Rust-проєктів.
 
-`cargo`, `rustfmt`, `clippy` не додавай у `devDependencies` — це Rust toolchain, ставиться через `rustup` локально або через `dtolnay/rust-toolchain@stable` у CI.
+[rust-lint](./js/lint.mdc)
+[rust-vscode_extensions](./js/vscode_extensions.mdc)
+[rust-tauri_composition](./js/tauri_composition.mdc)
+[rust-coverage](./js/coverage.mdc)
 
-У `.vscode/extensions.json` `recommendations` мають містити `rust-lang.rust-analyzer` і `tamasfe.even-better-toml`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+## Швидкий gate через conftest
 
-Канон workflow `.github/workflows/lint-rust.yml`: [lint-rust.yml.snippet.yml](./policy/lint_rust_yml/template/lint-rust.yml.snippet.yml)
-
-Перед **`./.github/actions/setup-bun-deps`** в інших workflows йде **`actions/checkout@v6`** (див. **ga.mdc**). У **lint-rust.yml** після checkout — `dtolnay/rust-toolchain@stable` (з `components: rustfmt, clippy`) + `Swatinem/rust-cache@v2` для кешу `~/.cargo` і `target/`. Bun composite дії тут не потрібен — toolchain ставиться напряму.
-
-## Композиція з Tauri
-
-Tauri-проєкт завжди має `src-tauri/Cargo.toml`, тому правило `rust` активується автоматично разом з `tauri`. Поділ обов'язків:
-
-- `rust` — лінт через `n-cursor lint rust`, `rust-analyzer`, `even-better-toml`, CI workflow.
-- `tauri` — `tauri-apps.tauri-vscode` (див. **tauri.mdc**).
-
-Обидва правила перевіряють `.vscode/extensions.json` за `contains`-семантикою; конкурентного запису немає.
-
-## Покриття + мутаційне тестування Rust
-
-Покриття + мутаційне тестування Rust постачаються через `n-cursor coverage` (правило `test.mdc`). Реалізація провайдера — у `npm/rules/rust/coverage/coverage.mjs`: `cargo llvm-cov --json --summary-only` + `cargo mutants --jobs N` (паралельні воркери, дефолт `min(4, cpus/2)`; override через env `CARGO_MUTANTS_JOBS`). Прапорець `--in-place` прибраний — cargo-mutants створює власну sandbox-копію в `target/mutants.<i>/`, що сумісне з `--jobs > 1`. Бінарники: `cargo install cargo-llvm-cov && cargo install cargo-mutants`.
-
-### Incremental mutation через `--in-diff`
-
-cargo-mutants **не** має persistent-кешу вердиктів між прогонами (на відміну від Stryker `incremental.json`). Штатний аналог «не передивляйся незмінений код» — scoping за git-diff. Вмикається env-змінною **`CARGO_MUTANTS_BASE_REF`**:
-
-- **не задано** (дефолт, типово для `main`) — повний прогін усіх мутантів;
-- задано (напр. `origin/main`, типово для feature-гілки в CI) — мутуються лише рядки, змінені у `<baseRef>...HEAD`. Провайдер бере `git diff --relative <baseRef>...HEAD` з каталогу crate (шляхи в diff збігаються з тим, що мутує cargo-mutants навіть у monorepo з `src-tauri/`), пише його у sandbox і передає cargo-mutants `--in-diff`.
-
-Краєві випадки: порожній diff (немає змін під crate) → mutation `0/0` без запуску cargo-mutants; невідомий ref / не git-репо → попередження у stderr і fallback до повного прогону.
-
-### Пропуск baseline через `CARGO_MUTANTS_BASELINE=skip`
-
-cargo-mutants спершу ганяє немутований baseline (повний build+test), щоб переконатися, що suite зелений. Це **фіксована** вартість, незалежна від кількості мутантів — а отже більша частка дрібного `--in-diff`-прогону. **`CARGO_MUTANTS_BASELINE=skip`** прибирає цей крок (cargo-mutants `--baseline skip`), економлячи один повний `cargo test`.
-
-Безпечно **лише** коли тести вже зелені у попередньому CI-степі (типовий порядок: `cargo test` → потім `n-cursor coverage` зі `skip`). Без цієї гарантії всі вердикти стають сміттєвими, тому дефолт — baseline-прогін. Найкорисніше в парі з `--in-diff`.
-
-### CI-кеш `target/` — множник, без якого scoping невидимий
-
-`--in-diff` ріже **кількість** мутантів, кеш `target/` — **вартість кожної** компіляції; вони множаться. Без кешу холодний CI щоразу перебудовує всі залежності, і baseline-build (для Tauri — хвилини) затьмарює економію від меншої кількості мутантів. У workflow, що викликає `n-cursor coverage` для Rust, став `Swatinem/rust-cache@v2` (кеш `~/.cargo` + `target/`) після `dtolnay/rust-toolchain@stable` — так само, як у `lint-rust.yml`. Sandbox-копії `target/mutants.<i>/` самі не кешуються, але деривуються з кешованих залежностей.
+- `rust.lint_rust_yml` — перевіряє `.github/workflows/lint-rust.yml`: наявність обов'язкових `uses` (`actions/checkout@v6`, `dtolnay/rust-toolchain@stable`, `Swatinem/rust-cache@v2`) та `run`-кроків з канону.
+- `rust.vscode_extensions` — перевіряє `.vscode/extensions.json`: `recommendations` містить `rust-lang.rust-analyzer` і `tamasfe.even-better-toml`.

package/rules/security/js/rego_policies.mdc

@@ -0,0 +1,15 @@
+## Rego-полісі: `package.json` і CI workflow
+
+### `security.package_json` — заборона `trufflehog` у залежностях
+
+Перевіряє, що `trufflehog` не потрапив у `dependencies` або `devDependencies` — він є глобальним CLI і не повинен бути npm-залежністю.
+
+- Канон deny-списку: [package.json.deny.json](../policy/package_json/template/package.json.deny.json)
+
+### `security.lint_security_yml` — CI workflow з TruffleHog
+
+Workflow `.github/workflows/lint-security.yml` обовʼязковий — забезпечує незалежний скан секретів на push/PR (агрегований `lint` локально + окремий fail-fast job на CI).
+
+Перевіряється, що серед `uses:` є крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.
+
+- Канон workflow: [lint-security.yml.snippet.yml](../policy/lint_security_yml/template/lint-security.yml.snippet.yml)

package/rules/security/js/sample_secret.mdc

@@ -0,0 +1,19 @@
+## Placeholder для секретів — `sample-secret`
+
+Фейкові credential-значення у **прикладних файлах** (`.env.example`, `.env.dist`, `*.example`, `*.sample`, `*.template`, вміст каталогів `fixtures/`) пиши як `sample-secret`, а не як bare `secret`.
+
+`sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює **гарантовано** й незалежно від версії. Bare `secret` наразі не фіксується сканером лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка поведінка, що залежить від версії інструмента.
+
+### Приклади
+
+- Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
+- Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
+
+### Що перевіряється
+
+Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються.
+
+Concern `security.sample_secret` (`js/sample_secret.mjs`) сканує всі прикладні файли:
+- суфікс basename'а: `.example`, `.sample`, `.template`, `.dist`
+- інфікс у basename'і: `.example.`, `.sample.`, `.template.`
+- сегмент шляху: `fixtures/`, `fixture/`, `__fixtures__/`

package/rules/security/js/trufflehog.mdc

@@ -0,0 +1,21 @@
+## TruffleHog — налаштування та `.trufflehog-exclude`
+
+[TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+
+Скан запускається через `n-cursor lint security` (CI — `n-cursor lint security --read-only`); окремого `lint-*` скрипта в `package.json` немає.
+
+### Ключові прапори запуску
+
+- `trufflehog filesystem .` — сканує робоче дерево як директорію (включно з untracked/gitignored файлами); підкоманда `git file://.` лишається на CI для аудиту історії.
+- `--no-update` — вимикає self-update check (CI-friendly).
+- `--exclude-paths .trufflehog-exclude` — файл з regex-patterns, які треба пропускати (аналог `[allowlist].paths` із gitleaks).
+- `--results=verified,unknown` — показує лише верифіковані секрети + ті, що TruffleHog не зміг перевірити (`unverified` дублікат відсіюється).
+- `--fail` — exit-code `183` за наявності знахідок (щоб лінт падав).
+
+### `.trufflehog-exclude` (рекомендована основа)
+
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./templates/trufflehog/.trufflehog-exclude.snippet.txt)
+
+**Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
+
+Перевірка (JS): `js/trufflehog.mjs` — впевнюється, що файл `.trufflehog-exclude` існує в корені й містить канонічні шаблони.