@nitra/cursor 12.8.6 → 12.8.8

package/rules/python/main.mdc

@@ -5,41 +5,16 @@ alwaysApply: false
 version: '1.0'
 ---
 
-Python-проєкти ведуться **виключно** на [uv](https://docs.astral.sh/uv/) — єдиний пакет-менеджер і резолвер. **Poetry заборонено.**
+Python-проєкти ведуться **виключно** на [uv](https://docs.astral.sh/uv/) — єдиний пакет-менеджер і резолвер. **Poetry заборонено.** Середовище: `uv sync --frozen` (строго з `uv.lock`).
 
-- Метадані проєкту — у секції **`[project]`** (PEP 621), а **не** в `[tool.poetry]`.
-- Lock-файл — **`uv.lock`** (коммітиться). `poetry.lock` / `poetry.toml` мають бути відсутні.
-- Залежності: `uv add <pkg>`; dev-залежності: `uv add --dev <pkg>`.
-- Середовище: `uv sync --frozen` (строго з `uv.lock`).
+[python-pyproject_toml](./js/pyproject_toml.mdc)
 
-`uv` / `ruff` / `mypy` **не** додаються в кореневі `devDependencies` споживача — це окремий toolchain і ставиться через `astral-sh/setup-uv` у CI або локально (як `composer` / `regal`).
+[python-lint_python_yml](./js/lint_python_yml.mdc)
 
-## Міграція з Poetry на uv
+[python-tooling](./js/tooling.mdc)
 
-1. Прибери `[tool.poetry]` і `poetry.lock` / `poetry.toml`.
-2. Перенеси метадані в `[project]` (name, version, requires-python, dependencies) за PEP 621.
-3. Згенеруй lock: `uv lock` → `uv.lock`.
-4. Dev-залежності: `uv add --dev ruff mypy …`.
+## Швидкий gate через conftest (Rego)
 
-Канонічний цільовий вигляд `pyproject.toml`: [pyproject.toml.snippet.toml](./policy/pyproject_toml/template/pyproject.toml.snippet.toml)
+[python-pyproject_toml-policy](./policy/pyproject_toml/pyproject_toml.mdc)
 
-Заборонені під-таблиці `[tool.*]` (Poetry): [pyproject.toml.deny.toml](./policy/pyproject_toml/template/pyproject.toml.deny.toml)
-
-## lint-python
-
-Інструменти uv-екосистеми не мають єдиного CLI, що сам обходить репозиторій, тому python-лінт делегується у JS-скрипт-обгортку. Запуск — через **`n-cursor lint python`** (CI — `--read-only`); окремого `package.json`-скрипта немає.
-
-Скрипт `rules/python/lint/lint.mjs`:
-
-- якщо `pyproject.toml` у корені відсутній — вихід 0 (перевірка пропущена);
-- якщо `pyproject.toml` є, але `uv` не знайдено в PATH — це помилка;
-- `uv lock --check` і `uv sync --frozen` — обовʼязкові;
-- `uv run ruff check --fix .` + `uv run ruff format .` — auto-fix (мутують робоче дерево, як `markdownlint-cli2 --fix` у lint-text);
-- `uv run mypy .` — статична перевірка типів;
-- усі `ruff`/`mypy`-кроки запускаються лише якщо інструмент доступний у середовищі (інакше крок пропускається з повідомленням).
-
-## CI: `.github/workflows/lint-python.yml`
-
-- Канон: [lint-python.yml.snippet.yml](./policy/lint_python_yml/template/lint-python.yml.snippet.yml)
-
-Без кроків `poetry install` / `snok/install-poetry` — лише `astral-sh/setup-uv@v8.0.0` + `uv sync --frozen`.
+[python-lint_python_yml-policy](./policy/lint_python_yml/lint_python_yml.mdc)

package/rules/python/policy/lint_python_yml/lint_python_yml.mdc

@@ -0,0 +1,12 @@
+## Rego-gate: перевірка `.github/workflows/lint-python.yml`
+
+Rego-пакет: `python.lint_python_yml`
+
+Цільовий файл: `.github/workflows/lint-python.yml`
+
+Перевіряє (drift-safe через `--data template`):
+
+- кожен `uses` з канону (підмножина) присутній у workflow: `actions/checkout@v6`, `./.github/actions/setup-bun-deps`, `astral-sh/setup-uv@v8.0.0`;
+- кожен `run` з канону є substring серед run-кроків: `uv sync --frozen`, `n-cursor lint python --read-only`.
+
+Канонічний workflow: [lint-python.yml.snippet.yml](./template/lint-python.yml.snippet.yml)

package/rules/python/policy/pyproject_toml/pyproject_toml.mdc

@@ -0,0 +1,13 @@
+## Rego-gate: перевірка `pyproject.toml`
+
+Rego-пакет: `python.pyproject_toml`
+
+Цільовий файл: `pyproject.toml`
+
+Дві групи правил:
+
+**1. Заборона Poetry** — перевіряє заборонені під-таблиці `[tool.*]` за deny-template (drift-safe через `--data template`): [pyproject.toml.deny.toml](./template/pyproject.toml.deny.toml)
+
+**2. PEP 621** — `[project].name` і `[project].version` мають бути непорожніми рядками.
+
+Канонічний цільовий вигляд: [pyproject.toml.snippet.toml](./template/pyproject.toml.snippet.toml)

package/rules/rego/js/rego-lint.mdc

@@ -0,0 +1,31 @@
+## Лінт Rego-файлів (opa / regal / conftest)
+
+```bash
+n-cursor lint rego
+```
+
+Цілі — `npm/rules/` (рекурсивно знаходить `.rego` у `<rule>/policy/<concern>/`).
+Інші `*.rego` поза деревом — додай у `LINT_TARGETS` у `npm/rules/rego/lint/lint.mjs`.
+
+`opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
+
+### Кроки лінту
+
+1. **`opa check --strict`** — компіляція з типами і строгим режимом: ловить мертвий код,
+   неоднозначні правила, незадекларовані змінні. Зупиняє пайплайн при помилці.
+2. **`regal lint`** — статичний лінтер: v0-синтаксис, неявні set-rules, відхилення від `rego.v1`,
+   bugs/idiomatic/performance-правила.
+3. **`conftest verify`** (опційно) — виконує `test_*` правила у `*_test.rego`.
+   Якщо `conftest` відсутній у `PATH` — пропускається без помилки (у CI потрібно встановити).
+
+### Конфіг regal
+
+У корені проєкту — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо
+(наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):
+
+```yaml title=".regal/config.yaml"
+rules:
+  idiomatic:
+    no-defined-entrypoint:
+      level: ignore
+```

package/rules/rego/js/vscode_extensions.mdc

@@ -0,0 +1,11 @@
+## Розширення VS Code для Rego
+
+`.vscode/extensions.json` має містити `tsandall.opa` у масиві `recommendations` —
+це забезпечує LSP-підтримку та форматування через `opa fmt` при збереженні.
+
+Канонічний сніпет: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+Перевірка — subset-of: кожне розширення зі сніпету має бути присутнє у `recommendations`.
+Додаткові розширення (від інших правил) — дозволені.
+
+Ціль (`target.json`): `.vscode/extensions.json` — обовʼязковий файл.

package/rules/rego/js/vscode_settings.mdc

@@ -0,0 +1,13 @@
+## Налаштування VS Code для Rego
+
+`.vscode/settings.json` має містити `[rego]`-блок з двома ключами:
+
+- `editor.defaultFormatter` = `"tsandall.opa"`
+- `editor.formatOnSave` = `true`
+
+Канонічний сніпет: [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
+
+Перевірка — leaf-by-leaf: кожен ключ/значення зі сніпету звіряється з файлом.
+Якщо `[rego]`-блок присутній, але не є обʼєктом — окрема помилка типу.
+
+Ціль (`target.json`): `.vscode/settings.json` — обовʼязковий файл.

package/rules/rego/main.mdc

@@ -9,31 +9,19 @@ alwaysApply: false
 
 Синтаксичні правила (`rego.v1`, `import rego.v1`, заборона legacy v0) — у `conftest.mdc` (alwaysApply). Цей файл — про **інструментарій**: VS Code, лінтери, форматування.
 
-## Перевірка
+[rego-rego-lint](./js/rego-lint.mdc)
 
-```bash
-n-cursor lint rego
-```
+## Швидкий gate через conftest
 
-Цілі — `npm/rules/` (рекурсивно знаходить `.rego` у `<rule>/policy/<concern>/`). Інші *.rego поза деревом додай у `LINT_TARGETS` у `npm/rules/rego/lint/lint.mjs`.
+| Пакет | Ціль | Що перевіряє |
+|---|---|---|
+| `rego.vscode_extensions` | `.vscode/extensions.json` | `recommendations` містить `tsandall.opa` |
+| `rego.vscode_settings` | `.vscode/settings.json` | `[rego]`-блок з `defaultFormatter` + `formatOnSave` |
 
-`opa` і `regal` — лише у `PATH`, **не** додавай у `dependencies` / `devDependencies`.
+[rego-vscode_extensions](./js/vscode_extensions.mdc)
 
-### `.vscode/extensions.json`
+[rego-vscode_settings](./js/vscode_settings.mdc)
 
-- Канон `recommendations` має містити `tsandall.opa` (LSP, format-on-save через `opa fmt`): [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+[rego-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
 
-### `.vscode/settings.json`
-
-- Канон `[rego]`-block (`editor.defaultFormatter` + `editor.formatOnSave`): [settings.json.snippet.json](./policy/vscode_settings/template/settings.json.snippet.json)
-
-## Конфіг regal
-
-У корені — `.regal/config.yaml`. Дозволено вимикати окремі правила під специфіку репо (наприклад, conftest-полісі — `deny`-правила як де-факто entrypoint-и):
-
-```yaml title=".regal/config.yaml"
-rules:
-  idiomatic:
-    no-defined-entrypoint:
-      level: ignore
-```
+[rego-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/rego/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,11 @@
+## Rego-перевірка наявності tsandall.opa у recommendations
+
+Rego-пакет: `rego.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+Перевіряє: поле `recommendations` містить рядок `"tsandall.opa"`. Порожній масив або відсутнє поле — deny. Додаткові записи дозволені.
+
+Канонічний сніпет: [extensions.json.snippet.json](./template/extensions.json.snippet.json)
+
+Логіка: subset-of — кожна рекомендація зі сніпету має бути присутня у `recommendations` вхідного файлу. Канон надходить через `--data` як `data.template.snippet`.

package/rules/rego/policy/vscode_settings/vscode_settings.mdc

@@ -0,0 +1,19 @@
+## Rego-gate: налаштування форматера rego у `.vscode/settings.json`
+
+Rego-пакет: `rego.vscode_settings`
+
+Цільовий файл: `.vscode/settings.json`
+
+Перевіряє `[rego]`-блок — два листові ключі:
+
+- `editor.defaultFormatter` має дорівнювати `"tsandall.opa"`
+- `editor.formatOnSave` має бути `true`
+
+Канонічний сніпет: [settings.json.snippet.json](./template/settings.json.snippet.json)
+
+Два незалежні deny-правила:
+
+1. Leaf-by-leaf: якщо `[rego]`-блок є обʼєктом — кожне ключ/значення зі сніпету звіряється з фактичним значенням (відсутнє або відмінне — deny).
+2. Тип: якщо `[rego]`-блок присутній, але не є обʼєктом (наприклад, рядок) — окрема помилка типу.
+
+Канон надходить через `--data` як `data.template.snippet`.

package/rules/rust/js/coverage.mdc

@@ -0,0 +1,28 @@
+## Покриття + мутаційне тестування Rust
+
+Покриття + мутаційне тестування Rust постачаються через `n-cursor coverage` (правило `test.mdc`). Реалізація провайдера — у `npm/rules/rust/coverage/coverage.mjs`: `cargo llvm-cov --json --summary-only` + `cargo mutants --jobs N`.
+
+Бінарники: `cargo install cargo-llvm-cov && cargo install cargo-mutants`.
+
+### Паралелізм cargo-mutants
+
+Паралельні воркери: дефолт `min(4, cpus/2)`; override через env **`CARGO_MUTANTS_JOBS`**. Прапорець `--in-place` відсутній — cargo-mutants створює власну sandbox-копію в `target/mutants.<i>/`, що сумісне з `--jobs > 1`.
+
+### Incremental mutation через `--in-diff`
+
+cargo-mutants **не** має persistent-кешу вердиктів між прогонами (на відміну від Stryker `incremental.json`). Штатний аналог «не передивляйся незмінений код» — scoping за git-diff. Вмикається env-змінною **`CARGO_MUTANTS_BASE_REF`**:
+
+- **не задано** (дефолт, типово для `main`) — повний прогін усіх мутантів;
+- задано (напр. `origin/main`, типово для feature-гілки в CI) — мутуються лише рядки, змінені у `<baseRef>...HEAD`. Провайдер бере `git diff --relative <baseRef>...HEAD` з каталогу crate, пише diff у sandbox і передає cargo-mutants `--in-diff`.
+
+Краєві випадки: порожній diff (немає змін під crate) → mutation `0/0` без запуску cargo-mutants; невідомий ref / не git-репо → попередження у stderr і fallback до повного прогону.
+
+### Пропуск baseline через `CARGO_MUTANTS_BASELINE=skip`
+
+cargo-mutants спершу ганяє немутований baseline (повний build+test), щоб переконатися, що suite зелений. **`CARGO_MUTANTS_BASELINE=skip`** прибирає цей крок (`--baseline skip`), економлячи один повний `cargo test`.
+
+Безпечно **лише** коли тести вже зелені у попередньому CI-степі (типовий порядок: `cargo test` → потім `n-cursor coverage` зі `skip`). Без цієї гарантії всі вердикти стають сміттєвими — дефолт: baseline-прогін. Найкорисніше в парі з `--in-diff`.
+
+### CI-кеш `target/` — множник
+
+`--in-diff` ріже **кількість** мутантів, кеш `target/` — **вартість кожної** компіляції; вони множаться. Без кешу холодний CI щоразу перебудовує всі залежності, і baseline-build (для Tauri — хвилини) затьмарює економію від меншої кількості мутантів. У workflow, що викликає `n-cursor coverage` для Rust, став `Swatinem/rust-cache@v2` після `dtolnay/rust-toolchain@stable`.

package/rules/rust/js/lint.mdc

@@ -0,0 +1,22 @@
+## Лінт Rust: rustfmt + clippy
+
+**rustfmt** ([rust-lang/rustfmt](https://github.com/rust-lang/rustfmt)) — форматер; **clippy** ([rust-lang/rust-clippy](https://github.com/rust-lang/rust-clippy)) — лінтер. Запуск — через **`n-cursor lint rust`** (адаптер `main.mjs`):
+
+- **локально (fix):** `cargo fmt --all` → `cargo clippy --fix --allow-staged --allow-dirty --all-targets --all-features` → фінальний `cargo clippy --all-targets --all-features -- -D warnings`
+- **`--read-only` (детект, CI):** `cargo fmt --all -- --check` + `cargo clippy --all-targets --all-features -- -D warnings`
+
+Без `Cargo.toml` у cwd — no-op (exit 0). Окремого `package.json`-скрипта немає.
+
+`cargo`, `rustfmt`, `clippy` **не додавай** у `devDependencies` — це Rust toolchain, ставиться через `rustup` локально або через `dtolnay/rust-toolchain@stable` у CI.
+
+### Канон CI workflow `.github/workflows/lint-rust.yml`
+
+[lint-rust.yml.snippet.yml](./policy/lint_rust_yml/template/lint-rust.yml.snippet.yml)
+
+Після `actions/checkout@v6` — `dtolnay/rust-toolchain@stable` (з `components: rustfmt, clippy`) + `Swatinem/rust-cache@v2` для кешу `~/.cargo` і `target/`. Bun composite дії тут не потрібен — toolchain ставиться напряму.
+
+**Перед** `actions/checkout@v6` у інших workflows йде стандартна послідовність (див. **ga.mdc**). У `lint-rust.yml` bun-composite не потрібен.
+
+Rego-перевірка `rust.lint_rust_yml` верифікує:
+- наявність кожного `uses` з канону (`actions/checkout@v6`, `dtolnay/rust-toolchain@stable`, `Swatinem/rust-cache@v2`);
+- наявність кожного `run`-кроку з канону як підрядка серед run-кроків input-файлу.

package/rules/rust/js/tauri_composition.mdc

@@ -0,0 +1,8 @@
+## Композиція з Tauri
+
+Tauri-проєкт завжди має `src-tauri/Cargo.toml`, тому правило `rust` активується автоматично разом з `tauri`. Поділ обов'язків:
+
+- `rust` — лінт через `n-cursor lint rust`, `rust-analyzer`, `even-better-toml`, CI workflow.
+- `tauri` — `tauri-apps.tauri-vscode` (див. **tauri.mdc**).
+
+Обидва правила перевіряють `.vscode/extensions.json` за `contains`-семантикою; конкурентного запису немає.

package/rules/rust/js/vscode_extensions.mdc

@@ -0,0 +1,12 @@
+## Розширення VS Code для Rust
+
+У `.vscode/extensions.json` поле `recommendations` **має містити**:
+
+- `rust-lang.rust-analyzer`
+- `tamasfe.even-better-toml`
+
+Перевірка `contains`-семантики: інші розширення дозволені, усі з канону мають бути присутні.
+
+Канон: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+
+Rego-перевірка `rust.vscode_extensions` для кожного запису з канону перевіряє його наявність у `recommendations` вхідного файлу.

package/rules/rust/main.mdc

@@ -5,44 +5,14 @@ alwaysApply: false
 version: '1.4'
 ---
 
-**rustfmt** ([rust-lang/rustfmt](https://github.com/rust-lang/rustfmt)) — форматер; **clippy** ([rust-lang/rust-clippy](https://github.com/rust-lang/rust-clippy)) — лінтер. Запуск — через **`n-cursor lint rust`** (адаптер `js/lint.mjs`): локально (fix) `cargo fmt --all` → `cargo clippy --fix --allow-staged --allow-dirty --all-targets --all-features` → фінальний `cargo clippy --all-targets --all-features -- -D warnings`; у `--read-only` (детект) — `cargo fmt --all -- --check` + `cargo clippy ... -- -D warnings`. Окремого `package.json`-скрипта немає. У CI cargo викликається напряму (див. `lint-rust.yml`).
+Правило забезпечує форматування (rustfmt), лінт (clippy), CI workflow та покриття для Rust-проєктів.
 
-`cargo`, `rustfmt`, `clippy` не додавай у `devDependencies` — це Rust toolchain, ставиться через `rustup` локально або через `dtolnay/rust-toolchain@stable` у CI.
+[rust-lint](./js/lint.mdc)
+[rust-vscode_extensions](./js/vscode_extensions.mdc)
+[rust-tauri_composition](./js/tauri_composition.mdc)
+[rust-coverage](./js/coverage.mdc)
 
-У `.vscode/extensions.json` `recommendations` мають містити `rust-lang.rust-analyzer` і `tamasfe.even-better-toml`: [extensions.json.snippet.json](./policy/vscode_extensions/template/extensions.json.snippet.json)
+## Швидкий gate через conftest
 
-Канон workflow `.github/workflows/lint-rust.yml`: [lint-rust.yml.snippet.yml](./policy/lint_rust_yml/template/lint-rust.yml.snippet.yml)
-
-Перед **`./.github/actions/setup-bun-deps`** в інших workflows йде **`actions/checkout@v6`** (див. **ga.mdc**). У **lint-rust.yml** після checkout — `dtolnay/rust-toolchain@stable` (з `components: rustfmt, clippy`) + `Swatinem/rust-cache@v2` для кешу `~/.cargo` і `target/`. Bun composite дії тут не потрібен — toolchain ставиться напряму.
-
-## Композиція з Tauri
-
-Tauri-проєкт завжди має `src-tauri/Cargo.toml`, тому правило `rust` активується автоматично разом з `tauri`. Поділ обов'язків:
-
-- `rust` — лінт через `n-cursor lint rust`, `rust-analyzer`, `even-better-toml`, CI workflow.
-- `tauri` — `tauri-apps.tauri-vscode` (див. **tauri.mdc**).
-
-Обидва правила перевіряють `.vscode/extensions.json` за `contains`-семантикою; конкурентного запису немає.
-
-## Покриття + мутаційне тестування Rust
-
-Покриття + мутаційне тестування Rust постачаються через `n-cursor coverage` (правило `test.mdc`). Реалізація провайдера — у `npm/rules/rust/coverage/coverage.mjs`: `cargo llvm-cov --json --summary-only` + `cargo mutants --jobs N` (паралельні воркери, дефолт `min(4, cpus/2)`; override через env `CARGO_MUTANTS_JOBS`). Прапорець `--in-place` прибраний — cargo-mutants створює власну sandbox-копію в `target/mutants.<i>/`, що сумісне з `--jobs > 1`. Бінарники: `cargo install cargo-llvm-cov && cargo install cargo-mutants`.
-
-### Incremental mutation через `--in-diff`
-
-cargo-mutants **не** має persistent-кешу вердиктів між прогонами (на відміну від Stryker `incremental.json`). Штатний аналог «не передивляйся незмінений код» — scoping за git-diff. Вмикається env-змінною **`CARGO_MUTANTS_BASE_REF`**:
-
-- **не задано** (дефолт, типово для `main`) — повний прогін усіх мутантів;
-- задано (напр. `origin/main`, типово для feature-гілки в CI) — мутуються лише рядки, змінені у `<baseRef>...HEAD`. Провайдер бере `git diff --relative <baseRef>...HEAD` з каталогу crate (шляхи в diff збігаються з тим, що мутує cargo-mutants навіть у monorepo з `src-tauri/`), пише його у sandbox і передає cargo-mutants `--in-diff`.
-
-Краєві випадки: порожній diff (немає змін під crate) → mutation `0/0` без запуску cargo-mutants; невідомий ref / не git-репо → попередження у stderr і fallback до повного прогону.
-
-### Пропуск baseline через `CARGO_MUTANTS_BASELINE=skip`
-
-cargo-mutants спершу ганяє немутований baseline (повний build+test), щоб переконатися, що suite зелений. Це **фіксована** вартість, незалежна від кількості мутантів — а отже більша частка дрібного `--in-diff`-прогону. **`CARGO_MUTANTS_BASELINE=skip`** прибирає цей крок (cargo-mutants `--baseline skip`), економлячи один повний `cargo test`.
-
-Безпечно **лише** коли тести вже зелені у попередньому CI-степі (типовий порядок: `cargo test` → потім `n-cursor coverage` зі `skip`). Без цієї гарантії всі вердикти стають сміттєвими, тому дефолт — baseline-прогін. Найкорисніше в парі з `--in-diff`.
-
-### CI-кеш `target/` — множник, без якого scoping невидимий
-
-`--in-diff` ріже **кількість** мутантів, кеш `target/` — **вартість кожної** компіляції; вони множаться. Без кешу холодний CI щоразу перебудовує всі залежності, і baseline-build (для Tauri — хвилини) затьмарює економію від меншої кількості мутантів. У workflow, що викликає `n-cursor coverage` для Rust, став `Swatinem/rust-cache@v2` (кеш `~/.cargo` + `target/`) після `dtolnay/rust-toolchain@stable` — так само, як у `lint-rust.yml`. Sandbox-копії `target/mutants.<i>/` самі не кешуються, але деривуються з кешованих залежностей.
+[rust-lint_rust_yml](./policy/lint_rust_yml/lint_rust_yml.mdc)
+[rust-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/rust/policy/lint_rust_yml/lint_rust_yml.mdc

@@ -0,0 +1,12 @@
+## Перевірка `.github/workflows/lint-rust.yml`
+
+Rego-пакет: `rust.lint_rust_yml`
+
+Цільовий файл: `.github/workflows/lint-rust.yml`
+
+Перевіряє:
+- кожен `uses`-крок з канону присутній у workflow (підмножина): `actions/checkout@v6`, `dtolnay/rust-toolchain@stable`, `Swatinem/rust-cache@v2`
+- кожен `run`-крок з канону присутній як підрядок серед усіх `run`-кроків: `cargo fmt --all -- --check`, `cargo clippy --all-targets --all-features -- -D warnings`
+- канон завантажується через `--data` з template-сніпету — drift-safe: зміна шаблону автоматично рухає перевірку
+
+Канонічний template: [lint-rust.yml.snippet.yml](./template/lint-rust.yml.snippet.yml)

package/rules/rust/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,9 @@
+## Перевірка `.vscode/extensions.json` (Rego-gate)
+
+Rego-пакет: `rust.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+Семантика `contains`: кожен запис з канону має бути присутнім у `recommendations` — додаткові розширення дозволені. Канон завантажується через `--data` з template-сніпету.
+
+Канонічний template: [extensions.json.snippet.json](./template/extensions.json.snippet.json)

package/rules/security/js/rego_policies.mdc

@@ -0,0 +1,15 @@
+## Rego-полісі: `package.json` і CI workflow
+
+### `security.package_json` — заборона `trufflehog` у залежностях
+
+Перевіряє, що `trufflehog` не потрапив у `dependencies` або `devDependencies` — він є глобальним CLI і не повинен бути npm-залежністю.
+
+- Канон deny-списку: [package.json.deny.json](../policy/package_json/template/package.json.deny.json)
+
+### `security.lint_security_yml` — CI workflow з TruffleHog
+
+Workflow `.github/workflows/lint-security.yml` обовʼязковий — забезпечує незалежний скан секретів на push/PR (агрегований `lint` локально + окремий fail-fast job на CI).
+
+Перевіряється, що серед `uses:` є крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.
+
+- Канон workflow: [lint-security.yml.snippet.yml](../policy/lint_security_yml/template/lint-security.yml.snippet.yml)

package/rules/security/js/sample_secret.mdc

@@ -0,0 +1,19 @@
+## Placeholder для секретів — `sample-secret`
+
+Фейкові credential-значення у **прикладних файлах** (`.env.example`, `.env.dist`, `*.example`, `*.sample`, `*.template`, вміст каталогів `fixtures/`) пиши як `sample-secret`, а не як bare `secret`.
+
+`sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює **гарантовано** й незалежно від версії. Bare `secret` наразі не фіксується сканером лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка поведінка, що залежить від версії інструмента.
+
+### Приклади
+
+- Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
+- Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
+
+### Що перевіряється
+
+Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються.
+
+Concern `security.sample_secret` (`js/sample_secret.mjs`) сканує всі прикладні файли:
+- суфікс basename'а: `.example`, `.sample`, `.template`, `.dist`
+- інфікс у basename'і: `.example.`, `.sample.`, `.template.`
+- сегмент шляху: `fixtures/`, `fixture/`, `__fixtures__/`

package/rules/security/js/trufflehog.mdc

@@ -0,0 +1,21 @@
+## TruffleHog — налаштування та `.trufflehog-exclude`
+
+[TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+
+Скан запускається через `n-cursor lint security` (CI — `n-cursor lint security --read-only`); окремого `lint-*` скрипта в `package.json` немає.
+
+### Ключові прапори запуску
+
+- `trufflehog filesystem .` — сканує робоче дерево як директорію (включно з untracked/gitignored файлами); підкоманда `git file://.` лишається на CI для аудиту історії.
+- `--no-update` — вимикає self-update check (CI-friendly).
+- `--exclude-paths .trufflehog-exclude` — файл з regex-patterns, які треба пропускати (аналог `[allowlist].paths` із gitleaks).
+- `--results=verified,unknown` — показує лише верифіковані секрети + ті, що TruffleHog не зміг перевірити (`unverified` дублікат відсіюється).
+- `--fail` — exit-code `183` за наявності знахідок (щоб лінт падав).
+
+### `.trufflehog-exclude` (рекомендована основа)
+
+Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./templates/trufflehog/.trufflehog-exclude.snippet.txt)
+
+**Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
+
+Перевірка (JS): `js/trufflehog.mjs` — впевнюється, що файл `.trufflehog-exclude` існує в корені й містить канонічні шаблони.

package/rules/security/main.mdc

@@ -5,46 +5,19 @@ alwaysApply: false
 version: '2.1'
 ---
 
-[TruffleHog](https://github.com/trufflesecurity/trufflehog) — глобальний CLI (як `shellcheck`, `conftest`); **не** додавай до `dependencies`/`devDependencies`.
+Правило **security** забезпечує сканування секретів через [TruffleHog](https://github.com/trufflesecurity/trufflehog) локально та на CI, а також правильне використання placeholder-значень у прикладних файлах.
 
-## Канон `package.json`
+[security-trufflehog](./js/trufflehog.mdc)
 
-Скан запускається через `n-cursor lint security` (CI — `n-cursor lint security --read-only`); окремого `lint-*` скрипта в `package.json` немає.
+[security-sample-secret](./js/sample_secret.mdc)
 
-- Заборонено `trufflehog` у `dependencies`/`devDependencies`: [package.json.deny.json](./policy/package_json/template/package.json.deny.json)
+[security-rego-policies](./js/rego_policies.mdc)
 
-**Зауваження:**
+## Швидкий gate через conftest
 
-- `trufflehog filesystem .` — сканує робоче дерево як директорію (включно з untracked/gitignored файлами); підкоманда `git file://.` лишається на CI для аудиту історії.
-- `--no-update` — вимикає self-update check (CI-friendly).
-- `--exclude-paths .trufflehog-exclude` — файл з regex-patterns, які треба пропускати (аналог `[allowlist].paths` із gitleaks).
-- `--results=verified,unknown` — показує лише верифіковані секрети + ті, що TruffleHog не зміг перевірити (`unverified` дублікат відсіюється).
-- `--fail` — exit-code `183` за наявності знахідок (щоб лінт падав).
+[security-package-json](./policy/package_json/package_json.mdc)
 
-## `.trufflehog-exclude` (рекомендована основа)
-
-Канон (допускає розширення): [.trufflehog-exclude.snippet.txt](./js/templates/trufflehog/.trufflehog-exclude.snippet.txt)
-
-**Важливо:** один regex-pattern на рядок, без TOML-обгортки; коментарі починаються з `#`.
-
-## CI: `.github/workflows/lint-security.yml`
-
-Workflow обовʼязковий — забезпечує незалежний скан секретів на push/PR (агрегований `lint` локально + окремий fail-fast job на CI).
-
-- Канон: [lint-security.yml.snippet.yml](./policy/lint_security_yml/template/lint-security.yml.snippet.yml)
-
-Перевіряється policy `security.lint_security_yml`: серед `uses:` має бути крок з `trufflesecurity/trufflehog@main`. Універсальні workflow-перевірки (checkout, permissions, persist-credentials) — у `ga.workflow_common`. Для повного скану історії потрібен `fetch-depth: 0`.
-
-## Placeholder для секретів — `sample-secret`
-
-Фейкові credential-значення у **прикладних файлах** (`.env.example`, `.env.dist`, `*.example`, `*.sample`, `*.template`, вміст каталогів `fixtures/`) пиши як `sample-secret`, а не як bare `secret`.
-
-`sample-secret` містить підрядок `sample` із вшитого списку `DefaultFalsePositives` TruffleHog — таке значення сканер відсіює **гарантовано** й незалежно від версії. Bare `secret` наразі не фіксується сканером лише тому, що випадково присутнє у словнику `fp_words.txt`; це крихка поведінка, що залежить від версії інструмента.
-
-- Правильно: `DB_PASSWORD=sample-secret`, `password: "sample-secret"`
-- Неправильно: `DB_PASSWORD=secret`, `password: "secret"`
-
-Перевіряється лише `secret` у позиції значення (після `=`, `:`, `=>`); імена ключів на кшталт `client_secret` не чіпаються. Concern `security.sample_secret` — деталі скану в `js/sample_secret.mjs`.
+[security-lint-security-yml](./policy/lint_security_yml/lint_security_yml.mdc)
 
 ## Перевірка
 

package/rules/security/policy/lint_security_yml/lint_security_yml.mdc

@@ -0,0 +1,7 @@
+## Наявність кроку TruffleHog у CI workflow
+
+Rego-пакет: `security.lint_security_yml`
+
+Цільові файли: `.github/workflows/lint-security.yml`
+
+Перевіряє, що серед `uses:` у workflow присутній крок `trufflesecurity/trufflehog@main`. Очікуваний перелік action-refs (не-`actions/*`) береться з `--data` через [lint-security.yml.snippet.yml](./template/lint-security.yml.snippet.yml). Універсальні кроки (`actions/*`) перевіряє `ga.workflow_common`.

package/rules/security/policy/package_json/package_json.mdc

@@ -0,0 +1,7 @@
+## Заборона `trufflehog` у залежностях `package.json`
+
+Rego-пакет: `security.package_json`
+
+Цільові файли: `package.json`
+
+Перевіряє, що пакет `trufflehog` відсутній у `dependencies` та `devDependencies` — він є глобальним CLI і не має бути npm-залежністю. Список заборонених пакетів надходить через `--data` з [package.json.deny.json](./template/package.json.deny.json).

package/rules/style/js/admin-table.mdc

@@ -0,0 +1,88 @@
+## Адмінські таблиці — n-admin-table
+
+Для таблиць, що мають займати всю висоту сторінки (або блоку), додавай клас `n-admin-table` і атрибути `hide-no-data`, `dense`, `flat`. Таблиця автоматично розтягнеться на весь доступний простір. У блоках меншої висоти — задай їм явний `height`.
+
+```vue
+<!-- ТАБЛИЦЯ -->
+<q-table class="n-admin-table" hide-no-data flat dense />
+```
+
+Якщо клас `.n-admin-table` не визначено в `app.scss` — додай:
+
+```scss
+// ADMIN TABLE
+.n-admin-table {
+  height: calc(100vh - 106px);
+
+  thead {
+    position: sticky;
+    z-index: 3;
+    top: 0;
+
+    tr th {
+      background-color: $grey-3;
+      height: 36px !important;
+    }
+  }
+
+  // tbody td {
+  //   font-size: 14px;
+  // }
+
+  tbody tr:last-child td {
+    border-bottom: 1px solid rgb(0 0 0 / 12%) !important;
+  }
+
+  th:first-child,
+  td:first-child,
+  th:last-child,
+  td:last-child {
+    width: 1px;
+    white-space: nowrap;
+  }
+
+  .q-table__bottom {
+    background-color: $grey-3;
+  }
+
+  .q-table__progress th {
+    height: 1px !important;
+  }
+
+  .text-wrap {
+    max-width: 250px;
+    white-space: normal;
+  }
+
+  // sticky columns
+  td.sticky-left {
+    position: sticky;
+    left: 0;
+    z-index: 2;
+    background-color: white;
+    box-shadow: 2px 0 5px #0002;
+  }
+
+  td.sticky-right {
+    position: sticky;
+    right: 0;
+    z-index: 2;
+    background-color: white;
+    box-shadow: -2px 0 5px #0002;
+  }
+
+  th.sticky-left {
+    position: sticky;
+    left: 0;
+    z-index: 3;
+    box-shadow: 2px 0 5px #0002;
+  }
+
+  th.sticky-right {
+    position: sticky;
+    right: 0;
+    z-index: 3;
+    box-shadow: -2px 0 5px #0002;
+  }
+}
+```

package/rules/style/js/colors.mdc

@@ -0,0 +1,21 @@
+## Кольори: quasar-variables.scss і app.scss
+
+Основні кольори визначай виключно через стандартні Quasar-змінні: `$primary`, `$secondary`, `$accent`, `$positive`, `$negative`, `$warning`.
+
+Якщо потрібен додатковий колір — визнач його в `quasar-variables.scss`, і **обов'язково** додай до `app.scss` відповідні `.text-*` / `.bg-*` класи:
+
+```scss
+/* quasar-variables.scss */
+$white-a1: color.adjust(white, $alpha: -0.85);
+```
+
+```scss
+/* app.scss */
+.text-white-a1 {
+  color: $white-a1 !important;
+}
+
+.bg-white-a1 {
+  background-color: $white-a1 !important;
+}
+```