npm - @nitra/cursor - Versions diffs - 12.8.7 → 12.8.8 - Mend

@nitra/cursor 12.8.7 → 12.8.8

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (106) hide show

package/CHANGELOG.md CHANGED Viewed

@@ -1,5 +1,11 @@
 # Changelog
+## [12.8.8] - 2026-06-22
+### Changed
+- ✨ feat(rules): policy mdc для всіх npm/rules/*/policy/<concern>/
 ## [12.8.7] - 2026-06-22
 ### Changed

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "12.8.7",
+  "version": "12.8.8",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/main.mdc CHANGED Viewed

@@ -48,11 +48,15 @@ bun add -d @nitra/abie-shared
 Пакети (директорія в **`npm/policy/abie/`** → namespace → що перевіряє):
-- **`http_route_base/`** → `abie.http_route_base` — у HTTPRoute під `…/k8s/.../base/...` усі `spec.hostnames` мають бути в домені `aiml.live` (включно з `*.aiml.live` та піддоменами). **Цільові файли:** `…/k8s/.../base/.../hr.yaml`.
-- **`health_check_policy/`** → `abie.health_check_policy` — структура HealthCheckPolicy: `apiVersion: networking.gke.io/v1`, `metadata.name`, `spec.default.config.type: HTTP`, `httpHealthCheck.requestPath` починається з `/`, `port: 8080`, `targetRef.kind: Service`, `targetRef.name` має суфікс `-hl`. **Цільові файли:** `…/k8s/.../hc.yaml`.
-- **`base_deployment_preem/`** → `abie.base_deployment_preem` — Deployment у base/ має `spec.template.spec.nodeSelector.preem` зі значенням `true` (boolean або рядок). **Цільові файли:** ресурсні YAML під `…/k8s/.../base/...`.
-- **`clean_merged_ignore_branches/`** → `abie.clean_merged_ignore_branches` — у workflow `.github/workflows/clean-merged-branch.yml` крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` має `with.ignore_branches`, що містить токени `dev,ua` (case-insensitive). **Цільові файли:** `.github/workflows/clean-merged-branch.yml`.
-- **`package_json_shared/`** → `abie.package_json_shared` — у кореневому `package.json` `devDependencies` має містити `@nitra/abie-shared` (presence-only, версію не фіксуємо). **Цільові файли:** `package.json`.
+[abie-http-route-base](./policy/http_route_base/http_route_base.mdc)
+[abie-health-check-policy](./policy/health_check_policy/health_check_policy.mdc)
+[abie-base-deployment-preem](./policy/base_deployment_preem/base_deployment_preem.mdc)
+[abie-clean-merged-ignore-branches](./policy/clean_merged_ignore_branches/clean_merged_ignore_branches.mdc)
+[abie-package-json-shared](./policy/package_json_shared/package_json_shared.mdc)
 Cross-file / FS-логіка лишається у JS-частинах (`js/<concern>.mjs`) — Rego не читає файлову систему й не робить cross-document резолюцію:

package/rules/abie/policy/base_deployment_preem/base_deployment_preem.mdc ADDED Viewed

@@ -0,0 +1,22 @@
+## Rego: `nodeSelector.preem` у base-Deployment
+Rego-пакет: `abie.base_deployment_preem`
+Цільові файли: YAML-маніфести Deployment під `…/k8s/.../base/…`.
+Перевіряє, що кожен `Deployment` має `spec.template.spec.nodeSelector.preem` зі значенням `true` (boolean `true` або рядок `"true"` — без урахування регістру, з обрізаними пробілами). Значення `false` або відсутність ключа — deny.
+ua-overlay далі підміняє це значення на `preem: false` через JSON6902-патч (`js/ua_node_selector.mjs`). Cross-document перевірка ua-патча — поза Rego.
+```yaml title="…/k8s/base/deployment.yaml (фрагмент)"
+spec:
+  template:
+    spec:
+      nodeSelector:
+        preem: "true"   # ✓ або boolean true
+```
+```yaml
+      nodeSelector:
+        role: worker    # ✗ preem відсутній
+```

package/rules/abie/policy/clean_merged_ignore_branches/clean_merged_ignore_branches.mdc ADDED Viewed

@@ -0,0 +1,19 @@
+## Rego: `ignore_branches` у `clean-merged-branch.yml`
+Rego-пакет: `abie.clean_merged_ignore_branches`
+Цільовий файл: `.github/workflows/clean-merged-branch.yml`.
+Перевіряє, що у workflow-файлі є крок з `uses: phpdocker-io/github-actions-delete-abandoned-branches` і що його `with.ignore_branches` містить обидва токени `dev` та `ua` (case-insensitive, пробіли навколо токенів обрізаються). Токени зчитуються з template-файлу `data.template.snippet` — зміна канону автоматично змінює вимоги.
+Канонічний snippet: [clean-merged-branch.yml.snippet.yml](./template/clean-merged-branch.yml.snippet.yml)
+```yaml title=".github/workflows/clean-merged-branch.yml (фрагмент)"
+      - uses: phpdocker-io/github-actions-delete-abandoned-branches@v2
+        with:
+          ignore_branches: "dev,ua,main"   # ✓ містить dev та ua
+```
+```yaml
+          ignore_branches: "main"          # ✗ не вистачає dev,ua
+```

package/rules/abie/policy/health_check_policy/health_check_policy.mdc ADDED Viewed

@@ -0,0 +1,17 @@
+## Rego: структура `HealthCheckPolicy` у `hc.yaml`
+Rego-пакет: `abie.health_check_policy`
+Цільові файли: `…/k8s/.../hc.yaml`.
+Перевіряє для `kind: HealthCheckPolicy` (з `apiVersion` що починається на `networking.gke.io/`):
+- `apiVersion` — точно `networking.gke.io/v1`;
+- `metadata.name` — непорожній рядок;
+- `spec.default.config.type` — `HTTP`;
+- `spec.default.config.httpHealthCheck.requestPath` — непорожній, починається з `/`;
+- `spec.default.config.httpHealthCheck.port` — `8080`;
+- `spec.targetRef.kind` — `Service`;
+- `spec.targetRef.name` — `<metadata.name>-hl` (якщо `metadata.name` вже закінчується на `-hl` — використовується як є).
+FS-парність HCP↔Deployment та modeline `$schema` у `hc.yaml` — поза Rego, у `js/hc_pairing.mjs`. JS-опис структури та приклад — у `js/hc_pairing.mdc`.

package/rules/abie/policy/http_route_base/http_route_base.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## Rego: `HTTPRoute` у base-шарі — домени `aiml.live`
+Rego-пакет: `abie.http_route_base`
+Цільові файли: `…/k8s/.../base/.../*.yaml` типу HTTPRoute.
+Перевіряє, що кожен hostname у `spec.hostnames` належить до домену `aiml.live`: точна відповідність `aiml.live`, wildcard `*.aiml.live` або будь-який піддомен `*.aiml.live`. Перевірка case-insensitive. Не є HTTPRoute — пакет не діє.
+JS-частина (cross-file аналіз ua-overlay, backendRefs, тощо) — у `js/ua_http_route.mjs`. Людинозрозумілий опис + приклади — у `js/http_route_base.mdc`.

package/rules/abie/policy/package_json_shared/package_json_shared.mdc ADDED Viewed

@@ -0,0 +1,17 @@
+## Rego: `@nitra/abie-shared` у `devDependencies`
+Rego-пакет: `abie.package_json_shared`
+Цільовий файл: `package.json` (кореневий).
+Перевіряє presence-only: `devDependencies` має містити ключ `@nitra/abie-shared`. Версію не фіксує. Якщо ключ є лише у `dependencies` (не `devDependencies`) — deny.
+JS-опис та інструкція встановлення — у секції «`@nitra/abie-shared` у `devDependencies`» в `main.mdc`.
+```json title="package.json (фрагмент)"
+{
+  "devDependencies": {
+    "@nitra/abie-shared": "^1.0.0"   // ✓
+  }
+}
+```

package/rules/adr/main.mdc CHANGED Viewed

@@ -78,4 +78,8 @@ Cursor Agent читає project-level **`.cursor/hooks.json`**. `npx @nitra/curs
 [adr-settings-policy](./js/settings_policy.mdc)
+[adr-settings_json-policy](./policy/settings_json/settings_json.mdc)
+[adr-settings_local_json-policy](./policy/settings_local_json/settings_local_json.mdc)
 [adr-hooks](./js/hooks.mdc)

package/rules/adr/policy/settings_json/settings_json.mdc ADDED Viewed

@@ -0,0 +1,7 @@
+## Наявність ADR Stop-хуків у `.claude/settings.json`
+Rego-пакет: `adr.settings_json`
+Цільовий файл: `.claude/settings.json`
+Перевіряє, що project-shared файл містить **обидва** managed Stop-хуки — `capture-decisions.sh` і `normalize-decisions.sh` — у `hooks.Stop[*].hooks[*].command`. Помилка, якщо маркер будь-якого зі скриптів відсутній.

package/rules/adr/policy/settings_local_json/settings_local_json.mdc ADDED Viewed

@@ -0,0 +1,7 @@
+## Відсутність дублів ADR Stop-хуків у `.claude/settings.local.json`
+Rego-пакет: `adr.settings_local_json`
+Цільовий файл: `.claude/settings.local.json`
+Перевіряє **зворотне** до `adr.settings_json`: local-файл **не повинен** містити маркерів `capture-decisions.sh` або `normalize-decisions.sh` у `hooks.Stop[*].hooks[*].command` — інакше кожен скрипт виконається двічі на одну Stop-подію.

package/rules/bun/main.mdc CHANGED Viewed

@@ -17,7 +17,6 @@ version: '2.1'
 ## Швидкий gate через conftest
-| Namespace | Що перевіряє |
-|---|---|
-| `bun.bunfig` | Відповідність `bunfig.toml` канонічному шаблону (секції + leaf-ключі) |
-| `bun.package_json` | Заборонені top-level поля у root `package.json`; `devDependencies` лише `@nitra/*` + root-only test peers |
+[bun-policy-bunfig](./policy/bunfig/bunfig.mdc)
+[bun-policy-package_json](./policy/package_json/package_json.mdc)

package/rules/bun/policy/bunfig/bunfig.mdc ADDED Viewed

@@ -0,0 +1,12 @@
+## Rego-gate: відповідність bunfig.toml канонічному шаблону
+Rego-пакет: `bun.bunfig`
+Цільовий файл: `bunfig.toml` (корінь репо).
+Шаблон (leaf-значення, які gate порівнює): [bunfig.toml.snippet.toml](./template/bunfig.toml.snippet.toml)
+Gate порівнює кожен leaf-ключ у кожній секції шаблону з фактичним значенням у `bunfig.toml`. Зайві ключі та секції — ігноруються. Deny-повідомлення виникає, якщо:
+- секція відсутня або не є обʼєктом (`bunfig.toml: відсутня секція [install]`)
+- leaf-ключ має інше значення (`bunfig.toml: у секції [install] має бути linker = "hoisted"`)

package/rules/bun/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,14 @@
+## Rego-gate: заборонені поля та devDependencies у кореневому package.json
+Rego-пакет: `bun.package_json`
+Цільовий файл: кореневий `package.json`.
+Список заборонених top-level полів (template-driven): [package.json.deny.json](./template/package.json.deny.json)
+Gate виносить два класи deny:
+1. **Заборонені top-level поля** — будь-яке поле з `package.json.deny.json` присутнє у файлі (навіть із порожнім значенням `{}`).
+2. **devDependencies не з білого списку** — дозволені лише `@nitra/*` та root-only тестові peer/tools (`vitest`, `@vitest/coverage-v8`, `@stryker-mutator/vitest-runner`, `@playwright/test`). Будь-який інший пакет → deny.
+Перевірки, що потребують FS або cross-file контексту (наприклад наявність `yarn.lock`), лишаються у JS-шарі.

package/rules/capacitor/main.mdc CHANGED Viewed

@@ -13,8 +13,6 @@ version: '1.1'
 ## Швидкий gate через conftest
-| namespace | що перевіряє |
-|---|---|
-| `capacitor.package_json` | версія `@capacitor/core` у `dependencies` — мінімум major 8 (спрощений JS-порт для одиничного `package.json`) |
+[capacitor-package_json](./policy/package_json/package_json.mdc)
 JS-перевірка (`platforms.mjs`) — authoritative: підтримує `||`-діапазони, hyphen-range, workspace-monorepo та iOS-специфічну логіку (Podfile).

package/rules/capacitor/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## Rego-gate: версія `@capacitor/core` у `package.json`
+Rego-пакет: `capacitor.package_json`
+Цільовий файл: `package.json` (один файл, `target.json` → `files.single`).
+Перевіряє наявність `dependencies["@capacitor/core"]` і вимагає, щоб перша мажорна цифра діапазону була ≥ 8. Значення `workspace:*` пропускається без помилки.
+Спрощений порт JS-логіки: `||`-діапазони та hyphen-range — лише у JS (`fix.mjs`). Цей gate — швидка перевірка одиничного `package.json` (наприклад, через IDE або conftest у CI).

package/rules/ci4/main.mdc CHANGED Viewed

@@ -375,3 +375,5 @@ Rego-перевірки, що запускаються через `conftest` у
 [ci4-marksman_config](./js/marksman_config.mdc)
 [ci4-vscode_extensions](./js/vscode_extensions.mdc)
+[ci4-vscode_extensions-policy](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/ci4/policy/vscode_extensions/vscode_extensions.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## Rego-gate: обовʼязкові розширення VSCode
+Rego-пакет: `ci4.vscode_extensions`
+Цільовий файл: `.vscode/extensions.json`
+Перевіряє, що кожен запис з `data.template.snippet.recommendations` присутній у `input.recommendations`. Канонічний шаблон надходить через `--data` у conftest: [extensions.json.snippet.json](./template/extensions.json.snippet.json)
+Додаткові розширення в масиві дозволені — deny лише на відсутність обовʼязкових.

package/rules/docker/main.mdc CHANGED Viewed

@@ -15,9 +15,7 @@ alwaysApply: false
 ## Швидкий gate через conftest
-| Пакет | Що перевіряє |
-|---|---|
-| `docker.lint_docker_yml` | `.github/workflows/lint-docker.yml` відповідає канонічному сніпету (paths, uses, run-підрядки) |
+[docker-lint_docker_yml](./policy/lint_docker_yml/lint_docker_yml.mdc)
 [docker-mirror](./js/mirror.mdc)

package/rules/docker/policy/lint_docker_yml/lint_docker_yml.mdc ADDED Viewed

@@ -0,0 +1,14 @@
+## Перевірка `.github/workflows/lint-docker.yml`
+Rego-пакет: `docker.lint_docker_yml`
+Цільовий файл: `.github/workflows/lint-docker.yml`
+Перевіряє, що CI-workflow lint-docker відповідає канонічному сніпету:
+- `on.push.paths` містить усі три glob-маски: `**/Dockerfile`, `**/*.Dockerfile`, `**/*.dockerfile`
+- присутні кроки `uses: actions/checkout@v6` та `uses: ./.github/actions/setup-bun-deps`
+- крок install hadolint містить рядок із версією `v2.12.0` (substring-перевірка)
+- крок lint містить `n-cursor lint docker --read-only`
+Канонічний шаблон: [lint-docker.yml.snippet.yml](./template/lint-docker.yml.snippet.yml)

package/rules/efes/main.mdc CHANGED Viewed

@@ -20,4 +20,4 @@ bun add -d @nitra/efes-shared
 Пакети (директорія в **`npm/rules/efes/policy/`** → namespace → що перевіряє):
-- **`package_json_shared/`** → `efes.package_json_shared` — у кореневому `package.json` `devDependencies` має містити `@nitra/efes-shared` (presence-only, версію не фіксуємо). **Цільові файли:** `package.json`.
+[efes-package_json_shared](./policy/package_json_shared/package_json_shared.mdc)

package/rules/efes/policy/package_json_shared/package_json_shared.mdc ADDED Viewed

@@ -0,0 +1,30 @@
+## Наявність `@nitra/efes-shared` у `devDependencies`
+Rego-пакет: `efes.package_json_shared`
+**Цільовий файл:** `package.json` (корінь проєкту, обовʼязковий).
+**Що перевіряється:** у `devDependencies` кореневого `package.json` має бути ключ `@nitra/efes-shared`. Версію не фіксуємо — лише presence. Наявність лише у `dependencies` (не `devDependencies`) — теж помилка.
+**Виправлення:**
+```bash
+bun add -d @nitra/efes-shared
+```
+**Приклади:**
+✓ правильно — `devDependencies` містить пакет:
+```json
+{ "devDependencies": { "@nitra/efes-shared": "^1.0.0" } }
+```
+✗ неправильно — `devDependencies` відсутній або порожній:
+```json
+{ "name": "my-project" }
+```
+✗ неправильно — пакет лише у `dependencies`:
+```json
+{ "dependencies": { "@nitra/efes-shared": "^1.0.0" } }
+```

package/rules/ga/main.mdc CHANGED Viewed

@@ -21,13 +21,18 @@ alwaysApply: false
 ## Швидкий gate через conftest
-Rego-пакети (namespace → що перевіряє):
-- `ga.workflow_common` — усі `*.yml`: concurrency, composite setup-bun-deps, run:>-, мінімальні версії actions, заборона depcheck
-- `ga.clean_ga_workflows` — структура `clean-ga-workflows.yml` (cron, permissions, cleanup step)
-- `ga.clean_merged_branch` — структура `clean-merged-branch.yml` (cron, permissions, ignore_branches, dry_run)
-- `ga.lint_ga` — структура `lint-ga.yml` (triggers, conftest install, n-cursor lint ga --read-only)
-- `ga.git_ai` — структура `git-ai.yml` (pr closed trigger, git-ai install + run)
-- `ga.vscode_extensions` — `.vscode/extensions.json`: рекомендація `github.vscode-github-actions`
-- `ga.vscode_settings` — `.vscode/settings.json`: `editor.defaultFormatter` для github-actions-workflow
-- `ga.zizmor_yml` — `.github/zizmor.yml`: `rules.unpinned-uses.config.policies["*"]`
+[ga-workflow_common](./policy/workflow_common/workflow_common.mdc)
+[ga-clean_ga_workflows](./policy/clean_ga_workflows/clean_ga_workflows.mdc)
+[ga-clean_merged_branch](./policy/clean_merged_branch/clean_merged_branch.mdc)
+[ga-lint_ga](./policy/lint_ga/lint_ga.mdc)
+[ga-git_ai](./policy/git_ai/git_ai.mdc)
+[ga-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
+[ga-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)
+[ga-zizmor_yml](./policy/zizmor_yml/zizmor_yml.mdc)

package/rules/ga/policy/clean_ga_workflows/clean_ga_workflows.mdc ADDED Viewed

@@ -0,0 +1,18 @@
+## Структура `clean-ga-workflows.yml` — видалення завершених workflow runs
+Rego-пакет: `ga.clean_ga_workflows`
+**Цільовий файл:** `.github/workflows/clean-ga-workflows.yml`
+### Що перевіряється
+- `name` — точна відповідність значенню з template
+- `on.schedule[].cron` — має містити cron із template (`0 1 16 * *`)
+- `on.workflow_dispatch` — має бути об'єктом `{}`
+- `jobs.cleanup_old_workflows` — job має існувати
+- `jobs.cleanup_old_workflows.runs-on` — відповідно до template (`ubuntu-latest`)
+- `jobs.cleanup_old_workflows.permissions` — `actions: write`, `contents: read`
+- `steps[0].name` і `steps[0].uses` — відповідно до template (`dmvict/clean-workflow-runs@v1`)
+- `steps[0].with` — `token`, `save_period`, `save_min_runs_number` як у template
+Канон: [clean-ga-workflows.yml.snippet.yml](./template/clean-ga-workflows.yml.snippet.yml)

package/rules/ga/policy/clean_merged_branch/clean_merged_branch.mdc ADDED Viewed

@@ -0,0 +1,22 @@
+## Структура `clean-merged-branch.yml` — видалення злитих гілок
+Rego-пакет: `ga.clean_merged_branch`
+**Цільовий файл:** `.github/workflows/clean-merged-branch.yml`
+### Що перевіряється
+- `name` — точна відповідність значенню з template
+- `on.schedule[].cron` — має містити cron із template (`0 1 15 * *`)
+- `on.workflow_dispatch` — має бути об'єктом `{}`
+- `jobs.cleanup_old_branches` — job має існувати
+- `jobs.cleanup_old_branches.permissions` — кожне поле із template (`contents: write`, `pull-requests: read`)
+- `steps` — має бути рівно 2 кроки
+- `steps[0].id` — `delete_stuff`; `steps[0].uses` — `phpdocker-io/github-actions-delete-abandoned-branches@v2.0.3`
+- `steps[0].with.github_token`, `last_commit_age_days` — за template
+- `steps[0].with.ignore_branches` — має містити всі гілки з template (`main,dev`)
+- `steps[0].with.dry_run` — `no` (нормалізується: YAML 1.1 `no` → boolean `false` у conftest)
+- `steps[1].name` — за template; `steps[1].env.DELETED_BRANCHES` — за template
+- `steps[1].run` — містить `Deleted branches:` та `${DELETED_BRANCHES}`
+Канон: [clean-merged-branch.yml.snippet.yml](./template/clean-merged-branch.yml.snippet.yml)

package/rules/ga/policy/git_ai/git_ai.mdc ADDED Viewed

@@ -0,0 +1,19 @@
+## Структура `git-ai.yml` — автоматичний запуск git-ai після мержу PR
+Rego-пакет: `ga.git_ai`
+**Цільовий файл:** `.github/workflows/git-ai.yml`
+### Що перевіряється
+- `name` — точна відповідність значенню з template (`Git AI`)
+- `on.pull_request.types` — має містити `closed`
+- `jobs.git-ai` — job має існувати
+- `jobs.git-ai.if` — містить `github.event.pull_request.merged == true`
+- `jobs.git-ai.permissions.contents` — за template (`write`)
+- `steps[*].run` (сукупно) — містить substring `https://usegitai.com/install.sh` (інсталяція)
+- `steps[*].run` (сукупно) — містить substring `git-ai ci github run` (запуск)
+Substring-перевірки замість exact-match через крихкість multi-line `run:` блоків.
+Канон: [git-ai.yml.snippet.yml](./template/git-ai.yml.snippet.yml)

package/rules/ga/policy/lint_ga/lint_ga.mdc ADDED Viewed

@@ -0,0 +1,21 @@
+## Структура `lint-ga.yml` — CI-лінт GitHub Actions файлів
+Rego-пакет: `ga.lint_ga`
+**Цільовий файл:** `.github/workflows/lint-ga.yml`
+### Що перевіряється
+- `name` — точна відповідність значенню з template (`Lint GA`)
+- `on.push.branches` — superset: містить `dev` і `main`
+- `on.pull_request.branches` — superset: містить `dev` і `main`
+- `on.push.paths` — superset: містить `.github/actions/**` і `.github/workflows/**`
+- `jobs.lint-ga` — job має існувати
+- `jobs.lint-ga.runs-on` — за template (`ubuntu-latest`)
+- `jobs.lint-ga.permissions.contents` — `read`
+- `jobs.lint-ga.steps` — не порожній
+- `steps[*].uses` — кожен `uses:` з template має бути присутнім у кроках
+- `steps[*].run` (сукупно) — містить `open-policy-agent/conftest` (Install conftest)
+- `steps[*].run` (сукупно) — містить `n-cursor lint ga --read-only`
+Канон: [lint-ga.yml.snippet.yml](./template/lint-ga.yml.snippet.yml)

package/rules/ga/policy/vscode_extensions/vscode_extensions.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## `.vscode/extensions.json` — розширення для GitHub Actions
+Rego-пакет: `ga.vscode_extensions`
+**Цільовий файл:** `.vscode/extensions.json`
+Кожне розширення з template має бути присутнє у `recommendations`. Додаткові розширення від інших правил — допустимі (subset-перевірка).
+Канон: [extensions.json.snippet.json](./template/extensions.json.snippet.json)

package/rules/ga/policy/vscode_settings/vscode_settings.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## `.vscode/settings.json` — налаштування форматування GitHub Actions workflow
+Rego-пакет: `ga.vscode_settings`
+**Цільовий файл:** `.vscode/settings.json`
+Перевіряє 2-рівневу структуру: для кожного `<block-key>` з template кожен `<leaf-key>` у відповідному блоці input має точно відповідати очікуваному значенню. Ключі можуть містити дужки та крапки (VS Code-конвенція, наприклад `[github-actions-workflow]`).
+Канон: [settings.json.snippet.json](./template/settings.json.snippet.json)

package/rules/ga/policy/workflow_common/workflow_common.mdc ADDED Viewed

@@ -0,0 +1,18 @@
+## Універсальні Rego-перевірки для всіх workflow-файлів
+Rego-пакет: `ga.workflow_common`
+**Цільові файли:** `.github/workflows/*.yml` (кожен файл окремо)
+### Що перевіряється
+- **concurrency** — обов'язкова наявність блоку; `group` = `${{ github.ref }}-${{ github.workflow }}`; `cancel-in-progress: true`
+- **Заборонені кроки** — `oven-sh/setup-bun`, `actions/cache`, `bun install` у будь-якому `uses:`/`run:` (мають бути інкапсульовані у composite `setup-bun-deps`)
+- **Порядок кроків** — якщо є `setup-bun-deps`, перед ним обов'язковий `actions/checkout@`
+- **Shell-продовження** — `\` перед переносом рядка у `run:` заборонено; треба `run: >-`
+- **Заборонені команди** — `depcheck` у `run:` (мігровано на `knip`)
+- **Мінімальні версії** — `uses:` з marketplace-actions перевіряються за канонічним JSON
+Канон мінімальних версій: [uses-min-versions.snippet.json](./template/uses-min-versions.snippet.json)
+Детальна документація поведінки — у [ga-workflow_common](../../js/workflow_common.mdc).

package/rules/ga/policy/zizmor_yml/zizmor_yml.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## `.github/zizmor.yml` — конфігурація zizmor для unpinned-uses
+Rego-пакет: `ga.zizmor_yml`
+**Цільовий файл:** `.github/zizmor.yml`
+Перевіряє `rules.unpinned-uses.config.policies["*"]` — значення має точно відповідати template (`ref-pin`). Всі вкладені об'єкти читаються через `object.get` із дефолтами, тож відсутні ключі коректно детектуються як порушення.
+Канон: [zizmor.yml.snippet.yml](./template/zizmor.yml.snippet.yml)

package/rules/graphql/main.mdc CHANGED Viewed

@@ -10,3 +10,5 @@ alwaysApply: false
 [graphql-tooling](./js/tooling.mdc)
 [graphql-vscode-extensions](./js/vscode_extensions.mdc)
+[graphql-vscode-extensions-policy](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/graphql/policy/vscode_extensions/vscode_extensions.mdc ADDED Viewed

@@ -0,0 +1,9 @@
+## Rego-перевірка наявності graphql.vscode-graphql у recommendations
+Rego-пакет: `graphql.vscode_extensions`
+Цільовий файл: `.vscode/extensions.json` (передається явно через `runConftestBatch` — без `target.json`, тому не auto-discoverable).
+Перевіряє: поле `recommendations` містить рядок `"graphql.vscode-graphql"`. Порожній масив або відсутнє поле — deny. Додаткові записи дозволені.
+Запускається умовно — лише якщо JS-сканер виявив `gql\`…\`` у джерелах проєкту.

package/rules/hasura/main.mdc CHANGED Viewed

@@ -15,6 +15,4 @@ alwaysApply: false
 ## Швидкий gate через conftest
-| Пакет | Файл | Що перевіряє |
-|---|---|---|
-| `hasura.svc_hl` | `policy/svc_hl/svc_hl.rego` | Іменування headless/clusterIP Service: суфікси `-h-hl` та `-h` |
+[hasura-svc_hl](./policy/svc_hl/svc_hl.mdc)

package/rules/hasura/policy/svc_hl/svc_hl.mdc ADDED Viewed

@@ -0,0 +1,15 @@
+## Rego-gate: іменування headless та clusterIP Service
+Rego-пакет: `hasura.svc_hl`
+Цільові файли: `hasura/k8s/base/svc.yaml`, `hasura/k8s/base/svc-hl.yaml`
+Перевіряє два правила іменування Kubernetes Service:
+- **Headless Service** (`spec.clusterIP: None`) — ім'я має закінчуватись на `-h-hl`
+- **ClusterIP Service** (не headless) — ім'я має закінчуватись на `-h`
+Ресурси з `kind != "Service"` пропускаються без помилок.
+✓ `db-h-hl` (headless), `db-h` (clusterIP)
+✗ `contract-h` як headless, `db-h-hl` як clusterIP

package/rules/image-avif/main.mdc CHANGED Viewed

@@ -13,6 +13,4 @@ alwaysApply: false
 ## Швидкий gate через conftest
-| Rego-пакет | Що перевіряє |
-|---|---|
-| `image_avif.package_json` | typo-ключі, тип поля та тип `disable-avif` в опт-аут конфігу `package.json` |
+[image-avif-package_json](./policy/package_json/package_json.mdc)

package/rules/image-avif/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,18 @@
+## Rego-gate: структура опт-аут конфігу у package.json
+Rego-пакет: `image-avif.package_json`
+Цільові файли: `package.json` (передається через `--input` у conftest).
+Перевіряє три умови:
+- **Тип поля** — `"@nitra/minify-image"` має бути обʼєктом (якщо задано); рядок, масив чи boolean → deny.
+- **Тип прапора** — `"@nitra/minify-image.disable-avif"` має бути `boolean`; рядок або число → deny.
+- **Typo-ключі** — забороняє ключі зі списку deny-template [`package.json.deny.json`](./template/package.json.deny.json) (наприклад, `"disabled-avif"` замість `"disable-avif"`).
+Deny-template: [package.json.deny.json](./template/package.json.deny.json)
+✓ `{ "@nitra/minify-image": { "disable-avif": true } }`
+✗ `{ "@nitra/minify-image": { "disabled-avif": true } }` — typo-ключ
+✗ `{ "@nitra/minify-image": "disable-avif" }` — поле не є обʼєктом
+✗ `{ "@nitra/minify-image": { "disable-avif": "yes" } }` — не boolean

package/rules/image-compress/main.mdc CHANGED Viewed

@@ -15,4 +15,4 @@ CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (
 ## Швидкий gate через conftest
-- `image_compress.package_json` — забороняє `@nitra/minify-image` у `dependencies`/`devDependencies` проєкту
+[image-compress-package_json](./policy/package_json/package_json.mdc)

package/rules/image-compress/policy/package_json/package_json.mdc ADDED Viewed

@@ -0,0 +1,13 @@
+## Заборона `@nitra/minify-image` у залежностях (`package.json`)
+Rego-пакет: `image_compress.package_json`
+Цільовий файл: `package.json` (єдиний файл проєкту).
+Перевіряє поля `dependencies` та `devDependencies`: якщо там присутній пакет `@nitra/minify-image` — deny. Список заборонених пакетів надходить через `--data` з канонічного шаблону:
+[package.json.deny.json](./template/package.json.deny.json)
+✓ `{}` — порожній `package.json` без залежностей
+✗ `{ "dependencies": { "@nitra/minify-image": "^4.0.1" } }` — заборонено, використовуй `npx`
+✗ `{ "devDependencies": { "@nitra/minify-image": "^4.0.1" } }` — заборонено, використовуй `npx`

package/rules/js/main.mdc CHANGED Viewed

@@ -35,9 +35,10 @@ version: '1.30'
 Rego-пакети у `policy/` — запускаються `npx @nitra/cursor fix js` або `conftest`:
-| Namespace | Що перевіряє |
-|---|---|
-| `js_lint.package_json` | `package.json`: `"type": "module"`, `engines.node >= 24`, `engines.bun >= 1.3`, `@nitra/eslint-config` >= semver-поріг |
-| `js_lint.jscpd` | `.jscpd.json`: `gitignore`, `exitCode`, `reporters` (subset), `minLines >= канон` |
-| `js_lint.lint_js_yml` | `.github/workflows/lint-js.yml`: required uses/run кроки, `persist-credentials: false`, заборона `--fix` у CI |
-| `js_lint.vscode_extensions` | `.vscode/extensions.json`: наявність трьох канонічних recommendations |
+[js-policy-package_json](./policy/package_json/package_json.mdc)
+[js-policy-jscpd](./policy/jscpd/jscpd.mdc)
+[js-policy-lint_js_yml](./policy/lint_js_yml/lint_js_yml.mdc)
+[js-policy-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/js/policy/jscpd/jscpd.mdc ADDED Viewed

@@ -0,0 +1,14 @@
+## Rego-gate `.jscpd.json`
+Rego-пакет: `js_lint.jscpd`
+Цільовий файл: `.jscpd.json` у корені проєкту.
+Що перевіряється:
+- `gitignore` — точна відповідність (`true`)
+- `exitCode` — точна відповідність (`1`)
+- `reporters` — subset-of: масив має містити всі елементи з канону (`["console"]`)
+- `minLines` — число, значення >= канонічного порогу (`25`); більше дозволено
+Канон-snippet: [.jscpd.json.snippet.json](./template/.jscpd.json.snippet.json)