@nitra/cursor 12.8.7 → 12.8.9

package/rules/npm-module/policy/root_package_json/root_package_json.mdc

@@ -0,0 +1,37 @@
+## Rego-gate: валідація кореневого `package.json`
+
+Rego-пакет: `npm-module.root_package_json`
+
+Цільовий файл: `package.json` (корінь репозиторію)
+
+### Що перевіряється
+
+Subset-of перевірка масиву `workspaces`: кожне значення з канонічного сніпету має бути присутнє у `workspaces`. За замовчуванням обовʼязковий елемент — `"npm"`.
+
+Якщо `workspaces` відсутнє або не є масивом — окрема deny-помилка.
+
+Канонічний сніпет: [package.json.snippet.json](./template/package.json.snippet.json)
+
+Решта перевірок кореневого `package.json` (заборонені поля, devDeps лише `@nitra/*`) — у пакеті `bun.package_json`. FS-перевірки (наявність директорії `npm/`, `npm/package.json`) — у JS.
+
+### Приклади
+
+✓ Правильно — `workspaces` містить `"npm"`:
+```json
+{ "workspaces": ["npm"] }
+```
+
+✓ Правильно — `workspaces` містить `"npm"` разом з іншими:
+```json
+{ "workspaces": ["demo", "npm", "tests"] }
+```
+
+✗ Неправильно — `workspaces` відсутній:
+```json
+{ "name": "monorepo" }
+```
+
+✗ Неправильно — `workspaces` без `"npm"`:
+```json
+{ "workspaces": ["demo"] }
+```

package/rules/php/main.mdc

@@ -13,6 +13,4 @@ alwaysApply: false
 
 ## Швидкий gate через conftest
 
-| Пакет | Що перевіряє |
-|---|---|
-| `php.lint_php_yml` | Структуру `.github/workflows/lint-php.yml` — наявність канонічних `run:`-кроків |
+[php-lint_php_yml](./policy/lint_php_yml/lint_php_yml.mdc)

package/rules/php/policy/lint_php_yml/lint_php_yml.mdc

@@ -0,0 +1,21 @@
+## Структура `.github/workflows/lint-php.yml`
+
+Rego-пакет: `php.lint_php_yml`
+
+Цільовий файл: `.github/workflows/lint-php.yml` (парситься як YAML).
+
+Перевіряє, що у workflow присутні всі канонічні `run:`-кроки з template-сніпету — крок `n-cursor lint php --read-only` має бути в одному зі steps jobs.
+
+Канонічний template-сніпет: [lint-php.yml.snippet.yml](./template/lint-php.yml.snippet.yml)
+
+**✓ Правильно** — job `php` містить крок:
+```yaml
+- name: Lint PHP
+  run: n-cursor lint php --read-only
+```
+
+**✗ Неправильно** — крок відсутній або містить інший run-рядок:
+```yaml
+- name: Lint PHP
+  run: echo something
+```

package/rules/python/main.mdc

@@ -15,7 +15,6 @@ Python-проєкти ведуться **виключно** на [uv](https://do
 
 ## Швидкий gate через conftest (Rego)
 
-| Namespace | Що перевіряє |
-|-----------|-------------|
-| `python.pyproject_toml` | Заборона `[tool.poetry]`; наявність `[project].name` і `[project].version` (PEP 621) |
-| `python.lint_python_yml` | Обовʼязкові `uses` і `run`-кроки у `.github/workflows/lint-python.yml` |
+[python-pyproject_toml-policy](./policy/pyproject_toml/pyproject_toml.mdc)
+
+[python-lint_python_yml-policy](./policy/lint_python_yml/lint_python_yml.mdc)

package/rules/python/policy/lint_python_yml/lint_python_yml.mdc

@@ -0,0 +1,12 @@
+## Rego-gate: перевірка `.github/workflows/lint-python.yml`
+
+Rego-пакет: `python.lint_python_yml`
+
+Цільовий файл: `.github/workflows/lint-python.yml`
+
+Перевіряє (drift-safe через `--data template`):
+
+- кожен `uses` з канону (підмножина) присутній у workflow: `actions/checkout@v6`, `./.github/actions/setup-bun-deps`, `astral-sh/setup-uv@v8.0.0`;
+- кожен `run` з канону є substring серед run-кроків: `uv sync --frozen`, `n-cursor lint python --read-only`.
+
+Канонічний workflow: [lint-python.yml.snippet.yml](./template/lint-python.yml.snippet.yml)

package/rules/python/policy/pyproject_toml/pyproject_toml.mdc

@@ -0,0 +1,13 @@
+## Rego-gate: перевірка `pyproject.toml`
+
+Rego-пакет: `python.pyproject_toml`
+
+Цільовий файл: `pyproject.toml`
+
+Дві групи правил:
+
+**1. Заборона Poetry** — перевіряє заборонені під-таблиці `[tool.*]` за deny-template (drift-safe через `--data template`): [pyproject.toml.deny.toml](./template/pyproject.toml.deny.toml)
+
+**2. PEP 621** — `[project].name` і `[project].version` мають бути непорожніми рядками.
+
+Канонічний цільовий вигляд: [pyproject.toml.snippet.toml](./template/pyproject.toml.snippet.toml)

package/rules/rego/main.mdc

@@ -21,3 +21,7 @@ alwaysApply: false
 [rego-vscode_extensions](./js/vscode_extensions.mdc)
 
 [rego-vscode_settings](./js/vscode_settings.mdc)
+
+[rego-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
+
+[rego-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/rego/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,11 @@
+## Rego-перевірка наявності tsandall.opa у recommendations
+
+Rego-пакет: `rego.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+Перевіряє: поле `recommendations` містить рядок `"tsandall.opa"`. Порожній масив або відсутнє поле — deny. Додаткові записи дозволені.
+
+Канонічний сніпет: [extensions.json.snippet.json](./template/extensions.json.snippet.json)
+
+Логіка: subset-of — кожна рекомендація зі сніпету має бути присутня у `recommendations` вхідного файлу. Канон надходить через `--data` як `data.template.snippet`.

package/rules/rego/policy/vscode_settings/vscode_settings.mdc

@@ -0,0 +1,19 @@
+## Rego-gate: налаштування форматера rego у `.vscode/settings.json`
+
+Rego-пакет: `rego.vscode_settings`
+
+Цільовий файл: `.vscode/settings.json`
+
+Перевіряє `[rego]`-блок — два листові ключі:
+
+- `editor.defaultFormatter` має дорівнювати `"tsandall.opa"`
+- `editor.formatOnSave` має бути `true`
+
+Канонічний сніпет: [settings.json.snippet.json](./template/settings.json.snippet.json)
+
+Два незалежні deny-правила:
+
+1. Leaf-by-leaf: якщо `[rego]`-блок є обʼєктом — кожне ключ/значення зі сніпету звіряється з фактичним значенням (відсутнє або відмінне — deny).
+2. Тип: якщо `[rego]`-блок присутній, але не є обʼєктом (наприклад, рядок) — окрема помилка типу.
+
+Канон надходить через `--data` як `data.template.snippet`.

package/rules/rust/main.mdc

@@ -14,5 +14,5 @@ version: '1.4'
 
 ## Швидкий gate через conftest
 
-- `rust.lint_rust_yml` — перевіряє `.github/workflows/lint-rust.yml`: наявність обов'язкових `uses` (`actions/checkout@v6`, `dtolnay/rust-toolchain@stable`, `Swatinem/rust-cache@v2`) та `run`-кроків з канону.
-- `rust.vscode_extensions` — перевіряє `.vscode/extensions.json`: `recommendations` містить `rust-lang.rust-analyzer` і `tamasfe.even-better-toml`.
+[rust-lint_rust_yml](./policy/lint_rust_yml/lint_rust_yml.mdc)
+[rust-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/rust/policy/lint_rust_yml/lint_rust_yml.mdc

@@ -0,0 +1,12 @@
+## Перевірка `.github/workflows/lint-rust.yml`
+
+Rego-пакет: `rust.lint_rust_yml`
+
+Цільовий файл: `.github/workflows/lint-rust.yml`
+
+Перевіряє:
+- кожен `uses`-крок з канону присутній у workflow (підмножина): `actions/checkout@v6`, `dtolnay/rust-toolchain@stable`, `Swatinem/rust-cache@v2`
+- кожен `run`-крок з канону присутній як підрядок серед усіх `run`-кроків: `cargo fmt --all -- --check`, `cargo clippy --all-targets --all-features -- -D warnings`
+- канон завантажується через `--data` з template-сніпету — drift-safe: зміна шаблону автоматично рухає перевірку
+
+Канонічний template: [lint-rust.yml.snippet.yml](./template/lint-rust.yml.snippet.yml)

package/rules/rust/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,9 @@
+## Перевірка `.vscode/extensions.json` (Rego-gate)
+
+Rego-пакет: `rust.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+Семантика `contains`: кожен запис з канону має бути присутнім у `recommendations` — додаткові розширення дозволені. Канон завантажується через `--data` з template-сніпету.
+
+Канонічний template: [extensions.json.snippet.json](./template/extensions.json.snippet.json)

package/rules/security/main.mdc

@@ -15,8 +15,9 @@ version: '2.1'
 
 ## Швидкий gate через conftest
 
-- `security.package_json` — забороняє `trufflehog` у `dependencies`/`devDependencies`
-- `security.lint_security_yml` — перевіряє наявність кроку `trufflesecurity/trufflehog@main` у CI workflow
+[security-package-json](./policy/package_json/package_json.mdc)
+
+[security-lint-security-yml](./policy/lint_security_yml/lint_security_yml.mdc)
 
 ## Перевірка
 

package/rules/security/policy/lint_security_yml/lint_security_yml.mdc

@@ -0,0 +1,7 @@
+## Наявність кроку TruffleHog у CI workflow
+
+Rego-пакет: `security.lint_security_yml`
+
+Цільові файли: `.github/workflows/lint-security.yml`
+
+Перевіряє, що серед `uses:` у workflow присутній крок `trufflesecurity/trufflehog@main`. Очікуваний перелік action-refs (не-`actions/*`) береться з `--data` через [lint-security.yml.snippet.yml](./template/lint-security.yml.snippet.yml). Універсальні кроки (`actions/*`) перевіряє `ga.workflow_common`.

package/rules/security/policy/package_json/package_json.mdc

@@ -0,0 +1,7 @@
+## Заборона `trufflehog` у залежностях `package.json`
+
+Rego-пакет: `security.package_json`
+
+Цільові файли: `package.json`
+
+Перевіряє, що пакет `trufflehog` відсутній у `dependencies` та `devDependencies` — він є глобальним CLI і не має бути npm-залежністю. Список заборонених пакетів надходить через `--data` з [package.json.deny.json](./template/package.json.deny.json).

package/rules/style/main.mdc

@@ -21,9 +21,10 @@ alwaysApply: false
 
 ## Швидкий gate через conftest (Rego)
 
-Пакети у `npm/rules/style/policy/`:
+[style-lint_style_yml](./policy/lint_style_yml/lint_style_yml.mdc)
 
-- `style_lint.package_json` — `package.json`: `stylelint.extends == "@nitra/stylelint-config"`, `@nitra/stylelint-config` у `devDependencies`.
-- `style_lint.vscode_extensions` — `.vscode/extensions.json`: `recommendations` містить `stylelint.vscode-stylelint`.
-- `style_lint.vscode_settings` — `.vscode/settings.json`: `css.validate`, `less.validate`, `scss.validate` вимкнені (`false`).
-- `style_lint.lint_style_yml` — `.github/workflows/lint-style.yml`: крок `run` містить команду `n-cursor lint style --read-only`.
+[style-package_json](./policy/package_json/package_json.mdc)
+
+[style-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
+
+[style-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/style/policy/lint_style_yml/lint_style_yml.mdc

@@ -0,0 +1,13 @@
+## GitHub Actions workflow: lint-style.yml
+
+Rego-пакет: `style_lint.lint_style_yml`
+
+Цільовий файл: `.github/workflows/lint-style.yml`
+
+Перевіряє, що у workflow є крок `run`, який містить команду `n-cursor lint style --read-only` (substring-match по всіх кроках усіх jobs). Канонічний текст береться з template через `--data`.
+
+Канонічний template: [lint-style.yml.snippet.yml](./template/lint-style.yml.snippet.yml)
+
+**✓ Правильно** — крок `run: n-cursor lint style --read-only` присутній у jobs.stylelint.steps.
+
+**✗ Неправильно** — крок відсутній або містить лише `echo nothing` / `npx stylelint` без канонічного рядка.

package/rules/style/policy/package_json/package_json.mdc

@@ -0,0 +1,18 @@
+## package.json: stylelint-конфіг та devDependencies
+
+Rego-пакет: `style_lint.package_json`
+
+Цільовий файл: `package.json`
+
+Дві незалежні перевірки:
+
+1. **snippet-walker** — якщо поле `stylelint` присутнє у `package.json`, перевіряє `stylelint.extends == "@nitra/stylelint-config"` (2-рівневий обхід через template).
+2. **presence-check** — `@nitra/stylelint-config` має бути у `devDependencies` (ця перевірка завжди активна, не залежить від template).
+
+FS-альтернативи (`.stylelintrc.*` файли) та `.stylelintignore` перевіряються у JS, не в Rego.
+
+Канонічний template: [package.json.snippet.json](./template/package.json.snippet.json)
+
+**✓ Правильно** — `devDependencies` містить `@nitra/stylelint-config`; якщо є поле `stylelint` — `extends` дорівнює `"@nitra/stylelint-config"`.
+
+**✗ Неправильно** — відсутній `@nitra/stylelint-config` у `devDependencies`; або поле `stylelint.extends` має інше значення.

package/rules/style/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,13 @@
+## .vscode/extensions.json: розширення для stylelint
+
+Rego-пакет: `style_lint.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+Перевіряє, що масив `recommendations` містить усі записи з канонічного template (subset-check). Додаткові розширення поза списком — дозволені.
+
+Канонічний template: [extensions.json.snippet.json](./template/extensions.json.snippet.json)
+
+**✓ Правильно** — `recommendations` містить `"stylelint.vscode-stylelint"` (може бути і більше елементів).
+
+**✗ Неправильно** — `recommendations` відсутній або не містить `"stylelint.vscode-stylelint"`.

package/rules/style/policy/vscode_settings/vscode_settings.mdc

@@ -0,0 +1,19 @@
+## .vscode/settings.json: вимкнення вбудованих CSS/SCSS/Less валідаторів
+
+Rego-пакет: `style_lint.vscode_settings`
+
+Цільовий файл: `.vscode/settings.json`
+
+Leaf-by-leaf walker: перевіряє кожен ключ з template — його значення у `settings.json` має точно збігатися. Додаткові ключі у файлі — дозволені.
+
+Канонічний template: [settings.json.snippet.json](./template/settings.json.snippet.json)
+
+Обов'язкові значення:
+
+- `"css.validate": false`
+- `"less.validate": false`
+- `"scss.validate": false`
+
+**✓ Правильно** — усі три ключі присутні зі значенням `false`; можуть бути й інші ключі.
+
+**✗ Неправильно** — будь-який з ключів відсутній, має значення `true` або рядок (`"off"`).

package/rules/tauri/main.mdc

@@ -9,9 +9,7 @@ version: '1.5'
 
 ## Швидкий gate через conftest
 
-| Namespace | Файл | Що перевіряє |
-|---|---|---|
-| `tauri.vscode_extensions` | `.vscode/extensions.json` | `recommendations` містить `tauri-apps.tauri-vscode` |
+[tauri-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
 
 [tauri-tooling](./js/tooling.mdc)
 

package/rules/tauri/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,21 @@
+## VS Code розширення для Tauri-проєктів
+
+Rego-пакет: `tauri.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+Перевіряє, що поле `recommendations` містить розширення `tauri-apps.tauri-vscode`.
+
+Запускається умовно — лише якщо JS-перевірка (`tooling.mjs`) виявила маркер Tauri-проєкту (`src-tauri/`, `tauri.conf.json` або залежність `@tauri-apps/*`). Розширення `rust-lang.rust-analyzer` і `tamasfe.even-better-toml` вимагаються окремо правилом `rust` (rust.mdc).
+
+**✓ Правильно:**
+```json
+{ "recommendations": ["tauri-apps.tauri-vscode"] }
+```
+
+**✗ Неправильно:**
+```json
+{ "recommendations": ["rust-lang.rust-analyzer"] }
+{ "recommendations": [] }
+{}
+```

package/rules/test/main.mdc

@@ -39,6 +39,4 @@ alwaysApply: false
 
 ## Швидкий gate через conftest
 
-| Namespace | Що перевіряє |
-|---|---|
-| `test.package_json` | `scripts.coverage` містить `n-cursor coverage`; `scripts.test` містить `vitest` |
+[test-package_json](./policy/package_json/package_json.mdc)

package/rules/test/policy/package_json/package_json.mdc

@@ -0,0 +1,16 @@
+## Обовʼязкові скрипти в package.json
+
+Rego-пакет: `test.package_json`
+
+Цільовий файл: `package.json` кожного workspace.
+
+Перевіряє substring-відповідність значень у `scripts`:
+
+| Поле | Має містити |
+|---|---|
+| `scripts.coverage` | `n-cursor coverage` |
+| `scripts.test` | `vitest` |
+
+Substring-семантика: команди-обгортки (наприклад `bun run pre-coverage && n-cursor coverage`) дозволені — головне, щоб потрібний рядок був присутній.
+
+Канон підтягується через `--data`: [package.json.contains.json](./template/package.json.contains.json)

package/rules/text/main.mdc

@@ -30,10 +30,16 @@ version: '1.30'
 
 Rego-пакети, що перевіряються через conftest (auto-discovered за `target.json` поряд із `.rego`):
 
-- `text.cspell` — `.cspell.json`: version, ignorePaths, import (@nitra/cspell-dict), language, заборонені @cspell/dict-* у import
-- `text.lint_text` — `.github/workflows/lint-text.yml`: name, on.push/pull_request branches+paths, runs-on, permissions, кроки uses+run
-- `text.markdownlint` — `.markdownlint-cli2.jsonc`: gitignore, config leafs (MD013, MD024.siblings_only, MD029, MD040, MD041)
-- `text.oxfmtrc` — `.oxfmtrc.json`: обовʼязкові ключі (presence), ignorePatterns subset, scalar leafs
-- `text.package_json` — `package.json`: заборонені top-level/deps (prettier, @nitra/prettier-config, markdownlint-cli2), @nitra/cspell-dict ^2.0.0+ у devDependencies, scripts без prettier
-- `text.vscode_extensions` — `.vscode/extensions.json`: recommendations містить канонічні розширення
-- `text.vscode_settings` — `.vscode/settings.json`: editor.formatOnSave, editor.defaultFormatter для мов
+[text-policy-cspell](./policy/cspell/cspell.mdc)
+
+[text-policy-lint_text](./policy/lint_text/lint_text.mdc)
+
+[text-policy-markdownlint](./policy/markdownlint/markdownlint.mdc)
+
+[text-policy-oxfmtrc](./policy/oxfmtrc/oxfmtrc.mdc)
+
+[text-policy-package_json](./policy/package_json/package_json.mdc)
+
+[text-policy-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
+
+[text-policy-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/text/policy/cspell/cspell.mdc

@@ -0,0 +1,34 @@
+## Перевірка `.cspell.json` — структура та canonical import
+
+Rego-пакет: `text.cspell`
+
+Цільовий файл: `.cspell.json`
+
+**Що перевіряється:**
+
+- `version` — має відповідати канону (наразі `"0.2"`)
+- `language` — поле обов'язкове (presence-only, значення довільне, наприклад `"en,uk"`)
+- `ignorePaths` — масив має бути надмножиною канонічних glob-ів, включно з `docs/adr/**`
+- `import` — має містити підрядок `@nitra/cspell-dict`; заборонені будь-які записи з підрядком `@cspell/dict-` (використовуй лише `@nitra/cspell-dict`)
+
+**Приклади:**
+
+✓ правильно:
+```json
+{
+  "version": "0.2",
+  "language": "en,uk",
+  "import": ["@nitra/cspell-dict/cspell-ext.json"],
+  "ignorePaths": ["**/node_modules/**", "**/.git/**", "docs/adr/**"]
+}
+```
+
+✗ неправильно:
+```json
+{
+  "version": "0.1",
+  "import": ["@cspell/dict-de"],
+  "ignorePaths": []
+}
+```
+(відсутнє `language`, застарілий `version`, заборонений `@cspell/dict-`, не всі canonical `ignorePaths`)

package/rules/text/policy/lint_text/lint_text.mdc

@@ -0,0 +1,19 @@
+## Перевірка `.github/workflows/lint-text.yml` — структура CI-workflow
+
+Rego-пакет: `text.lint_text`
+
+Цільовий файл: `.github/workflows/lint-text.yml`
+
+**Що перевіряється:**
+
+- `name` — має бути `"Lint Text"`
+- `on.push.branches` та `on.pull_request.branches` — мають містити `dev` і `main`
+- `on.push.paths` — має бути надмножиною канонічних glob-ів (усі текстові розширення)
+- `jobs.text` — job обов'язковий
+- `jobs.text.runs-on` — має бути `ubuntu-latest`
+- `jobs.text.permissions.contents` — має бути `read`
+- `jobs.text.steps` — не порожній; має містити всі канонічні `uses:` та `run:` підрядки
+
+Канонічна структура workflow: [lint-text.yml.snippet.yml](./template/lint-text.yml.snippet.yml)
+
+**Примітка:** conftest парсить YAML 1.1, де ключ `on:` без лапок перетворюється на булевий `true` — rego читає on-блок через `input["true"]`.

package/rules/text/policy/markdownlint/markdownlint.mdc

@@ -0,0 +1,38 @@
+## Перевірка `.markdownlint-cli2.jsonc` — конфігурація markdownlint
+
+Rego-пакет: `text.markdownlint`
+
+Цільовий файл: `.markdownlint-cli2.jsonc`
+
+**Що перевіряється (generic walker по канонічному snippet):**
+
+- Top-level scalar leafs (наприклад `gitignore: true`)
+- 2-рівневі leafs: `config.<rule>` — скалярні значення правил (MD013, MD029, MD040, MD041 тощо)
+- 3-рівневі leafs: `config.MD024.siblings_only` — вкладене поле
+- Наявність самого об'єкта `config` (якщо відсутній — deny)
+
+**Приклади:**
+
+✓ правильно:
+```jsonc
+{
+  "gitignore": true,
+  "config": {
+    "MD013": false,
+    "MD024": { "siblings_only": true },
+    "MD029": false,
+    "MD040": false,
+    "MD041": false
+  }
+}
+```
+
+✗ неправильно:
+```jsonc
+{
+  "gitignore": false,
+  "config": {
+    "MD024": {}
+  }
+}
+```

package/rules/text/policy/oxfmtrc/oxfmtrc.mdc

@@ -0,0 +1,11 @@
+## Перевірка `.oxfmtrc.json` — конфігурація oxfmt форматера
+
+Rego-пакет: `text.oxfmtrc`
+
+Цільовий файл: `.oxfmtrc.json`
+
+**Що перевіряється:**
+
+- Наявність усіх обов'язкових ключів (presence-only): `arrowParens`, `printWidth`, `bracketSpacing`, `bracketSameLine`, `semi`, `singleQuote`, `tabWidth`, `trailingComma`, `useTabs`
+- Scalar leafs: точні значення відповідно до канонічного snippet
+- `ignorePatterns`: масив має бути надмножиною канонічних glob-ів (subset-of перевірка)

package/rules/text/policy/package_json/package_json.mdc

@@ -0,0 +1,33 @@
+## Перевірка `package.json` — текст-специфічні обмеження
+
+Rego-пакет: `text.package_json`
+
+Цільовий файл: `package.json`
+
+**Що перевіряється:**
+
+- Заборонені top-level поля: `prettier`
+- Заборонені пакети у `dependencies` / `devDependencies`: `prettier`, `@nitra/prettier-config`, `markdownlint-cli2` (використовуй `bunx` у lint-text)
+- `@nitra/cspell-dict` обов'язковий у `devDependencies` з версією `^2.0.0` або новішою
+- `scripts.*` — будь-який скрипт, що викликає `prettier` (через `bunx`, `npx`, прямо або через шлях), заборонений; використовуй `oxfmt`
+
+Список заборонених пакетів: [package.json.deny.json](./template/package.json.deny.json)
+
+**Приклади:**
+
+✓ правильно:
+```json
+{
+  "devDependencies": { "@nitra/cspell-dict": "^2.0.0" },
+  "scripts": { "format": "oxfmt --write ." }
+}
+```
+
+✗ неправильно:
+```json
+{
+  "prettier": "@nitra/prettier-config",
+  "devDependencies": { "prettier": "^3.0.0", "@nitra/cspell-dict": "^1.0.0" },
+  "scripts": { "fix": "bunx prettier --write ." }
+}
+```

package/rules/text/policy/vscode_extensions/vscode_extensions.mdc

@@ -0,0 +1,13 @@
+## Перевірка `.vscode/extensions.json` — канонічні розширення
+
+Rego-пакет: `text.vscode_extensions`
+
+Цільовий файл: `.vscode/extensions.json`
+
+**Що перевіряється:**
+
+- `recommendations` має бути надмножиною канонічного списку розширень
+
+Канонічний snippet: [extensions.json.snippet.json](./template/extensions.json.snippet.json)
+
+Обов'язкові розширення: `DavidAnson.vscode-markdownlint`, `oxc.oxc-vscode`, `timonwong.shellcheck`

package/rules/text/policy/vscode_settings/vscode_settings.mdc

@@ -0,0 +1,13 @@
+## Перевірка `.vscode/settings.json` — налаштування редактора
+
+Rego-пакет: `text.vscode_settings`
+
+Цільовий файл: `.vscode/settings.json`
+
+**Що перевіряється (generic walker по канонічному snippet):**
+
+- Scalar leafs: `editor.formatOnSave` має бути `true`
+- Об'єктні блоки мовних налаштувань `[javascript]`, `[typescript]`, `[json]`, `[vue]`, `[css]`, `[html]`: `editor.defaultFormatter` має бути `"oxc.oxc-vscode"`
+- Якщо блок відсутній або не є об'єктом — deny
+
+Канонічний snippet: [settings.json.snippet.json](./template/settings.json.snippet.json)

package/rules/vue/main.mdc

@@ -33,9 +33,7 @@ alwaysApply: false
 
 Rego-перевірки (запускаються через `npx @nitra/cursor fix vue`):
 
-| Namespace | Що перевіряє |
-| --- | --- |
-| `vue.package_json` | `vite` ≥ 8 у devDeps, наявність `@vitejs/plugin-vue`, `vue-macros`, `unplugin-auto-import`, `vite-plugin-vue-layouts-next`; відсутність `esbuild`, `vitest`, `jsdom` |
+[vue-package_json](./policy/package_json/package_json.mdc)
 
 ## Перевірка
 

package/rules/vue/policy/package_json/package_json.mdc

@@ -0,0 +1,30 @@
+## Залежності Vue+Vite пакета — канонічний набір і заборони
+
+Rego-пакет: `vue.package_json`
+
+Цільові файли: `**/package.json`
+
+Перевірка активна лише якщо у `dependencies` присутній `vue`.
+
+**Обов'язкові залежності:**
+
+- `devDependencies.vite` — мажорна версія ≥ 8
+- `devDependencies.@vitejs/plugin-vue`
+- `vue-macros` (dependencies або devDependencies)
+- `unplugin-auto-import` (dependencies або devDependencies)
+- `vite-plugin-vue-layouts-next` (dependencies або devDependencies)
+
+**Заборонені залежності (у будь-якій групі):**
+
+- `esbuild` — замінено на rolldown
+- `vitest` — замінено на Bun Test Runner (`bun test`)
+- `jsdom` — замінено на happy-dom
+
+Приклади:
+
+```
+✓ "devDependencies": { "vite": "^8.0.0", "@vitejs/plugin-vue": "^6.0.0", "vue-macros": "^3.0.0", "unplugin-auto-import": "^20.0.0", "vite-plugin-vue-layouts-next": "^1.0.0" }
+✗ "devDependencies": { "vite": "^7.0.0", "esbuild": "^0.25.0", "vitest": "^3.0.0", "jsdom": "^25.0.0" }
+```
+
+Пакети без `vue` у `dependencies` — ігноруються повністю.