@nitra/cursor 12.8.9 → 12.10.0

package/rules/feedback/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/feedback/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/feedback/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль перевіряє відповідність даних заданим правилам, використовуючи конфігурації, політики та посилання на MDC, які визначаються у meta.json. Він застосовує білий список для формування підсумку. Публічний інтерфейс run завершує роботу, інформуючи про успішне виконання або виявлені порушення. Модуль є Read-only і не виконує записів у файлову систему чи бази даних.
 
 ## Поведінка

package/rules/ga/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/ga/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/ga/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Цей модуль є CLI-обгорткою над канонічним `lint-ga` (ga.mdc). Він автоматично встановлює `shellcheck` та `conftest` через `ensureTool` (використовуючи brew/scoop/GitHub Release залежно від платформи), перевіряє наявність `uv` (для `uvx zizmor`), а потім послідовно виконує `bunx github-actionlint`, `uvx zizmor --offline --collect=workflows .` та делегує до `rules/ga/check.mjs::check`. Функція `lint` викликає `runLintGaCli`, який є частиною оркестраторного адаптера `n-cursor lint ga`. При відсутності `uv`, користувачеві надається підказка з командою встановлення, наприклад, https://astral.sh/uv/install.sh, оскільки `uv` не в реєстрі `ensureTool`.
 
 ## Поведінка

package/rules/ga/js/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/ga/js/
 
 | Файл                          | Тип       |
 | ----------------------------- | --------- |
-| [lint.mjs](lint.md)           | JS Module |
 | [workflows.mjs](workflows.md) | JS Module |

package/rules/ga/main.mdc

@@ -5,34 +5,4 @@ globs: ".github/workflows/*.yml"
 alwaysApply: false
 ---
 
-Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.
-
-[ga-workflows](./js/workflows.mdc)
-
-[ga-workflow_common](./js/workflow_common.mdc)
-
-[ga-required_workflows](./js/required_workflows.mdc)
-
-[ga-vscode](./js/vscode.mdc)
-
-[ga-zizmor](./js/zizmor.mdc)
-
-[ga-lint_toolchain](./js/lint_toolchain.mdc)
-
-## Швидкий gate через conftest
-
-[ga-workflow_common](./policy/workflow_common/workflow_common.mdc)
-
-[ga-clean_ga_workflows](./policy/clean_ga_workflows/clean_ga_workflows.mdc)
-
-[ga-clean_merged_branch](./policy/clean_merged_branch/clean_merged_branch.mdc)
-
-[ga-lint_ga](./policy/lint_ga/lint_ga.mdc)
-
-[ga-git_ai](./policy/git_ai/git_ai.mdc)
-
-[ga-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
-
-[ga-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)
-
-[ga-zizmor_yml](./policy/zizmor_yml/zizmor_yml.mdc)
+Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.

package/rules/graphql/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/graphql/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/graphql/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль валідує дані на відповідність політикам, використовуючи конфігурації з meta.json, логіку визначення зацікавленості та контекст. При виконанні як CLI, він завантажує конфігурації, перевіряє білий список, агрегує стан валідації та завершує роботу відповідним кодом.
 
 ## Поведінка

package/rules/graphql/main.mdc

@@ -7,8 +7,3 @@ alwaysApply: false
 
 Якщо у `.vue` або JavaScript / TypeScript джерелах зустрічається **tagged template literal** з тегом **`gql`**, у корені репозиторію мають бути `.graphqlrc.yml` та запис `graphql.vscode-graphql` у `.vscode/extensions.json`.
 
-[graphql-tooling](./js/tooling.mdc)
-
-[graphql-vscode-extensions](./js/vscode_extensions.mdc)
-
-[graphql-vscode-extensions-policy](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/hasura/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/hasura/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/hasura/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує логіку, визначену у конфігурації `meta.json`. Він валідує дані відповідно до правил, застосовує визначену політику та збирає посилання до MDC. При запуску через публічну функцію `run` ініціюється виконання правила. Модуль є read-only і не виконує операцій запису у файлову систему чи бази даних.
 
 ## Поведінка

package/rules/hasura/js/docs/index.md

@@ -9,3 +9,4 @@ resource: npm/rules/hasura/js/
 | Файл                                  | Тип       |
 | ------------------------------------- | --------- |
 | [internal_urls.mjs](internal_urls.md) | JS Module |
+| [migrations.mjs](migrations.md)       | JS Module |

package/rules/hasura/js/docs/migrations.md

@@ -0,0 +1,28 @@
+---
+type: JS Module
+title: migrations.mjs
+resource: npm/rules/hasura/js/migrations.mjs
+docgen:
+  crc: a8e2c4c4
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+Функція перевіряє вміст директорії міграцій Hasura. Вона гарантує, що в директорії `hasura/migrations` відсутні файли з назвою `down.sql`, оскільки там мають бути лише файли `up.sql` (hasura.mdc).
+
+## Поведінка
+
+1. Перевіряє наявність директорії `hasura/migrations` відносно кореня репозиторію.
+2. Якщо директорія `hasura/migrations` відсутня, повідомляє, що перевірка `down.sql` не потрібна (hasura.mdc) і завершує роботу.
+3. Якщо директорія `hasura/migrations` існує, сканує її вміст.
+4. Збирає список усіх знайдених файлів з назвою `down.sql` у цій директорії.
+5. Якщо жоден файл `down.sql` не знайдено, повідомляє, що жоден `down.sql` не знайдено у `hasura/migrations/` (hasura.mdc) і завершує роботу.
+6. Якщо знайдено один або більше файлів `down.sql`, повідомляє про кожен знайдений файл, що `down.sql` заборонений у `hasura/migrations/` — у директорії міграції має бути лише `up.sql` (hasura.mdc) і завершує роботу.
+
+## Публічний API
+
+check — перевіряє відсутність файлів `down.sql` у директорії міграцій, оскільки вони не використовуються.
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).

package/rules/hasura/js/migrations.mjs

@@ -0,0 +1,47 @@
+/** @see ./docs/migrations.md */
+import { existsSync } from 'node:fs'
+import { basename, join, relative } from 'node:path'
+
+import { createCheckReporter } from '../../../scripts/lib/check-reporter.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+
+/** Відносний шлях до директорії міграцій від кореня проєкту. */
+const MIGRATIONS_REL = 'hasura/migrations'
+
+/**
+ * Перевіряє, що у `hasura/migrations/` відсутні файли `down.sql`.
+ * Директорія міграції має містити лише `up.sql` — `down.sql` у проєкті не використовується.
+ * @param {string} [cwdParam] корінь репозиторію
+ * @returns {Promise<number>} 0 — чисто, 1 — знайдено `down.sql`
+ */
+export async function check(cwdParam = process.cwd()) {
+  const reporter = createCheckReporter()
+  const { pass, fail } = reporter
+
+  const cwd = cwdParam
+  const migrationsDir = join(cwd, MIGRATIONS_REL)
+
+  if (!existsSync(migrationsDir)) {
+    pass(`${MIGRATIONS_REL}/ відсутній — перевірка down.sql не потрібна (hasura.mdc)`)
+    return reporter.getExitCode()
+  }
+
+  /** @type {string[]} */
+  const offenders = []
+  await walkDir(migrationsDir, absPath => {
+    if (basename(absPath) === 'down.sql') {
+      offenders.push(relative(cwd, absPath))
+    }
+  })
+
+  if (offenders.length === 0) {
+    pass(`Жоден down.sql не знайдено у ${MIGRATIONS_REL}/ (hasura.mdc)`)
+    return reporter.getExitCode()
+  }
+
+  for (const file of offenders) {
+    fail(`${file}: down.sql заборонений у ${MIGRATIONS_REL}/ — у директорії міграції має бути лише up.sql (hasura.mdc)`)
+  }
+
+  return reporter.getExitCode()
+}

package/rules/hasura/main.mdc

@@ -5,14 +5,4 @@ globs: "**/hasura/**,**/*.env"
 alwaysApply: false
 ---
 
-Правило охоплює: коректність підключення Hasura у CI-середовищі (внутрішній URL кластера), конвенцію іменування k8s-сервісів та структуру директорій міграцій.
-
-[hasura-internal_urls](./js/internal_urls.mdc)
-
-[hasura-svc_hl](./js/svc_hl.mdc)
-
-[hasura-migrations](./js/migrations.mdc)
-
-## Швидкий gate через conftest
-
-[hasura-svc_hl](./policy/svc_hl/svc_hl.mdc)
+Правило охоплює: коректність підключення Hasura у CI-середовищі (внутрішній URL кластера), конвенцію іменування k8s-сервісів та структуру директорій міграцій.

package/rules/image-avif/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/image-avif/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/image-avif/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує перевірку на основі логіки правил, використовуючи конфігурації з meta.json, політики та посилання на MDC. При запуску як окрема утиліта, він завантажує конфігурації, застосовує білі списки для фільтрації та формує зведений звіт. Результат виконання визначає код виходу процесу. Кешування відбувається у межах прогону. Модуль є Read-only, тобто не здійснює записів у файлову систему чи бази даних.
 
 ## Поведінка

package/rules/image-avif/main.mdc

@@ -5,12 +5,4 @@ globs: "**/*.{png,jpg,jpeg,gif,avif,vue,html}"
 alwaysApply: false
 ---
 
-Правило забезпечує, що кожне raster-зображення (`png`, `jpg`, `jpeg`, `gif`), на яке посилаються `.vue`/`.html` файли, має AVIF-двійник і що посилання переписані на нього. Генерація, rewrite і cleanup AVIF-сиріт виконуються автоматично через `npx @nitra/cursor fix image-avif`.
-
-[image-avif-avif_generation](./js/avif_generation.mdc)
-
-[image-avif-package_json_optout](./js/package_json_optout.mdc)
-
-## Швидкий gate через conftest
-
-[image-avif-package_json](./policy/package_json/package_json.mdc)
+Правило забезпечує, що кожне raster-зображення (`png`, `jpg`, `jpeg`, `gif`), на яке посилаються `.vue`/`.html` файли, має AVIF-двійник і що посилання переписані на нього. Генерація, rewrite і cleanup AVIF-сиріт виконуються автоматично через `npx @nitra/cursor fix image-avif`.

package/rules/image-compress/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/image-compress/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/image-compress/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Модуль забезпечує механізми для виконання та валідації контенту відповідно до визначених правил. Функція `run` виконує перевірку відповідності контенту визначеним критеріям у межах поточного контексту прогону. Функція `lint` виконує виявлення або стиснення зображень залежно від режиму `readOnly`.
 
 ## Поведінка

package/rules/image-compress/js/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/image-compress/js/
 
 | Файл                                  | Тип       |
 | ------------------------------------- | --------- |
-| [lint.mjs](lint.md)                   | JS Module |
 | [package_setup.mjs](package_setup.md) | JS Module |

package/rules/image-compress/main.mdc

@@ -7,12 +7,4 @@ alwaysApply: false
 
 CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (≥ **4.0.1**) запускається через `npx` і **не** додається в `dependencies` / `devDependencies`. Запуск — через **`n-cursor lint image-compress`**: локально (fix) виконує `npx @nitra/minify-image --src=. --write`, у `--read-only` виконує `npx @nitra/minify-image --src=. --json` і падає, якщо `summary.needsCompression > 0`. **AVIF-генерація (`--avif`) у `image-compress` не входить** — її виконує окреме правило `image-avif`.
 
-Окремий workflow `lint-image.yml` створювати не треба; якщо потрібен CI-gate для зображень, використовуй `n-cursor lint image-compress --read-only`.
-
-[image-compress-package_setup](./js/package_setup.mdc)
-
-[image-compress-package_json](./js/package_json.mdc)
-
-## Швидкий gate через conftest
-
-[image-compress-package_json](./policy/package_json/package_json.mdc)
+Окремий workflow `lint-image.yml` створювати не треба; якщо потрібен CI-gate для зображень, використовуй `n-cursor lint image-compress --read-only`.

package/rules/js/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/js/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/js/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль забезпечує виконання функцій `run`, `filterJsFiles` та `lint` для аналізу кодової бази. Він виконує стандартну перевірку проєкту, відбираючи файли з розширеннями JavaScript за допомогою `filterJsFiles` та запускаючи перевірку JS-коду за допомогою `lint`.
 
 ## Поведінка

package/rules/js/js/dep-policy.mjs

@@ -0,0 +1,91 @@
+/** @see ./docs/dep-policy.md */
+import { readFile } from 'node:fs/promises'
+import { join, relative, sep } from 'node:path'
+
+import { parseSync } from 'oxc-parser'
+
+import { createCheckReporter } from '../../../scripts/lib/check-reporter.mjs'
+import { loadCursorIgnorePaths } from '../../../scripts/lib/load-cursor-config.mjs'
+import { walkDir } from '../../../scripts/utils/walkDir.mjs'
+import {
+  dynamicImportModule,
+  langFromPath,
+  requireCallModule,
+  walkAstWithAncestors
+} from '../../../scripts/utils/ast-scan-utils.mjs'
+
+const JS_SOURCE_RE = /\.(?:[cm]?[jt]sx?)$/u
+
+/** Пакети, заборонені як import-specifier у будь-якому JS/TS-файлі. */
+const BANNED_SPECIFIERS = new Set(['@nitra/as-integrations-fastify'])
+
+/**
+ * Витягає з джерела всі import-specifier'и (static + dynamic + require).
+ * @param {string} source текст файлу
+ * @param {string} filePath шлях до файлу (для вибору мови OXC-парсера)
+ * @returns {string[]} список specifier'ів
+ */
+function extractImportSpecifiers(source, filePath) {
+  /** @type {string[]} */
+  const result = []
+  let parsed
+  try {
+    parsed = parseSync(filePath, source, { lang: langFromPath(filePath) })
+  } catch {
+    return result
+  }
+  for (const imp of parsed?.module?.staticImports ?? []) {
+    if (typeof imp?.moduleRequest?.value === 'string') result.push(imp.moduleRequest.value)
+  }
+  const program = parsed?.program
+  if (program && typeof program === 'object') {
+    walkAstWithAncestors(program, [], node => {
+      const dyn = dynamicImportModule(node)
+      if (dyn !== null) result.push(dyn)
+      const req = requireCallModule(node)
+      if (req !== null) result.push(req)
+    })
+  }
+  return result
+}
+
+/**
+ * Сканує всі JS/TS-файли проєкту на заборонені import-specifier'и (dep-policy.mdc).
+ * @param {string} [cwdParam] корінь репозиторію
+ * @returns {Promise<number>} 0 — чисто, 1 — знайдено заборонені specifier'и
+ */
+export async function check(cwdParam = process.cwd()) {
+  const reporter = createCheckReporter()
+  const cwd = cwdParam
+  const ignorePaths = await loadCursorIgnorePaths(cwd)
+
+  const files = []
+  await walkDir(
+    cwd,
+    p => {
+      if (JS_SOURCE_RE.test(p)) files.push(p)
+    },
+    ignorePaths
+  )
+
+  let violations = 0
+  for (const absPath of files) {
+    const source = await readFile(absPath, 'utf8')
+    const specifiers = extractImportSpecifiers(source, absPath)
+    for (const spec of specifiers) {
+      if (BANNED_SPECIFIERS.has(spec)) {
+        const rel = relative(cwd, absPath)
+        reporter.fail(
+          `${rel}: заборонений import '${spec}' — використовуй @as-integrations/fastify (js.mdc dep-policy)`
+        )
+        violations += 1
+      }
+    }
+  }
+
+  if (violations === 0) {
+    reporter.pass(`dep-policy: перевірено ${files.length} файлів — заборонених import-specifier'ів немає (js.mdc)`)
+  }
+
+  return reporter.getExitCode()
+}

package/rules/js/js/docs/check.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує валідацію конфігураційних файлів, включаючи `package.json`, `.oxlintrc.json`, `knip.json`, `knip-canonical.json` та `.eslintrc.json`. Він перевіряє відповідність структури та конфігурацій встановленим стандартам. (js.mdc) (text.mdc)
 
 ## Поведінка

package/rules/js/js/docs/dep-policy.md

@@ -0,0 +1,34 @@
+---
+type: JS Module
+title: dep-policy.mjs
+resource: npm/rules/js/js/dep-policy.mjs
+docgen:
+  crc: 020620cb
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
+  score: 100
+---
+
+Модуль сканує файли з розширеннями JS/TS у проєкті. Він перевіряє, чи не містять ці файли імпортів, заборонених відповідно до політики (dep-policy.mdc). Модуль виконує перевірку у режимі лише для читання. У разі виявлення порушень, він реєструє їх у звіті. Модуль перехоплює всі можливі помилки (fail-safe) і не генерує винятків назовні. Результат роботи відображається через код виходу, що інформує про статус перевірки (js.mdc).
+
+## Поведінка
+
+1. Ініціалізує звітність.
+2. Визначає кореневу директорію проєкту.
+3. Завантажує списки шляхів, які слід ігнорувати.
+4. Збирає список усіх файлів з розширеннями JS/TS у кореневій директорії, ігноруючи визначені шляхи.
+5. Для кожного зібраного файлу:
+   а. Зчитує вміст файлу.
+   б. Витягує з вмісту всі імпортовані специфікатори (статичні, динамічні та через `require`).
+   в. Для кожного витягнутого специфікатора перевіряє, чи він є забороненим відповідно до політики (dep-policy.mdc).
+   г. Якщо специфікатор заборонений, реєструє помилку у звіті, вказуючи шлях до файлу та заборонений імпорт. Збільшує лічильник порушень.
+6. Якщо порушень не знайдено, реєструє повідомлення про успішну перевірку (js.mdc).
+7. Повертає код виходу звіту.
+
+## Публічний API
+
+check — сканує файли на наявність заборонених імпортів (dep-policy.mdc).
+
+## Гарантії поведінки
+
+- Read-only: не виконує операцій запису (ФС/БД).
+- Перехоплює помилки і не пропускає винятків назовні (fail-safe).

package/rules/js/js/docs/index.md

@@ -6,9 +6,10 @@ resource: npm/rules/js/js/
 
 # npm/rules/js/js
 
-| Файл | Тип |
-|---|---|
-| [check.mjs](check.md) | JS Module |
+| Файл                                  | Тип       |
+| ------------------------------------- | --------- |
+| [check.mjs](check.md)                 | JS Module |
+| [dep-policy.mjs](dep-policy.md)       | JS Module |
 | [lint-findings.mjs](lint-findings.md) | JS Module |
-| [tooling.mjs](tooling.md) | JS Module |
+| [tooling.mjs](tooling.md)             | JS Module |
 | [utils_imports.mjs](utils_imports.md) | JS Module |

package/rules/js/js/docs/tooling.md

@@ -8,8 +8,6 @@ docgen:
   score: 95
 ---
 
-## Огляд
-
 Визначає шляхи до канонічних JSON-файлів для інструментів oxlint та knip через OXLINT_CANONICAL_JSON_PATH та KNIP_CANONICAL_JSON_PATH. Також перевіряє відповідність конфігураційного файлу .oxlintrc.json значенням, встановленим у oxlint-canonical.json, за допомогою verifyOxlintRcAgainstCanonical.
 
 ## Поведінка

package/rules/js/js/docs/utils_imports.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль сканує монорепозиторій для пошуку каталогів `utils` та аналізу їхнього вмісту. Аналіз файлів JS/TS у цих каталогах здійснюється на відповідність шаблону забороненого відносного імпорту, що базується на конфігурації, визначеній у `.n-cursor.json`. При виявленні порушень, система генерує повідомлення, позначене як (js.mdc).
 
 ## Поведінка

package/rules/js/main.mdc

@@ -7,38 +7,7 @@ version: '1.30'
 
 **oxlint**, **ESLint**, **jscpd**, **knip**. Запуск — **`n-cursor lint js`** (локально; у CI — `--read-only`, без **`--fix`** для oxlint/eslint). Без **prettier** і **@nitra/prettier-config**.
 
-[js-file-extensions](./js/file-extensions.mdc)
-
-[js-package-json](./js/package-json.mdc)
-
-[js-eslint-config](./js/eslint-config.mdc)
-
-[js-oxlintrc](./js/oxlintrc.mdc)
-
-[js-extensions](./js/extensions.mdc)
-
-[js-jscpd](./js/jscpd.mdc)
-
-[js-knip](./js/knip.mdc)
-
-[js-dep-policy](./js/dep-policy.mdc)
-
-[js-lint-js-workflow](./js/lint-js-workflow.mdc)
-
-[js-utils-lib-structure](./js/utils-lib-structure.mdc)
-
-[js-for-in](./js/for-in.mdc)
-
-[js-tests](./js/tests.mdc)
-
 ## Швидкий gate через conftest
 
 Rego-пакети у `policy/` — запускаються `npx @nitra/cursor fix js` або `conftest`:
 
-[js-policy-package_json](./policy/package_json/package_json.mdc)
-
-[js-policy-jscpd](./policy/jscpd/jscpd.mdc)
-
-[js-policy-lint_js_yml](./policy/lint_js_yml/lint_js_yml.mdc)
-
-[js-policy-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/js/policy/package_json/package_json.rego

@@ -61,6 +61,22 @@ deny contains msg if {
 	msg := sprintf("package.json: @nitra/eslint-config має бути >= %s (зараз %q) (js.mdc)", [eslint_min_display, range])
 }
 
+# ── deny: @nitra/as-integrations-fastify заборонений (dep-policy.mdc) ───
+
+banned_fastify_pkg := "@nitra/as-integrations-fastify"
+
+deny contains msg if {
+	deps := object.get(input, "dependencies", {})
+	banned_fastify_pkg in object.keys(deps)
+	msg := sprintf("package.json: dependencies.%s заборонений — використовуй @as-integrations/fastify (js.mdc dep-policy)", [banned_fastify_pkg])
+}
+
+deny contains msg if {
+	deps := object.get(input, "peerDependencies", {})
+	banned_fastify_pkg in object.keys(deps)
+	msg := sprintf("package.json: peerDependencies.%s заборонений — використовуй @as-integrations/fastify (js.mdc dep-policy)", [banned_fastify_pkg])
+}
+
 # ── helpers ──────────────────────────────────────────────────────────────
 
 # Канонічний мін-поріг `@nitra/eslint-config` із snippet (напр. "^3.10.0").

package/rules/js-bun-db/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/js-bun-db/
 
 | Файл                | Тип       |
 | ------------------- | --------- |
-| [fix.mjs](fix.md)   | JS Module |
 | [main.mjs](main.md) | JS Module |

package/rules/js-bun-db/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Модуль виконує перевірку, застосовуючи правила та політики. При виклику публічної функції `run` він завантажує конфігурації, зокрема `meta.json`, застосовує білі списки та підбиває підсумки. Модуль є Read-only, тобто не пише у файлову систему чи базу даних. Під час роботи відбувається кешування даних у межах одного прогону. Результат перевірки визначає код виходу процесу.
 
 ## Поведінка

package/rules/js-bun-db/js/docs/safety.md

@@ -3,39 +3,34 @@ type: JS Module
 title: safety.mjs
 resource: npm/rules/js-bun-db/js/safety.mjs
 docgen:
-  crc: eaeb52bc
+  crc: e828ee4a
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
-Огляд
+Модуль сканує репозиторій для валідації безпечності використання Bun SQL. Він шукає всі файли `package.json` та JS/TS джерела, щоб перевірити відповідність патернів Bun SQL правилам, визначеним у конфігурації, що спирається на `package.json`.
 
-Файл перевіряє шляхи до файлів та залежностей, пов'язаних з Bun SQL та бібліотекою `pg`. Файл збирає метадані про використання `pg` та механізми LISTEN/NOTIFY. (js-bun-db.mdc)
+Поведінка:
+
+- Перевіряє відповідність патернів Bun SQL встановленим правилам (js-bun-db.mdc).
 
 ## Поведінка
 
-1. Завантажити шляхи до файлів з коду
-2. Просканувати джерела за патернами Bun SQL
-3. Зібрати метадані про використання `pg` та LISTEN/NOTIFY
-4. Перевірити залежності `pg` та використання LISTEN/NOTIFY
-5. Перевірити імпорти `pg` та використання LISTEN/NOTIFY
-6. Перевірити наявність `package.json` для залежностей `pg`
-7. Перевірити використання `import { sql|SQL } from 'bun'`
-8. Перевірити відсутність створення `new SQL` всередині функцій
-9. Перевірити використання `sql.unsafe` без маркерів дозволу
-10. Перевірити використання `sql.unsafe` з template-літералами
-11. Перевірити використання `pg-leftover` викликів
-12. Перевірити використання `findBunSqlUnsafeBunSqlDynamicSqlListInText`
-13. Перевірити використання `findUnsafeBunSqlInListMissingEmptyGuardInText`
-14. Перевірити використання `findPgFormatShimDefinitionInText`
-15. Перевірити використання `findPgFormatLikeQueryWrapperInText`
-16. Перевірити наявність використання `import { sql } from 'bun'`
+1. Викликається `check` для початку перевірки.
+2. Перевіряється наявність `package.json` у корені репозиторію. Якщо відсутній, перевірка припиняється.
+3. Завантажуються конфігураційні шляхи, які ігноруються під час обходу.
+4. Знаходяться всі файли `package.json` у репозиторії. Якщо жоден не знайдено, перевірка припиняється.
+5. Знаходяться всі JS/TS джерела для сканування патернів Bun SQL. Якщо жоден не знайдено, перевірка припиняється.
+6. Скануються знайдені JS/TS джерела на небезпечні патерни Bun SQL. Збираються метадані про використання Bun SQL та про використання бібліотеки `pg` (LISTEN/NOTIFY).
+7. Перевіряється залежність `pg` у знайдених `package.json` на відповідність правилу: якщо `pg` є залежністю, у коді має бути хоча б одне використання LISTEN/NOTIFY.
+8. Перевіряється кожен файл, що імпортує `pg`. Якщо у ньому немає використання LISTEN/NOTIFY, реєструється порушення.
+9. Після завершення сканування та перевірок, реєструються всі знайдені порушення, пов'язані з Bun SQL (наприклад, створення `new SQL` всередині функцій, використання `sql.unsafe` без маркерів, проблеми з динамічними списками тощо).
+10. Якщо всі перевірки пройдені успішно, реєструється повідомлення про відповідність правилу `js-bun-db.mdc`.
 
 ## Публічний API
 
-check — Перевіряє відповідність проєкту правилу js-bun-db.mdc
+check — порівнює структуру проєкту з вимогами, описаними у js-bun-db.mdc
 
 ## Гарантії поведінки
 
-- Read-only: файл не виконує операцій запису у файлову систему.
-- Перехоплює помилки і не пропускає винятків назовні (fail-safe).
-- Не звертається до мережі.
+- Read-only: не виконує операцій запису (ФС/БД).