@nitra/cursor 12.9.0 → 12.11.0

package/rules/ga/main.mdc

@@ -5,34 +5,4 @@ globs: ".github/workflows/*.yml"
 alwaysApply: false
 ---
 
-Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.
-
-[ga-workflows](./js/workflows.mdc)
-
-[ga-workflow_common](./js/workflow_common.mdc)
-
-[ga-required_workflows](./js/required_workflows.mdc)
-
-[ga-vscode](./js/vscode.mdc)
-
-[ga-zizmor](./js/zizmor.mdc)
-
-[ga-lint_toolchain](./js/lint_toolchain.mdc)
-
-## Швидкий gate через conftest
-
-[ga-workflow_common](./policy/workflow_common/workflow_common.mdc)
-
-[ga-clean_ga_workflows](./policy/clean_ga_workflows/clean_ga_workflows.mdc)
-
-[ga-clean_merged_branch](./policy/clean_merged_branch/clean_merged_branch.mdc)
-
-[ga-lint_ga](./policy/lint_ga/lint_ga.mdc)
-
-[ga-git_ai](./policy/git_ai/git_ai.mdc)
-
-[ga-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
-
-[ga-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)
-
-[ga-zizmor_yml](./policy/zizmor_yml/zizmor_yml.mdc)
+Правило **ga** перевіряє структуру `.github/workflows/`, наявність обов'язкових workflow-файлів і їх відповідність канонам, а також налаштування VS Code та zizmor для роботи з GitHub Actions.

package/rules/graphql/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль валідує дані на відповідність політикам, використовуючи конфігурації з meta.json, логіку визначення зацікавленості та контекст. При виконанні як CLI, він завантажує конфігурації, перевіряє білий список, агрегує стан валідації та завершує роботу відповідним кодом.
 
 ## Поведінка

package/rules/graphql/main.mdc

@@ -7,8 +7,3 @@ alwaysApply: false
 
 Якщо у `.vue` або JavaScript / TypeScript джерелах зустрічається **tagged template literal** з тегом **`gql`**, у корені репозиторію мають бути `.graphqlrc.yml` та запис `graphql.vscode-graphql` у `.vscode/extensions.json`.
 
-[graphql-tooling](./js/tooling.mdc)
-
-[graphql-vscode-extensions](./js/vscode_extensions.mdc)
-
-[graphql-vscode-extensions-policy](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/hasura/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує логіку, визначену у конфігурації `meta.json`. Він валідує дані відповідно до правил, застосовує визначену політику та збирає посилання до MDC. При запуску через публічну функцію `run` ініціюється виконання правила. Модуль є read-only і не виконує операцій запису у файлову систему чи бази даних.
 
 ## Поведінка

package/rules/hasura/js/docs/index.md

@@ -6,7 +6,7 @@ resource: npm/rules/hasura/js/
 
 # npm/rules/hasura/js
 
-| Файл | Тип |
-|---|---|
+| Файл                                  | Тип       |
+| ------------------------------------- | --------- |
 | [internal_urls.mjs](internal_urls.md) | JS Module |
-| [migrations.mjs](migrations.md) | JS Module |
+| [migrations.mjs](migrations.md)       | JS Module |

package/rules/hasura/js/docs/migrations.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Функція перевіряє вміст директорії міграцій Hasura. Вона гарантує, що в директорії `hasura/migrations` відсутні файли з назвою `down.sql`, оскільки там мають бути лише файли `up.sql` (hasura.mdc).
 
 ## Поведінка

package/rules/hasura/main.mdc

@@ -5,14 +5,4 @@ globs: "**/hasura/**,**/*.env"
 alwaysApply: false
 ---
 
-Правило охоплює: коректність підключення Hasura у CI-середовищі (внутрішній URL кластера), конвенцію іменування k8s-сервісів та структуру директорій міграцій.
-
-[hasura-internal_urls](./js/internal_urls.mdc)
-
-[hasura-svc_hl](./js/svc_hl.mdc)
-
-[hasura-migrations](./js/migrations.mdc)
-
-## Швидкий gate через conftest
-
-[hasura-svc_hl](./policy/svc_hl/svc_hl.mdc)
+Правило охоплює: коректність підключення Hasura у CI-середовищі (внутрішній URL кластера), конвенцію іменування k8s-сервісів та структуру директорій міграцій.

package/rules/image-avif/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує перевірку на основі логіки правил, використовуючи конфігурації з meta.json, політики та посилання на MDC. При запуску як окрема утиліта, він завантажує конфігурації, застосовує білі списки для фільтрації та формує зведений звіт. Результат виконання визначає код виходу процесу. Кешування відбувається у межах прогону. Модуль є Read-only, тобто не здійснює записів у файлову систему чи бази даних.
 
 ## Поведінка

package/rules/image-avif/main.mdc

@@ -5,12 +5,4 @@ globs: "**/*.{png,jpg,jpeg,gif,avif,vue,html}"
 alwaysApply: false
 ---
 
-Правило забезпечує, що кожне raster-зображення (`png`, `jpg`, `jpeg`, `gif`), на яке посилаються `.vue`/`.html` файли, має AVIF-двійник і що посилання переписані на нього. Генерація, rewrite і cleanup AVIF-сиріт виконуються автоматично через `npx @nitra/cursor fix image-avif`.
-
-[image-avif-avif_generation](./js/avif_generation.mdc)
-
-[image-avif-package_json_optout](./js/package_json_optout.mdc)
-
-## Швидкий gate через conftest
-
-[image-avif-package_json](./policy/package_json/package_json.mdc)
+Правило забезпечує, що кожне raster-зображення (`png`, `jpg`, `jpeg`, `gif`), на яке посилаються `.vue`/`.html` файли, має AVIF-двійник і що посилання переписані на нього. Генерація, rewrite і cleanup AVIF-сиріт виконуються автоматично через `npx @nitra/cursor fix image-avif`.

package/rules/image-compress/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Модуль забезпечує механізми для виконання та валідації контенту відповідно до визначених правил. Функція `run` виконує перевірку відповідності контенту визначеним критеріям у межах поточного контексту прогону. Функція `lint` виконує виявлення або стиснення зображень залежно від режиму `readOnly`.
 
 ## Поведінка

package/rules/image-compress/js/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/image-compress/js/
 
 | Файл                                  | Тип       |
 | ------------------------------------- | --------- |
-| [lint.mjs](lint.md)                   | JS Module |
 | [package_setup.mjs](package_setup.md) | JS Module |

package/rules/image-compress/main.mdc

@@ -7,12 +7,4 @@ alwaysApply: false
 
 CLI [`@nitra/minify-image`](https://www.npmjs.com/package/@nitra/minify-image) (≥ **4.0.1**) запускається через `npx` і **не** додається в `dependencies` / `devDependencies`. Запуск — через **`n-cursor lint image-compress`**: локально (fix) виконує `npx @nitra/minify-image --src=. --write`, у `--read-only` виконує `npx @nitra/minify-image --src=. --json` і падає, якщо `summary.needsCompression > 0`. **AVIF-генерація (`--avif`) у `image-compress` не входить** — її виконує окреме правило `image-avif`.
 
-Окремий workflow `lint-image.yml` створювати не треба; якщо потрібен CI-gate для зображень, використовуй `n-cursor lint image-compress --read-only`.
-
-[image-compress-package_setup](./js/package_setup.mdc)
-
-[image-compress-package_json](./js/package_json.mdc)
-
-## Швидкий gate через conftest
-
-[image-compress-package_json](./policy/package_json/package_json.mdc)
+Окремий workflow `lint-image.yml` створювати не треба; якщо потрібен CI-gate для зображень, використовуй `n-cursor lint image-compress --read-only`.

package/rules/js/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль забезпечує виконання функцій `run`, `filterJsFiles` та `lint` для аналізу кодової бази. Він виконує стандартну перевірку проєкту, відбираючи файли з розширеннями JavaScript за допомогою `filterJsFiles` та запускаючи перевірку JS-коду за допомогою `lint`.
 
 ## Поведінка

package/rules/js/js/dep-policy.mjs

@@ -11,7 +11,7 @@ import {
   dynamicImportModule,
   langFromPath,
   requireCallModule,
-  walkAstWithAncestors,
+  walkAstWithAncestors
 } from '../../../scripts/utils/ast-scan-utils.mjs'
 
 const JS_SOURCE_RE = /\.(?:[cm]?[jt]sx?)$/u
@@ -60,9 +60,13 @@ export async function check(cwdParam = process.cwd()) {
   const ignorePaths = await loadCursorIgnorePaths(cwd)
 
   const files = []
-  await walkDir(cwd, p => {
-    if (JS_SOURCE_RE.test(p)) files.push(p)
-  }, ignorePaths)
+  await walkDir(
+    cwd,
+    p => {
+      if (JS_SOURCE_RE.test(p)) files.push(p)
+    },
+    ignorePaths
+  )
 
   let violations = 0
   for (const absPath of files) {

package/rules/js/js/docs/check.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує валідацію конфігураційних файлів, включаючи `package.json`, `.oxlintrc.json`, `knip.json`, `knip-canonical.json` та `.eslintrc.json`. Він перевіряє відповідність структури та конфігурацій встановленим стандартам. (js.mdc) (text.mdc)
 
 ## Поведінка

package/rules/js/js/docs/dep-policy.md

@@ -3,28 +3,26 @@ type: JS Module
 title: dep-policy.mjs
 resource: npm/rules/js/js/dep-policy.mjs
 docgen:
-  crc: 82035584
+  crc: 020620cb
   model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
-## Огляд
-
-Модуль сканує JavaScript та TypeScript файли проєкту для перевірки відповідності політикам залежностей. Він знаходить усі імпорти у файлах і порівнює їх із переліком заборонених специфікаторів. При виявленні порушень політики, вони реєструються. Модуль працює у режимі, що перехоплює помилки (fail-safe), і не кидає винятків назовні. Він є лише для читання (Read-only) і не змінює файлову систему чи бази даних. Результат роботи визначається кодом виходу, що інформує про наявність чи відсутність порушень політики (dep-policy.mdc) та успішну перевірку (js.mdc).
+Модуль сканує файли з розширеннями JS/TS у проєкті. Він перевіряє, чи не містять ці файли імпортів, заборонених відповідно до політики (dep-policy.mdc). Модуль виконує перевірку у режимі лише для читання. У разі виявлення порушень, він реєструє їх у звіті. Модуль перехоплює всі можливі помилки (fail-safe) і не генерує винятків назовні. Результат роботи відображається через код виходу, що інформує про статус перевірки (js.mdc).
 
 ## Поведінка
 
 1. Ініціалізує звітність.
 2. Визначає кореневу директорію проєкту.
-3. Зчитує список шляхів, які слід ігнорувати під час сканування.
-4. Знаходить усі файли з розширеннями JavaScript/TypeScript у кореневій директорії, ігноруючи визначені шляхи.
-5. Для кожного знайденого файлу:
-    а. Зчитує вміст файлу.
-    б. Витягує всі імпортовані специфікатори з вмісту файлу.
-    в. Перевіряє кожен витягнутий специфікатор на відповідність списку заборонених специфікаторів (dep-policy.mdc).
-    г. Якщо специфікатор заборонений, реєструє помилку, вказуючи відносний шлях до файлу та заборонений імпорт. Збільшує лічильник порушень.
+3. Завантажує списки шляхів, які слід ігнорувати.
+4. Збирає список усіх файлів з розширеннями JS/TS у кореневій директорії, ігноруючи визначені шляхи.
+5. Для кожного зібраного файлу:
+   а. Зчитує вміст файлу.
+   б. Витягує з вмісту всі імпортовані специфікатори (статичні, динамічні та через `require`).
+   в. Для кожного витягнутого специфікатора перевіряє, чи він є забороненим відповідно до політики (dep-policy.mdc).
+   г. Якщо специфікатор заборонений, реєструє помилку у звіті, вказуючи шлях до файлу та заборонений імпорт. Збільшує лічильник порушень.
 6. Якщо порушень не знайдено, реєструє повідомлення про успішну перевірку (js.mdc).
-7. Повертає код виходу, що відображає наявність порушень.
+7. Повертає код виходу звіту.
 
 ## Публічний API
 

package/rules/js/js/docs/index.md

@@ -6,10 +6,10 @@ resource: npm/rules/js/js/
 
 # npm/rules/js/js
 
-| Файл | Тип |
-|---|---|
-| [check.mjs](check.md) | JS Module |
-| [dep-policy.mjs](dep-policy.md) | JS Module |
+| Файл                                  | Тип       |
+| ------------------------------------- | --------- |
+| [check.mjs](check.md)                 | JS Module |
+| [dep-policy.mjs](dep-policy.md)       | JS Module |
 | [lint-findings.mjs](lint-findings.md) | JS Module |
-| [tooling.mjs](tooling.md) | JS Module |
+| [tooling.mjs](tooling.md)             | JS Module |
 | [utils_imports.mjs](utils_imports.md) | JS Module |

package/rules/js/js/docs/tooling.md

@@ -8,8 +8,6 @@ docgen:
   score: 95
 ---
 
-## Огляд
-
 Визначає шляхи до канонічних JSON-файлів для інструментів oxlint та knip через OXLINT_CANONICAL_JSON_PATH та KNIP_CANONICAL_JSON_PATH. Також перевіряє відповідність конфігураційного файлу .oxlintrc.json значенням, встановленим у oxlint-canonical.json, за допомогою verifyOxlintRcAgainstCanonical.
 
 ## Поведінка

package/rules/js/js/docs/utils_imports.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль сканує монорепозиторій для пошуку каталогів `utils` та аналізу їхнього вмісту. Аналіз файлів JS/TS у цих каталогах здійснюється на відповідність шаблону забороненого відносного імпорту, що базується на конфігурації, визначеній у `.n-cursor.json`. При виявленні порушень, система генерує повідомлення, позначене як (js.mdc).
 
 ## Поведінка

package/rules/js/main.mdc

@@ -7,38 +7,7 @@ version: '1.30'
 
 **oxlint**, **ESLint**, **jscpd**, **knip**. Запуск — **`n-cursor lint js`** (локально; у CI — `--read-only`, без **`--fix`** для oxlint/eslint). Без **prettier** і **@nitra/prettier-config**.
 
-[js-file-extensions](./js/file-extensions.mdc)
-
-[js-package-json](./js/package-json.mdc)
-
-[js-eslint-config](./js/eslint-config.mdc)
-
-[js-oxlintrc](./js/oxlintrc.mdc)
-
-[js-extensions](./js/extensions.mdc)
-
-[js-jscpd](./js/jscpd.mdc)
-
-[js-knip](./js/knip.mdc)
-
-[js-dep-policy](./js/dep-policy.mdc)
-
-[js-lint-js-workflow](./js/lint-js-workflow.mdc)
-
-[js-utils-lib-structure](./js/utils-lib-structure.mdc)
-
-[js-for-in](./js/for-in.mdc)
-
-[js-tests](./js/tests.mdc)
-
 ## Швидкий gate через conftest
 
 Rego-пакети у `policy/` — запускаються `npx @nitra/cursor fix js` або `conftest`:
 
-[js-policy-package_json](./policy/package_json/package_json.mdc)
-
-[js-policy-jscpd](./policy/jscpd/jscpd.mdc)
-
-[js-policy-lint_js_yml](./policy/lint_js_yml/lint_js_yml.mdc)
-
-[js-policy-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)

package/rules/js-bun-db/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Модуль виконує перевірку, застосовуючи правила та політики. При виклику публічної функції `run` він завантажує конфігурації, зокрема `meta.json`, застосовує білі списки та підбиває підсумки. Модуль є Read-only, тобто не пише у файлову систему чи базу даних. Під час роботи відбувається кешування даних у межах одного прогону. Результат перевірки визначає код виходу процесу.
 
 ## Поведінка

package/rules/js-bun-db/js/docs/safety.md

@@ -3,39 +3,34 @@ type: JS Module
 title: safety.mjs
 resource: npm/rules/js-bun-db/js/safety.mjs
 docgen:
-  crc: eaeb52bc
+  crc: e828ee4a
+  model: omlx/gemma-4-e4b-it-OptiQ-4bit
   score: 100
 ---
 
-Огляд
+Модуль сканує репозиторій для валідації безпечності використання Bun SQL. Він шукає всі файли `package.json` та JS/TS джерела, щоб перевірити відповідність патернів Bun SQL правилам, визначеним у конфігурації, що спирається на `package.json`.
 
-Файл перевіряє шляхи до файлів та залежностей, пов'язаних з Bun SQL та бібліотекою `pg`. Файл збирає метадані про використання `pg` та механізми LISTEN/NOTIFY. (js-bun-db.mdc)
+Поведінка:
+
+- Перевіряє відповідність патернів Bun SQL встановленим правилам (js-bun-db.mdc).
 
 ## Поведінка
 
-1. Завантажити шляхи до файлів з коду
-2. Просканувати джерела за патернами Bun SQL
-3. Зібрати метадані про використання `pg` та LISTEN/NOTIFY
-4. Перевірити залежності `pg` та використання LISTEN/NOTIFY
-5. Перевірити імпорти `pg` та використання LISTEN/NOTIFY
-6. Перевірити наявність `package.json` для залежностей `pg`
-7. Перевірити використання `import { sql|SQL } from 'bun'`
-8. Перевірити відсутність створення `new SQL` всередині функцій
-9. Перевірити використання `sql.unsafe` без маркерів дозволу
-10. Перевірити використання `sql.unsafe` з template-літералами
-11. Перевірити використання `pg-leftover` викликів
-12. Перевірити використання `findBunSqlUnsafeBunSqlDynamicSqlListInText`
-13. Перевірити використання `findUnsafeBunSqlInListMissingEmptyGuardInText`
-14. Перевірити використання `findPgFormatShimDefinitionInText`
-15. Перевірити використання `findPgFormatLikeQueryWrapperInText`
-16. Перевірити наявність використання `import { sql } from 'bun'`
+1. Викликається `check` для початку перевірки.
+2. Перевіряється наявність `package.json` у корені репозиторію. Якщо відсутній, перевірка припиняється.
+3. Завантажуються конфігураційні шляхи, які ігноруються під час обходу.
+4. Знаходяться всі файли `package.json` у репозиторії. Якщо жоден не знайдено, перевірка припиняється.
+5. Знаходяться всі JS/TS джерела для сканування патернів Bun SQL. Якщо жоден не знайдено, перевірка припиняється.
+6. Скануються знайдені JS/TS джерела на небезпечні патерни Bun SQL. Збираються метадані про використання Bun SQL та про використання бібліотеки `pg` (LISTEN/NOTIFY).
+7. Перевіряється залежність `pg` у знайдених `package.json` на відповідність правилу: якщо `pg` є залежністю, у коді має бути хоча б одне використання LISTEN/NOTIFY.
+8. Перевіряється кожен файл, що імпортує `pg`. Якщо у ньому немає використання LISTEN/NOTIFY, реєструється порушення.
+9. Після завершення сканування та перевірок, реєструються всі знайдені порушення, пов'язані з Bun SQL (наприклад, створення `new SQL` всередині функцій, використання `sql.unsafe` без маркерів, проблеми з динамічними списками тощо).
+10. Якщо всі перевірки пройдені успішно, реєструється повідомлення про відповідність правилу `js-bun-db.mdc`.
 
 ## Публічний API
 
-check — Перевіряє відповідність проєкту правилу js-bun-db.mdc
+check — порівнює структуру проєкту з вимогами, описаними у js-bun-db.mdc
 
 ## Гарантії поведінки
 
-- Read-only: файл не виконує операцій запису у файлову систему.
-- Перехоплює помилки і не пропускає винятків назовні (fail-safe).
-- Не звертається до мережі.
+- Read-only: не виконує операцій запису (ФС/БД).

package/rules/js-bun-db/js/safety.mjs

@@ -9,10 +9,12 @@ import {
   findBunSqlPgLeftoverCallInText,
   findBunSqlUnsafeUseWithoutAllowMarkerInText,
   findBunSqlUnsafeWithInterpolatedTemplateInText,
+  findJsonStringifyBeforeJsonbInText,
   findPgFormatLikeQueryWrapperInText,
   findPgFormatShimDefinitionInText,
   findPgLibImportInText,
   findPgListenNotifyUsageInText,
+  findSqlArrayWithoutTypeArgInText,
   findUnsafeBunSqlDynamicSqlListInText,
   findUnsafeBunSqlInListMissingEmptyGuardInText,
   isBunSqlScanSourceFile,
@@ -83,7 +85,9 @@ async function scanSourcesForBunSqlPatterns(sourcePaths, repoRoot, reporter) {
     inListGuard: 0,
     pgLeftover: 0,
     pgFormatShim: 0,
-    queryWrapper: 0
+    queryWrapper: 0,
+    jsonStringifyJsonb: 0,
+    sqlArrayNoType: 0
   }
   let hasBunSqlImport = false
   /** @type {{ rel: string, imports: { line: number, snippet: string }[], listenNotify: { line: number, snippet: string, kind: string }[] }[]} */
@@ -127,7 +131,7 @@ function collectPgUsageForFile(content, rel, pgUsage) {
  * @param {string} content вміст файлу
  * @param {string} rel posix-шлях відносно `repoRoot`
  * @param {(msg: string) => void} fail callback при помилці
- * @param {{ perRequest: number, unsafeCall: number, dynamicList: number, inListGuard: number, pgLeftover: number, pgFormatShim: number, queryWrapper: number }} counts акумулятори
+ * @param {{ perRequest: number, unsafeCall: number, unsafeTemplateInterp: number, dynamicList: number, inListGuard: number, pgLeftover: number, pgFormatShim: number, queryWrapper: number, jsonStringifyJsonb: number, sqlArrayNoType: number }} counts акумулятори
  * @returns {void}
  */
 function scanFileForBunSqlPatterns(content, rel, fail, counts) {
@@ -202,6 +206,22 @@ function scanFileForBunSqlPatterns(content, rel, fail, counts) {
         `sql\`...\${value}...\` (js-bun-db.mdc): ${v.snippet}`
     )
   }
+  for (const v of findJsonStringifyBeforeJsonbInText(content, rel)) {
+    counts.jsonStringifyJsonb++
+    fail(
+      `js-bun-db: ${rel}:${v.line} — JSON.stringify(...) перед ::jsonb зайвий: Bun SQL серіалізує ` +
+        `об'єкти/масиви у JSON автоматично, явний stringify призводить до подвійної серіалізації ` +
+        `(js-bun-db.mdc query-safety): ${v.snippet}`
+    )
+  }
+  for (const v of findSqlArrayWithoutTypeArgInText(content, rel)) {
+    counts.sqlArrayNoType++
+    fail(
+      `js-bun-db: ${rel}:${v.line} — sql.array(arr) без другого аргументу типу — ` +
+        `вкажи явний pg-тип: sql.array(arr, 'int8') / sql.array(arr, 'uuid') тощо ` +
+        `(js-bun-db.mdc sql-array): ${v.snippet}`
+    )
+  }
 }
 
 /**
@@ -338,7 +358,9 @@ export async function check(cwd = process.cwd()) {
     inListGuard,
     pgLeftover,
     pgFormatShim,
-    queryWrapper
+    queryWrapper,
+    jsonStringifyJsonb,
+    sqlArrayNoType
   } = await scanSourcesForBunSqlPatterns(sourcePaths, repoRoot, reporter)
 
   const { pgDepFails, pgImportFails, pgDepsFound, listenNotifyEvidence } = await checkPgDependencyAndUsage(
@@ -396,6 +418,12 @@ export async function check(cwd = process.cwd()) {
   if (queryWrapper === 0) {
     pass('js-bun-db: немає query(text, params)-обгорток над unsafe(...) у файлах з Bun SQL')
   }
+  if (jsonStringifyJsonb === 0) {
+    pass('js-bun-db: немає JSON.stringify(...) перед ::jsonb — Bun SQL серіалізує автоматично')
+  }
+  if (sqlArrayNoType === 0) {
+    pass('js-bun-db: усі sql.array() мають явний аргумент типу')
+  }
 
   return reporter.getExitCode()
 }

package/rules/js-bun-db/lib/bun-sql-scan.mjs

@@ -927,3 +927,126 @@ function kindFromListenNotifyMatch(text) {
 export function isBunSqlScanSourceFile(relativePathPosix) {
   return SOURCE_FILE_RE.test(relativePathPosix) && !relativePathPosix.endsWith('.d.ts')
 }
+
+// Імена відомих SQL-інстансів, для яких перевіряємо .array() без типу.
+const SQL_INSTANCE_NAMES = new Set(['sql', 'pgWrite', 'pgRead'])
+
+/**
+ * Чи це виклик `JSON.stringify(...)` (JSON.stringify через MemberExpression).
+ * @param {unknown} node AST node
+ * @returns {boolean}
+ */
+function isJsonStringifyCall(node) {
+  if (!node || typeof node !== 'object' || node.type !== 'CallExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression' || callee.computed) return false
+  const obj = callee.object
+  const prop = callee.property
+  return (
+    !!obj &&
+    obj.type === 'Identifier' &&
+    obj.name === 'JSON' &&
+    !!prop &&
+    prop.type === 'Identifier' &&
+    prop.name === 'stringify'
+  )
+}
+
+/**
+ * Знаходить виклики `JSON.stringify(...)::jsonb` всередині SQL template literal-ів.
+ * Bun SQL серіалізує об'єкти/масиви у JSON автоматично — явний `JSON.stringify`
+ * перед `::jsonb` призводить до подвійної серіалізації (js-bun-db.mdc).
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору lang
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findJsonStringifyBeforeJsonbInText(content, virtualPath = 'scan.ts') {
+  const program = parseProgramOrNull(content, virtualPath)
+  if (!program) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+
+  walkAstWithAncestors(program, [], node => {
+    let template = null
+    if (node.type === 'TemplateLiteral') template = node
+    else if (node.type === 'TaggedTemplateExpression') template = node.quasi
+    if (!template || typeof template !== 'object' || template.type !== 'TemplateLiteral') return
+
+    const expressions = template.expressions
+    const quasis = template.quasis
+    if (!Array.isArray(expressions) || !Array.isArray(quasis)) return
+
+    for (const [i, expr] of expressions.entries()) {
+      // Перевіряємо прямий JSON.stringify(...) і JSON.stringify всередині sql.array(...)
+      const isDirectStringify = isJsonStringifyCall(expr)
+      // sql.array(batch.map(r => JSON.stringify(...)), 'jsonb')
+      const hasSqlArrayStringify =
+        !isDirectStringify &&
+        expr.type === 'CallExpression' &&
+        Array.isArray(expr.arguments) &&
+        expr.arguments.some(arg => {
+          if (isJsonStringifyCall(arg)) return true
+          // .map(r => JSON.stringify(...))
+          if (arg.type === 'CallExpression' && Array.isArray(arg.arguments)) {
+            const cb = arg.arguments[0]
+            if (!cb) return false
+            const body = cb.type === 'ArrowFunctionExpression' || cb.type === 'FunctionExpression' ? cb.body : null
+            if (body && isJsonStringifyCall(body)) return true
+          }
+          return false
+        })
+
+      if (!isDirectStringify && !hasSqlArrayStringify) continue
+
+      // Quasi після expr (quasi[i+1]) — текст одразу після закриваючого }
+      const nextQuasi = quasis[i + 1]
+      const rawAfter =
+        nextQuasi && typeof nextQuasi === 'object' && nextQuasi.value && typeof nextQuasi.value.raw === 'string'
+          ? nextQuasi.value.raw
+          : ''
+
+      if (/^\s*::jsonb/u.test(rawAfter) || hasSqlArrayStringify) {
+        out.push({
+          line: offsetToLine(content, expr.start),
+          snippet: normalizeSnippet(content.slice(expr.start, expr.end))
+        })
+      }
+    }
+  })
+  return out
+}
+
+/**
+ * Знаходить виклики `sql.array(arr)` / `pgWrite.array(arr)` / `pgRead.array(arr)` без
+ * обов'язкового другого аргументу (типу pg-елемента). Без типу Bun не може вивести
+ * pg-тип, що призводить до mismatch (js-bun-db.mdc).
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору lang
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findSqlArrayWithoutTypeArgInText(content, virtualPath = 'scan.ts') {
+  const program = parseProgramOrNull(content, virtualPath)
+  if (!program) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+
+  walkAstWithAncestors(program, [], node => {
+    if (!node || node.type !== 'CallExpression') return
+    const callee = node.callee
+    if (!callee || callee.type !== 'MemberExpression' || callee.computed) return
+    const prop = callee.property
+    if (!prop || prop.type !== 'Identifier' || prop.name !== 'array') return
+    const obj = callee.object
+    if (!obj || obj.type !== 'Identifier' || !SQL_INSTANCE_NAMES.has(obj.name)) return
+    const args = node.arguments
+    if (!Array.isArray(args) || args.length !== 1) return
+
+    out.push({
+      line: offsetToLine(content, node.start),
+      snippet: normalizeSnippet(content.slice(node.start, node.end))
+    })
+  })
+  return out
+}