@nitra/cursor 12.9.0 → 12.11.0

package/rules/js-run/js/runtime.mjs

@@ -367,7 +367,13 @@ async function checkWorkspacePackage(rootDir, ignorePaths, fail, passFn, cwd) {
     passFn(`${label}немає Temporal API у Bun runtime-коді`)
   }
 
-  checkOtelConfigmap(rootDir, passFn, cwd)
+  checkOtelConfigmap(rootDir, passFn, fail, cwd)
+
+  const connAliasViolations = checkConnAliasDeclaration(absPackageRoot, sourcePaths, pkgJson, label, fail)
+  if (connAliasViolations === 0) {
+    const connDir = resolveConnDirFromPackageJson(pkgJson)
+    passFn(`${label}package.json.imports["#conn/*"] оголошений (або файлів у '${connDir}/' немає)`)
+  }
 }
 
 /**
@@ -409,9 +415,47 @@ async function loadPackageJson(rootDir, cwd) {
  * @returns {void}
  * @param {string} cwd корінь репозиторію
  */
-function checkOtelConfigmap(rootDir, passFn, cwd) {
-  const configmapPath = join(cwd, rootDir, 'k8s', 'base', 'configmap.yaml')
-  if (!existsSync(configmapPath)) return
+/**
+ * Перевіряє наявність `package.json#imports["#conn/*"]` коли у `connDir` є файли.
+ * @param {string} absPackageRoot абсолютний корінь пакета
+ * @param {string[]} sourcePaths абсолютні шляхи до файлів пакета
+ * @param {unknown} pkgJson розпарсений package.json пакета (або null)
+ * @param {string} label префікс повідомлення
+ * @param {(msg: string) => void} fail callback при помилці
+ * @returns {number} 0 — ок, 1 — порушення
+ */
+function checkConnAliasDeclaration(absPackageRoot, sourcePaths, pkgJson, label, fail) {
+  const connDir = resolveConnDirFromPackageJson(pkgJson)
+  const hasConnFiles = sourcePaths.some(absPath => isInsideConnDir(relPosix(absPackageRoot, absPath), connDir))
+  if (!hasConnFiles) return 0
+
+  const imports =
+    pkgJson && typeof pkgJson === 'object' && !Array.isArray(pkgJson)
+      ? /** @type {Record<string, unknown>} */ (pkgJson).imports
+      : null
+  if (imports && typeof imports === 'object' && !Array.isArray(imports) && imports['#conn/*']) return 0
+
+  fail(
+    `${label}є файли у '${connDir}/', але в package.json відсутній аліас "#conn/*" — ` +
+      `додай "imports": { "#conn/*": "./${connDir}/*" } (js-run.mdc conn-aliases)`
+  )
+  return 1
+}
+
+function checkOtelConfigmap(rootDir, passFn, failFn, cwd) {
+  const k8sDir = join(cwd, rootDir, 'k8s')
+  if (!existsSync(k8sDir)) {
+    passFn(`${rootDir}: немає каталогу k8s/ — перевірку OTEL configmap пропущено`)
+    return
+  }
+  const configmapPath = join(k8sDir, 'base', 'configmap.yaml')
+  if (!existsSync(configmapPath)) {
+    failFn(
+      `${rootDir}/k8s/base/configmap.yaml відсутній — додай з полем OTEL_RESOURCE_ATTRIBUTES ` +
+        `(service.name=, service.namespace=), js-run.mdc`
+    )
+    return
+  }
   passFn(`${rootDir}/k8s/base/configmap.yaml є (OTEL — npx @nitra/cursor fix → js_run.configmap)`)
 }
 

package/rules/js-run/main.mdc

@@ -7,32 +7,7 @@ version: '1.12'
 
 Правило охоплює backend Node.js workspace-пакети (jobs, GraphQL/HTTP-сервери, CLI) — визначення меж застосування, вимоги до runtime, структуру проекту, конфігурацію, логування, підключення до БД/GraphQL і безпечне використання env-змінних.
 
-[js-run-scope](./js/scope.mdc)
-
-[js-run-runtime](./js/runtime.mdc)
-
-[js-run-temporal](./js/temporal.mdc)
-
-[js-run-project-structure](./js/project-structure.mdc)
-
-[js-run-jsconfig](./js/jsconfig.mdc)
-
-[js-run-pino](./js/pino.mdc)
-
-[js-run-otel-configmap](./js/otel-configmap.mdc)
-
-[js-run-conn-aliases](./js/conn-aliases.mdc)
-
-[js-run-check-env](./js/check-env.mdc)
-
-[js-run-settimeout](./js/settimeout.mdc)
-
 ## Швидкий gate через conftest
 
 Rego-пакети, які запускає `npx @nitra/cursor fix js-run` / `npx @nitra/cursor check`:
 
-[js-run-package_json](./policy/package_json/package_json.mdc)
-
-[js-run-jsconfig](./policy/jsconfig/jsconfig.mdc)
-
-[js-run-configmap](./policy/configmap/configmap.mdc)

package/rules/k8s/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 85
 ---
 
-## Огляд
-
 Модуль знаходить унікальні корені каталогів із іменем `k8s` за шляхами файлів `*.yaml` у репозиторії. Якщо таких файлів немає, виконання завершується з кодом 0 без виклику зовнішніх CLI. Для знайдених коренів виконується перевірка YAML-маніфестів. `kubeconform` перевіряє маніфести проти OpenAPI-схем Kubernetes (https://github.com/yannh/kubeconform#readme), використовуючи версію, узгоджену з лінією релізу. `kubescape` сканує маніфести на misconfiguration та відповідність стандартам (NSA, MITRE, CIS), використовуючи конфігураційний файл `.kubescape-exceptions.json`. Орієнтир цільового кластера для `kubescape` визначається за тією ж лінією релізу, що й для `kubeconform`. Обидві утиліти (`kubeconform` та `kubescape`) повинні бути доступні в системному PATH.
 
 ## Поведінка

package/rules/k8s/main.mdc

@@ -17,52 +17,7 @@ alwaysApply: false
 
 Правило активується автоматично для `**/k8s/**/*.yaml` (через `globs`). Додаткова конфігурація в `.n-cursor.json` не потрібна.
 
-[k8s-schema-modeline](./js/schema_modeline.mdc)
-
-[k8s-lint-k8s](./js/lint_k8s.mdc)
-
-[k8s-deployment-resources](./js/deployment_resources.mdc)
-
-[k8s-hasura-httproute](./js/hasura_httproute.mdc)
-
-[k8s-service](./js/service.mdc)
-
-[k8s-configmap](./js/configmap.mdc)
-
-[k8s-kustomize-structure](./js/kustomize_structure.mdc)
-
-[k8s-topology-hpa-pdb](./js/topology_hpa_pdb.mdc)
-
-[k8s-network-policy](./js/network_policy.mdc)
-
-[k8s-ingress-gateway](./js/ingress_gateway.mdc)
-
-[k8s-hpa-apiversion](./js/hpa_apiversion.mdc)
-
-[k8s-multidoc-yaml](./js/multidoc_yaml.mdc)
-
 ## Швидкий gate через conftest (Rego)
 
 Підмножину пер-документних правил продубльовано як rego-полісі у **`npm/rules/k8s/policy/`** (запускається через **`bun run lint-rego`** для `*_test.rego` юніт-тестів і через **`npx @nitra/cursor fix k8s`** для прогону по реальних YAML). JS authoritative; rego — швидкий gate для одиничного маніфеста.
 
-[k8s-policy-manifest](./policy/manifest/manifest.mdc)
-
-[k8s-policy-base-manifest](./policy/base_manifest/base_manifest.mdc)
-
-[k8s-policy-base-kustomization](./policy/base_kustomization/base_kustomization.mdc)
-
-[k8s-policy-gateway](./policy/gateway/gateway.mdc)
-
-[k8s-policy-hasura-configmap](./policy/hasura_configmap/hasura_configmap.mdc)
-
-[k8s-policy-hasura-httproute](./policy/hasura_httproute/hasura_httproute.mdc)
-
-[k8s-policy-hpa-pdb](./policy/hpa_pdb/hpa_pdb.mdc)
-
-[k8s-policy-kustomization](./policy/kustomization/kustomization.mdc)
-
-[k8s-policy-network-policy](./policy/network_policy/network_policy.mdc)
-
-[k8s-policy-svc-yaml](./policy/svc_yaml/svc_yaml.mdc)
-
-[k8s-policy-svc-hl-yaml](./policy/svc_hl_yaml/svc_hl_yaml.mdc)

package/rules/nginx-default-tpl/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Модуль перевіряє задане правило, використовуючи конфігурації, які визначаються у meta.json. При запуску через публічну функцію `run` відбувається оркестрація виконання. Процес включає застосування логіки, що використовує кешування результатів у межах одного прогону. Результат виконання визначає код виходу.
 
 ## Поведінка

package/rules/nginx-default-tpl/main.mdc

@@ -7,16 +7,3 @@ alwaysApply: false
 
 Правило забезпечує відповідність `default.conf.template` канонічній структурі nginx для фронтенду зі статичними файлами, а також перевіряє пов'язані артефакти: HTTPRoute (k8s), Dockerfile, ini-файли середовищ і VS Code конфігурацію.
 
-[nginx-default-tpl-template-structure](./js/template-structure.mdc)
-
-[nginx-default-tpl-http-route](./js/http-route.mdc)
-
-[nginx-default-tpl-dockerfile](./js/dockerfile.mdc)
-
-[nginx-default-tpl-ini-keys](./js/ini-keys.mdc)
-
-[nginx-default-tpl-vscode](./js/vscode.mdc)
-
-[nginx-default-tpl-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
-
-[nginx-default-tpl-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/npm-module/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує перевірку, застосовуючи політику, обробляючи JS-запити. При запуску як інструмент командного рядка, метод `run` ініціює повний запуск правила. Цей запуск включає завантаження конфігурацій, що спираються на meta.json, застосування білих списків та підбиття підсумків. Модуль є Read-only, тобто не пише у ФС/БД. Кешування даних відбувається в межах одного прогону.
 
 ## Поведінка

package/rules/npm-module/js/docs/header_doc_pointer.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль валідує відповідність контракту документації для файлів `.mjs` у сегментах `npm/rules` та `npm/skills`. Він виявляє порушення, якщо для файлу `.mjs` існує відповідний файл `docs/<ім'я>.md`, а його JSDoc-блок містить більше одного непорожнього рядка.
 
 ## Поведінка

package/rules/npm-module/js/docs/rule_meta.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль перевіряє конфігурації правил, розташованих у каталозі `npm/rules`. Він гарантує, що кожен підкаталог правила містить необхідні файли, включаючи маркери повідомлень (`scripts.mdc`), та коректно структурований конфігураційний файл, що базується на `main.json` та `meta.json`. Перевірка включає валідацію визначених предикатів та експортованих функцій відповідно до очікуваного контракту.
 
 ## Поведінка

package/rules/npm-module/js/docs/skill_meta.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Перевіряє структуру та конфігурацію скілів у каталозі `npm/skills`, використовуючи правила, визначені в `meta.json`. Валідує, що кожен скіл не містить файлу `auto.md`. Перевіряє валідність полів `worktree`, `auto` та `requireRoot` у `main.json` кожного скіла.
 
 ## Поведінка

package/rules/npm-module/main.mdc

@@ -7,17 +7,9 @@ version: '1.14'
 
 Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.github/workflows/`**; опційно **`demo/`**.
 
-[npm-module-package_structure](./js/package_structure.mdc)
-
-[npm-module-rule_meta](./js/rule_meta.mdc)
-
-[npm-module-skill_meta](./js/skill_meta.mdc)
-
-[npm-module-header_doc_pointer](./js/header_doc_pointer.mdc)
-
 ## Версія та CHANGELOG
 
-Версію (`version` у **`npm/package.json`**) і **`npm/CHANGELOG.md`** **не редагуй вручну** — навіть для hotfix. Єдиний артефакт зміни — **change-файл** (`npx @nitra/cursor change --bump <major|minor|patch> --section <Added|Changed|Fixed|Removed> --message "<…>"`); bump `version` і генерацію секції CHANGELOG робить `n-cursor release` у CI на `main`. Будь-який ручний bump `version` поза CI завалює `check changelog` — навіть із change-файлом.
+Версію (`version` у **`npm/package.json`**) і **`npm/CHANGELOG.md`** **не редагуй вручну** — навіть для hotfix. Єдиний артефакт зміни — **change-файл** (`npx @7n/n ch [--bump <major|minor|patch>] [--section <Added|Changed|Fixed|Removed>] [--message "<…>"]`); bump `version` і генерацію секції CHANGELOG робить `n-cursor release` у CI на `main`. Будь-який ручний bump `version` поза CI завалює `check changelog` — навіть із change-файлом.
 
 Повна модель (база порівняння, інверсія шляхів, формат CHANGELOG, post-release-інваріант «верхня секція CHANGELOG == `version`») — у **`n-changelog.mdc`** (джерело істини). Це правило їй підпорядковане й власних інструкцій bump/CHANGELOG не дублює.
 
@@ -25,10 +17,4 @@ Bun monorepo: workspace **`npm/`**, кореневий **`package.json`**, **`.g
 
 Rego-пакети (запускаються через `npx @nitra/cursor fix`):
 
-[npm-module-npm_package_json](./policy/npm_package_json/npm_package_json.mdc)
-
-[npm-module-root_package_json](./policy/root_package_json/root_package_json.mdc)
-
-[npm-module-emit_types_config](./policy/emit_types_config/emit_types_config.mdc)
-
 - `npm_module.npm_publish_yml` — template-driven перевірка `.github/workflows/npm-publish.yml` (deep-subset: усі обовʼязкові поля й кроки з канонічного сніпету).

package/rules/php/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Скрипт виконує перевірку коду відповідно до правила `php.mdc`. Він запускає `composer audit` для перевірки залежностей, а також, якщо встановлені, виконує PHPStan, Psalm, PHP-CS-Fixer (у режимі dry-run) та PHPCS зі стандартом Security. Робота скрипта ґрунтується на конфігурації, визначеній у `composer.json`. Скрипт пропускає запуск інструменту, якщо відповідний виконуваний файл відсутній у `vendor/bin/`. Якщо `composer.json` відсутній у корені, інструменти не запускаються.
 
 ## Поведінка

package/rules/php/js/docs/index.md

@@ -8,5 +8,4 @@ resource: npm/rules/php/js/
 
 | Файл                      | Тип       |
 | ------------------------- | --------- |
-| [lint.mjs](lint.md)       | JS Module |
 | [tooling.mjs](tooling.md) | JS Module |

package/rules/php/main.mdc

@@ -5,12 +5,4 @@ globs: "**/*.php"
 alwaysApply: false
 ---
 
-Весь код повинен відповідати PHP 8.5 (PHPCompatibility + Rector). Лінт запускається через `n-cursor lint php`.
-
-[php-tooling](./js/tooling.mdc)
-
-[php-lint_php_yml](./js/lint_php_yml.mdc)
-
-## Швидкий gate через conftest
-
-[php-lint_php_yml](./policy/lint_php_yml/lint_php_yml.mdc)
+Весь код повинен відповідати PHP 8.5 (PHPCompatibility + Rector). Лінт запускається через `n-cursor lint php`.

package/rules/python/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Реалізує логіку запуску `lint-python` за правилом `python.mdc` на базі [uv](https://docs.astral.sh/uv/). Якщо `pyproject.toml` у корені відсутній, процес завершується з кодом виходу 0. Якщо файл присутній, але інструмент `uv` не знайдено в PATH, це розглядається як помилка. Обов'язкові кроки включають перевірку актуальності lock-файлу (`uv lock --check`) та синхронізацію середовища (`uv sync --frozen`). Опційні лінтери (`ruff`, `mypy`) запускаються лише за умови їх доступності через `uv run`. `ruff` виконується у режимі автоматичного виправлення (`--fix`) для мутації робочого дерева та для форматування. Цей підхід відповідає канону патерну `lint-*` (серіалізація через `runStandardLint`, без прямого `withLock`).
 
 ## Поведінка

package/rules/python/js/docs/index.md

@@ -9,5 +9,4 @@ resource: npm/rules/python/js/
 | Файл                      | Тип       |
 | ------------------------- | --------- |
 | [applies.mjs](applies.md) | JS Module |
-| [lint.mjs](lint.md)       | JS Module |
 | [tooling.mjs](tooling.md) | JS Module |

package/rules/python/main.mdc

@@ -5,16 +5,4 @@ alwaysApply: false
 version: '1.0'
 ---
 
-Python-проєкти ведуться **виключно** на [uv](https://docs.astral.sh/uv/) — єдиний пакет-менеджер і резолвер. **Poetry заборонено.** Середовище: `uv sync --frozen` (строго з `uv.lock`).
-
-[python-pyproject_toml](./js/pyproject_toml.mdc)
-
-[python-lint_python_yml](./js/lint_python_yml.mdc)
-
-[python-tooling](./js/tooling.mdc)
-
-## Швидкий gate через conftest (Rego)
-
-[python-pyproject_toml-policy](./policy/pyproject_toml/pyproject_toml.mdc)
-
-[python-lint_python_yml-policy](./policy/lint_python_yml/lint_python_yml.mdc)
+Python-проєкти ведуться **виключно** на [uv](https://docs.astral.sh/uv/) — єдиний пакет-менеджер і резолвер. **Poetry заборонено.** Середовище: `uv sync --frozen` (строго з `uv.lock`).

package/rules/python/policy/lint_python_yml/lint_python_yml.rego

@@ -43,6 +43,15 @@ deny contains msg if {
 	msg := sprintf("lint-python.yml: відсутній step з `uses: %s` (python.mdc)", [required_use])
 }
 
+deny contains msg if {
+	some job in object.get(input, "jobs", {})
+	some step in object.get(job, "steps", [])
+	object.get(step, "uses", "") == "actions/checkout@v6"
+	creds := object.get(object.get(step, "with", {}), "persist-credentials", true)
+	creds != false
+	msg := "lint-python.yml: actions/checkout@v6 потребує `with: persist-credentials: false` (python.mdc)"
+}
+
 deny contains msg if {
 	some job in data.template.snippet.jobs
 	some step in job.steps

package/rules/python/policy/pyproject_toml/pyproject_toml.rego

@@ -21,7 +21,7 @@ deny contains msg if {
 	msg := sprintf("pyproject.toml: [tool.%s] — %s", [key, reason])
 }
 
-# ── PEP 621: обовʼязкові [project].name / [project].version ──────────────────
+# ── PEP 621: обовʼязкові [project].* ─────────────────────────────────────────
 
 deny contains msg if {
 	not project_field_set("name")
@@ -33,7 +33,21 @@ deny contains msg if {
 	msg := "pyproject.toml: відсутній статичний [project].version (PEP 621, python.mdc)"
 }
 
+deny contains msg if {
+	not project_field_set("requires-python")
+	msg := "pyproject.toml: відсутній [project].requires-python (наприклад '>=3.12') (PEP 621, python.mdc)"
+}
+
+deny contains msg if {
+	not project_key_exists("dependencies")
+	msg := "pyproject.toml: відсутній [project].dependencies (навіть порожній список `[]`) (PEP 621, python.mdc)"
+}
+
 project_field_set(key) if {
 	value := object.get(object.get(input, "project", {}), key, "")
 	value != ""
 }
+
+project_key_exists(key) if {
+	key in object.keys(object.get(input, "project", {}))
+}

package/rules/rego/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 90
 ---
 
-## Огляд
-
 Файл реалізує конвеєр для лінтування Rego-полісів, що знаходяться у каталозі `npm/rules/` (де живуть Rego-полісі пакета `@nitra/cursor`). Конвеєр послідовно виконує три етапи перевірки: строгу компіляцію за допомогою `opa check --strict`, яка виявляє помилки компіляції, незадекларовані змінні та інші проблеми, які ігнорує `regal`; статичне лінтування за допомогою `regal lint` (згідно з https://docs.styra.com/regal), що перевіряє відповідність стилю та ідіоматичності Rego v1; та опціональний запуск юніт-тестів за допомогою `conftest verify` (як описано на https://www.conftest.dev/install/). Резолюція інструментів (`opa`, `regal`) здійснюється через механізм `ensureTool`, що забезпечує їх доступність у середовищі. Усі операції керуються конфігурацією, визначеною у `target.json`.
 
 ## Поведінка

package/rules/rego/js/docs/index.md

@@ -6,7 +6,7 @@ resource: npm/rules/rego/js/
 
 # npm/rules/rego/js
 
-| Файл | Тип |
-|---|---|
+| Файл                      | Тип       |
+| ------------------------- | --------- |
 | [applies.mjs](applies.md) | JS Module |
 | [tooling.mjs](tooling.md) | JS Module |

package/rules/rego/js/docs/tooling.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Перевіряє наявність конфігураційного файлу `.regal/config.yaml` у корені проєкту. Ця функція визначає можливість подальшої ініціалізації системи. У разі відсутності файлу, повертає повідомлення, що вимагає створення конфігураційного файлу (rego.mdc).
 
 ## Поведінка

package/rules/rego/js/tooling.mdc

@@ -0,0 +1,14 @@
+## Rego tooling: `.regal/config.yaml`
+
+У корені проєкту **має бути** файл `.regal/config.yaml` — конфіг лінтера [regal](https://docs.styra.com/regal).
+
+Мінімальний приклад (вимикає `no-defined-entrypoint` для conftest-полісі):
+
+```yaml title=".regal/config.yaml"
+rules:
+  idiomatic:
+    no-defined-entrypoint:
+      level: ignore
+```
+
+`regal lint` запускається через `n-cursor lint rego`; без `.regal/config.yaml` regal використовує дефолти і може помилково флагувати conftest `deny`-правила як entrypoint-порушення.

package/rules/rego/main.mdc

@@ -9,8 +9,6 @@ alwaysApply: false
 
 Синтаксичні правила (`rego.v1`, `import rego.v1`, заборона legacy v0) — у `conftest.mdc` (alwaysApply). Цей файл — про **інструментарій**: VS Code, лінтери, форматування.
 
-[rego-rego-lint](./js/rego-lint.mdc)
-
 ## Швидкий gate через conftest
 
 | Пакет | Ціль | Що перевіряє |
@@ -18,10 +16,3 @@ alwaysApply: false
 | `rego.vscode_extensions` | `.vscode/extensions.json` | `recommendations` містить `tsandall.opa` |
 | `rego.vscode_settings` | `.vscode/settings.json` | `[rego]`-блок з `defaultFormatter` + `formatOnSave` |
 
-[rego-vscode_extensions](./js/vscode_extensions.mdc)
-
-[rego-vscode_settings](./js/vscode_settings.mdc)
-
-[rego-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
-
-[rego-vscode_settings](./policy/vscode_settings/vscode_settings.mdc)

package/rules/rego/policy/package_json/package_json.mdc

@@ -0,0 +1,12 @@
+## Rego-gate: `opa` та `regal` заборонені у `package.json`
+
+Rego-пакет: `rego.package_json`
+
+Цільовий файл: `package.json`
+
+`opa` і `regal` — це CLI-тули Rego-екосистеми. Вони **не є npm-пакетами** і **не додаються** у `dependencies`, `devDependencies` або `peerDependencies`. Їх встановлюють:
+
+- **локально** — через [Homebrew](https://brew.sh/) / системний пакетний менеджер або вручну в PATH;
+- **у CI** — через крок з GitHub-action або аналог.
+
+Gate видає deny, якщо `opa` або `regal` з'являється у будь-якій секції залежностей `package.json`.

package/rules/release/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль забезпечує оркестрацію та виконання набору правил. При запуску як CLI ініціює повну оркестрацію правил. Як частина процесу, викликає публічну функцію `run` для виконання стандартного правила у контексті поточної директорії. Результат виконання цього правила визначає код виходу процесу. Модуль не модифікує файлову систему чи бази даних. Результати виконання правил кешуються протягом одного прогону.
 
 ## Поведінка

package/rules/release/main.mdc

@@ -1,10 +1,10 @@
 ---
-description: n-cursor release та n-cursor change — автоматичний version-bump і CHANGELOG із change-файлів
+description: n-cursor release та @7n/n ch — автоматичний version-bump і CHANGELOG із change-файлів
 version: '1.0'
 globs: "**/package.json,**/pyproject.toml,**/CHANGELOG.md,**/.changes/*.md"
 alwaysApply: false
 ---
 
-Версія та CHANGELOG **не редагуються вручну**. Єдиний артефакт зміни — **change-файл** (`npx @nitra/cursor change --bump <major|minor|patch> --section <Added|Changed|Fixed|Removed> --message "<…>"`). Bump `version` і генерацію секції CHANGELOG виконує `n-cursor release` у CI на `main`.
+Версія та CHANGELOG **не редагуються вручну**. Єдиний артефакт зміни — **change-файл** (`npx @7n/n ch [--bump <major|minor|patch>] [--section <Added|Changed|Fixed|Removed>] [--message "<…>"]`). Bump `version` і генерацію секції CHANGELOG виконує `n-cursor release` у CI на `main`.
 
 Детальна модель (база порівняння, формат CHANGELOG, post-release-інваріант) — у `n-changelog.mdc`.

package/rules/rust/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль надає інструменти для забезпечення якості коду Rust. Він дозволяє виконати перевірку коду на відповідність заданим Lint-правилам або запустити повну оркестрацію форматування та аналізу коду через `cargo`. Функціонал реалізується через публічні функції `run` та `lint`.
 
 ## Поведінка

package/rules/rust/js/docs/index.md

@@ -9,4 +9,3 @@ resource: npm/rules/rust/js/
 | Файл                      | Тип       |
 | ------------------------- | --------- |
 | [applies.mjs](applies.md) | JS Module |
-| [lint.mjs](lint.md)       | JS Module |

package/rules/rust/main.mdc

@@ -5,14 +5,4 @@ alwaysApply: false
 version: '1.4'
 ---
 
-Правило забезпечує форматування (rustfmt), лінт (clippy), CI workflow та покриття для Rust-проєктів.
-
-[rust-lint](./js/lint.mdc)
-[rust-vscode_extensions](./js/vscode_extensions.mdc)
-[rust-tauri_composition](./js/tauri_composition.mdc)
-[rust-coverage](./js/coverage.mdc)
-
-## Швидкий gate через conftest
-
-[rust-lint_rust_yml](./policy/lint_rust_yml/lint_rust_yml.mdc)
-[rust-vscode_extensions](./policy/vscode_extensions/vscode_extensions.mdc)
+Правило забезпечує форматування (rustfmt), лінт (clippy), CI workflow та покриття для Rust-проєктів.

package/rules/rust/policy/package_json/package_json.mdc

@@ -0,0 +1,12 @@
+## Rego-gate: `cargo`, `rustfmt`, `clippy` заборонені у `package.json`
+
+Rego-пакет: `rust.package_json`
+
+Цільовий файл: `package.json`
+
+`cargo`, `rustfmt` і `clippy` — це частина **Rust toolchain**, а не npm-пакети. Вони **не додаються** у `dependencies`, `devDependencies` або `peerDependencies`. Встановлення:
+
+- **локально** — через `rustup` (`rustup component add rustfmt clippy`);
+- **у CI** — через крок `dtolnay/rust-toolchain@stable` із `with.components: rustfmt, clippy`.
+
+Gate видає deny, якщо `cargo`, `rustfmt` або `clippy` з'являється у будь-якій секції залежностей `package.json`.

package/rules/security/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль виконує перевірку якості коду та безпеки репозиторію, спираючись на конфігурації, визначені у meta.json. Функція `run` застосовує політики та посилання на MDC для виконання перевірки. Функція `lint` сканує файлову систему репозиторію на наявність секретів. Обидві функції мають публічний статус, а кешування відбувається у межах одного прогону.
 
 ## Поведінка

package/rules/security/js/docs/index.md

@@ -8,6 +8,5 @@ resource: npm/rules/security/js/
 
 | Файл                                  | Тип       |
 | ------------------------------------- | --------- |
-| [lint.mjs](lint.md)                   | JS Module |
 | [sample_secret.mjs](sample_secret.md) | JS Module |
 | [trufflehog.mjs](trufflehog.md)       | JS Module |

package/rules/security/main.mdc

@@ -6,19 +6,6 @@ version: '2.1'
 ---
 
 Правило **security** забезпечує сканування секретів через [TruffleHog](https://github.com/trufflesecurity/trufflehog) локально та на CI, а також правильне використання placeholder-значень у прикладних файлах.
-
-[security-trufflehog](./js/trufflehog.mdc)
-
-[security-sample-secret](./js/sample_secret.mdc)
-
-[security-rego-policies](./js/rego_policies.mdc)
-
-## Швидкий gate через conftest
-
-[security-package-json](./policy/package_json/package_json.mdc)
-
-[security-lint-security-yml](./policy/lint_security_yml/lint_security_yml.mdc)
-
 ## Перевірка
 
 `npx @nitra/cursor fix security`

package/rules/style/docs/main.md

@@ -8,8 +8,6 @@ docgen:
   score: 100
 ---
 
-## Огляд
-
 Модуль реалізує логіку для виконання правил, фільтрації файлів за розширеннями та запуску стильового лінтера. Функція `run` виконує визначені правила. `filterStyleFiles` обробляє файли, вибираючи їх на основі розширень. `lint` запускає перевірку стилю.
 
 ## Поведінка

package/rules/style/js/docs/index.md

@@ -6,6 +6,6 @@ resource: npm/rules/style/js/
 
 # npm/rules/style/js
 
-| Файл | Тип |
-|---|---|
+| Файл                      | Тип       |
+| ------------------------- | --------- |
 | [tooling.mjs](tooling.md) | JS Module |

package/rules/style/js/docs/tooling.md

@@ -8,8 +8,6 @@ docgen:
   score: 95
 ---
 
-## Огляд
-
 Перевіряє налаштування для стилістичного лінтера, підтверджуючи наявність файлів конфігурації, таких як `.stylelintrc.json` та `package.json`. Це забезпечує коректний запуск перевірок відповідно до вимог, визначених у `.stylelintrc.json` та `settings.json`. (js.mdc), (style.mdc)
 
 ## Поведінка