npm - @nitra/cursor - Versions diffs - 3.14.0 → 3.14.2 - Mend

@nitra/cursor 3.14.0 → 3.14.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (7) hide show

package/CHANGELOG.md +17 -0
package/package.json +1 -1
package/rules/ga/policy/clean_merged_branch/clean_merged_branch.rego +3 -2
package/rules/ga/policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml +1 -0
package/rules/js-lint/coverage/coverage.mjs +41 -13
package/scripts/dispatcher/lib/level.mjs +31 -3
package/scripts/dispatcher/lib/review.mjs +12 -3

package/CHANGELOG.md CHANGED Viewed

@@ -1,5 +1,22 @@
 # Changelog
+## [3.14.2] - 2026-06-02
+### Fixed
+- Додано pull-requests: read до clean-merged-branch.yml, щоб cleanup action міг перевіряти PR-и комітів без 403.
+- detectLevel: ASCII L0-дієслова (fix/typo/bump/rename/hotfix) матчаться цілим словом, а не підрядком — опис на кшталт 'add prefix validation' більше не дає хибний L0 (раніше 'fix' ловився в 'prefix'/'fixture'/'suffix'). Кириличні L0-ключі лишаються підрядком (стемінг).
+## [3.14.1] - 2026-06-02
+### Changed
+- flow review: рецензент верифікує cross-file твердження читанням (Read) — промпт дозволяє/зобов'язує дочитувати referenced-файли/spec точково, репортувати лише те, що вносить diff (не преіснуючі баги сусідів), і не видавати нефальсифіковних findings «з diff не видно». Зменшує хибні findings.
+### Fixed
+- coverage-gate: запускати Stryker із локально встановленого @stryker-mutator/core (резолв через package.json у node_modules пакета, bin запускається напряму через node-shebang), а не через npx/bunx — ті тягнуть core у власний кеш без vitest-runner, тож plugin-discovery падав 'Cannot find TestRunner plugin vitest' і flow verify coverage-gate червонів. Працює й з worktree без власного node_modules.
 ## [3.14.0] - 2026-06-02
 ### Changed

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "3.14.0",
+  "version": "3.14.2",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/ga/policy/clean_merged_branch/clean_merged_branch.rego CHANGED Viewed

@@ -49,8 +49,9 @@ deny contains msg if {
 }
 deny contains msg if {
-	input.jobs.cleanup_old_branches.permissions.contents != expected_perms.contents
-	msg := sprintf("clean-merged-branch.yml: permissions.contents має бути %s (ga.mdc)", [expected_perms.contents])
+	some permission, expected in expected_perms
+	object.get(input.jobs.cleanup_old_branches.permissions, permission, null) != expected
+	msg := sprintf("clean-merged-branch.yml: permissions.%s має бути %s (ga.mdc)", [permission, expected])
 }
 deny contains msg if {

package/rules/ga/policy/clean_merged_branch/template/clean-merged-branch.yml.snippet.yml CHANGED Viewed

@@ -17,6 +17,7 @@ jobs:
     runs-on: ubuntu-latest
     permissions:
       contents: write
+      pull-requests: read
     steps:
       - id: delete_stuff
         name: Delete those pesky dead branches

package/rules/js-lint/coverage/coverage.mjs CHANGED Viewed

@@ -9,8 +9,9 @@
 import { spawnSync } from 'node:child_process'
 import { existsSync, readFileSync } from 'node:fs'
 import { mkdtemp, readFile, rm } from 'node:fs/promises'
+import { createRequire } from 'node:module'
 import { tmpdir } from 'node:os'
-import { isAbsolute, join, relative } from 'node:path'
+import { dirname, isAbsolute, join, relative } from 'node:path'
 import { resolveAllJsRoots } from '../../../scripts/utils/resolve-js-root.mjs'
 import { addCoverage, addMutation } from '../../test/coverage/coverage.mjs'
@@ -239,6 +240,32 @@ export function parseStrykerReport(report, jsRoot) {
  * (типовий патерн monorepo, де тести зосереджені в одному пакеті); пустий lcov
  * у такому випадку сигналізує "no tests" → collectOneRoot пропускає workspace.
  */
+/**
+ * Шлях до локально встановленого Stryker core-bin (поряд із плагінами на кшталт
+ * `@stryker-mutator/vitest-runner`). Запуск саме його через `node` — не `npx`/`bunx` —
+ * дає Stryker побачити локальні плагіни при plugin-discovery.
+ * @returns {string | null} абсолютний шлях `bin/stryker.js` або `null`, якщо не встановлено
+ */
+/** Мемо: `undefined` — ще не обчислено; `string`/`null` — результат. */
+let strykerBinCache
+function resolveLocalStrykerBin() {
+  if (strykerBinCache !== undefined) return strykerBinCache
+  try {
+    // `exports` у core НЕ відкриває `./bin/stryker.js`, тож резолвимо package.json
+    // (доступний) і беремо шлях bin звідти. Ключ bin зазвичай `stryker`; як запас —
+    // перше значення map'и.
+    const require = createRequire(import.meta.url)
+    const pkgJsonPath = require.resolve('@stryker-mutator/core/package.json')
+    const pkg = JSON.parse(readFileSync(pkgJsonPath, 'utf8'))
+    const binRel = typeof pkg.bin === 'string' ? pkg.bin : (pkg.bin?.stryker ?? Object.values(pkg.bin ?? {})[0])
+    strykerBinCache = binRel ? join(dirname(pkgJsonPath), binRel) : null
+  } catch {
+    strykerBinCache = null
+  }
+  return strykerBinCache
+}
 const defaultRunner = {
   runJsCoverage({ cwd, lcovDir, base }) {
     // base !== undefined ⇔ --changed-режим: vitest сам рахує зачеплені змінами тести
@@ -261,20 +288,21 @@ const defaultRunner = {
     return r.status ?? 1
   },
   runStryker({ cwd, mutate }) {
-    // `npx`, не `bunx`: bunx завжди ставить пакет у `T/bunx-<uid>-<pkg>@latest` і запускає
-    // Stryker звідти. Плагін-discovery у Stryker (`@stryker-mutator/*`) globится відносно
-    // CORE-install-каталогу (`core/dist/src/di/plugin-loader.js` → `../../../../../@stryker-mutator/*`),
-    // тож у bunx-temp бачить лише `core/api/instrumenter/util` (усі в IGNORED_PACKAGES) — а локально
-    // встановлений `@stryker-mutator/vitest-runner` залишається невидимим, і workers падають з
-    // `Cannot find TestRunner plugin "vitest"`. `npx` ходить угору по `node_modules/.bin/` і
-    // запускає Stryker з локального hoisted-install, де поряд лежить vitest-runner.
+    // Plugin-discovery Stryker (`@stryker-mutator/*`) globиться відносно CORE-install-каталогу
+    // (`core/dist/src/di/plugin-loader.js` → `../../../../../@stryker-mutator/*`). Тож core
+    // МАЄ вантажитись із проєктного `node_modules`, де поряд лежить `@stryker-mutator/vitest-runner`.
+    // `npx`/`bunx` тягнуть core у власний кеш (`_npx/<hash>`, `bunx-temp`) БЕЗ плагінів → воркери
+    // падають `Cannot find TestRunner plugin "vitest"`. Тому резолвимо локальний core-bin через
+    // `import.meta.url` (модуль у `npm/` → кореневий `node_modules` пакета; працює й з worktree без
+    // власного node_modules) і запускаємо його через `node`. Fallback на `npx`, якщо не встановлено.
     // mutate (непорожній) ⇔ --changed-режим: мутуємо лише змінені production-файли цього root.
     const mutateArgs = mutate && mutate.length > 0 ? ['--mutate', mutate.join(',')] : []
-    const r = spawnSync('npx', ['@stryker-mutator/core', 'run', ...mutateArgs], {
-      cwd,
-      stdio: 'inherit',
-      env: process.env
-    })
+    const strykerBin = resolveLocalStrykerBin()
+    // Запускаємо bin НАПРЯМУ (його shebang `#!/usr/bin/env node` → завжди node, навіть якщо
+    // coverage.mjs стартував під bun, де `process.execPath` вказував би на bun). Fallback на npx.
+    const r = strykerBin
+      ? spawnSync(strykerBin, ['run', ...mutateArgs], { cwd, stdio: 'inherit', env: process.env })
+      : spawnSync('npx', ['@stryker-mutator/core', 'run', ...mutateArgs], { cwd, stdio: 'inherit', env: process.env })
     return r.status ?? 1
   }
 }

package/scripts/dispatcher/lib/level.mjs CHANGED Viewed

@@ -10,11 +10,38 @@
 /** L3 — велике/архітектурне. */
 const L3_KEYS = ['platform', 'migration', 'rewrite', 'architecture', 'enterprise', 'редизайн', 'міграц', 'переписат']
-/** L0 — тривіальне. */
-const L0_KEYS = ['fix', 'typo', 'bump', 'rename', 'hotfix', 'опечат', 'перейменув']
+/** L0 — тривіальне. ASCII-дієслова: матч цілим словом (щоб `fix` не ловило `prefix`/`fixture`). */
+const L0_WORD_KEYS = ['fix', 'typo', 'bump', 'rename', 'hotfix']
+/** L0 — кириличні ключі: підрядком (стемінг: `перейменув` ловить `перейменування`). */
+const L0_SUBSTR_KEYS = ['опечат', 'перейменув']
 /** L2 — багатофайлова фіча/рефактор. */
 const L2_KEYS = ['feature', 'epic', 'refactor', 'рефактор', 'фіча']
+/**
+ * Чи символ — ASCII-літера/цифра (межа слова). `undefined` (край рядка) — не alnum.
+ * @param {string | undefined} ch символ
+ * @returns {boolean} результат
+ */
+function isAsciiAlnum(ch) {
+  return ch !== undefined && ((ch >= 'a' && ch <= 'z') || (ch >= '0' && ch <= '9'))
+}
+/**
+ * Чи містить `text` слово `word` із межами, що не є ASCII-alnum (без regex —
+ * конвенція файлу). Для ASCII L0-дієслів: `fix` у `prefix`/`fixture` не рахується.
+ * @param {string} text текст (lowercase)
+ * @param {string} word шукане ASCII-слово (lowercase)
+ * @returns {boolean} результат
+ */
+function hasWord(text, word) {
+  let i = text.indexOf(word)
+  while (i !== -1) {
+    if (!isAsciiAlnum(text[i - 1]) && !isAsciiAlnum(text[i + word.length])) return true
+    i = text.indexOf(word, i + 1)
+  }
+  return false
+}
 /**
  * Рівень складності задачі за описом: 0 (тривіальне) … 3 (архітектурне).
  * Пріоритет: L3 > L0 > L2 > дефолт L1.
@@ -24,8 +51,9 @@ const L2_KEYS = ['feature', 'epic', 'refactor', 'рефактор', 'фіча']
 export function detectLevel(desc) {
   const d = String(desc ?? '').toLowerCase()
   const has = keys => keys.some(k => d.includes(k))
+  const isL0 = L0_WORD_KEYS.some(k => hasWord(d, k)) || L0_SUBSTR_KEYS.some(k => d.includes(k))
   if (has(L3_KEYS)) return 3
-  if (has(L0_KEYS)) return 0
+  if (isL0) return 0
   if (has(L2_KEYS)) return 2
   return 1
 }

package/scripts/dispatcher/lib/review.mjs CHANGED Viewed

@@ -33,8 +33,9 @@ export function diffFromBase(base, run, cwd) {
 }
 /**
- * Промпт adversarial-рецензента (читає ЛИШЕ diff). Для high-risk додає
- * безпекову лінзу.
+ * Промпт adversarial-рецензента. Фокус — diff, але рецензент працює у робочій теці
+ * репо й має інструмент `Read`, тож cross-file твердження мусить верифікувати читанням.
+ * Для high-risk додає безпекову лінзу.
  * @param {string} diff текст diff
  * @param {string} [risk] low|med|high — фокус перевірки
  * @returns {string} промпт
@@ -45,11 +46,19 @@ export function reviewerPrompt(diff, risk) {
       ? 'ОСОБЛИВА УВАГА БЕЗПЕЦІ: auth/доступи, секрети/токени, ін\'єкції, валідація входу, незворотні операції.'
       : ''
   return [
-    'Ти — прискіпливий adversarial-рецензент. Знайди баги, ризики й smells ЛИШЕ в цьому diff.',
+    'Ти — прискіпливий adversarial-рецензент. Знайди баги, ризики й smells, які ВНОСИТЬ або зачіпає цей diff.',
+    'Якщо тобі доступний інструмент Read — ти в робочій теці репо: читай ТОЧКОВО потрібні referenced-файли' +
+      ' (викликану функцію, інший модуль, spec/plan, конфіг), щоб ПЕРЕВІРИТИ cross-file твердження перед репортом.' +
+      ' Якщо Read недоступний — рецензуй лише diff.',
+    'Сусідні файли читай ДЛЯ КОНТЕКСТУ й верифікації, а не щоб шукати в них окремі преіснуючі баги:' +
+      ' репортуй лише те, що вносить/ламає цей diff.',
+    'НЕ видавай нефальсифіковних findings виду «з diff не видно / не показано / можливо» —' +
+      ' або підтверди читанням файлу, або відкинь. Кожен finding має бути перевірним фактом.',
     lens,
     'Поверни ЛИШЕ JSON-масив: [{ "severity": "high|med|low", "file": "...", "issue": "...", "suggestion": "..." }].',
     'Якщо проблем нема — поверни [].',
     '',
+    'DIFF (фокус рецензування):',
     diff.slice(0, DIFF_LIMIT)
   ]
     .filter(Boolean)