@nitra/cursor 3.18.2 → 3.20.0

package/CHANGELOG.md

@@ -1,5 +1,29 @@
 # Changelog
 
+## [3.20.0] - 2026-06-03
+
+### Added
+
+- ensure-tool: авто-встановлення зовнішніх CLI-залежностей (hk, conftest, shellcheck, actionlint, dotenv-linter) — brew/scoop/GitHub Release per-platform; hk install після fix; conftest авто-встановлюється перед fix та lint-ga
+- ensureTool: розширено на opa/regal/hadolint/kubeconform/kubescape (brew/scoop/GitHub Release per-platform) + підтримка сирих бінарників (archive:false → download+chmod, без tar). Мігровано call-sites rego-lint (opa/regal), docker (hadolint з docker-fallback), k8s-lint (kubeconform/kubescape). withBinRemovedFromPath виставляє N_CURSOR_NO_AUTO_INSTALL=1.
+- Guard: дефолтний sync (`npx @nitra/cursor` без підкоманди) забороняє запуск із піддиректорії git-репо — STOP до мутацій, замість скаффолда .cursor/.claude/CLAUDE.md/.n-cursor.json не в той каталог
+
+### Changed
+
+- worktree-only скіли: bootstrap-виклик npx @nitra/cursor у новоствореному worktree тепер ретраїться при транзитних помилках реєстру/CDN (ETARGET/notarget, ENOTFOUND, ETIMEDOUT, EAI_AGAIN, ECONNRESET, 5xx) кожні 30с до 5 хв (env N_CURSOR_NPX_RETRY_MAX_MIN, ceiling 10 хв); реальний nonzero CLI віддається одразу. worktree-notice додає bun install у дереві (локальна копія усуває гонку з CDN) і shell-обгортку n_cursor_npx; fix-скіл кроки 1/6 використовують її
+- npm-module: npm_publish_yml тепер звіряє ВЕСЬ канонічний сніпет напряму (target.json "check":"template", generic deep-subset) замість bespoke subset-of rego — редагування сніпета одразу змінює enforce, без правок rego й міграторів; масиви (steps) матчаться структурним subset-ом за наявністю (order/key-insensitive, зайві кроки дозволені); legacy publish-only workflow тепер падає check (вимагає release-publish job). Новий режим check:template перевикористовний для будь-якого whole-file концерну зі сніпетом.
+- docker hadolint: прибрано docker-run fallback — hadolint тепер лише нативний бінарник через ensureTool (brew/scoop/GitHub Release). Видалено HADOLINT_IMAGE; оновлено docker.mdc і тести.
+
+### Fixed
+
+- nginx-default-tpl: error_log off → error_log /dev/null crit; (error_log off — НЕ валідний nginx, падає під readOnlyRootFilesystem); авто-заміна в шаблонах + оновлено канон .mdc/фікстуру
+
+## [3.19.0] - 2026-06-03
+
+### Changed
+
+- image-compress переведено на glob-активацію (**/*.{png,jpg,jpeg,gif,svg}) замість залежності від bun — у проєктах без растрів/SVG правило більше не додається автоматично; globToRegex отримав підтримку brace-альтернатив {a,b,c}
+
 ## [3.18.2] - 2026-06-03
 
 ### Changed

package/bin/n-cursor.js

@@ -96,6 +96,7 @@ import { runPostToolUseFixCli } from '../scripts/post-tool-use-fix.mjs'
 import { discoverCheckRulesFromCursorRules } from '../scripts/lib/discover-check-rules-from-cursor.mjs'
 import { listRuleIds } from '../scripts/lib/list-rule-ids.mjs'
 import { ensureNitraCursorInRootDevDependencies } from '../scripts/ensure-nitra-cursor-dev-dependencies.mjs'
+import { assertCwdIsProjectRoot } from '../scripts/lib/assert-project-root.mjs'
 import { runLintDocker } from '../rules/docker/lint/lint.mjs'
 import { runLintGaCli } from '../rules/ga/lint/lint.mjs'
 import { runLintK8s } from '../rules/k8s/lint/lint.mjs'
@@ -110,6 +111,7 @@ import { runWorktreeCli } from '../scripts/worktree-cli.mjs'
 import { syncSetupBunDepsAction } from '../scripts/sync-setup-bun-deps-action.mjs'
 import { runLint } from '../scripts/lint-cli.mjs'
 import { formatTimingSummary } from '../scripts/lib/timing-summary.mjs'
+import { ensureHkInstall, ensureTool } from '../scripts/lib/ensure-tool.mjs'
 
 const PACKAGE_NAME = '@nitra/cursor'
 const CONFIG_FILE = '.n-cursor.json'
@@ -1184,6 +1186,10 @@ function logRemovedManagedItems(title, basePath, names) {
  * @returns {Promise<void>}
  */
 async function runFixCommand(requestedRules) {
+  const hkBin = ensureTool('hk')
+  ensureHkInstall(hkBin)
+  ensureTool('conftest')
+
   const available = await listRuleIds(BUNDLED_RULES_DIR)
   if (available.length === 0) {
     console.error('❌ Не знайдено жодного правила у пакеті')
@@ -1457,6 +1463,12 @@ async function runSync() {
 const [command, ...args] = process.argv.slice(2)
 
 try {
+  // Дефолтний sync (без підкоманди) скаффолдить .cursor/.claude/CLAUDE.md/.n-cursor.json
+  // і робить bun install у cwd(). Guard до перших мутацій: заборона запуску з піддиректорії
+  // git-репо (типово прямий `bun npm/bin/n-cursor.js` не з кореня). Підкоманди не зачіпає.
+  if (command === undefined || command === '') {
+    assertCwdIsProjectRoot()
+  }
   await ensureNitraCursorInRootDevDependencies(cwd())
   switch (command) {
     case 'fix': {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "3.18.2",
+  "version": "3.20.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/docker/docker.mdc

@@ -181,7 +181,7 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 
 **Область lint-docker (вужча, ніж `check docker`):** лише файли з іменем **`Dockerfile`** та **`*.Dockerfile`** (суфікс **`.dockerfile`** без урахування регістру, наприклад **`api.Dockerfile`**). Файли **`Dockerfile.prod`**, **`Containerfile`** тощо **не** входять у **`lint-docker`**; їх ловить **`check docker`** (`rules/docker/fix.mjs`).
 
-Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`rules/docker/fix.mjs`**. Виклик **`hadolint`**: **`PATH`**, інакше **`docker run`** — спільна логіка **`npm/rules/docker/js/lint/docker-hadolint.mjs`**.
+Обхід: **`walkDir`** з тими самими пропусками каталогів, що й **`rules/docker/fix.mjs`**. Виклик **`hadolint`** як **нативного бінарника** через **`ensureTool`** (PATH → кеш → авто-install brew/scoop/GitHub Release; **без** `docker run`) — спільна логіка **`npm/rules/docker/lib/docker-hadolint.mjs`**.
 
 - Канон `package.json#scripts.lint-docker`: [package.json.snippet.json](./policy/package_json/template/package.json.snippet.json)
 
@@ -191,14 +191,14 @@ CLI **`hadolint`** приймає лише **явні шляхи** (`[DOCKERFILE
 
 - Канон: [lint-docker.yml.snippet.yml](./policy/lint_docker_yml/template/lint-docker.yml.snippet.yml)
 
-Узгоджуй версію hadolint **v2.12.0** з **`HADOLINT_IMAGE`** у **`npm/rules/docker/js/lint/docker-hadolint.mjs`**.
+Локально hadolint авто-встановлюється через **`ensureTool`** (latest, без піну версії). У CI встанови його кроком із workflow-сніпета (curl-download бінарника — без `docker run`).
 
 Кореневий скрипт **`lint`** (див. **`n-bun.mdc`**) **обов'язково** містить **`bun run lint-docker`**, коли в проєкті підключено правило **`docker`**.
 
 ## Запуск
 
 1. **`bun run lint-docker`** — **`run-docker.mjs`**: **`Dockerfile`** та **`*.Dockerfile`** (див. **`lint-docker`**); у CI встанови hadolint (приклад у workflow).
-2. **`npx @nitra/cursor fix docker`** — **`rules/docker/fix.mjs`**, виклик hadolint як у **`docker-hadolint.mjs`** (**`PATH`** або **`docker run`** з **`hadolint/hadolint:v2.12.0`**).
+2. **`npx @nitra/cursor fix docker`** — **`rules/docker/fix.mjs`**, виклик hadolint як у **`docker-hadolint.mjs`** (нативний бінарник через **`ensureTool`**; **без** `docker run`).
 3. Кореневий **`.hadolint.yaml`**: вимкнення правил, trusted registries — [документація](https://github.com/hadolint/hadolint#configure). Щоб не додавати **`# hadolint ignore=DL3007`** у кожному **`FROM`** з **`:latest`**, у корені репозиторію задати глобально:
 
 ```yaml title=".hadolint.yaml"

package/rules/docker/js/lint.mjs

@@ -29,7 +29,7 @@
  * `USER` у Dockerfile — перевірка non-root для нього пропускається.
  *
  * Знаходить Dockerfile, Dockerfile.*, Containerfile, Containerfile.*; пропускає node_modules, .git
- * тощо. Спочатку hadolint з PATH, інакше docker run з образом hadolint/hadolint.
+ * тощо. hadolint — нативний бінарник через `ensureTool` (PATH/кеш/авто-install; без docker run).
  * Кореневий .hadolint.yaml підхоплюється hadolint автоматично.
  */
 import { readFile } from 'node:fs/promises'

package/rules/docker/lib/docker-hadolint.mjs

@@ -1,20 +1,18 @@
 /**
  * Спільна логіка виклику hadolint для шляхів до Dockerfile (див. docker.mdc).
  *
- * Відносні шляхи з прямими слешами для контейнера; спочатку hadolint з PATH,
- * інакше docker run з образом HADOLINT_IMAGE. Використовується `./check.mjs`
- * (check-docker) та `../../lint/lint.mjs` (run-docker).
+ * Відносні шляхи з прямими слешами; hadolint резолвиться через `ensureTool`
+ * (PATH → кеш → авто-install brew/scoop/GitHub Release per-platform). Docker-fallback
+ * прибрано — hadolint ставиться як **нативний бінарник**, без `docker run`.
+ * Використовується `./check.mjs` (check-docker) та `../../lint/lint.mjs` (run-docker).
  */
 import { spawnSync } from 'node:child_process'
 import { relative, sep } from 'node:path'
 
-import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
-
-/** Тег образу для резервного запуску (узгоджуй з docker.mdc). */
-export const HADOLINT_IMAGE = 'hadolint/hadolint:v2.12.0'
+import { ensureTool } from '../../../scripts/lib/ensure-tool.mjs'
 
 /**
- * Відносний шлях від root з прямими слешами (hadolint у контейнері).
+ * Відносний шлях від root з прямими слешами (стабільний вивід незалежно від OS).
  * @param {string} root корінь
  * @param {string} absPath абсолютний шлях
  * @returns {string} відносний шлях з прямими слешами
@@ -24,65 +22,39 @@ export function posixRel(root, absPath) {
 }
 
 /**
- * Запуск hadolint: спочатку PATH, інакше Docker.
+ * Запуск hadolint як нативного бінарника. hadolint резолвиться через `ensureTool`
+ * (PATH → кеш → авто-install); якщо авто-install відключено (`N_CURSOR_NO_AUTO_INSTALL`)
+ * чи не вдався — повертаємо `ok: false` з підказкою (без `docker run`).
  * @param {string} root корінь репозиторію
  * @param {string} absPath абсолютний шлях до Dockerfile
- * @returns {{ ok: boolean, stdout: string, stderr: string, via: string }} результат перевірки hadolint та канал запуску
+ * @returns {{ ok: boolean, stdout: string, stderr: string, via: string }} результат перевірки hadolint
  */
 export function lintDockerfileWithHadolint(root, absPath) {
   const rel = posixRel(root, absPath)
-  const hadolintPath = resolveCmd('hadolint')
-  if (hadolintPath) {
-    const local = spawnSync(hadolintPath, [rel], {
-      cwd: root,
-      encoding: 'utf8',
-      maxBuffer: 10 * 1024 * 1024
-    })
-    const ok = local.status === 0
-    return {
-      ok,
-      stdout: local.stdout ?? '',
-      stderr: local.stderr ?? '',
-      via: 'hadolint'
-    }
-  }
-
-  const dockerPath = resolveCmd('docker')
-  if (!dockerPath) {
+  let hadolintPath
+  try {
+    hadolintPath = ensureTool('hadolint')
+  } catch (error) {
     return {
       ok: false,
       stdout: '',
       stderr:
-        'Не знайдено hadolint у PATH і не знайдено docker у PATH. ' +
-        'Встанови hadolint (наприклад brew install hadolint) або Docker (див. docker.mdc).',
-      via: 'docker'
+        `Не вдалося отримати hadolint (${error.message}). ` +
+        'Встанови: brew install hadolint (macOS) / scoop install hadolint (Windows) / ' +
+        'https://github.com/hadolint/hadolint/releases (Linux).',
+      via: 'hadolint'
     }
   }
 
-  const docker = spawnSync(
-    dockerPath,
-    ['run', '--rm', '-v', `${root}:/workdir`, '-w', '/workdir', HADOLINT_IMAGE, rel],
-    {
-      cwd: root,
-      encoding: 'utf8',
-      maxBuffer: 10 * 1024 * 1024
-    }
-  )
-  if (docker.error) {
-    return {
-      ok: false,
-      stdout: '',
-      stderr:
-        `Не знайдено hadolint у PATH і не вдалося запустити Docker (${docker.error.message}). ` +
-        `Встанови hadolint (наприклад brew install hadolint) або Docker (див. docker.mdc).`,
-      via: 'docker'
-    }
-  }
-  const ok = docker.status === 0
+  const local = spawnSync(hadolintPath, [rel], {
+    cwd: root,
+    encoding: 'utf8',
+    maxBuffer: 10 * 1024 * 1024
+  })
   return {
-    ok,
-    stdout: docker.stdout ?? '',
-    stderr: docker.stderr ?? '',
-    via: 'docker'
+    ok: local.status === 0,
+    stdout: local.stdout ?? '',
+    stderr: local.stderr ?? '',
+    via: 'hadolint'
   }
 }

package/rules/ga/lint/lint.mjs

@@ -1,6 +1,6 @@
 /**
- * CLI-обгортка над канонічним `lint-ga` (ga.mdc): робить preflight на `shellcheck`, `uv` (для `uvx`)
- * і `conftest` (для rego-полісі у `check-ga`),
+ * CLI-обгортка над канонічним `lint-ga` (ga.mdc): авто-встановлює `shellcheck` і `conftest`
+ * через `ensureTool` (brew/scoop/GitHub Release per-platform), перевіряє наявність `uv` (для `uvx`),
  * тоді послідовно виконує `bunx github-actionlint`, `uvx zizmor --offline --collect=workflows .` і
  * делегує до `rules/ga/fix.mjs::check()` — там і Rego-частина (через `runConftestBatch`),
  * і JS cross-file перевірки правил `ga.mdc`.
@@ -13,14 +13,10 @@
  *
  * Без preflight `actionlint` (через `bunx github-actionlint`) мовчки пропускає shell-перевірки в
  * `run:` блоках, коли `shellcheck` відсутній у PATH; локально `bun lint-ga` лишається зеленим, а CI
- * на ubuntu-latest (де shellcheck передвстановлений) падає. Preflight робить цю різницю явною.
+ * на ubuntu-latest (де shellcheck передвстановлений) падає. ensureTool('shellcheck') усуває цю різницю.
  *
- * `uv` потрібен для `uvx zizmor`. Якщо його нема — `uvx zizmor` падає неінформативно («command not
- * found»); підказка з командою встановлення коротша й корисніша.
- *
- * `conftest` потрібен для `rules/ga/fix.mjs::runAllGaRego` (`runConftestBatch`). Без preflight крок
- * check-ga кидає виняток, який глобальний `catch` у `bin/n-cursor.js` раніше ковтав без логу —
- * локально це виглядало як мовчазний exit 1.
+ * `uv` потрібен для `uvx zizmor`. Якщо його нема — `uvx zizmor` падає неінформативно; підказка
+ * з командою встановлення коротша й корисніша. `uv` не в реєстрі ensureTool → hint-only.
  *
  * Експортовано окремо `runLintGaCli` — використовується з `bin/n-cursor.js` як підкоманда `lint-ga`.
  *
@@ -33,6 +29,7 @@ import { check as checkGa } from '../js/workflows.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { runLintStep } from '../../../scripts/lib/run-lint-step.mjs'
 import { runStandardLint } from '../../../scripts/lib/run-standard-lint.mjs'
+import { ensureTool } from '../../../scripts/lib/ensure-tool.mjs'
 
 /**
  * Опис залежності preflight-ом: бінарник, для чого потрібен, і команди встановлення.
@@ -44,23 +41,6 @@ import { runStandardLint } from '../../../scripts/lib/run-standard-lint.mjs'
  * @property {string} successMsg повідомлення на pass-шлях
  */
 
-/** @type {PreflightDep} */
-const SHELLCHECK_PREFLIGHT = {
-  bin: 'shellcheck',
-  winBins: ['shellcheck.exe'],
-  explanation: [
-    'Без нього `actionlint` пропускає shell-перевірки в run: блоках,',
-    'тож локальний прогін зеленіє, а CI на ubuntu-latest (де shellcheck',
-    'передвстановлений) падає на тих самих workflow.'
-  ].join('\n   '),
-  install: [
-    'macOS:        brew install shellcheck',
-    'Debian/Ubuntu: sudo apt-get install -y shellcheck',
-    'Arch:         sudo pacman -S shellcheck'
-  ],
-  successMsg: '✅ shellcheck знайдено в PATH — actionlint виконуватиме SC-правила, як у CI'
-}
-
 /** @type {PreflightDep} */
 const UV_PREFLIGHT = {
   bin: 'uv',
@@ -77,18 +57,6 @@ const UV_PREFLIGHT = {
   successMsg: '✅ uv знайдено в PATH — uvx zizmor запуститься'
 }
 
-/** @type {PreflightDep} */
-const CONFTEST_PREFLIGHT = {
-  bin: 'conftest',
-  winBins: ['conftest.exe'],
-  explanation: [
-    'Без нього не запускається пер-документна валідація через rego-полісі (npm/rules/*/policy/)',
-    'у кроці check-ga — `runConftestBatch` завершується hard-fail.'
-  ].join('\n   '),
-  install: ['macOS:     brew install conftest', 'Universal: https://www.conftest.dev/install/'],
-  successMsg: '✅ conftest знайдено в PATH — check-ga виконає rego-полісі через runConftestBatch'
-}
-
 /**
  * Шукає бінарник у PATH з урахуванням Windows: спершу `winBins`, потім `bin`.
  * @param {PreflightDep} dep опис залежності
@@ -134,29 +102,25 @@ function preflight(dep) {
 }
 
 /**
- * Виконує канонічний `lint-ga` з preflight-перевірками і делегує до `check-ga.check()`.
+ * Виконує канонічний `lint-ga` — авто-встановлює shellcheck/conftest, перевіряє uv, запускає actionlint/zizmor/check-ga.
  *
  * Послідовність:
- * 1) preflight: `shellcheck`, `uv` (для `uvx zizmor`) і `conftest` (для check-ga); відсутній → exit 1;
- * 2) `bunx github-actionlint`;
- * 3) `uvx zizmor --offline --collect=workflows .`;
- * 4) `rules/ga/fix.mjs::check()` — Rego-полісі (батч conftest з `npm/policy/ga/`) + JS cross-file
+ * 1) ensureTool: `shellcheck` і `conftest` (авто-install або hard-fail);
+ * 2) preflight: `uv` (для `uvx zizmor`) — hint-only, без авто-install;
+ * 3) `bunx github-actionlint`;
+ * 4) `uvx zizmor --offline --collect=workflows .`;
+ * 5) `rules/ga/fix.mjs::check()` — Rego-полісі (батч conftest з `npm/policy/ga/`) + JS cross-file
  *    перевірки правил `ga.mdc`. Це **те саме**, що робить `npx \@nitra/cursor check ga`, тож
  *    `lint-ga` тепер є суперсетом перевірки правила: external-tools + check.
- *
- * Якщо хоча б один preflight не пройшов — виходимо одразу з кодом 1, **до** запуску actionlint/zizmor,
- * бо їхні власні повідомлення про відсутність залежностей менш інформативні (особливо для shellcheck —
- * actionlint мовчки пропускає SC-правила; ця перевірка — головний сенс обгортки).
- *
- * Першу помилку від actionlint/zizmor/check повертаємо як код виходу; наступні кроки не запускаються.
  * @returns {Promise<number>} 0 — все OK, інакше — код першого кроку, що впав
  */
 async function runLintGaSteps() {
-  let preflightOk = true
-  for (const dep of [SHELLCHECK_PREFLIGHT, UV_PREFLIGHT, CONFTEST_PREFLIGHT]) {
-    if (!preflight(dep)) preflightOk = false
-  }
-  if (!preflightOk) return 1
+  // Auto-install: throws on failure → propagates as exit 1 from runStandardLint
+  ensureTool('shellcheck')
+  ensureTool('conftest')
+
+  // uv is hint-only (not in auto-install registry)
+  if (!preflight(UV_PREFLIGHT)) return 1
 
   const actionlintCode = runLintStep('actionlint', 'bunx', ['github-actionlint'])
   if (actionlintCode !== 0) return actionlintCode

package/rules/image-compress/meta.json

@@ -1 +1 @@
-{ "auto": ["bun"] }
+{ "auto": { "glob": "**/*.{png,jpg,jpeg,gif,svg}" } }

package/rules/k8s/lint/lint.mjs

@@ -24,6 +24,7 @@ import { basename, dirname, join, relative } from 'node:path'
 import { parse } from 'yaml'
 
 import { isRunAsCli } from '../../../scripts/cli-entry.mjs'
+import { ensureTool } from '../../../scripts/lib/ensure-tool.mjs'
 import { loadCursorIgnorePaths } from '../../../scripts/lib/load-cursor-config.mjs'
 import { resolveCmd } from '../../../scripts/utils/resolve-cmd.mjs'
 import { walkDir } from '../../../scripts/utils/walkDir.mjs'
@@ -123,11 +124,7 @@ function runKubeconform(dirs) {
     '-ignore-missing-schemas',
     ...dirs
   ]
-  const kubeconformPath = resolveCmd('kubeconform')
-  if (!kubeconformPath) {
-    console.error('kubeconform не знайдено в PATH. Встанови з https://github.com/yannh/kubeconform#readme')
-    return 127
-  }
+  const kubeconformPath = ensureTool('kubeconform')
   const r = spawnSync(kubeconformPath, args, { stdio: 'inherit', shell: false })
   if (r.error && 'code' in r.error && r.error.code === 'ENOENT') {
     console.error('kubeconform не знайдено в PATH. Встанови з https://github.com/yannh/kubeconform#readme')
@@ -297,11 +294,7 @@ async function runKubescape(dirs, root) {
   if (exceptionsArgs.length > 0) {
     console.log(`run-k8s: kubescape exceptions — ${KUBESCAPE_EXCEPTIONS_FILE}`)
   }
-  const kubescapePath = resolveCmd('kubescape')
-  if (!kubescapePath) {
-    console.error(KUBESCAPE_MISSING_HINT)
-    return 127
-  }
+  const kubescapePath = ensureTool('kubescape')
   let kubectlPath = null
   for (const d of dirs) {
     const kdirs = await findKustomizationDirs(d)

package/rules/nginx-default-tpl/js/template.mjs

@@ -12,6 +12,9 @@
  * У дереві від **cwd** усі **default.tpl.conf** стають **default.conf.template**: перейменування, або
  * якщо **default.conf.template** уже є — він перезаписується вмістом **default.tpl.conf**, після чого
  * **default.tpl.conf** видаляється. Якщо після міграції шаблону немає — перевірка пропускається (0).
+ *
+ * Невалідна директива **`error_log off;`** (nginx трактує "off" як ім'я файлу `/etc/nginx/off` і падає під
+ * readOnlyRootFilesystem) автоматично замінюється на **`error_log /dev/null crit;`** у кожному шаблоні.
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile, rename, unlink, writeFile } from 'node:fs/promises'
@@ -33,6 +36,11 @@ const FIND_CMD_RE = /\bfind\b/u
 const GZIP_CMD_RE = /\bgzip\b/u
 const GZIP_EXTENSION_RE = /\*\.(?:js|css)/u
 
+// `error_log off;` — НЕ валідний nginx: "off" трактується як ім'я файлу (/etc/nginx/off)
+// і падає під readOnlyRootFilesystem. /dev/null — writable device, тому канон — `error_log /dev/null crit;`.
+const ERROR_LOG_OFF_RE = /error_log\s+off\s*;/gu
+const ERROR_LOG_CANONICAL = 'error_log /dev/null crit;'
+
 /**
  * Збирає абсолютні шляхи до **default.conf.template** у репозиторії; будь-який сегмент
  * `fixtures/` у шляху виключається — це тестові артефакти (як `tests/fixtures/` так і
@@ -98,6 +106,28 @@ export async function migrateDefaultTplConfFiles(root, ignorePaths = []) {
   return { renamed, overwritten }
 }
 
+/**
+ * Замінює невалідну директиву `error_log off;` на `error_log /dev/null crit;` у всіх
+ * **default.conf.template** від `root`. `error_log off;` — НЕ валідний nginx: "off" трактується
+ * як ім'я файлу (`/etc/nginx/off`) і падає під readOnlyRootFilesystem; `/dev/null` — writable device.
+ * @param {string} root корінь обходу (зазвичай cwd репозиторію)
+ * @param {string[]} ignorePaths абсолютні шляхи каталогів, повністю виключених з обходу
+ * @returns {Promise<string[]>} відносні шляхи виправлених шаблонів (для звіту)
+ */
+export async function migrateErrorLogOffDirective(root, ignorePaths = []) {
+  const templates = await findDefaultConfTemplatePaths(root, ignorePaths)
+  /** @type {string[]} */
+  const fixed = []
+  for (const abs of templates) {
+    const body = await readFile(abs, 'utf8')
+    const next = body.replace(ERROR_LOG_OFF_RE, ERROR_LOG_CANONICAL)
+    if (next === body) continue
+    await writeFile(abs, next, 'utf8')
+    fixed.push(relative(root, abs).replaceAll('\\', '/') || abs)
+  }
+  return fixed
+}
+
 /**
  * Імена змінних з ini (рядки KEY=value, без коментарів і порожніх).
  * @param {string} iniText вміст *.ini
@@ -131,7 +161,10 @@ export function nginxTemplateViolations(content) {
     { msg: 'відсутнє listen 8080', ok: c => c.includes('listen 8080') },
     { msg: 'відсутнє server_name _', ok: c => c.includes('server_name _') },
     { msg: 'відсутнє access_log off', ok: c => c.includes('access_log off') },
-    { msg: 'відсутнє error_log off', ok: c => c.includes('error_log off') },
+    {
+      msg: 'відсутнє error_log /dev/null crit (error_log off — НЕ валідний nginx, падає під readOnlyRootFilesystem)',
+      ok: c => c.includes('error_log /dev/null crit')
+    },
     { msg: 'відсутнє root /usr/share/nginx/html', ok: c => c.includes('root /usr/share/nginx/html') },
     {
       msg: 'location /healthz має повертати healthy (див. nginx-default-tpl.mdc)',
@@ -416,6 +449,11 @@ export async function check(cwd = process.cwd()) {
     pass(`Перезаписано default.conf.template змістом default.tpl.conf: ${rel}`)
   }
 
+  const errorLogFixed = await migrateErrorLogOffDirective(root, ignorePaths)
+  for (const rel of errorLogFixed) {
+    pass(`Замінено невалідне error_log off; → error_log /dev/null crit; у ${rel}`)
+  }
+
   const templates = await findDefaultConfTemplatePaths(root, ignorePaths)
 
   if (templates.length === 0) {

package/rules/nginx-default-tpl/nginx-default-tpl.mdc

@@ -19,7 +19,9 @@ server {
 
     # disable all log
     access_log off;
-    error_log off;
+    # `error_log off;` — НЕ валідний nginx: "off" трактується як ім'я файлу (/etc/nginx/off)
+    # і падає під readOnlyRootFilesystem. /dev/null — writable device.
+    error_log /dev/null crit;
 
     # This would be the directory where your Vite app's static files are stored at
     root /usr/share/nginx/html;

package/rules/npm-module/js/package_structure.mjs

@@ -224,11 +224,11 @@ function checkPublishWorkflow(passFn, failFn, cwd) {
 }
 
 /**
- * Перетворює glob-патерн (як у npm `files`) у `RegExp` з якорями `^` / `$`.
- * Підтримує globstar (нуль або більше сегментів), `*` (символи без `/`) і `?`
- * (один символ без `/`). Не підтримує brace-expansion і class `[…]` — у
- * негативних патернах `files` цього достатньо для практичних випадків
- * (приклад: negation з префіксом `!` і двома зірочками поряд з `_test.rego`).
+ * Перетворює glob-патерн (як у npm `files` чи `meta.json:auto.glob`) у `RegExp`
+ * з якорями `^` / `$`. Підтримує globstar (нуль або більше сегментів), `*`
+ * (символи без `/`), `?` (один символ без `/`) і brace-альтернативи `{a,b,c}`
+ * (наприклад `*.{png,jpg,svg}` → `(?:png|jpg|svg)`). Клас `[…]` не
+ * підтримується — у негативних патернах `files` цього достатньо.
  * @param {string} glob posix-шлях у glob-нотації
  * @returns {RegExp} `RegExp` з якорями `^` / `$`
  */
@@ -237,11 +237,42 @@ export function globToRegex(glob) {
   const tokens = parts.map(p => {
     if (p === '**') return '__GLOBSTAR__'
     let out = ''
+    let braceDepth = 0
     for (const c of p) {
-      if (c === '*') out += '[^/]*'
-      else if (c === '?') out += '[^/]'
-      else if (REGEX_SPECIAL_IN_GLOB.has(c)) out += `\\${c}`
-      else out += c
+      switch (c) {
+        case '*': {
+          out += '[^/]*'
+          continue
+        }
+        case '?': {
+          out += '[^/]'
+          continue
+        }
+        case '{': {
+          out += '(?:'
+          braceDepth++
+          continue
+        }
+        case '}': {
+          if (braceDepth > 0) {
+            out += ')'
+            braceDepth--
+            continue
+          }
+          break
+        }
+        case ',': {
+          if (braceDepth > 0) {
+            out += '|'
+            continue
+          }
+          break
+        }
+        default: {
+          break
+        }
+      }
+      out += REGEX_SPECIAL_IN_GLOB.has(c) ? `\\${c}` : c
     }
     return out
   })

package/rules/npm-module/npm-module.mdc

@@ -65,7 +65,7 @@ bunx -p typescript tsc src/**/*.js --declaration --allowJs --emitDeclarationOnly
 
 **`npm-publish.yml`:** push у **`main`**, **`on.push.paths`** з **`npm/**`**, **`JS-DevTools/npm-publish@v4.1.5`**, **`with.package: npm/package.json`**, **`permissions.id-token: write`** (OIDC на npm).
 
-Workflow робить **release + publish** одним job (`release-publish`): крок **`Release (bump + CHANGELOG + tag)`** (`node npm/bin/n-cursor.js release` — агрегує change-файли, bump `version`, генерує секцію `CHANGELOG.md`, ставить git-тег) виконується **перед** публікацією. Тому потрібні **`permissions.contents: write`** і **`persist-credentials: true`** з **`fetch-depth: 0`** на `checkout` (release пушить commit-back версії та тег), а також локальний composite **`./.github/actions/setup-bun-deps`** і крок `Configure git identity`. Це узгоджено з **`n-changelog`**: `version`/`CHANGELOG.md` змінює лише `n-cursor release` у CI на `main`. Програмна перевірка (`npm_module.npm_publish_yml`) лишається subset-of — enforce-ить `on.push.paths`/`branches`, `id-token: write` і наявність publish-кроку; додаткові кроки (release, git identity) дозволені.
+Workflow робить **release + publish** одним job (`release-publish`): крок **`Release (bump + CHANGELOG + tag)`** (`node npm/bin/n-cursor.js release` — агрегує change-файли, bump `version`, генерує секцію `CHANGELOG.md`, ставить git-тег) виконується **перед** публікацією. Тому потрібні **`permissions.contents: write`** і **`persist-credentials: true`** з **`fetch-depth: 0`** на `checkout` (release пушить commit-back версії та тег), а також локальний composite **`./.github/actions/setup-bun-deps`** і крок `Configure git identity`. Це узгоджено з **`n-changelog`**: `version`/`CHANGELOG.md` змінює лише `n-cursor release` у CI на `main`. Програмна перевірка (`npm_module.npm_publish_yml`) звіряє **весь канонічний сніпет** напряму (`target.json:"check":"template"`, generic deep-subset): усі поля й кроки сніпета (`on.push.paths`/`branches`, `concurrency`, `permissions.contents/id-token`, `checkout` з `persist-credentials/fetch-depth`, `setup-bun-deps`, `Configure git identity`, `Release`, publish-крок) **обовʼязкові**; зайві кроки/поля дозволені (subset-of), масиви матчаться за наявністю (порядок кроків не важить). Сніпет — єдине джерело істини: його редагування одразу змінює enforce, без правок rego й без міграторів.
 
 - Канон: [npm-publish.yml.snippet.yml](./policy/npm_publish_yml/template/npm-publish.yml.snippet.yml)
 

package/rules/npm-module/policy/npm_publish_yml/target.json

@@ -1,4 +1,5 @@
 {
   "$schema": "https://unpkg.com/@nitra/cursor/schemas/target.json",
+  "check": "template",
   "files": { "single": ".github/workflows/npm-publish.yml" }
 }