@nitra/cursor 3.8.0 → 3.10.0

package/CHANGELOG.md

@@ -1,5 +1,26 @@
 # Changelog
 
+## [3.10.0] - 2026-06-01
+
+### Added
+
+- rust coverage: incremental mutation через CARGO_MUTANTS_BASE_REF → cargo-mutants --in-diff (мутуємо лише змінене у <ref>...HEAD)
+- rust coverage: CARGO_MUTANTS_BASELINE=skip → cargo-mutants --baseline skip (пропуск немутованого baseline коли тести вже зелені); rust.mdc — гайд по CI-кешу target/ для coverage-job
+
+### Removed
+
+- internal: видалено мертвий JS-код — 19 експортованих функцій/констант, що викликались лише з тестів (k8s manifests: 5 предикатів, мігрованих у rego; gha-workflow: 9 предикатів, мігрованих у rego ga.workflow_common + 1 каскадний; abie/text/dispatcher: kustomizationHasAbieNginxRunHttpRoutePatch, getV8rCatalogPath, SUBCOMMANDS, resolveFlow) разом з їхніми тестами й осиротілими хелперами
+
+## [3.9.0] - 2026-06-01
+
+### Changed
+
+- k8s: канонічний образ hasura/graphql-engine → v2.49.0.ubuntu.amd64 (ubuntu-база містить pg_dump 18, на відміну від ubi-варіанту)
+
+### Removed
+
+- k8s: видалено мертву JS-перевірку образа hasura (deploymentHasuraGraphqlEngineImageViolation + набір HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES) — пер-документна перевірка делегована rego-пакету k8s.manifest, тег тепер має єдине джерело істини (allowed_hasura_images)
+
 ## [3.8.0] - 2026-06-01
 
 ### Added

package/bin/n-cursor.js

@@ -100,6 +100,7 @@ import { runLintK8s } from '../rules/k8s/lint/lint.mjs'
 import { runLintRego } from '../rules/rego/lint/lint.mjs'
 import { runLintTextCli } from '../rules/text/lint/lint.mjs'
 import { syncClaudeConfig } from '../scripts/sync-claude-config.mjs'
+import { syncGitignoreWorktree } from '../scripts/lib/sync-gitignore-worktree.mjs'
 import { upgradeNitraCursorToLatestAndBunInstall } from '../scripts/upgrade-nitra-cursor-and-install.mjs'
 import { runRenameYamlExtensionsCli } from './rename-yaml-extensions.mjs'
 import { runSkillsCli } from '../scripts/skills-cli.mjs'
@@ -715,8 +716,7 @@ async function syncClaudeMd(ignore) {
     lines.push(`@${RULES_DIR}/${mdcFile}`)
   }
 
-  lines.push(...buildClaudeLintParallelismSectionLines())
-  lines.push(...buildClaudeWorktreeEnforcementSectionLines())
+  lines.push(...buildClaudeLintParallelismSectionLines(), ...buildClaudeWorktreeEnforcementSectionLines())
 
   const skillsSectionLines = await buildClaudeSkillsSectionLines()
   lines.push(...skillsSectionLines)
@@ -1437,6 +1437,11 @@ async function runSync() {
     }
   })
 
+  await runSyncStep('❌ Не вдалося оновити .gitignore (worktree): ', async () => {
+    const { written } = await syncGitignoreWorktree(cwd())
+    if (written) console.log('🌳 .gitignore (worktree): додано .worktrees/')
+  })
+
   console.log(`\n✨ Готово: ${successCount} завантажено, ${failCount} з помилками\n`)
   if (failCount > 0) {
     throw new Error(`Не вдалося завантажити ${failCount} з ${rules.length} правил`)

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "3.8.0",
+  "version": "3.10.0",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/abie/lib/kustomization-patches.mjs

@@ -211,14 +211,3 @@ export function validateAbieNginxRunHttpRoutePatches(
   }
   return null
 }
-
-/**
- * Чи kustomization містить валідні patch для HTTPRoute (ua).
- * @param {string} raw повний текст kustomization.yaml
- * @param {'ua'} mode опис.
- * @returns {boolean} результат
- */
-export function kustomizationHasAbieNginxRunHttpRoutePatch(raw, mode) {
-  const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
-  return validateAbieNginxRunHttpRoutePatches(combined, mode, raw) === null
-}

package/rules/flow/flow.mdc

@@ -78,8 +78,9 @@ Composer, Claude Code) працює **Пасивний Турнікет**: ти,
    npx @nitra/cursor flow verify
    ```
 
-   Проганяє Quality Gates (lint + coverage). Повертає `0` (pass) або `1` із
-   виводом проваленого gate.
+   Проганяє Quality Gate (lint). Повертає `0` (pass) або `1` із виводом
+   проваленого gate. Coverage (тести + Stryker-мутації) **поза** turnstile —
+   запускай окремо `npx @nitra/cursor coverage` або в CI.
 
 6. **Review (adversarial)** — рекомендовано перед release:
 

package/rules/k8s/js/manifests.mjs

@@ -19,7 +19,8 @@
  * = **`"512Mi"`**. Поле **`imagePullPolicy`**
  * не перевіряється — діють типові правила Kubernetes (`:latest` або коли тег не вказано → **Always**,
  * інші теги → **IfNotPresent**). Якщо серед **`containers`** / **`initContainers`** є образ
- * **`hasura/graphql-engine`**, дозволено лише пін **`HASURA_GRAPHQL_ENGINE_IMAGE`** (див. k8s.mdc).
+ * **`hasura/graphql-engine`**, дозволено лише канонічний тег зі списку `allowed_hasura_images`
+ * у rego-пакеті `k8s.manifest` (`policy/manifest/manifest.rego`) — пер-документна перевірка делегована rego.
  *
  * **Namespace і Kustomize:** YAML у **`…/k8s/base/`** (окрім імені **`kustomization.yaml`**)
  * завжди має **непорожній** **`metadata.namespace`** у відповідних документах (узгоджено з dev у репозиторії),
@@ -151,20 +152,6 @@ const YAML_LS_MODELINE_RE = /^# yaml-language-server: \$schema=.*\n/
 
 const YANNH_PIN = 'v1.33.9-standalone-strict'
 
-/**
- * Дозволений образ **hasura/graphql-engine** у Deployment (узгоджено з k8s.mdc).
- * Еквівалент **`docker.io/…`** також приймається.
- */
-export const HASURA_GRAPHQL_ENGINE_IMAGE = 'hasura/graphql-engine:v2.48.15.ubi.amd64'
-
-/**
-  Набір прийнятних рядків `image` без digest (`@sha256:…`).
- */
-const HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES = new Set([
-  HASURA_GRAPHQL_ENGINE_IMAGE,
-  `docker.io/${HASURA_GRAPHQL_ENGINE_IMAGE}`
-])
-
 /**
  * Чи відносний POSIX-шлях від кореня репо вказує на YAML під **`…/k8s/…/base/…`** (після сегмента **`k8s`** у шляху
  * є каталог **`base`**). Тут очікуються маніфести шару **base**, включно з будь-яким файлом із **`kind: Deployment`**
@@ -444,56 +431,6 @@ function pushStringPaths(arr, acc) {
 /** Префікс `apiVersion` для маніфесту Kustomize **Kustomization**. */
 const KUSTOMIZE_CONFIG_API_PREFIX = 'kustomize.config.k8s.io/'
 
-/**
- * Чи послідовність непорожніх рядків відсортована за `localeCompare` (en, ascending).
- * @param {string[]} paths рядки для перевірки
- * @returns {boolean} `true` якщо послідовність відсортована
- */
-function stringPathsAreSortedEn(paths) {
-  for (let i = 1; i < paths.length; i++) {
-    if (paths[i - 1].localeCompare(paths[i], 'en', { sensitivity: 'base' }) > 0) {
-      return false
-    }
-  }
-  return true
-}
-
-/**
- * Порушення сорту **`resources`**: лише для **`kustomize.config.k8s.io/…`**, **`kind: Kustomization`**.
- * Порожні рядки в списку ігноруються (як у `pushStringPaths`).
- * @param {unknown} obj корінь першого YAML-документа
- * @returns {string | null} причина або `null`, якщо обмеження не застосовується
- */
-export function kustomizationResourcesSortedAlphabeticallyViolation(obj) {
-  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) return null
-  const rec = /** @type {Record<string, unknown>} */ (obj)
-  if (rec.kind !== 'Kustomization') return null
-  const av = rec.apiVersion
-  if (typeof av !== 'string' || !av.startsWith(KUSTOMIZE_CONFIG_API_PREFIX)) return null
-  const res = rec.resources
-  if (res === undefined) return null
-  if (!Array.isArray(res)) {
-    return 'Kustomization.resources має бути масивом (k8s.mdc)'
-  }
-  /**
-  @type {string[]}
-   */
-  const paths = []
-  for (const [i, item] of res.entries()) {
-    if (typeof item !== 'string') {
-      return `Kustomization.resources[${i}] — очікується рядок-шлях (k8s.mdc)`
-    }
-    const t = item.trim()
-    if (t !== '') paths.push(t)
-  }
-  if (paths.length < 2) return null
-  if (!stringPathsAreSortedEn(paths)) {
-    const want = paths.toSorted((a, b) => a.localeCompare(b, 'en', { sensitivity: 'base' }))
-    return `Kustomization.resources має бути за алфавітом (en). Зараз: ${paths.join(', ')}; очікувано: ${want.join(', ')} (k8s.mdc)`
-  }
-  return null
-}
-
 // Plan B: per-document `resources[]` sort у Kustomization — у rego-пакеті
 // `k8s.kustomization`, викликається з `runAllK8sRego` на початку `check()`.
 // JS-orchestrator validateKustomizationResourcesSortedAlphabetically видалено.
@@ -2172,36 +2109,6 @@ export function collectJson6902OperationsFromPatchText(patchText) {
   return []
 }
 
-/**
- * Шляхи JSON Patch, де в одному наборі операцій є і **remove**, і **add** (k8s.mdc: краще **replace**).
- * @param {Array<{ op: string, path: string }>} ops нормалізовані **op**
- * @returns {string[]} унікальні **path** з порушенням (відсортовано)
- */
-export function json6902PathsWithRemoveAndAddOnSamePath(ops) {
-  /**
-  @type {Map<string, Set<string>>}
-   */
-  const byPath = new Map()
-  for (const { op, path } of ops) {
-    if (path) {
-      if (!byPath.has(path)) {
-        byPath.set(path, new Set())
-      }
-      byPath.get(path).add(op)
-    }
-  }
-  /**
-  @type {string[]}
-   */
-  const out = []
-  for (const [path, set] of byPath) {
-    if (set.has('remove') && set.has('add')) {
-      out.push(path)
-    }
-  }
-  return out.toSorted((a, b) => a.localeCompare(b))
-}
-
 // Plan B: вся audit-ланка JSON6902 (failIfJson6902RemoveAddConflictOnSamePath,
 // auditJson6902PatchExternalFile, auditOneKustomizationJson6902Patch,
 // auditKustomizationPatchesJson6902) видалена. Per-document inline JSON6902
@@ -2406,75 +2313,6 @@ function isHasuraGraphqlEngineImageRef(image) {
   return HASURA_GRAPHQL_ENGINE_RE.test(s)
 }
 
-/**
- * Перевірка образу Hasura для одного контейнера у списку **containers** / **initContainers**.
- * @param {string} list ім’я поля для повідомлення (`containers` / `initContainers`)
- * @param {unknown} c елемент масиву
- * @param {number} i індекс
- * @returns {string | null} текст порушення або null
- */
-function hasuraGraphqlEngineViolationForOneContainer(list, c, i) {
-  const label =
-    typeof c === 'object' && c !== null && !Array.isArray(c) && typeof c.name === 'string' && c.name !== ''
-      ? c.name
-      : `#${i + 1}`
-  if (c === null || c === undefined || typeof c !== 'object' || Array.isArray(c)) {
-    return null
-  }
-  const cont = /** @type {Record<string, unknown>} */ (c)
-  const image = cont.image
-  if (typeof image !== 'string' || image.trim() === '' || !isHasuraGraphqlEngineImageRef(image)) {
-    return null
-  }
-  const normalized = stripImageDigest(image)
-  if (!HASURA_GRAPHQL_ENGINE_ALLOWED_IMAGES.has(normalized)) {
-    return `${list} "${label}": образ hasura/graphql-engine має бути ${HASURA_GRAPHQL_ENGINE_IMAGE} (зараз: ${image}) (див. k8s.mdc)`
-  }
-  return null
-}
-
-/**
- * Перевіряє масив **containers** / **initContainers** на зафіксований образ Hasura.
- * @param {string} list **containers** або **initContainers** (для тексту помилки)
- * @param {unknown} containers значення поля з маніфесту
- * @returns {string | null} текст порушення або null
- */
-function hasuraGraphqlEngineViolationInContainerList(list, containers) {
-  if (!Array.isArray(containers)) return null
-  for (const [i, c] of containers.entries()) {
-    const v = hasuraGraphqlEngineViolationForOneContainer(list, c, i)
-    if (v !== null) {
-      return v
-    }
-  }
-  return null
-}
-
-/**
- * Чи порушує **Deployment** вимогу щодо зафіксованого образу **hasura/graphql-engine** (k8s.mdc).
- * @param {unknown} manifest корінь YAML-документа
- * @returns {string | null} текст порушення або null, якщо не Deployment / образу немає / ок
- */
-export function deploymentHasuraGraphqlEngineImageViolation(manifest) {
-  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
-    return null
-  const rec = /** @type {Record<string, unknown>} */ (manifest)
-  if (rec.kind !== 'Deployment') return null
-  const spec = rec.spec
-  if (spec === null || spec === undefined || typeof spec !== 'object' || Array.isArray(spec)) return null
-  const template = /** @type {Record<string, unknown>} */ (spec).template
-  if (template === null || template === undefined || typeof template !== 'object' || Array.isArray(template))
-    return null
-  const podSpecRaw = /** @type {Record<string, unknown>} */ (template).spec
-  if (podSpecRaw === null || podSpecRaw === undefined || typeof podSpecRaw !== 'object' || Array.isArray(podSpecRaw))
-    return null
-  const podSpec = /** @type {Record<string, unknown>} */ (podSpecRaw)
-
-  const main = hasuraGraphqlEngineViolationInContainerList('containers', podSpec.containers)
-  if (main !== null) return main
-  return hasuraGraphqlEngineViolationInContainerList('initContainers', podSpec.initContainers)
-}
-
 /**
  * Чи у списку контейнерів є хоча б один з образом **hasura/graphql-engine** (будь-який тег).
  * @param {unknown} containers значення **containers** / **initContainers** із podSpec
@@ -2755,34 +2593,9 @@ export function collectDeploymentConfigMapRefs(deployment) {
   return names
 }
 
-/**
- * Чи **Service** містить заборонені анотації GKE у **`metadata.annotations`** (k8s.mdc).
- * @param {unknown} manifest корінь YAML-документа
- * @returns {string | null} текст порушення або null, якщо не Service / анотацій немає / ок
- */
-export function serviceForbiddenGcpAnnotationsViolation(manifest) {
-  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
-    return null
-  const rec = /** @type {Record<string, unknown>} */ (manifest)
-  if (rec.kind !== 'Service') return null
-  const meta = rec.metadata
-  if (meta === null || meta === undefined || typeof meta !== 'object' || Array.isArray(meta)) return null
-  const m = /** @type {Record<string, unknown>} */ (meta)
-  const ann = m.annotations
-  if (ann === null || ann === undefined || typeof ann !== 'object' || Array.isArray(ann)) return null
-  const a = /** @type {Record<string, unknown>} */ (ann)
-  /**
-  @type {string[]}
-   */
-  const found = []
-  for (const key of SERVICE_FORBIDDEN_GCP_ANNOTATION_KEYS) {
-    if (Object.hasOwn(a, key)) {
-      found.push(key)
-    }
-  }
-  if (found.length === 0) return null
-  return `metadata.annotations: прибери заборонені ключі GKE: ${found.join(', ')} (див. k8s.mdc)`
-}
+// Plan B: заборонені GKE-анотації на Service — у rego-пакеті k8s.* (per-document).
+// JS-функцію serviceForbiddenGcpAnnotationsViolation видалено; константа
+// SERVICE_FORBIDDEN_GCP_ANNOTATION_KEYS лишається експортованою (власний тест).
 
 /** Суфікс **`metadata.name`** headless-сервісу поруч із **`svc.yaml`** (див. k8s.mdc). */
 const SVC_HL_NAME_SUFFIX = '-hl'
@@ -4317,15 +4130,6 @@ export function snippetNameForKind(kind) {
   return name
 }
 
-/**
- * Читає deployment.snippet.yaml і повертає розпарсений spec.
- * @deprecated Використовуй loadSnippetSpec('deployment')
- * @returns {{ podSelector: Record<string, unknown>, policyTypes: string[], ingress: unknown[], egress: unknown[] }} розпарсений spec deployment snippet
- */
-export function readNetworkPolicySnippet() {
-  return /** @type {any} */ (loadSnippetSpec('deployment'))
-}
-
 /**
  * No-op fail-callback (повертає аргумент). Використовується як дефолт у `regenerateLegacyNetworkPolicyDocsInFile`,
  * коли caller не передає власний `fail` — щоб `collectHttpRouteIngressForWorkload` не падав.
@@ -5129,17 +4933,6 @@ export async function prodOverlayHpaPdbOverrideNeeds(rootNorm, kustAbs) {
   }
 }
 
-/**
- * Чи прод-оверлей потребує **будь-яких** overrides HPA/PDB у **patches[]** (зведений прапорець).
- * @param {string} rootNorm нормалізований корінь репозиторію
- * @param {string} kustAbs абсолютний шлях до kustomization.yaml
- * @returns {Promise<boolean>} true, якщо потрібен хоча б один тип оверрайду
- */
-export async function prodOverlayNeedsHpaPdbOverrides(rootNorm, kustAbs) {
-  const n = await prodOverlayHpaPdbOverrideNeeds(rootNorm, kustAbs)
-  return n.needsHpaReplicaPatches || n.needsPdbMinAvailablePatch
-}
-
 /**
  * Для прод kustomization.yaml вимагає **patches[]** за потреби: **`/spec/minReplicas`** і **`/spec/maxReplicas`**
  * для **HorizontalPodAutoscaler** (якщо в успадкованому base лишився HPA без delete-patch), **`/spec/minAvailable`**

package/rules/k8s/k8s.mdc

@@ -152,7 +152,7 @@ patches:
 
 Поле **`imagePullPolicy`** скрипт **не** перевіряє (залишається політиці Kubernetes за тегом образу).
 
-Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег із константи **`HASURA_GRAPHQL_ENGINE_IMAGE`** у **`rules/k8s/fix.mjs`** (допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
+Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег зі списку **`allowed_hasura_images`** у rego-пакеті **`k8s.manifest`** (`policy/manifest/manifest.rego` — єдине джерело істини; допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
 
 ### HTTPRoute для Deployment з `hasura/graphql-engine`
 

package/rules/k8s/policy/manifest/manifest.rego

@@ -44,13 +44,14 @@ forbidden_service_annotations := {
 	"cloud.google.com/backend-config",
 }
 
-# Дозволені посилання на образ `hasura/graphql-engine` (узгоджено з
-# `HASURA_GRAPHQL_ENGINE_IMAGE` у `rules/k8s/fix.mjs`). Зараз — один канонічний тег
-# у двох варіантах префіксу (із `docker.io/` і без). Digest (`@sha256:…`)
+# Дозволені посилання на образ `hasura/graphql-engine`. Це **єдине** джерело
+# істини для канонічного тега (JS-копія `HASURA_GRAPHQL_ENGINE_IMAGE` видалена —
+# пер-документна перевірка делегована цьому rego-пакету). Зараз — один канонічний
+# тег у двох варіантах префіксу (із `docker.io/` і без). Digest (`@sha256:…`)
 # відрізається перед звіркою.
 allowed_hasura_images := {
-	"hasura/graphql-engine:v2.48.15.ubi.amd64",
-	"docker.io/hasura/graphql-engine:v2.48.15.ubi.amd64",
+	"hasura/graphql-engine:v2.49.0.ubuntu.amd64",
+	"docker.io/hasura/graphql-engine:v2.49.0.ubuntu.amd64",
 }
 
 # Канонічне значення `topologyKey` для `topologySpreadConstraints` (k8s.mdc).
@@ -161,7 +162,7 @@ deny contains msg if {
 
 # ── deny: Deployment — образ hasura/graphql-engine з білого списку ────────
 #
-# Spec вимагає рівно тег із константи `HASURA_GRAPHQL_ENGINE_IMAGE`
+# Spec вимагає рівно тег зі списку `allowed_hasura_images` (вище)
 # (з опційним префіксом `docker.io/`). Digest `@sha256:…` у поточних правилах
 # відрізається перед порівнянням (k8s.mdc допускає, але не вимагає його).
 

package/rules/rust/coverage/coverage.mjs

@@ -8,9 +8,9 @@
  */
 import { spawnSync } from 'node:child_process'
 import { existsSync } from 'node:fs'
-import { mkdtemp, readFile, rm } from 'node:fs/promises'
+import { mkdtemp, readFile, rm, writeFile } from 'node:fs/promises'
 import { cpus, tmpdir } from 'node:os'
-import { join } from 'node:path'
+import { dirname, join } from 'node:path'
 
 import { hasCargoTomlInTree } from '../lib/has-cargo-toml.mjs'
 import { resolveCargoManifest } from '../../../scripts/utils/resolve-cargo-manifest.mjs'
@@ -43,14 +43,48 @@ export function resolveJobs(envValue) {
   return Math.min(4, Math.max(1, Math.floor(cpus().length / 2)))
 }
 
+/**
+ * Резолвить базовий git-ref для incremental mutation через cargo-mutants `--in-diff`.
+ * Порожнє/відсутнє значення → `null` = повний прогін усіх мутантів (дефолт для `main`).
+ * Непорожнє (напр. `origin/main`) → мутуємо лише змінене у `<ref>...HEAD` (для feature-гілки).
+ * cargo-mutants не має persistent-кешу вердиктів (як Stryker `incremental.json`) — scoping
+ * за git-diff це його штатний аналог «не передивляйся незмінений код».
+ * @param {string | undefined} envValue значення `process.env.CARGO_MUTANTS_BASE_REF`
+ * @returns {string | null} trimmed ref або null
+ */
+export function resolveBaseRef(envValue) {
+  if (envValue === undefined) return null
+  const trimmed = envValue.trim()
+  return trimmed === '' ? null : trimmed
+}
+
+/**
+ * Резолвить режим baseline для cargo-mutants. `CARGO_MUTANTS_BASELINE=skip`
+ * (case-insensitive) → `'skip'` = пропустити немутований baseline build+test:
+ * фіксована економія в один повний `cargo test`, безпечна ЛИШЕ коли тести вже
+ * зелені у попередньому CI-степі (інакше всі вердикти сміттєві). Будь-що інше →
+ * `null` = дефолтний baseline-прогін. Цінність найбільша разом з `--in-diff`,
+ * де baseline — більша частка дрібного прогону.
+ * @param {string | undefined} envValue значення `process.env.CARGO_MUTANTS_BASELINE`
+ * @returns {'skip' | null} режим або null для дефолту
+ */
+export function resolveBaseline(envValue) {
+  return envValue !== undefined && envValue.trim().toLowerCase() === 'skip' ? 'skip' : null
+}
+
 /**
  * Будує argv для `cargo mutants`. `--in-place` навмисно відсутній: cargo-mutants
  * створює власну sandbox-копію в `target/mutants.<i>/`, що обов'язкове для `--jobs > 1`.
- * @param {{ manifestPath: string, outDir: string, jobs: number }} opts
- * @returns {string[]}
+ * `diffPath` (опційно) вмикає `--in-diff` — мутуються лише рядки з цього unified-diff.
+ * `baseline === 'skip'` (опційно) додає `--baseline skip` — без немутованого baseline-прогону.
+ * @param {{ manifestPath: string, outDir: string, jobs: number, diffPath?: string, baseline?: 'skip' | null }} opts параметри запуску
+ * @returns {string[]} argv для cargo
  */
-export function buildCargoMutantsArgs({ manifestPath, outDir, jobs }) {
-  return ['mutants', '--jobs', String(jobs), '-o', outDir, '--manifest-path', manifestPath]
+export function buildCargoMutantsArgs({ manifestPath, outDir, jobs, diffPath, baseline }) {
+  const args = ['mutants', '--jobs', String(jobs), '-o', outDir, '--manifest-path', manifestPath]
+  if (diffPath) args.push('--in-diff', diffPath)
+  if (baseline === 'skip') args.push('--baseline', 'skip')
+  return args
 }
 
 const defaultRunner = {
@@ -61,13 +95,25 @@ const defaultRunner = {
     })
     return { exitCode: r.status ?? 1, stdout: r.stdout?.toString('utf8') ?? '' }
   },
-  runCargoMutants({ manifestPath, outDir }) {
+  runCargoMutants({ manifestPath, outDir, diffPath }) {
     const jobs = resolveJobs(process.env.CARGO_MUTANTS_JOBS)
-    const r = spawnSync('cargo', buildCargoMutantsArgs({ manifestPath, outDir, jobs }), {
+    const baseline = resolveBaseline(process.env.CARGO_MUTANTS_BASELINE)
+    const r = spawnSync('cargo', buildCargoMutantsArgs({ manifestPath, outDir, jobs, diffPath, baseline }), {
       stdio: 'inherit',
       env: process.env
     })
     return r.status ?? 1
+  },
+  runGitDiff({ manifestPath, baseRef }) {
+    // `--relative` + cwd = каталог crate → шляхи в diff збігаються з тим, що
+    // cargo-mutants мутує (relative до package), навіть у monorepo з src-tauri/.
+    // Three-dot `<ref>...HEAD` = зміни гілки від merge-base, а не «з того часу в ref».
+    const r = spawnSync('git', ['diff', '--relative', `${baseRef}...HEAD`], {
+      cwd: dirname(manifestPath),
+      stdio: ['inherit', 'pipe', 'inherit'],
+      env: process.env
+    })
+    return { exitCode: r.status ?? 1, stdout: r.stdout?.toString('utf8') ?? '' }
   }
 }
 
@@ -95,13 +141,31 @@ export async function collect(cwd, opts = {}) {
     functions: { covered: totals.functions.covered, total: totals.functions.count }
   }
 
-  // 2. Mutation через cargo mutants
+  // 2. Mutation через cargo mutants.
+  // CARGO_MUTANTS_BASE_REF (напр. `origin/main`) вмикає incremental-режим: мутуємо
+  // лише рядки, змінені у `<baseRef>...HEAD` (`git diff --relative` → cargo-mutants
+  // `--in-diff`). Env не задано — повний прогін усіх мутантів (дефолт для `main`).
+  const baseRef = resolveBaseRef(process.env.CARGO_MUTANTS_BASE_REF)
   const outDir = await mkdtemp(join(tmpdir(), 'rust-mutants-'))
   let mutation
   try {
+    let diffPath
+    if (baseRef !== null) {
+      const { exitCode: diffCode, stdout: diff } = await runner.runGitDiff({ manifestPath, baseRef })
+      if (diffCode !== 0) {
+        // Невідомий ref / не git-репо — не валимо прогін, відкочуємось до повного.
+        process.stderr.write(`rust coverage: git diff проти '${baseRef}' упав — повний mutation-прогін\n`)
+      } else if (diff.trim() === '') {
+        // У `<baseRef>...HEAD` немає змін під цим crate — мутувати нічого.
+        return [{ area: 'Rust', coverage, mutation: { caught: 0, total: 0 } }]
+      } else {
+        diffPath = join(outDir, 'in-diff.patch')
+        await writeFile(diffPath, diff)
+      }
+    }
     // cargo-mutants exit ≠ 0 коли є missed — це нормально, не помилка.
     // Реальний крах — відсутній outcomes.json.
-    await runner.runCargoMutants({ manifestPath, outDir })
+    await runner.runCargoMutants({ manifestPath, outDir, diffPath })
     let outcomes
     try {
       outcomes = JSON.parse(await readFile(join(outDir, 'mutants.out', 'outcomes.json'), 'utf8'))

package/rules/rust/rust.mdc

@@ -2,7 +2,7 @@
 description: Перевірка Rust коду
 globs: "**/{Cargo.toml,Cargo.lock,rustfmt.toml,clippy.toml,.vscode/extensions.json,package.json},**/*.rs"
 alwaysApply: false
-version: '1.2'
+version: '1.4'
 ---
 
 **rustfmt** ([rust-lang/rustfmt](https://github.com/rust-lang/rustfmt)) — форматер; **clippy** ([rust-lang/rust-clippy](https://github.com/rust-lang/rust-clippy)) — лінтер. У скрипті **`lint-rust`** локально йдуть три кроки в одному рядку: `cargo fmt --all` → `cargo clippy --fix --allow-staged --allow-dirty --all-targets --all-features` → фінальний `cargo clippy --all-targets --all-features -- -D warnings`. У CI — без `--fix`: `cargo fmt --all -- --check` і `cargo clippy ... -- -D warnings` (див. `lint-rust.yml`).
@@ -29,3 +29,22 @@ Tauri-проєкт завжди має `src-tauri/Cargo.toml`, тому прав
 ## Покриття + мутаційне тестування Rust
 
 Покриття + мутаційне тестування Rust постачаються через `n-cursor coverage` (правило `test.mdc`). Реалізація провайдера — у `npm/rules/rust/coverage/coverage.mjs`: `cargo llvm-cov --json --summary-only` + `cargo mutants --jobs N` (паралельні воркери, дефолт `min(4, cpus/2)`; override через env `CARGO_MUTANTS_JOBS`). Прапорець `--in-place` прибраний — cargo-mutants створює власну sandbox-копію в `target/mutants.<i>/`, що сумісне з `--jobs > 1`. Бінарники: `cargo install cargo-llvm-cov && cargo install cargo-mutants`.
+
+### Incremental mutation через `--in-diff`
+
+cargo-mutants **не** має persistent-кешу вердиктів між прогонами (на відміну від Stryker `incremental.json`). Штатний аналог «не передивляйся незмінений код» — scoping за git-diff. Вмикається env-змінною **`CARGO_MUTANTS_BASE_REF`**:
+
+- **не задано** (дефолт, типово для `main`) — повний прогін усіх мутантів;
+- задано (напр. `origin/main`, типово для feature-гілки в CI) — мутуються лише рядки, змінені у `<baseRef>...HEAD`. Провайдер бере `git diff --relative <baseRef>...HEAD` з каталогу crate (шляхи в diff збігаються з тим, що мутує cargo-mutants навіть у monorepo з `src-tauri/`), пише його у sandbox і передає cargo-mutants `--in-diff`.
+
+Краєві випадки: порожній diff (немає змін під crate) → mutation `0/0` без запуску cargo-mutants; невідомий ref / не git-репо → попередження у stderr і fallback до повного прогону.
+
+### Пропуск baseline через `CARGO_MUTANTS_BASELINE=skip`
+
+cargo-mutants спершу ганяє немутований baseline (повний build+test), щоб переконатися, що suite зелений. Це **фіксована** вартість, незалежна від кількості мутантів — а отже більша частка дрібного `--in-diff`-прогону. **`CARGO_MUTANTS_BASELINE=skip`** прибирає цей крок (cargo-mutants `--baseline skip`), економлячи один повний `cargo test`.
+
+Безпечно **лише** коли тести вже зелені у попередньому CI-степі (типовий порядок: `cargo test` → потім `n-cursor coverage` зі `skip`). Без цієї гарантії всі вердикти стають сміттєвими, тому дефолт — baseline-прогін. Найкорисніше в парі з `--in-diff`.
+
+### CI-кеш `target/` — множник, без якого scoping невидимий
+
+`--in-diff` ріже **кількість** мутантів, кеш `target/` — **вартість кожної** компіляції; вони множаться. Без кешу холодний CI щоразу перебудовує всі залежності, і baseline-build (для Tauri — хвилини) затьмарює економію від меншої кількості мутантів. У workflow, що викликає `n-cursor coverage` для Rust, став `Swatinem/rust-cache@v2` (кеш `~/.cargo` + `target/`) після `dtolnay/rust-toolchain@stable` — так само, як у `lint-rust.yml`. Sandbox-копії `target/mutants.<i>/` самі не кешуються, але деривуються з кешованих залежностей.

package/rules/text/lint/run-v8r.mjs

@@ -27,14 +27,6 @@ export const DEFAULT_V8R_GLOBS = ['**/*.json', '**/*.json5', '**/*.yml', '**/*.y
 /** Абсолютний шлях до `schemas/v8r-catalog.json` у корені пакета `@nitra/cursor` (`npm/schemas/`). */
 export const V8R_CATALOG_PATH = join(dirname(fileURLToPath(import.meta.url)), '../../../schemas/v8r-catalog.json')
 
-/**
- * Повертає шлях до каталогу схем v8r для пакета (для тестів і діагностики).
- * @returns {string} абсолютний шлях до v8r-catalog.json
- */
-export function getV8rCatalogPath() {
-  return V8R_CATALOG_PATH
-}
-
 /**
  * Запускає послідовні виклики v8r по glob-ам; не змінює process.exitCode (лише повертає код).
  * @param {string[]} [globs] патерни; за замовчуванням DEFAULT_V8R_GLOBS

package/scripts/dispatcher/index.mjs

@@ -29,9 +29,6 @@ const USAGE = [
   '  npx @nitra/cursor flow repair [--discard-step-work]   # відновлення пошкодженого стану'
 ].join('\n')
 
-/** Підкоманди flow. */
-export const SUBCOMMANDS = ['init', 'spec', 'plan', 'verify', 'review', 'gate', 'release', 'run', 'resume', 'cancel', 'repair']
-
 /**
  * Усі handler-и реальні (Ф1 Spec/Plan + Ф2 Турнікет + Ф4 Активний Раннер).
  * @type {Record<string, (rest: string[], deps: object) => Promise<number>>}

package/scripts/dispatcher/lib/capability.mjs

@@ -57,25 +57,3 @@ export function orchestrationFor(model, matrix) {
 export function polyfillStartable({ hasRunner }) {
   return hasRunner === true
 }
-
-/**
- * Повний резолв: оголошена модель + режим. Кидає, якщо polyfill без runner-а.
- * @param {{ args?: string[], env?: Record<string, string | undefined>, config?: { flow?: { model?: string } }, matrix: object, hasRunner: boolean }} input джерела
- * @returns {{ model: string | null, mode: 'native' | 'polyfill' }} оголошена модель і режим
- */
-export function resolveFlow({ args = [], env = {}, config = {}, matrix, hasRunner }) {
-  const model = declaredModel({
-    cliModel: parseModelFlag(args),
-    envModel: env.N_CURSOR_FLOW_MODEL ?? null,
-    configModel: (config && config.flow && config.flow.model) ?? null
-  })
-  const mode = orchestrationFor(model, matrix)
-  if (mode === 'polyfill' && !polyfillStartable({ hasRunner })) {
-    throw new Error(
-      'n-cursor flow: режим polyfill потребує доступного SubagentRunner ' +
-        '(`claude` або `cursor-agent` у PATH), але жодного не знайдено. ' +
-        'Оголосіть модель із native_workflows (--model) або встановіть CLI-runner.'
-    )
-  }
-  return { model, mode }
-}

package/scripts/dispatcher/lib/reviewer.mjs

@@ -10,11 +10,13 @@
  */
 import { worktreeFingerprint } from '../../utils/worktree-fingerprint.mjs'
 
-/** Канонічні gate-и verify (lint + coverage; coverage включає тести+мутації). */
-export const DEFAULT_GATES = [
-  { name: 'lint', cmd: ['npx', '@nitra/cursor', 'lint'] },
-  { name: 'coverage', cmd: ['npx', '@nitra/cursor', 'coverage'] }
-]
+/**
+ * Канонічний gate verify — лише `lint`. Coverage (vitest-покриття + Stryker-
+ * мутації) навмисно ПОЗА turnstile: повний прогін надто довгий і ламкий у
+ * worktree, тож тести/мутації запускаються окремо (`npx \@nitra/cursor coverage`)
+ * або в CI, а не на кожному `flow verify`.
+ */
+export const DEFAULT_GATES = [{ name: 'lint', cmd: ['npx', '@nitra/cursor', 'lint'] }]
 
 /**
  * Проганяє gate-и й повертає verdict.

package/scripts/lib/gha-workflow.mjs

@@ -8,7 +8,6 @@
  */
 import { parse } from 'yaml'
 
-const CHECKOUT_USES_MARKER = 'actions/checkout@'
 const CHECKOUT_V6_USES = 'actions/checkout@v6'
 const LOCAL_SETUP_BUN_DEPS_MARKER = './.github/actions/setup-bun-deps'
 const BUNX_OXLINT_FIX_RE = /bunx\s+oxlint[^\n]*--fix/u
@@ -69,97 +68,6 @@ export function getStepRun(step) {
   return ''
 }
 
-/** У тексті `run:` зіставляє `\\` одразу перед переносом рядка (типове shell-продовження в bash). */
-const RUN_SHELL_LINE_CONTINUATION_BACKSLASH_RE = /\\\r?\n/
-
-/**
- * Чи містить значення `run:` shell-продовження рядка через зворотний сліш перед переносом (`… \\` + NL).
- * У workflow такі конструкції замінюють на folded block `>-` без зворотних слішів (ga.mdc).
- * @param {string} runText текст з `getStepRun`
- * @returns {boolean} `true`, якщо знайдено `\\` перед новим рядком
- */
-export function runTextHasShellLineContinuationBackslash(runText) {
-  return typeof runText === 'string' && runText.length > 0 && RUN_SHELL_LINE_CONTINUATION_BACKSLASH_RE.test(runText)
-}
-
-/**
- * Повертає кроки, у яких `run:` містить заборонене shell-продовження через `\\`.
- * @param {Record<string, unknown>} root корінь workflow
- * @returns {{ jobId: string, stepIndex: number }[]} список кроків із порушенням
- */
-export function findRunStepsWithShellLineContinuationBackslash(root) {
-  /** @type {{ jobId: string, stepIndex: number }[]} */
-  const out = []
-  for (const { jobId, stepIndex, step } of flattenWorkflowSteps(root)) {
-    const run = getStepRun(step)
-    if (runTextHasShellLineContinuationBackslash(run)) {
-      out.push({ jobId, stepIndex })
-    }
-  }
-  return out
-}
-
-/**
- * Чи є крок, у якого `uses` містить будь-який з підрядків.
- * @param {Record<string, unknown>} root корінь workflow
- * @param {string[]} substrings підрядки для пошуку в `uses`
- * @returns {boolean} `true`, якщо знайдено хоча б один збіг
- */
-export function hasAnyStepUsesContaining(root, substrings) {
-  for (const { step } of flattenWorkflowSteps(root)) {
-    const uses = getStepUses(step)
-    if (substrings.some(s => uses.includes(s))) {
-      return true
-    }
-  }
-  return false
-}
-
-/**
- * Чи перед першим кроком з локальним `setup-bun-deps` у кожному job є `actions/checkout@`.
- * Якщо `setup-bun-deps` у файлі немає — `true`.
- * @param {Record<string, unknown>} root корінь workflow
- * @param {string[]} setupPathSubstrings підрядки `uses`, що означають локальний composite (наприклад `./.github/actions/setup-bun-deps`)
- * @returns {boolean} `false`, якщо є setup без попереднього checkout
- */
-export function hasCheckoutBeforeLocalSetupBunDeps(root, setupPathSubstrings) {
-  for (const [, job] of workflowJobsEntries(root)) {
-    let hasCheckoutStep = false
-    for (const step of workflowJobSteps(job)) {
-      const uses = getStepUses(step)
-      if (uses.includes(CHECKOUT_USES_MARKER)) {
-        hasCheckoutStep = true
-      }
-      if (setupPathSubstrings.some(s => uses.includes(s)) && !hasCheckoutStep) {
-        return false
-      }
-    }
-  }
-  return true
-}
-
-/**
- * Шукає заборонені підрядки лише в `uses` та `run` кроків (не в коментарях YAML поза кроками).
- * @param {Record<string, unknown>} root корінь workflow
- * @param {{ pattern: string, msg: string }[]} forbidden список заборонених фрагментів і повідомлень
- * @returns {{ jobId: string, stepIndex: number, pattern: string, msg: string }[]} знайдені збіги
- */
-export function findForbiddenUsesOrRunPatterns(root, forbidden) {
-  /** @type {{ jobId: string, stepIndex: number, pattern: string, msg: string }[]} */
-  const hits = []
-  for (const { jobId, stepIndex, step } of flattenWorkflowSteps(root)) {
-    const uses = getStepUses(step)
-    const run = getStepRun(step)
-    const blob = `${uses}\n${run}`
-    for (const { pattern, msg } of forbidden) {
-      if (blob.includes(pattern)) {
-        hits.push({ jobId, stepIndex, pattern, msg })
-      }
-    }
-  }
-  return hits
-}
-
 /**
  * Чи є в `on.push.paths` (або `on.pull_request.paths`) елемент з точним значенням.
  * @param {Record<string, unknown>} root корінь workflow
@@ -183,87 +91,6 @@ export function eventPathsIncludeExact(root, event, exact) {
   return paths.includes(exact)
 }
 
-/**
- * Чи містить `on.push.paths` підрядок `npm/**` (npm-module).
- * @param {Record<string, unknown>} root корінь workflow
- * @returns {boolean} `true`, якщо серед `paths` є рядок з `npm/**`
- */
-export function pushPathsIncludeNpmGlob(root) {
-  const on = root?.on
-  if (!on || typeof on !== 'object') {
-    return false
-  }
-  const push = /** @type {Record<string, unknown>} */ (on).push
-  if (!push || typeof push !== 'object') {
-    return false
-  }
-  const paths = push.paths
-  if (!Array.isArray(paths)) {
-    return false
-  }
-  return paths.some(p => typeof p === 'string' && p.includes('npm/**'))
-}
-
-/**
- * Перевіряє наявність `branches` з `main` у `on.push`.
- * @param {Record<string, unknown>} root корінь workflow
- * @returns {boolean} `true`, якщо `main` є в `on.push.branches`
- */
-export function pushHasMainBranch(root) {
-  const on = root?.on
-  if (!on || typeof on !== 'object') {
-    return false
-  }
-  const push = /** @type {Record<string, unknown>} */ (on).push
-  if (!push || typeof push !== 'object') {
-    return false
-  }
-  const branches = push.branches
-  if (!Array.isArray(branches)) {
-    return false
-  }
-  return branches.includes('main')
-}
-
-/**
- * Чи є крок з `uses: JS-DevTools/npm-publish` та `with.package` для npm-пакета.
- * @param {Record<string, unknown>} root корінь workflow
- * @returns {boolean} `true`, якщо знайдено крок publish з `package: npm/package.json`
- */
-export function hasNpmPublishStepWithPackage(root) {
-  for (const { step } of flattenWorkflowSteps(root)) {
-    const uses = getStepUses(step)
-    if (uses.includes('JS-DevTools/npm-publish')) {
-      const w = step.with
-      if (w && typeof w === 'object' && /** @type {Record<string, unknown>} */ (w).package === 'npm/package.json') {
-        return true
-      }
-    }
-  }
-  return false
-}
-
-/**
- * Чи є у job `permissions.id-token: write`.
- * @param {Record<string, unknown>} root корінь workflow
- * @returns {boolean} `true`, якщо OIDC-дозвіл для npm publish налаштований
- */
-export function hasIdTokenWritePermission(root) {
-  const jobs = root?.jobs
-  if (!jobs || typeof jobs !== 'object') {
-    return false
-  }
-  for (const job of Object.values(jobs)) {
-    if (job && typeof job === 'object') {
-      const perm = /** @type {Record<string, unknown>} */ (job).permissions
-      if (perm && typeof perm === 'object' && /** @type {Record<string, unknown>} */ (perm)['id-token'] === 'write') {
-        return true
-      }
-    }
-  }
-  return false
-}
-
 /**
  * Перевірки для `lint-js.yml`: checkout@v6, persist-credentials, setup-bun-deps, run-команди.
  * @param {Record<string, unknown> | null} root корінь workflow або `null` якщо parse не вдався
@@ -322,15 +149,6 @@ export function anyRunStepIncludes(root, needle) {
   return false
 }
 
-/**
- * Чи викликається stylelint у workflow через `npx stylelint` у кроці `run` (вимога для CI).
- * @param {Record<string, unknown>} root корінь workflow
- * @returns {boolean} `true`, якщо умова виконана
- */
-export function anyRunStepIncludesStylelint(root) {
-  return anyRunStepIncludes(root, 'npx stylelint')
-}
-
 /**
  * Повертає jobs як список пар [jobId, job], якщо структура валідна.
  * @param {Record<string, unknown>} root корінь workflow

package/scripts/lib/sync-gitignore-worktree.mjs

@@ -0,0 +1,28 @@
+/**
+ * Гарантує, що кореневий `.gitignore` проєкту ігнорує локальні git-worktree
+ * (`.worktrees/`). Викликається з дефолтного sync (`npx \@nitra/cursor`) окремим
+ * top-level кроком — поза `syncClaudeConfig`, бо `.worktrees/` — артефакт
+ * завжди-активного flow/worktree-tooling, а не Claude/Cursor-конфігу.
+ *
+ * Один запис `.worktrees/` покриває каталог worktree та всі sibling-файли в ньому
+ * (`<branch>.flow.json`, `.events.jsonl`, `<name>.md`, `.flow-lock-*`). Запис
+ * безумовний (без гейта за `.n-cursor.json`-правилами): продюсер артефактів —
+ * завжди-активний flow, тож гейт міг би розсинхронитися з ним.
+ *
+ * Делегує наявній idempotent+append-only утиліті `ensureGitignoreEntries` (header-
+ * секція, не перезаписує/не видаляє наявні рядки; створює `.gitignore`, якщо нема).
+ */
+import { ensureGitignoreEntries } from '../utils/ensure-gitignore-entries.mjs'
+
+/** Header-секція для керованого запису у `.gitignore`. */
+const WORKTREE_SECTION_LABEL = '@nitra/cursor — локальні git-worktree, не коміти'
+
+/**
+ * Дописує `.worktrees/` у кореневий `.gitignore`, якщо рядка ще немає.
+ * @param {string} projectRoot корінь проєкту-споживача (де `.gitignore`)
+ * @returns {Promise<{ written: boolean }>} чи був дописаний рядок
+ */
+export async function syncGitignoreWorktree(projectRoot) {
+  const { added } = await ensureGitignoreEntries(projectRoot, ['.worktrees/'], WORKTREE_SECTION_LABEL)
+  return { written: added.length > 0 }
+}

package/scripts/lib/worktree-notice.mjs

@@ -75,8 +75,7 @@ const CYRILLIC_TRANSLIT = new Map(
  * @returns {string} транслітерований текст
  */
 function transliterate(value) {
-  return [...value.toLowerCase()]
-    .map((char) => CYRILLIC_TRANSLIT.get(char) ?? char)
+  return Array.from(value.toLowerCase(), (char) => CYRILLIC_TRANSLIT.get(char) ?? char)
     .join("");
 }
 
@@ -92,9 +91,9 @@ function deriveSuffix(content) {
     .trim()
     .replace(/^n-/u, "")
     .normalize("NFKD")
-    .replace(/[\u0300-\u036f]/gu, "")
-    .replace(/[^a-z0-9]+/gu, "-")
-    .replace(/^-+|-+$/gu, "");
+    .replaceAll(/[\u0300-\u036F]/gu, "")
+    .replaceAll(/[^a-z0-9]+/gu, "-")
+    .replaceAll(/^-+|-+$/gu, "");
 
   return (
     (slug || FALLBACK_SUFFIX).slice(0, 10).replace(/-+$/u, "") ||

package/scripts/lib/worktree.mjs

@@ -27,7 +27,7 @@ export function sanitizeBranch(branch) {
   const sanitized = branch
     .trim()
     .replace(UNSAFE_PATH_CHARS_RE, '-')
-    .replace(/^-+|-+$/gu, '')
+    .replaceAll(/^-+|-+$/gu, '')
   if (sanitized === '') {
     throw new Error(`worktree: імʼя гілки "${branch}" не містить допустимих символів`)
   }