Marketplace və plaginlər/Marketplace yoxlama siyasəti və çeklist
Marketplace yoxlama siyasəti və çeklist
v1.0.x · yeniləndi 2026-07-19
Şəxsi kabinet vasitəsilə təqdim edilən hər
community-plagin nəşr edilə bilməzdən əvvəl yoxlamadan keçir. Bu səhifə ictimai
çeklistdir — yoxlamanın istifadə etdiyi eyni meyarlar — beləliklə siz təqdim
etməzdən əvvəl hər tələbi ödəyə bilərsiniz.
Yoxlama iki mərhələdən ibarətdir: bu çeklistə görə avtomatik yoxlama, sonra
isə yekun qərar verən insan moderator. Moderatorun təsdiqi olmadan heç nə
nəşr edilmir və avtomatika heç vaxt öz-özünə təsdiq etmir.
Hökm necə çıxarılır
Hər meyar qısa bir səbəblə (moderator üçünsə dəqiq sübutla) pass / warn /
fail kimi qiymətləndirilir.
Təhlükəsizlik hard-fail-i (A bölməsindəki istənilən bənd) ⇒ avtomatik
rədd. Səbəbləri alır, düzəldib yenidən göndərə bilərsiniz.
Xəbərdarlıqlar və ya kiçik məsələlər ⇒ təqdimat insan üçün işarələnir,
o da onları çəkib-ölçüb qərar verir.
Hər şey pass ⇒ yenə də yekun nəşr qərarını verən insana gedir.
[!IMPORTANT]
Avtomatik yoxlama plagini heç vaxt nəşr etmir. Yekun qərarı həmişə insan
moderator verir və onsuz heç nə kataloqa çatmır.
A. Təhlükəsizlik — burada fail avtomatik rədd deməkdir
Bunlar sərt tələblərdir. İstənilən uğursuzluq təqdimatı avtomatik rədd edir.
A1 — Heç bir hardcoded secret. Artefaktda və ya metadatada heç bir yerdə
API açarları, tokenlər, parollar və ya şəxsi açarlar olmamalıdır. Etibarnamələri
capability-manifestdəadına görə bəyan edin; dəyərləri müştəri quraşdırma zamanı verir.
A2 — Heç bir zərərli kod. Nə reverse shell, nə uzaqdan kod icrası, nə
maynerlər, nə ransomware və ya bənzəri paternlər.
A3 — Heç bir data eksfiltrasiyası. İstifadəçi datasını, etibarnamələri və
ya yaddaşı bəyan edilməmiş hostlara göndərmək qadağandır. Plaginin əlaqə
saxladığı hər host manifestin network-ində sadalanmalıdır.
A4 — Bəyan edilmiş qabiliyyətlərdən kənar heç bir əməliyyat. Plaginin öz
qovluğundan kənarda fayl sistemə giriş yoxdur, exec bəyan edilmədən proses
işə salmaq yoxdur, imtiyaz yüksəltmə yoxdur, host secret-lərinin (env,
ssh açarları, sistem faylları) oxunması yoxdur.
A5 — Heç bir obfuskasiya. Davranışı gizlədən paketlənmiş, gizlətmək üçün
minifikasiya edilmiş və ya başqa cür obfuskasiya edilmiş kod yoxdur.
A6 — Təmiz asılılıqlar. Məlum zərərli və ya məlum zəiflikli paketlər yoxdur;
asılılıqlar sabitlənmişdir (pinned).
A7 — Bəyan edilmiş qabiliyyətlər kodla uyğun gəlir. Capability-manifest
kodun əslində etdiyini əks etdirməlidir — bəyan edilməmiş şəbəkə, fayl sistemi,
exec, kanal və ya etibarnamə istifadəsi olmamalıdır. Bu, ən vacib düzgünlük
yoxlamasıdır.
A8 — Öz səthinin təhlükəsiz idarəsi. Plaginin öz kodunda command-injection,
SQL-injection və ya path-traversal yoxdur.
B. Düzgünlük
B1 — Etibarlı manifest.manifest.json-da tələb olunan sahələr, etibarlı
slug, semver version və işlək bir giriş nöqtəsi var.
B2 — Yüklənir. Plagin təmiz şəkildə işə düşür (initialize).
B3 — Düzgün formalaşmış, minimal qabiliyyətlər. Capability-manifest parse
olunur və ona lazım olan minimumu bəyan edir — artıq heç nə yoxdur.
B4 — Yeni və ya artırılmış versiya.version əvvəl təqdim edilmiş istənilən
versiyadan yuxarıdır.
B5 — Slug toqquşması yoxdur. Slug rezervasiya edilmiş və ya birinci tərəf
adı ilə toqquşmur.
C. Tamlıq — mağaza səhifəsi ilə paritet
C1 — Adlar və təsvirlər RU + EN. Ad, qısa və tam təsvir hər iki dildə,
hamısı mənalı (doldurucu olmadan).
C2 — Kateqoriya. İcazə verilən dəstdən bir kateqoriya.
C3 — İkon + ən azı bir skrinşot. Etibarlı şəkillər.
C4 — Versiya + changelog. Versiya və insan tərəfindən oxunan changelog
qeydləri.
C5 — Müəllif kimliyi. Müəyyən edilə bilən təqdim edən şəxs.
C6 — Lisenziya. İcazə verilən dəstdən bir lisenziya.
C7 — Etibarlı linklər. Sayt/repozitoriya, verilibsə, etibarlı https://
URL-dir. İanə linki, verilibsə, tanınmış ianə hostuna (məsələn Boosty,
Patreon, PayPal, YooMoney) etibarlı https:// linki olmalıdır — ixtiyari və ya
fişinq hostları rədd edilir.
C8 — İnsan tərəfindən oxunan icazələr. Capability-manifestin description
sahəsi plaginə nəyin və nə üçün lazım olduğunu sadə dildə izah edir.
D. Siyasət, hüquq və kontent
D1 — Heç bir qadağan olunmuş kontent. Qanunsuz, zərərli və ya platforma
siyasətinə zidd heç nə.
D2 — Heç bir şəxsiyyət saxtakarlığı. Ticari nişanların sui-istifadəsi və ya
özünü başqa brend və ya AiHummer komandası kimi qələmə vermə yoxdur.
D3 — Heç bir yanıldıcı iddia. Plagin bəyan etdiyini edir.
D4 — Ardıcıl lokal dil. RU və EN mətn həqiqi və ardıcıldır, maşın xəngəli
deyil.
D5 — Spam deyil. Boş, dublikat və ya spam deyil.
Nə avtomatik rədd olunur, nəyi isə insan həll edir
Nəticə
Tetik
Avtomatik rədd
A bölməsindəki istənilən təhlükəsizlik hard-fail-i.
İşarələnir → insan
B/C/D-də xəbərdarlıqlar və ya kiçik məsələlər (zəif təsvir, sərhəd kateqoriya, manifestə kiçik irad).
İnsan həll edir
Avtomatikadan keçən hər təqdimat nəşr üçün yenə də moderatorun açıq təsdiqinə ehtiyac duyur.
İanə hostları allowlist-i
İanə linki istəyə bağlıdır və həmişə xaricidir — marketplace heç vaxt
pulla məşğul olmur. Əgər əlavə edirsinizsə, o, https:// üzərindən tanınmış
ianə platformasına (məsələn Boosty, Patreon, PayPal və ya YooMoney) işarə
etməlidir. Naməlum hostlara, qısaldıcılara və ya fişinqə bənzəyən istənilən şeyə
olan linklər rədd edilir. Community-plaginlər pulsuzdur; ianə linki sadəcə
minnətdar istifadəçilərin sizi dəstəkləmə üsuludur.
[Şəxsi kabinet](/az/v1.0/marketplace/submit-plugin) vasitəsilə təqdim edilən hər
community-plagin nəşr edilə bilməzdən əvvəl yoxlamadan keçir. Bu səhifə **ictimai
çeklistdir** — yoxlamanın istifadə etdiyi eyni meyarlar — beləliklə siz təqdim
etməzdən **əvvəl** hər tələbi ödəyə bilərsiniz.
Yoxlama iki mərhələdən ibarətdir: bu çeklistə görə **avtomatik yoxlama**, sonra
isə yekun qərar verən **insan moderator**. Moderatorun təsdiqi olmadan heç nə
nəşr edilmir və avtomatika heç vaxt öz-özünə təsdiq etmir.
## Hökm necə çıxarılır
- Hər meyar qısa bir səbəblə (moderator üçünsə dəqiq sübutla) **pass / warn /
fail** kimi qiymətləndirilir.
- **Təhlükəsizlik hard-fail-i** (A bölməsindəki istənilən bənd) ⇒ **avtomatik
rədd**. Səbəbləri alır, düzəldib yenidən göndərə bilərsiniz.
- **Xəbərdarlıqlar və ya kiçik məsələlər** ⇒ təqdimat **insan üçün işarələnir**,
o da onları çəkib-ölçüb qərar verir.
- **Hər şey pass** ⇒ yenə də yekun nəşr qərarını verən **insana** gedir.
> [!IMPORTANT]
> Avtomatik yoxlama plagini **heç vaxt** nəşr etmir. Yekun qərarı həmişə insan
> moderator verir və onsuz heç nə kataloqa çatmır.
## A. Təhlükəsizlik — burada fail avtomatik rədd deməkdir
Bunlar sərt tələblərdir. İstənilən uğursuzluq təqdimatı avtomatik rədd edir.
- **A1 — Heç bir hardcoded secret.** Artefaktda və ya metadatada heç bir yerdə
API açarları, tokenlər, parollar və ya şəxsi açarlar olmamalıdır. Etibarnamələri
[capability-manifestdə](/az/v1.0/marketplace/submit-plugin#step-3--declare-the-capability-manifest)
**adına görə** bəyan edin; dəyərləri müştəri quraşdırma zamanı verir.
- **A2 — Heç bir zərərli kod.** Nə reverse shell, nə uzaqdan kod icrası, nə
maynerlər, nə ransomware və ya bənzəri paternlər.
- **A3 — Heç bir data eksfiltrasiyası.** İstifadəçi datasını, etibarnamələri və
ya yaddaşı bəyan edilməmiş hostlara göndərmək qadağandır. Plaginin əlaqə
saxladığı hər host manifestin `network`-ində sadalanmalıdır.
- **A4 — Bəyan edilmiş qabiliyyətlərdən kənar heç bir əməliyyat.** Plaginin öz
qovluğundan kənarda fayl sistemə giriş yoxdur, `exec` bəyan edilmədən proses
işə salmaq yoxdur, imtiyaz yüksəltmə yoxdur, host secret-lərinin (env,
ssh açarları, sistem faylları) oxunması yoxdur.
- **A5 — Heç bir obfuskasiya.** Davranışı gizlədən paketlənmiş, gizlətmək üçün
minifikasiya edilmiş və ya başqa cür obfuskasiya edilmiş kod yoxdur.
- **A6 — Təmiz asılılıqlar.** Məlum zərərli və ya məlum zəiflikli paketlər yoxdur;
asılılıqlar sabitlənmişdir (pinned).
- **A7 — Bəyan edilmiş qabiliyyətlər kodla uyğun gəlir.** Capability-manifest
kodun əslində etdiyini əks etdirməlidir — bəyan edilməmiş şəbəkə, fayl sistemi,
exec, kanal və ya etibarnamə istifadəsi olmamalıdır. Bu, ən vacib düzgünlük
yoxlamasıdır.
- **A8 — Öz səthinin təhlükəsiz idarəsi.** Plaginin öz kodunda command-injection,
SQL-injection və ya path-traversal yoxdur.
## B. Düzgünlük
- **B1 — Etibarlı manifest.** `manifest.json`-da tələb olunan sahələr, etibarlı
slug, semver `version` və işlək bir giriş nöqtəsi var.
- **B2 — Yüklənir.** Plagin təmiz şəkildə işə düşür (initialize).
- **B3 — Düzgün formalaşmış, minimal qabiliyyətlər.** Capability-manifest parse
olunur və ona lazım olan **minimumu** bəyan edir — artıq heç nə yoxdur.
- **B4 — Yeni və ya artırılmış versiya.** `version` əvvəl təqdim edilmiş istənilən
versiyadan yuxarıdır.
- **B5 — Slug toqquşması yoxdur.** Slug rezervasiya edilmiş və ya birinci tərəf
adı ilə toqquşmur.
## C. Tamlıq — mağaza səhifəsi ilə paritet
- **C1 — Adlar və təsvirlər RU + EN.** Ad, qısa və tam təsvir hər iki dildə,
hamısı mənalı (doldurucu olmadan).
- **C2 — Kateqoriya.** İcazə verilən dəstdən bir kateqoriya.
- **C3 — İkon + ən azı bir skrinşot.** Etibarlı şəkillər.
- **C4 — Versiya + changelog.** Versiya və insan tərəfindən oxunan changelog
qeydləri.
- **C5 — Müəllif kimliyi.** Müəyyən edilə bilən təqdim edən şəxs.
- **C6 — Lisenziya.** İcazə verilən dəstdən bir lisenziya.
- **C7 — Etibarlı linklər.** Sayt/repozitoriya, verilibsə, etibarlı `https://`
URL-dir. **İanə linki**, verilibsə, **tanınmış ianə hostuna** (məsələn Boosty,
Patreon, PayPal, YooMoney) etibarlı `https://` linki olmalıdır — ixtiyari və ya
fişinq hostları rədd edilir.
- **C8 — İnsan tərəfindən oxunan icazələr.** Capability-manifestin `description`
sahəsi plaginə nəyin və nə üçün lazım olduğunu sadə dildə izah edir.
## D. Siyasət, hüquq və kontent
- **D1 — Heç bir qadağan olunmuş kontent.** Qanunsuz, zərərli və ya platforma
siyasətinə zidd heç nə.
- **D2 — Heç bir şəxsiyyət saxtakarlığı.** Ticari nişanların sui-istifadəsi və ya
özünü başqa brend və ya AiHummer komandası kimi qələmə vermə yoxdur.
- **D3 — Heç bir yanıldıcı iddia.** Plagin bəyan etdiyini edir.
- **D4 — Ardıcıl lokal dil.** RU və EN mətn həqiqi və ardıcıldır, maşın xəngəli
deyil.
- **D5 — Spam deyil.** Boş, dublikat və ya spam deyil.
## Nə avtomatik rədd olunur, nəyi isə insan həll edir
| Nəticə | Tetik |
|---|---|
| **Avtomatik rədd** | **A bölməsindəki** istənilən təhlükəsizlik hard-fail-i. |
| **İşarələnir → insan** | B/C/D-də xəbərdarlıqlar və ya kiçik məsələlər (zəif təsvir, sərhəd kateqoriya, manifestə kiçik irad). |
| **İnsan həll edir** | Avtomatikadan keçən hər təqdimat nəşr üçün yenə də moderatorun açıq təsdiqinə ehtiyac duyur. |
## İanə hostları allowlist-i
İanə linki **istəyə bağlıdır** və həmişə **xaricidir** — marketplace heç vaxt
pulla məşğul olmur. Əgər əlavə edirsinizsə, o, `https://` üzərindən **tanınmış
ianə platformasına** (məsələn Boosty, Patreon, PayPal və ya YooMoney) işarə
etməlidir. Naməlum hostlara, qısaldıcılara və ya fişinqə bənzəyən istənilən şeyə
olan linklər rədd edilir. Community-plaginlər **pulsuzdur**; ianə linki sadəcə
minnətdar istifadəçilərin sizi dəstəkləmə üsuludur.
## Sonra haraya
- [Plagini təqdim edin](/az/v1.0/marketplace/submit-plugin) — addım-addım təqdim
bələdçisi.
- [Plagin SDK](/az/v1.0/marketplace/sdk) — plagini və onun `manifest.json`-unu
qurun.
- [Marketplace icmalı və səviyyələri](/az/v1.0/marketplace/overview-tiers) — rəsmi
və community kataloqlarının necə fərqləndiyi.