Marketplace va plaginlar/Marketplace ko‘rik siyosati va chek-list
Marketplace ko‘rik siyosati va chek-list
v1.0.x · yangilandi 2026-07-19
Shaxsiy kabinet orqali yuborilgan har bir
community-plagin nashr etilishidan oldin ko‘rikdan o‘tadi. Ushbu sahifa — ommaviy
chek-list, ko‘rik ishlatadigan aynan o‘sha mezonlar — shuning uchun siz barcha
talablarni yuborishdan oldin bajara olasiz.
Ko‘rik ikki bosqichdan iborat: ushbu chek-list bo‘yicha avtomatik tekshiruv,
so‘ng yakuniy qarorni qabul qiladigan inson-moderator. Moderatorning tasdig‘isiz
hech narsa nashr etilmaydi va avtomatika hech qachon o‘zi tasdiqlamaydi.
Hukm qanday chiqariladi
Har bir mezon qisqa sabab bilan pass / warn / fail deb baholanadi (moderator
uchun esa aniq dalil bilan).
Xavfsizlik hard-fail’i (A bo‘limining istalgan bandi) ⇒ avtomatik rad etish.
Siz sabablarni olasiz va tuzatib qayta yubora olasiz.
Ogohlantirishlar yoki mayda muammolar ⇒ ariza inson uchun belgilanadi, u
ularni tarozida o‘lchab qaror qiladi.
Barchasi pass ⇒ ariza baribir insonga boradi, u yakuniy nashr qarorini
qabul qiladi.
[!IMPORTANT]
Avtomatik ko‘rik plaginni hech qachon o‘zi nashr qilmaydi. Yakuniy qaror har
doim inson-moderatorniki bo‘ladi va usiz hech narsa katalogga tushmaydi.
A. Xavfsizlik — bu yerdagi fail avtomatik rad etadi
Bular qat’iy talablar. Har qanday o‘tmaslik arizani avtomatik rad etadi.
A1 — Hech qanday qotirib qo‘yilgan sirlar. Artefakt yoki metama’lumotlarning
hech qayerida API-kalitlar, tokenlar, parollar yoki maxfiy kalitlar bo‘lmasin.
Hisob ma’lumotlarini
capability-manifestda
nomi bo‘yicha e’lon qiling; qiymatlarni foydalanuvchi o‘rnatish paytida kiritadi.
A2 — Hech qanday zararli kod. Na reverse-shell, na masofaviy kod bajarish, na
mayner, na ransomware yoki shunga o‘xshash naqshlar.
A3 — Hech qanday ma’lumot eksfiltratsiyasi. Foydalanuvchi ma’lumotlari, hisob
ma’lumotlari yoki xotirani e’lon qilinmagan xostlarga yuborish mumkin emas. Plagin
murojaat qiladigan har bir xost manifestning network maydonida bo‘lishi shart.
A4 — E’lon qilingan imkoniyatlardan tashqari operatsiyalar yo‘q. Plaginning
o‘z katalogidan tashqarida fayl tizimiga kirish yo‘q, exec e’lon qilinmagan
bo‘lsa jarayon ishga tushirish yo‘q, imtiyozlarni oshirish yo‘q, xost sirlarini
(env, ssh-kalitlar, tizim fayllari) o‘qish yo‘q.
A5 — Hech qanday obfuskatsiya. Xatti-harakatni yashiradigan paketlangan,
yashirish uchun minifikatsiyalangan yoki boshqacha obfuskatsiya qilingan kod yo‘q.
A6 — Toza bog‘liqliklar. Ma’lum zararli yoki ma’lum zaifliklarga ega paketlar
yo‘q; bog‘liqliklar pin qilingan.
A7 — E’lon qilingan imkoniyatlar kodga mos keladi. Capability-manifest kod
aslida qiladigan narsani aks ettirishi kerak — e’lon qilinmagan tarmoq, fayl
tizimi, exec, kanal yoki hisob ma’lumoti ishlatilishi yo‘q. Bu — eng muhim
to‘g‘rilik tekshiruvi.
A8 — O‘z sirtini xavfsiz boshqarish. Plaginning o‘z kodida command-injection,
SQL-injection yoki path-traversal yo‘q.
B. To‘g‘rilik
B1 — To‘g‘ri manifest.manifest.jsonda majburiy maydonlar, to‘g‘ri slug,
semver version va ishlaydigan kirish nuqtasi bor.
B2 — U yuklanadi. Plagin toza ishga tushadi.
B3 — To‘g‘ri shakllangan, minimal imkoniyatlar. Capability-manifest parslanadi
va kerak bo‘lgan minimumni e’lon qiladi — ortiqcha hech narsa emas.
B4 — Yangi yoki oshirilgan versiya.version avval yuborilgan har qanday
versiyadan yuqori.
B5 — Slug to‘qnashuvi yo‘q. Slug band qilingan yoki birinchi tomon nomi bilan
to‘qnashmaydi.
C. To‘liqlik — do‘kon sahifasi bilan paritet
C1 — Nomlar va tavsiflar RU + EN’da. Nom, qisqa va to‘liq tavsif ikki tilda,
barchasi mazmunli (zaglushkalarsiz).
C2 — Kategoriya. Ruxsat etilgan to‘plamdan bitta kategoriya.
C3 — Ikonka + kamida bitta skrinshot. To‘g‘ri tasvirlar.
C4 — Versiya + changelog. Versiya va insonlar o‘qiy oladigan changelog
eslatmalari.
C5 — Muallif identifikatsiyasi. Aniqlanadigan yuboruvchi.
C6 — Litsenziya. Ruxsat etilgan to‘plamdagi litsenziya.
C7 — To‘g‘ri havolalar. Sayt/repozitoriy, agar berilgan bo‘lsa, to‘g‘ri
https:// URL. Donat havolasi, agar berilgan bo‘lsa, taniqli donat-xostga
to‘g‘ri https:// havola bo‘lishi kerak (masalan Boosty, Patreon, PayPal, YooMoney)
— ixtiyoriy yoki fishing xostlar rad etiladi.
C8 — Insonlar o‘qiy oladigan ruxsatlar. Capability-manifestning description
maydoni plaginga nima va nima uchun kerakligini sodda tilda tushuntiradi.
D. Siyosat, huquq va kontent
D1 — Hech qanday taqiqlangan kontent. Qonunga xilof, zararli yoki platforma
siyosatiga zid hech narsa yo‘q.
D2 — O‘zini boshqa deb ko‘rsatish yo‘q. Savdo belgisidan suiiste’mol qilish
yoki o‘zini boshqa brend yoxud AiHummer jamoasi deb ko‘rsatish yo‘q.
D3 — Chalg‘ituvchi da’volar yo‘q. Plagin aytilgan ishni bajaradi.
D4 — Bog‘lanishli lokalizatsiya. RU va EN matni haqiqiy va bog‘lanishli,
mashina bo‘tqasi emas.
D5 — Spam emas. Bo‘sh, dublikat yoki spam emas.
Nima avtomatik rad etiladi va nimani inson hal qiladi
Natija
Trigger
Avtomatik rad
A bo‘limidagi har qanday xavfsizlik hard-fail’i.
Belgilangan → inson
B/C/D dagi ogohlantirishlar yoki mayda muammolar (zaif tavsif, chegaraviy kategoriya, manifestga mayda e’tiroz).
Inson hal qiladi
Avtomatikadan o‘tgan har bir ariza baribir nashr uchun moderatorning aniq tasdig‘iga muhtoj.
Donat-xostlar ruxsat ro‘yxati
Donat havolasi ixtiyoriy va har doim tashqi — marketplace hech qachon pul
bilan ishlamaydi. Agar uni qo‘shsangiz, u https:// orqali tan olingan donat
platformasiga ishora qilishi kerak (masalan Boosty, Patreon, PayPal yoki YooMoney).
Noma’lum xostlarga, qisqartiruvchilarga yoki fishingga o‘xshash har qanday narsaga
havolalar rad etiladi. Community-plaginlar bepul; donat havolasi — minnatdor
foydalanuvchilar sizni qo‘llab-quvvatlashi uchungina.
[Shaxsiy kabinet](/uz/v1.0/marketplace/submit-plugin) orqali yuborilgan har bir
community-plagin nashr etilishidan oldin ko‘rikdan o‘tadi. Ushbu sahifa — **ommaviy
chek-list**, ko‘rik ishlatadigan aynan o‘sha mezonlar — shuning uchun siz barcha
talablarni yuborishdan **oldin** bajara olasiz.
Ko‘rik ikki bosqichdan iborat: ushbu chek-list bo‘yicha **avtomatik tekshiruv**,
so‘ng yakuniy qarorni qabul qiladigan **inson-moderator**. Moderatorning tasdig‘isiz
hech narsa nashr etilmaydi va avtomatika hech qachon o‘zi tasdiqlamaydi.
## Hukm qanday chiqariladi
- Har bir mezon qisqa sabab bilan **pass / warn / fail** deb baholanadi (moderator
uchun esa aniq dalil bilan).
- **Xavfsizlik hard-fail’i** (A bo‘limining istalgan bandi) ⇒ **avtomatik rad etish**.
Siz sabablarni olasiz va tuzatib qayta yubora olasiz.
- **Ogohlantirishlar yoki mayda muammolar** ⇒ ariza **inson uchun belgilanadi**, u
ularni tarozida o‘lchab qaror qiladi.
- **Barchasi pass** ⇒ ariza baribir **inson**ga boradi, u yakuniy nashr qarorini
qabul qiladi.
> [!IMPORTANT]
> Avtomatik ko‘rik plaginni **hech qachon** o‘zi nashr qilmaydi. Yakuniy qaror har
> doim inson-moderatorniki bo‘ladi va usiz hech narsa katalogga tushmaydi.
## A. Xavfsizlik — bu yerdagi fail avtomatik rad etadi
Bular qat’iy talablar. Har qanday o‘tmaslik arizani avtomatik rad etadi.
- **A1 — Hech qanday qotirib qo‘yilgan sirlar.** Artefakt yoki metama’lumotlarning
hech qayerida API-kalitlar, tokenlar, parollar yoki maxfiy kalitlar bo‘lmasin.
Hisob ma’lumotlarini
[capability-manifest](/uz/v1.0/marketplace/submit-plugin#step-3--declare-the-capability-manifest)da
**nomi bo‘yicha** e’lon qiling; qiymatlarni foydalanuvchi o‘rnatish paytida kiritadi.
- **A2 — Hech qanday zararli kod.** Na reverse-shell, na masofaviy kod bajarish, na
mayner, na ransomware yoki shunga o‘xshash naqshlar.
- **A3 — Hech qanday ma’lumot eksfiltratsiyasi.** Foydalanuvchi ma’lumotlari, hisob
ma’lumotlari yoki xotirani e’lon qilinmagan xostlarga yuborish mumkin emas. Plagin
murojaat qiladigan har bir xost manifestning `network` maydonida bo‘lishi shart.
- **A4 — E’lon qilingan imkoniyatlardan tashqari operatsiyalar yo‘q.** Plaginning
o‘z katalogidan tashqarida fayl tizimiga kirish yo‘q, `exec` e’lon qilinmagan
bo‘lsa jarayon ishga tushirish yo‘q, imtiyozlarni oshirish yo‘q, xost sirlarini
(env, ssh-kalitlar, tizim fayllari) o‘qish yo‘q.
- **A5 — Hech qanday obfuskatsiya.** Xatti-harakatni yashiradigan paketlangan,
yashirish uchun minifikatsiyalangan yoki boshqacha obfuskatsiya qilingan kod yo‘q.
- **A6 — Toza bog‘liqliklar.** Ma’lum zararli yoki ma’lum zaifliklarga ega paketlar
yo‘q; bog‘liqliklar pin qilingan.
- **A7 — E’lon qilingan imkoniyatlar kodga mos keladi.** Capability-manifest kod
aslida qiladigan narsani aks ettirishi kerak — e’lon qilinmagan tarmoq, fayl
tizimi, exec, kanal yoki hisob ma’lumoti ishlatilishi yo‘q. Bu — eng muhim
to‘g‘rilik tekshiruvi.
- **A8 — O‘z sirtini xavfsiz boshqarish.** Plaginning o‘z kodida command-injection,
SQL-injection yoki path-traversal yo‘q.
## B. To‘g‘rilik
- **B1 — To‘g‘ri manifest.** `manifest.json`da majburiy maydonlar, to‘g‘ri slug,
semver `version` va ishlaydigan kirish nuqtasi bor.
- **B2 — U yuklanadi.** Plagin toza ishga tushadi.
- **B3 — To‘g‘ri shakllangan, minimal imkoniyatlar.** Capability-manifest parslanadi
va kerak bo‘lgan **minimum**ni e’lon qiladi — ortiqcha hech narsa emas.
- **B4 — Yangi yoki oshirilgan versiya.** `version` avval yuborilgan har qanday
versiyadan yuqori.
- **B5 — Slug to‘qnashuvi yo‘q.** Slug band qilingan yoki birinchi tomon nomi bilan
to‘qnashmaydi.
## C. To‘liqlik — do‘kon sahifasi bilan paritet
- **C1 — Nomlar va tavsiflar RU + EN’da.** Nom, qisqa va to‘liq tavsif ikki tilda,
barchasi mazmunli (zaglushkalarsiz).
- **C2 — Kategoriya.** Ruxsat etilgan to‘plamdan bitta kategoriya.
- **C3 — Ikonka + kamida bitta skrinshot.** To‘g‘ri tasvirlar.
- **C4 — Versiya + changelog.** Versiya va insonlar o‘qiy oladigan changelog
eslatmalari.
- **C5 — Muallif identifikatsiyasi.** Aniqlanadigan yuboruvchi.
- **C6 — Litsenziya.** Ruxsat etilgan to‘plamdagi litsenziya.
- **C7 — To‘g‘ri havolalar.** Sayt/repozitoriy, agar berilgan bo‘lsa, to‘g‘ri
`https://` URL. **Donat havolasi**, agar berilgan bo‘lsa, **taniqli donat-xost**ga
to‘g‘ri `https://` havola bo‘lishi kerak (masalan Boosty, Patreon, PayPal, YooMoney)
— ixtiyoriy yoki fishing xostlar rad etiladi.
- **C8 — Insonlar o‘qiy oladigan ruxsatlar.** Capability-manifestning `description`
maydoni plaginga nima va nima uchun kerakligini sodda tilda tushuntiradi.
## D. Siyosat, huquq va kontent
- **D1 — Hech qanday taqiqlangan kontent.** Qonunga xilof, zararli yoki platforma
siyosatiga zid hech narsa yo‘q.
- **D2 — O‘zini boshqa deb ko‘rsatish yo‘q.** Savdo belgisidan suiiste’mol qilish
yoki o‘zini boshqa brend yoxud AiHummer jamoasi deb ko‘rsatish yo‘q.
- **D3 — Chalg‘ituvchi da’volar yo‘q.** Plagin aytilgan ishni bajaradi.
- **D4 — Bog‘lanishli lokalizatsiya.** RU va EN matni haqiqiy va bog‘lanishli,
mashina bo‘tqasi emas.
- **D5 — Spam emas.** Bo‘sh, dublikat yoki spam emas.
## Nima avtomatik rad etiladi va nimani inson hal qiladi
| Natija | Trigger |
|---|---|
| **Avtomatik rad** | **A bo‘limi**dagi har qanday xavfsizlik hard-fail’i. |
| **Belgilangan → inson** | B/C/D dagi ogohlantirishlar yoki mayda muammolar (zaif tavsif, chegaraviy kategoriya, manifestga mayda e’tiroz). |
| **Inson hal qiladi** | Avtomatikadan o‘tgan har bir ariza baribir nashr uchun moderatorning aniq tasdig‘iga muhtoj. |
## Donat-xostlar ruxsat ro‘yxati
Donat havolasi **ixtiyoriy** va har doim **tashqi** — marketplace hech qachon pul
bilan ishlamaydi. Agar uni qo‘shsangiz, u `https://` orqali **tan olingan donat
platformasi**ga ishora qilishi kerak (masalan Boosty, Patreon, PayPal yoki YooMoney).
Noma’lum xostlarga, qisqartiruvchilarga yoki fishingga o‘xshash har qanday narsaga
havolalar rad etiladi. Community-plaginlar **bepul**; donat havolasi — minnatdor
foydalanuvchilar sizni qo‘llab-quvvatlashi uchungina.
## Keyin qayerga
- [Plaginni yuborish](/uz/v1.0/marketplace/submit-plugin) — yuborishning
bosqichma-bosqich tahlili.
- [Plagin SDK](/uz/v1.0/marketplace/sdk) — plaginni va uning `manifest.json`’ini
qurish.
- [Marketplace umumiy ko‘rinishi va darajalari](/uz/v1.0/marketplace/overview-tiers) —
rasmiy va community kataloglar qanday farq qiladi.