Marketplace և փլագիններ/Մարկետփլեյսի ստուգման քաղաքականություն և չեկ-լիստ
Մարկետփլեյսի ստուգման քաղաքականություն և չեկ-լիստ
v1.0.x · թարմացվել է 2026-07-19
Ամեն community-փլագին, որ ուղարկվել է
անձնական կաբինետի միջոցով, ստուգում է անցնում
հրապարակումից առաջ: Այս էջը հրապարակային չեկ-լիստն է — նույն չափանիշները, ինչ
օգտագործում է ստուգումը, — որպեսզի դուք կարողանաք բավարարել բոլոր պահանջները
նախքան ուղարկելը:
Ստուգումը երկու փուլով է. ավտոմատ ստուգում ըստ այս չեկ-լիստի, ապա
մարդ-մոդերատոր, ով կայացնում է վերջնական որոշումը: Ոչինչ չի հրապարակվում առանց
մոդերատորի հաստատման, և ավտոմատիկան երբեք ինքնուրույն չի հաստատում:
Ինչպես է կայացվում վճիռը
Ամեն չափանիշ գնահատվում է որպես pass / warn / fail՝ կարճ պատճառով (իսկ
մոդերատորի համար՝ ճշգրիտ ապացույցով):
Անվտանգության hard-fail (A բաժնի ցանկացած կետ) ⇒ ավտոմատ մերժում: Դուք
ստանում եք պատճառները և կարող եք ուղղել ու կրկին ուղարկել:
Զգուշացումներ կամ մանր դիտողություններ ⇒ հայտը նշվում է մարդու համար, ով
կշռադատում է դրանք և որոշում:
Ամեն ինչ pass ⇒ հայտը միևնույն է գնում է մարդու մոտ, ով կայացնում է
հրապարակման վերջնական որոշումը:
[!IMPORTANT]
Ավտոմատ ստուգումը երբեք չի հրապարակում փլագին: Վերջնական որոշումը միշտ
մարդ-մոդերատորինն է, և ոչինչ չի հասնում կատալոգ առանց նրա:
A. Անվտանգություն — ֆեյլ այստեղ = ավտո-մերժում
Սրանք կոշտ պահանջներ են: Ցանկացած ձախողում ավտոմատ մերժում է հայտը:
A1 — Ոչ մի hardcoded գաղտնիք: Ոչ API-բանալիներ, ոչ թոքեններ, գաղտնաբառեր կամ
մասնավոր բանալիներ — ոչ մի տեղ արտեֆակտում կամ մետատվյալներում: Հայտարարեք
հասանելիությունները անունովcapability-մանիֆեստում.
արժեքներն օգտատերը մուտքագրում է տեղադրման պահին:
A2 — Ոչ մի վնասակար կոդ: Ոչ reverse-shell, ոչ հեռավոր կոդի կատարում, ոչ
մայներներ, ransomware կամ նմանատիպ նմուշներ:
A3 — Ոչ մի տվյալների արտահոսք: Չի կարելի ուղարկել օգտատիրոջ տվյալները,
հասանելիությունները կամ հիշողությունը չհայտարարված հոսթերին: Ամեն հոսթ, որին
դիմում է փլագինը, պետք է լինի մանիֆեստի network դաշտում:
A4 — Ոչ մի գործողություն հայտարարած իրավունքներից դուրս: Ոչ ֆայլային
համակարգի հասանելիություն սեփական դիրեկտորիայից դուրս, ոչ պրոցեսների գործարկում
առանց հայտարարած exec-ի, ոչ արտոնությունների բարձրացում, ոչ հոսթի գաղտնիքների
ընթերցում (env, ssh-բանալիներ, համակարգային ֆայլեր):
A5 — Ոչ մի օբֆուսկացիա: Ոչ փաթեթավորված, մինիֆիկացիայով թաքցված կամ այլ կերպ
օբֆուսկացված կոդ, որ թաքցնում է վարքը:
A6 — Մաքուր կախվածություններ: Ոչ հայտնի-վնասակար կամ հայտնի-խոցելի փաթեթներ.
կախվածությունները ֆիքսված:
A7 — Հայտարարած իրավունքները համընկնում են կոդի հետ: Capability-մանիֆեստը
պետք է արտացոլի այն, ինչ իրականում անում է կոդը — ոչ մի չհայտարարված ցանց,
ֆայլային համակարգ, exec, ալիք կամ հասանելիություն: Սա ճշտության ամենակարևոր
ստուգումն է:
A8 — Անվտանգ վերաբերմունք սեփական մակերևույթի հանդեպ: Ոչ command-injection,
SQL-injection կամ path-traversal հենց փլագինի կոդում:
B. Ճշտություն
B1 — Վավեր մանիֆեստ:manifest.json-ն ունի պարտադիր դաշտերը, վավեր slug,
semver ֆորմատի version և աշխատող մուտքի կետ:
B2 — Բեռնվում է: Փլագինը ճիշտ նախաստորագրվում է:
B3 — Ճիշտ ձևակերպված, նվազագույն իրավունքներ: Capability-մանիֆեստը վերծանվում
է և հայտարարում նվազագույն անհրաժեշտը — ոչ մի ավելորդ բան:
B4 — Նոր կամ մեծացված տարբերակ:version-ն ավելի բարձր է, քան նախկինում
ուղարկված ցանկացած տարբերակ:
B5 — Ոչ մի slug-ի կոլիզիա: Slug-ը չի համընկնում ամրագրված կամ առաջին կողմի
անվան հետ:
C. Ամբողջականություն — համապատասխանություն խանութի քարտին
C1 — Անուններ և նկարագրություններ RU + EN: Անուն, կարճ և ամբողջական
նկարագրություն երկու լեզվով, ամեն ինչ իմաստալից (առանց խցանների):
C2 — Կատեգորիա: Մեկ կատեգորիա թույլատրված հավաքածուից:
C3 — Պատկերակ + առնվազն մեկ սքրինշոթ: Վավեր պատկերներ:
C4 — Տարբերակ + changelog: Տարբերակ և մարդընթեռնելի changelog-ի նշումներ:
C5 — Հեղինակի ինքնություն: Որոշելի ուղարկող:
C6 — Լիցենզիա: Լիցենզիա թույլատրված հավաքածուից:
C7 — Վավեր հղումներ: Կայքը/պահոցը, եթե նշված է, — վավեր https:// URL: Դոնաթի
հղումը, եթե նշված է, պետք է լինի վավեր https:// հղում հայտնի դոնաթ-հոսթի
վրա (օրինակ Boosty, Patreon, PayPal, YooMoney) — կամայական կամ ֆիշինգային հոսթերը
մերժվում են:
C8 — Մարդընթեռնելի իրավունքներ: Capability-մանիֆեստի description դաշտը պարզ
լեզվով բացատրում է, թե ինչ և ինչու է պետք փլագինին:
D. Քաղաքականություն, իրավունք և բովանդակություն
D1 — Ոչ մի արգելված բովանդակություն: Ոչինչ անօրինական, վնասակար կամ
պլատֆորմի քաղաքականությանը հակասող:
D2 — Ոչ մի ինքնության կեղծում: Ոչ ապրանքային նշանների չարաշահում, ոչ այլ
բրենդի կամ AiHummer-ի թիմի ձևանալ:
D3 — Ոչ մի ապակողմնորոշող հայտարարություն: Փլագինն անում է այն, ինչ ասված է:
D4 — Համաձայնեցված լոկալիզացիա: RU և EN տեքստերն իրական են և կապակցված, ոչ
թե մեքենայական խառնաշփոթ:
D5 — Ոչ սպամ: Ոչ դատարկ, ոչ կրկնօրինակ և ոչ սպամ:
Ինչն է ավտո-մերժում, և ինչ է որոշում մարդը
Ելք
Հրահրիչ
Ավտո-մերժում
A բաժնի ցանկացած անվտանգության hard-fail:
Նշված → մարդ
Զգուշացումներ կամ մանր դիտողություններ B/C/D-ում (թույլ նկարագրություն, վիճելի կատեգորիա, մանիֆեստի մանր դիտողություն):
Որոշում է մարդը
Ավտոմատիկան անցած ցանկացած հայտ միևնույն է պահանջում մոդերատորի բացահայտ հաստատում՝ հրապարակվելու համար:
Դոնաթ-հոսթերի allowlist-ը
Դոնաթի հղումը ոչ պարտադիր է և միշտ արտաքին — մարկետփլեյսը երբեք գումար չի
մշակում: Եթե ավելացնում եք այն, այն պետք է տանի ճանաչված դոնաթ-պլատֆորմhttps://-ով (օրինակ Boosty, Patreon, PayPal կամ YooMoney): Անհայտ հոսթերին,
կրճատիչներին կամ ֆիշինգ հիշեցնող որևէ բանի հղումները մերժվում են: Community-փլագինները
անվճար են. դոնաթի հղումը պարզապես երախտապարտ օգտատերերի համար ձեզ աջակցելու միջոց է:
Ամեն community-փլագին, որ ուղարկվել է
[անձնական կաբինետի](/hy/v1.0/marketplace/submit-plugin) միջոցով, ստուգում է անցնում
հրապարակումից առաջ: Այս էջը **հրապարակային չեկ-լիստն է** — նույն չափանիշները, ինչ
օգտագործում է ստուգումը, — որպեսզի դուք կարողանաք բավարարել բոլոր պահանջները
**նախքան** ուղարկելը:
Ստուգումը երկու փուլով է. **ավտոմատ ստուգում** ըստ այս չեկ-լիստի, ապա
**մարդ-մոդերատոր**, ով կայացնում է վերջնական որոշումը: Ոչինչ չի հրապարակվում առանց
մոդերատորի հաստատման, և ավտոմատիկան երբեք ինքնուրույն չի հաստատում:
## Ինչպես է կայացվում վճիռը
- Ամեն չափանիշ գնահատվում է որպես **pass / warn / fail**՝ կարճ պատճառով (իսկ
մոդերատորի համար՝ ճշգրիտ ապացույցով):
- **Անվտանգության hard-fail** (A բաժնի ցանկացած կետ) ⇒ **ավտոմատ մերժում**: Դուք
ստանում եք պատճառները և կարող եք ուղղել ու կրկին ուղարկել:
- **Զգուշացումներ կամ մանր դիտողություններ** ⇒ հայտը **նշվում է մարդու համար**, ով
կշռադատում է դրանք և որոշում:
- **Ամեն ինչ pass** ⇒ հայտը միևնույն է գնում է **մարդու** մոտ, ով կայացնում է
հրապարակման վերջնական որոշումը:
> [!IMPORTANT]
> Ավտոմատ ստուգումը **երբեք** չի հրապարակում փլագին: Վերջնական որոշումը միշտ
> մարդ-մոդերատորինն է, և ոչինչ չի հասնում կատալոգ առանց նրա:
## A. Անվտանգություն — ֆեյլ այստեղ = ավտո-մերժում
Սրանք կոշտ պահանջներ են: Ցանկացած ձախողում ավտոմատ մերժում է հայտը:
- **A1 — Ոչ մի hardcoded գաղտնիք:** Ոչ API-բանալիներ, ոչ թոքեններ, գաղտնաբառեր կամ
մասնավոր բանալիներ — ոչ մի տեղ արտեֆակտում կամ մետատվյալներում: Հայտարարեք
հասանելիությունները **անունով**
[capability-մանիֆեստում](/hy/v1.0/marketplace/submit-plugin#step-3--declare-the-capability-manifest).
արժեքներն օգտատերը մուտքագրում է տեղադրման պահին:
- **A2 — Ոչ մի վնասակար կոդ:** Ոչ reverse-shell, ոչ հեռավոր կոդի կատարում, ոչ
մայներներ, ransomware կամ նմանատիպ նմուշներ:
- **A3 — Ոչ մի տվյալների արտահոսք:** Չի կարելի ուղարկել օգտատիրոջ տվյալները,
հասանելիությունները կամ հիշողությունը չհայտարարված հոսթերին: Ամեն հոսթ, որին
դիմում է փլագինը, պետք է լինի մանիֆեստի `network` դաշտում:
- **A4 — Ոչ մի գործողություն հայտարարած իրավունքներից դուրս:** Ոչ ֆայլային
համակարգի հասանելիություն սեփական դիրեկտորիայից դուրս, ոչ պրոցեսների գործարկում
առանց հայտարարած `exec`-ի, ոչ արտոնությունների բարձրացում, ոչ հոսթի գաղտնիքների
ընթերցում (env, ssh-բանալիներ, համակարգային ֆայլեր):
- **A5 — Ոչ մի օբֆուսկացիա:** Ոչ փաթեթավորված, մինիֆիկացիայով թաքցված կամ այլ կերպ
օբֆուսկացված կոդ, որ թաքցնում է վարքը:
- **A6 — Մաքուր կախվածություններ:** Ոչ հայտնի-վնասակար կամ հայտնի-խոցելի փաթեթներ.
կախվածությունները ֆիքսված:
- **A7 — Հայտարարած իրավունքները համընկնում են կոդի հետ:** Capability-մանիֆեստը
պետք է արտացոլի այն, ինչ իրականում անում է կոդը — ոչ մի չհայտարարված ցանց,
ֆայլային համակարգ, exec, ալիք կամ հասանելիություն: Սա ճշտության ամենակարևոր
ստուգումն է:
- **A8 — Անվտանգ վերաբերմունք սեփական մակերևույթի հանդեպ:** Ոչ command-injection,
SQL-injection կամ path-traversal հենց փլագինի կոդում:
## B. Ճշտություն
- **B1 — Վավեր մանիֆեստ:** `manifest.json`-ն ունի պարտադիր դաշտերը, վավեր slug,
semver ֆորմատի `version` և աշխատող մուտքի կետ:
- **B2 — Բեռնվում է:** Փլագինը ճիշտ նախաստորագրվում է:
- **B3 — Ճիշտ ձևակերպված, նվազագույն իրավունքներ:** Capability-մանիֆեստը վերծանվում
է և հայտարարում **նվազագույն** անհրաժեշտը — ոչ մի ավելորդ բան:
- **B4 — Նոր կամ մեծացված տարբերակ:** `version`-ն ավելի բարձր է, քան նախկինում
ուղարկված ցանկացած տարբերակ:
- **B5 — Ոչ մի slug-ի կոլիզիա:** Slug-ը չի համընկնում ամրագրված կամ առաջին կողմի
անվան հետ:
## C. Ամբողջականություն — համապատասխանություն խանութի քարտին
- **C1 — Անուններ և նկարագրություններ RU + EN:** Անուն, կարճ և ամբողջական
նկարագրություն երկու լեզվով, ամեն ինչ իմաստալից (առանց խցանների):
- **C2 — Կատեգորիա:** Մեկ կատեգորիա թույլատրված հավաքածուից:
- **C3 — Պատկերակ + առնվազն մեկ սքրինշոթ:** Վավեր պատկերներ:
- **C4 — Տարբերակ + changelog:** Տարբերակ և մարդընթեռնելի changelog-ի նշումներ:
- **C5 — Հեղինակի ինքնություն:** Որոշելի ուղարկող:
- **C6 — Լիցենզիա:** Լիցենզիա թույլատրված հավաքածուից:
- **C7 — Վավեր հղումներ:** Կայքը/պահոցը, եթե նշված է, — վավեր `https://` URL: **Դոնաթի
հղումը**, եթե նշված է, պետք է լինի վավեր `https://` հղում **հայտնի դոնաթ-հոսթի**
վրա (օրինակ Boosty, Patreon, PayPal, YooMoney) — կամայական կամ ֆիշինգային հոսթերը
մերժվում են:
- **C8 — Մարդընթեռնելի իրավունքներ:** Capability-մանիֆեստի `description` դաշտը պարզ
լեզվով բացատրում է, թե ինչ և ինչու է պետք փլագինին:
## D. Քաղաքականություն, իրավունք և բովանդակություն
- **D1 — Ոչ մի արգելված բովանդակություն:** Ոչինչ անօրինական, վնասակար կամ
պլատֆորմի քաղաքականությանը հակասող:
- **D2 — Ոչ մի ինքնության կեղծում:** Ոչ ապրանքային նշանների չարաշահում, ոչ այլ
բրենդի կամ AiHummer-ի թիմի ձևանալ:
- **D3 — Ոչ մի ապակողմնորոշող հայտարարություն:** Փլագինն անում է այն, ինչ ասված է:
- **D4 — Համաձայնեցված լոկալիզացիա:** RU և EN տեքստերն իրական են և կապակցված, ոչ
թե մեքենայական խառնաշփոթ:
- **D5 — Ոչ սպամ:** Ոչ դատարկ, ոչ կրկնօրինակ և ոչ սպամ:
## Ինչն է ավտո-մերժում, և ինչ է որոշում մարդը
| Ելք | Հրահրիչ |
|---|---|
| **Ավտո-մերժում** | **A բաժնի** ցանկացած անվտանգության hard-fail: |
| **Նշված → մարդ** | Զգուշացումներ կամ մանր դիտողություններ B/C/D-ում (թույլ նկարագրություն, վիճելի կատեգորիա, մանիֆեստի մանր դիտողություն): |
| **Որոշում է մարդը** | Ավտոմատիկան անցած ցանկացած հայտ միևնույն է պահանջում մոդերատորի բացահայտ հաստատում՝ հրապարակվելու համար: |
## Դոնաթ-հոսթերի allowlist-ը
Դոնաթի հղումը **ոչ պարտադիր է** և միշտ **արտաքին** — մարկետփլեյսը երբեք գումար չի
մշակում: Եթե ավելացնում եք այն, այն պետք է տանի **ճանաչված դոնաթ-պլատֆորմ**
`https://`-ով (օրինակ Boosty, Patreon, PayPal կամ YooMoney): Անհայտ հոսթերին,
կրճատիչներին կամ ֆիշինգ հիշեցնող որևէ բանի հղումները մերժվում են: Community-փլագինները
**անվճար են**. դոնաթի հղումը պարզապես երախտապարտ օգտատերերի համար ձեզ աջակցելու միջոց է:
## Ուր հետո
- [Փլագինի հրապարակում](/hy/v1.0/marketplace/submit-plugin) — ուղարկման քայլ առ քայլ
վերլուծություն:
- [Plugin SDK](/hy/v1.0/marketplace/sdk) — փլագինի և դրա `manifest.json`-ի կառուցումը:
- [Մարկետփլեյս՝ ակնարկ և մակարդակներ](/hy/v1.0/marketplace/overview-tiers) — ինչով
են տարբերվում պաշտոնական և community-կատալոգները: