Yayına Alma (Go-Live) Kontrol Listesi

DEV → PROD: ne değişir?

Yayın öncesi kontrol listesi

• İmza doğrulama: webhook + hook + action isteklerinde HMAC imzasını ham gövde üzerinde, timing-safe karşılaştırma ve ±5 dk toleransla doğruluyorsun; geçersiz imzaya 401 dönüyorsun.
• Idempotency: envelope id ile dedup var — retry'da aynı event iki kez işlenmiyor (/webhook alıcısı).
• Hızlı 2xx: webhook handler'ın ağır işi kuyruğa atıyor; 10 sn timeout'a takılmıyor (Limitler).
• Minimal scope: manifest'te yalnız kullandığın scope'lar var; PII scope'ları (customers:read, users:read) için gerekçen net — inceleme hızlanır (Scope Referansı).
• Custom UI varsa: her iframe sayfan frame-ancestors CSP'sini panel origin'iyle sınırlıyor ve App Bridge kuralları tamam (iframe Güvenliği) — inceleme bunu otomatik denetler, eksikse onay reddedilir.
• Hook/gate varsa: timeout'lar gerçekçi (5 sn içinde yanıt) ve failMode bilinçli seçilmiş (Hook'lar).
• 429 stratejin hazır: üstel backoff + jitter (örnek desen).
• Sürüm notu: önceki sürüme göre scope/event değişikliklerini sürüm notunda açıkladın (Versiyonlama) — yeni scope isteyen sürüm tenant'ta yeniden onay gerektirir.

Yayın sonrası: izleme & sağlık

• Teslim loglarını izle: portalda eklentinin Loglar sayfası teslim durumu/HTTP kodu/retry'ları gösterir — ilk hafta düzenli bak.
• delivery.* lifecycle'larını işle: delivery.degraded / delivery.disabled sinyalleri endpoint'inin sağlığını bildirir; 72 saat kuralına takılmadan müdahale et (Teslim Sağlığı & Politikası).
• Kurtarma yolunu bil: teslim durduysa endpoint'i düzelt → portaldan test event gönder / yeniden etkinleştir — başarılı teslim breaker'ı sıfırlar.
• Changelog takibi: kırıcı olabilecek platform değişiklikleri Değişiklik Günlüğü'nde duyurulur.