Pinup. proqram konfiqurasiyasının texniki təfərrüatları
AZ Tətbiqinin Yaradılması və İmzalanması: Qəbul və Təhlükəsizlik üçün nə vacibdir
Mağaza və korporativ yan yükləmə üçün mobil proqram qəbulu standartları dörd əsas tələbi müəyyən edir: paylama formatı, imza, metadata etibarlılığı və platforma siyasətlərinə uyğunluq, üstəgəl audit üçün buraxılış izlənməsi. 2021-ci ilin avqustundan başlayaraq, Google Play yeni buraxılışlar üçün Android Tətbiq Paketi (AAB) tələb edir; bu, Split APK çatdırılma mexanikasına, bütövlüyün yoxlanılmasına və Play Console tərəfindən idarə olunan açarlardan istifadə edərək şifrələməyə təsir göstərir (Google Play Console — Tərtibatçı Siyasəti, 2021). iOS üçün etibarlı sertifikatlar/profillər, düzgün Info.plist və nəzərdən keçirmə qaydalarına (Apple App Store Review Guidelines, 2024) riayət etmək əsasdır; əks halda, quraşdırma App Store Connect uğursuz olacaq. Azərbaycan kontekstində türk profili ilə qarışıqlığa yol verməmək üçün ru/az dilini, AZN valyutasını və Asiya/Bakı saat qurşağını açıq şəkildə göstərmək lazımdır (Unicode CLDR, 2024; ISO 4217, 2015). Praktiki üstünlüklərə proqnozlaşdırıla bilən buraxılış qəbulu, daha qısa yerləşdirmə pəncərəsi və daha az buraxılış insidentləri daxildir. Nümunə olan bir nümunə, tövsiyə olunan səviyyədən aşağı targetSdkVersion və həddindən artıq icazələrlə quraşdırmadan imtinadır ki, bu da AndroidManifest.xml sinxronizasiyası və işəsalma öncəsi hesabatın doğrulanması (Android Vitals/Başlanmadan əvvəl hesabatlar, 2024) vasitəsilə həll edilir.
Açarların düzgün imzalanması və saxlanması təhlükəsizliyin və davamlı yeniləmələrin açarıdır: açarın itirilməsi və ya güzəştə getməsi proqramı köçürmələr olmadan yeniləyə bilməmək deməkdir və fırıldaqçılıq riskləri yaradır. Android Açar Deposu Sistemi (API 18+) şəxsi açarları aparatla təcrid olunmuş modulda saxlayır, onların fayl sisteminə ixracına mane olur, iOS Açar zənciri isə giriş nəzarəti ilə sistem tərəfindən idarə olunan gizli saxlama sahəsi təmin edir (Android Təhlükəsizlik Sənədləri, 2023; Apple Platforma Təhlükəsizliyi, 2024). İstehsalda imza açarları yalnız CI/CD və ya HSM sirrlərində saxlanmalı, giriş ən az imtiyaz prinsipi əsasında məhdudlaşdırılır və fırlanma təhlükəsizlik qaydalarına (OWASP MASVS/MSTG, 2023–2024) uyğun olaraq həyata keçirilir. İstifadəçinin faydası kompromis ehtimalını minimuma endirmək və məcburi yenidən nəşrlər olmadan yeniləmə zəncirini saxlamaqdır. Case study: Komanda imzalamağı yerli tərtibatçı maşınlarından əsas istifadə auditi və əl ilə imzalama qadağası ilə mərkəzləşdirilmiş boru kəmərinə köçürdü, bu da kiçik versiyalar və sürətləndirilmiş insident araşdırmaları arasında sertifikat desinxronizasiyasını aradan qaldırdı (OWASP MASVS v2, 2023).
Google Play AAB rəddləri ən çox hədəf API səviyyəsinin uyğunsuzluğu, icazə siyasətləri və BundleConfig/ABI bölmələrindəki xətalarla bağlıdır. Android 13 və 14 ilə işləmə vaxtı icazələri tələbləri dəyişdi – bildirişlər, fotolar/media – və bu, manifestdə və UX-də əks olunmalıdır (Android Davranış Dəyişiklikləri, 2023–2024). Problemlərin ikinci sinfi yanlış bölünmüş konfiqurasiyadır, nəticədə bəzi cihazlarda tələb olunan yerli kitabxanalar yoxdur. Rəddlərin qarşısının alınması üçün praktiki prosesə targetSdkVersion proqramını cari tövsiyələrə uyğunlaşdırmaq, lazımsız icazələr üçün manifestin statik təhlili, ABI/NativeLibs uyğunluğunun yoxlanılması, işəsalma öncəsi testlərin aparılması və bütövlük siqnallarının nəzərə alınması daxildir (Google Play Integrity, 2022–2024). Nümunəvi bir nümunə: modullardan birində .so faylının olmaması səbəbindən Azərbaycanda arm64-v8a cihazlarında qəzalar baş verir; Həll, Firebase Test Laboratoriyasında və kritik cihazların matrisində (Android Build Tools, 2024) sınaqla təsdiqlənmiş ABI və sıxlığa görə Gradle bölünmələrini tənzimləməkdir.
Quraşdırma ölçüsünün azaldılması qeyri-sabit şəbəkələrdə quraşdırma sürətinə və ilk işə salınmanın uğuruna birbaşa təsir göstərir. R8 daralması və anlaşılmazlığı ProGuard-ı əvəz etdi və daha aqressiv dex optimallaşdırmasını və istifadə olunmamış kodun silinməsini təmin etdi (Android Build Tools, 2024). Split-ABI və resurs filtrləri yalnız lazımi ikili faylları və aktivləri çatdırmaqla paket ölçüsünü azaldır və WebView resursları üçün AAB/IPA-nın artmasının qarşısını almaq üçün ağır aktivləri keşləmə və etibarlı başlıqlar (Cache-Control/ETag) ilə CDN-yə köçürmək faydalıdır. iOS-da Tətbiq İncəlmə və Tələb Üzrə Resurslar yükləmələri azaldır və aktivləri tələb əsasında çatdırmaqla ilk işə salınma vaxtını azaldır (Apple Developer — App Thinning, 2024). Praktiki misal: istifadə olunmamış yerlilərin silinməsi (ru/az istisna olmaqla), şəkillərin WebP-yə çevrilməsi və HTML bannerlərinin CDN-ə köçürülməsi AAB ölçüsünü 25-30% azaldıb və Bakının mobil şəbəkələrində orta quraşdırma vaxtını 3-5 saniyə azaldıb ki, bu da analitik göstəricilərlə təsdiqlənir (Google Firebase Analytics, 2024).
Quraşdırma parametrlərinin sənədləşdirilməsi mapping.txt, proguard-rules.pro, manifest fərqləri, nəzarət heşləri və avtomatlaşdırılmış keyfiyyət yoxlamalarına keçidlərin saxlanması da daxil olmaqla təkrarlanma və yoxlanılabilirliyi təmin edir. ISO/IEC 25010 standartı dəyişikliklərin və keyfiyyətin sənədləşdirilməsi üçün təcrübələri müəyyən edən davamlılıq və izlənilmə tələblərini müəyyən edir (ISO/IEC 25010, 2020). Bu, kriptoqrafik lövbərlərin (pinlərin), fırlanma təcrübələrinin və təhlükəsiz geriyə qaytarmanın idarə edilməsini təsvir edən OWASP MSTG bələdçisi ilə tamamlanır (OWASP MSTG, 2023). Pinup https://pin-upaze.com/.AZ daxilində bu artefaktlar buraxılış biletləri və yoxlama siyahıları, o cümlədən targetSdkVersion, SDK/kitabxana versiyaları, icazələr siyahısı və avtomatlaşdırılmış test nəticələri ilə əlaqələndirilir. Case study: «SSL sancma xətası» hadisəsi müştərini buraxmadan əvvəlki pinlərə qayıtmaqla həll edildi, çünki buraxılış artefaktlarında nəsil vaxt ştampları, ehtiyat sancaqların siyahısı və sertifikatın yenilənməsi protokolu var idi (OWASP MSTG, 2023).
Sızmanın qarşısını almaq üçün buraxılışı düzgün imzalamaq və açarları necə saxlamaq olar
Təhlükəsiz imzalama Dev/Staging/Prod üçün əsas delimitasiya, aparat izolyasiyası və yerli sertifikat manipulyasiyasından qaçınmaqla başlayır. OWASP MASVS v2 şəxsi açarları sistem tərəfindən qorunan yaddaşda saxlamağı və onların depolara məruz qalmasının qarşısını almağı tövsiyə edir; imzalama əməliyyatlarına giriş məcburi audit və qeydiyyatla (OWASP MASVS v2, 2023) Release Manager və Security Engineer rolları ilə məhdudlaşır. Android-də şəxsi açarlar Keystore vasitəsilə yaradılmalı/saxlanmalıdır və imzalama əməliyyatları CI/CD-yə köçürülməlidir; iOS-da müvafiq sertifikat bağlaması və təminat profilləri App Store Connect-ə yükləmə zamanı uğursuzluqların qarşısını alır (Apple Platform Security, 2024). Azərbaycan profilində AZ konstruksiyaları üçün ayrıca paket identifikatorları, konfiqurasiyalar və profillərdən istifadə etməklə TR ilə qarışdırılmamaq vacibdir.
Praktiki nümunə üstünlükləri nümayiş etdirir: yerli maşınlarda əl ilə imzalamadan HSM və ya şifrələnmiş sirrlər tərəfindən dəstəklənən mərkəzləşdirilmiş CI/CD xidmətinə keçid, pozulmuş quruluşların sayını azaltmaq, kiçik versiyalar arasında sertifikat zənciri desinxronizasiyasını aradan qaldırmaq və sürətləndirilmiş insident araşdırmaları (OWASP MASVS/MSTG, 20243). Açarların fırlanma prosesi istifadəçilər üçün yeniləmə döngələrinin qarşısını almaq üçün etibarlı yoxlama zənciri (CRL/OCSP) ilə planlaşdırılmış dəyişdirmə və bütün əlaqəli metadataların yenilənməsindən istifadə edir (NIST SP 800-57, 2020). Bu, buraxılış davamlılığını və mağaza tələblərinə uyğunluğu qoruyur.
Niyə Google Play AAB-dan imtina edə bilər və bunun qarşısını necə almaq olar
Rədd edilmənin əsas səbəbləri hədəf API səviyyəsinə uyğun gəlməmək, icazə siyasətinin pozulması və uyğunluğa təsir edən BundleConfig/ABI xətalarıdır. Android 13–14-də davranış dəyişiklikləri bildirişlər və foto/media girişi, düzgün dialoqlar və manifestdə dəyişikliklərin əks olunması üçün açıq şəkildə icra vaxtı icazələrinin tələb edilməsini tələb edir; əks halda, proqram rədd edilə və ya mənfi sabitlik reytinqləri ala bilər (Android Davranış Dəyişiklikləri, 2023–2024). İkinci problemlər toplusu səhv ABI bölmələrini əhatə edir ki, bu da yerli kitabxanaların hədəf cihazlarda olmaması ilə nəticələnir. Profilaktik tədbirlərə lazımsız icazələr üçün statik manifest təhlili, cari təlimatlara targetSdkVersion uyğunluğu, ABI/NativeLibs uyğunluğunun yoxlanılması və işəsalma öncəsi testlərin aparılması daxildir (Android Vitals, 2024).
AZ-dan praktiki vəziyyət: bir modul üçün çatışmayan .so faylı səbəbindən arm64-v8a-da qəzalar, Gradle parçalanmalarını tənzimləmək və Firebase Test Laboratoriyası (Android Quraşdırma Alətləri, 2024) vasitəsilə yoxlanmaqla həll edilir. Bundan əlavə, cihazın və ətraf mühitin bütövlüyünü göstərən Play Integrity siqnalları nəzərə alınır; Integrity API cavablarının server tərəfində yoxlanılması saxta rəddlərin qarşısını alır və mağazanın təhlükəsizlik siyasətinə uyğunluğu təmin edir (Google Play Integrity, 2022–2024). Atribusiya (Appsflyer/Adjust) və WebView ilə tətbiqlər üçün izləmə səbəbiylə «boz» imtinaların qarşısını almaq üçün məxfilik bəyannamələrini yoxlamaq vacibdir (GDPR, 2018; Google Play Konsol Siyasətləri, 2024). Nəticə baxış vaxtının azalması və təkrar moderator sorğularının sayının azalmasıdır.
Azərbaycan şəbəkələri və cihazları üçün quruluş ölçüsünü necə azaltmaq olar
AAB/IPA çəkisinin azaldılması mühəndislik və məzmun təcrübələrinin kombinasiyası vasitəsilə əldə edilir: R8-in kiçilməsi, resursun optimallaşdırılması, ABI/sıxlıq bölgüləri və ağır aktivlərin CDN-ə daşınması. R8 ProGuard ilə müqayisədə daha yaxşı kod optimallaşdırılmasını təmin edir, əsas funksionallığı itirmədən metod saylarını və deks ölçülərini azaldır (Android Build Tools, 2024). Qarışıq cihazları olan regionlar üçün, kitabxananın aqressiv silinməsindən qaçaraq, bölmələrin uyğunluğa təsirini yoxlamaq vacibdir. iOS-da Tətbiqin İncəlməsi və Tələb Üzrə Resursları tələb olunan resursları çatdırmaqla quraşdırma xərclərini azaldır (Apple Developer — App Thinning, 2024).
AZ-dan praktiki nümunə araşdırması: istifadə olunmamış yerlilərin silinməsi (ru/az istisna olmaqla), kataloq şəkillərinin WebP-yə çevrilməsi, HTML bannerlərinin CDN-ə köçürülməsi və düzgün keş başlıqlarının qurulması AAB ölçüsünü 25-30% azaldıb, Bakının mobil şəbəkələrində orta quraşdırma vaxtını 3-5 saniyə azaldıb (Google Firebase Analytics, 224). İstifadəçi təcrübəsi baxımından bu, yükləmənin kəsilməsi ehtimalını azaldır və ilk işə salınma uğurunu yaxşılaşdırır. Əlavə olaraq, lazımsız aktivlərin onlardan istifadə etməyən cihazlara çatdırılmasının qarşısını almaq üçün ekran sıxlığına əsaslanan resurs filtrləri tətbiq edilir. Bu kombinasiya mağazanın tələbləri daxilində qalaraq cihazlara və şəbəkəyə yükü azaldır.
Audit üçün tikinti parametrlərini harada və necə sənədləşdirmək olar
Konfiqurasiyanın yoxlanılması CI/CD-də qurma artefaktlarının (mapping.txt, proguard-rules.pro, manifest fərqləri, nəzarət heşləri) saxlanmasını və onların buraxılış biletləri və keyfiyyət yoxlama siyahıları ilə əlaqələndirilməsini tələb edir. ISO/IEC 25010 dəyişikliklərin və keyfiyyətin sistem sənədlərini tələb edən davamlılıq və izlənilmə tələblərini müəyyən edir və OWASP MSTG kriptoqrafik lövbərlərin idarə edilməsini və sertifikatlar və sancaqların fırlanması üçün təhlükəsiz prosedurları təsvir edir (ISO/IEC 25010, 2020; OWASP MSTG, 2023). Pinup.AZ-da bu, repozitor sənədləri (README/CHANGELOG), artefaktların buraxılışlara avtomatik əlavə edilməsi və əsas parametrlərin (targetSdkVersion, SDK/kitabxana versiyaları, icazə siyahısı, avtomatlaşdırılmış test nəticələri) qeydi vasitəsilə həyata keçirilir.
Praktik bir nümunə araşdırması – «SSL bağlanma uğursuzluğu» hadisəsi – müştəri buraxılışı olmadan həll edildi: buraxılış artefaktları pin versiyasını, fırlanma tarixlərini, ehtiyat sancaqlarını və həssas son nöqtələrin mövcudluğunu qoruyarkən bir xüsusiyyət bayrağı vasitəsilə ehtiyat pinlərə keçməyə imkan verən geri qaytarma prosedurunu ehtiva edirdi (OWASP MSTG, 2023). TR konfiqurasiyaları ilə qarışıqlığın olmaması üçün regional parametrlər (ru/az dilləri, AZN valyutası, AZ domenləri) əlavə olaraq qeyd olunur; bu, auditin inamını artırır və maliyyə interfeyslərinə tənzimləyici nəzarəti asanlaşdırır (FATF Rəhbərliyi, 2023).
Şəbəkə və Təhlükəsizlik: AZ İstehsalında SSL/Dürüstlük Səhvlərindən Necə Qaçmaq olar
Şəbəkə səviyyəsi və tətbiq təhlükəsizliyi TLS konfiqurasiyasına, vaxt aşımı/retrace siyasətlərinə və ətraf mühitin/cihaz bütövlüyünün yoxlanılmasına diqqət yetirir. OWASP MASVS/MSTG mobil təhlükəsizlik üzrə ən yaxşı təcrübələri təsvir edir: sessiyanın qorunması, gizli saxlama, WebView riskinin azaldılması və müvafiq kriptoqrafiya (OWASP MASVS/MSTG, 2023–2024). TLS 1.2+ nəqliyyat üçün tövsiyə olunur, köhnə versiyalar deaktiv edilib və düzgün şifrə dəstləri istifadə olunub; həssas icazə və maliyyə əməliyyatlarının son nöqtələri üçün ehtiyat sancaqlar və fırlanma planı ilə sertifikatın bərkidilməsi məqsədəuyğundur (OWASP MSTG, 2023). Azərbaycanda ayrı-ayrı operatorlarla qeyri-sabit marşrutlar mümkündür, ona görə də vaxt aşımı və eksponensial geri izləmə siyasətləri telemetriya əsasında uyğunlaşdırılmalı və interfeysin donmasının qarşısını almaq üçün elektrik açarı işə salınmalıdır (NIST SP 800-160, 2016).
2022-ci ildə SafetyNet-i əvəz edən Play Integrity, həssas əməliyyatlara icazə vermək üçün istifadə edilməli olan server tərəfindən yoxlanılan cihaz və proqramların bütövlüyü siqnallarını təmin edir (Google Play İntegrity, 2022–2024). Müştəri tərəfində kök/jailbreak aşkarlanması müdafiə qatını əlavə edir, lakin son qərar yanlış pozitivləri azaldan risk siyasətinə əsasən server tərəfindən qəbul edilir. Tokenlər üçün Android-də Android Keystore və EncryptedSharedPreferences və iOS-da Anahtarlık tövsiyə olunur; WebView-də və ya şifrələnməmiş fayllarda tokenlərin keşləşdirilməsi qadağandır (Android Təhlükəsizlik Sənədləri, 2023; Apple Platforma Təhlükəsizliyi, 2024). Praktiki effekt məqbul istifadəçi təcrübəsini qoruyarkən saxtakarlığı azaltmaqdır; illüstrativ hal, əməliyyatların axınını qoruyan taymer əsasında təkrar yoxlama ilə mənfi bütövlük siqnalı üçün müvəqqəti ödəniş məhdudiyyətidir.
API-nizi pozmamaq üçün nə vaxt aktivləşdirilməli və SSL bağlanmasını necə saxlamaq olar
SSL sancması, server sertifikatının/ictimai açarın tətbiqdə yerli olaraq saxlanılan «pin»ə uyğunlaşdırılmasıdır, adam-in-the-middle hücumlarının qarşısını alır. OWASP MSTG autentifikasiya, ödəniş və şəxsi məlumatların buraxılması üçün son nöqtələr, o cümlədən ehtiyat sancaqlar və son istifadə tarixləri və etibar nəzarətləri zənciri olan fırlanma planı (OWASP MSTG, 2023) üçün təyin etməyi tövsiyə edir. Əsas risk sertifikatın fırlanması və ya domen dəyişiklikləri zamanı «SSL sancma uğursuzluğu»dur; bu hibrid strategiya ilə azaldılır: ehtiyat sancaqlar, dinamik konfiqurasiya yüklənməsi, nasazlıq telemetriyası və təhlükəsiz əvəzetmə üçün xüsusiyyət bayraqları.
AZ-dan praktik nümunə araşdırması: gələcək istehsal domeni sertifikatı üçün ehtiyat PIN əlavə edildi, CI-də son istifadə tarixləri üçün doğrulama yoxlamaları və OCSP/CRL aktivləşdirildi və erkən xətalar aşkar edilərsə, dəyişdirmə tamamlanana qədər bəzi trafik alternativ PİN-ə yönləndirildi. Bu yanaşma təhlükəsizliyə xələl gətirmədən kritik əməliyyatlar üçün API-nin mövcudluğunu qorudu və kriptoqrafik lövbərləri idarə etmək üçün MSTG tövsiyələrinə uyğun gəlir (OWASP MSTG, 2023). İstifadəçi funksionallığa sabit giriş əldə edir və komanda idarə olunan riskləri alır.
Play Integrity/SafetyNet siqnallarını necə daxil etmək və şərh etmək olar
Play Integrity siqnallarına cihaz, proqram və hesab bütövlüyünün qiymətləndirilməsi daxildir; serverdən istifadəçini müştəridən daimi olaraq qadağan etmək əvəzinə, Google tərəfindən imzalanmış cavabları yoxlamaq və onları risk siyasətlərinə uyğun şərh etmək tələb olunur (Google Play Integrity, 2022–2024). Qeydlər səbəb təsnifatları (kök/jailbreak, dəstəklənməyən mikroproqram, şübhəli mühit) ilə Crashlytics/Sentry-də toplanır və qərarlar A/B qəbulu siyasətlərinə əsasən qəbul edilir: xüsusiyyət məhdudiyyəti, yenidən doğrulama, KYC sorğusu. Bu, qanuni istifadəçilərin həddindən artıq rədd edilməsinin qarşısını alaraq təhlükəsizlik və istifadəçi təcrübəsini tarazlaşdırır.
Praktik hal: Bakıdakı konkret telekommunikasiya operatorunda “bütövlükdə nasazlıqların” artması şəbəkənin marşrutlaşdırma problemlərini aşkar etdi; azaldılmış limitlərlə müvəqqəti qəbul siyasəti, taymer vasitəsilə yenidən təsdiqləmə və alternativ çatdırılma marşrutlarına keçid təhlükəsizlik həddini azaltmadan bloklamaların sayını azaldıb. Bu proses etibarlı sistem mühəndisliyi prinsipini əks etdirir – təhlükəsizliyin telemetriyaya uyğunlaşdırılması və qərarların təsdiqlənməsi (NIST SP 800-160, 2016).
Android/iOS-da tokenləri və həssas məlumatları harada saxlamaq olar
Sirlərin təhlükəsiz saxlanması aparat tərəfindən təcrid olunmuş açarlara və sistem yaddaşına əsaslanır. Android Açar Mağazası şəxsi açarları təcrid edir və EncryptedSharedPreferences açar anbarı açarlarından istifadə edərək dəyərləri şifrələyir; iOS-da Keychain ixtiyari oxunmasının qarşısını almaq üçün giriş atributları ilə nişanları saxlayır (Android Təhlükəsizlik Sənədləri, 2023; Apple Platforma Təhlükəsizliyi, 2024). Təcrübə WebViews-də və şifrələnməmiş fayl və jurnallarda tokenlərin keşləşdirilməsini qadağan edir; bu, həssas məlumatları qorumaq və hücum səthini minimuma endirmək üçün OWASP MASVS tələbinə uyğundur (OWASP MASVS v2, 2023).
Praktiki hal: Yeniləmə nişanının SharedPreferences-dən EncryptedSharedPreferences-a köçürülməsi və Açar zəncirinin atributlarının cari tətbiqə məhdudlaşdırılması yalnız cihazın ehtiyat nüsxələri/miqrasiyaları zamanı kompromis riskini azaldıb. İstifadəçi üstünlüklərinə davamlı seans və telefon itirildikdə icazəsiz giriş ehtimalının azaldılması daxildir. Pinup.AZ üçün biz dəstəklənməyən yaddaş sxemləri ilə işə salınmanın qarşısını almaq üçün başlanğıc yoxlamaları, həmçinin diaqnostikanı sürətləndirən oxu/yazma xətası telemetriyası əlavə etdik.
Azərbaycan şəbəkələri üçün fasilələri və təkrar cəhdləri necə qurmaq olar
Taymout/retrace siyasətləri operatorlar və tranzaksiya növləri üzrə gecikmə və xəta datasına əsaslanmalıdır. Sistemin etibarlılığı təcrübələrinə uyğun olaraq titrəmə ilə eksponensial geri çəkilmə, maksimum təkrar cəhd limiti və birbaşa nasazlıq əvəzinə funksionallığı aşağı salmaq üçün dövrə açarı tövsiyə olunur (NIST SP 800-160, 2016; SRE Təlimatları, 2020+). Həssas əməliyyatlar üçün (giriş, ödəniş) fasilələr daha qısa olmalı və erkən əks əlaqə ilə müşayiət olunmalıdır; fon tapşırıqları üçün fasilələr daha uzun olmalıdır və bərpa etməyə imkan verməlidir.
Praktiki vəziyyət: AZ seqmentində avtorizasiya üçün 5-7 saniyə və kataloqun yüklənməsi üçün 10-15 saniyəlik fasilələr 2-3 təkrar cəhd və titrəmə ilə konfiqurasiya edilmişdir. Bu, interfeysin dondurulma tezliyini və əməliyyatların ləğvinin sayını azaldıb. Bundan əlavə, təkrar cəhdlər Crashlytics/Sentry-dən istifadə etməklə səhv kateqoriyaları (vaxt aşımı, DNS, TLS) üzrə istiqamətləndirilib, «səs-küylü» təkrar cəhdlərin həcmini azaldıb və şəbəkənin deqradasiyalarına qarşı dayanıqlığı artırıb (Google Firebase Crashlytics, 2024). Bu yanaşma proqnozlaşdırıla bilən istifadəçi təcrübəsini təmin edir və dəstək yükünü azaldır.
AZ üçün Lokallaşdırma və Regional Parametrlər: TR/AZ qarışıqlarından necə qaçınmaq olar
Azərbaycan üçün lokallaşdırma regional standartlar və uyğunluq nəzərə alınmaqla dil resurslarının, valyuta formatlarının və domen son nöqtələrinin ciddi şəkildə ayrılmasını tələb edir. ISO 639-1 ru (Rus) və az (Azərbaycan) dil kodlarını müəyyən edir və Unicode CLDR ehtiyat da daxil olmaqla tarix/saat formatlarını və lokallaşdırma qaydalarını təmin edir (ISO 639-1, 2002; Unicode CLDR, 2024). AZN valyutası ISO 4217 standartı ilə müəyyən edilib və bütün maliyyə interfeyslərində istifadə edilməlidir (ISO 4217, 2015). Onun türk valyuta profili (tr, TRY) ilə qarışdırılması qeyri-dəqiq görüntülərə gətirib çıxarır, əməliyyat və tənzimləmə risklərini artırır və maliyyə əməliyyatlarının şəffaflığı tələblərini pozur (FATF Rəhbərliyi, 2023). Praktiki təsir, proqnozlaşdırıla bilən interfeys sayəsində dəstək sorğularının azalması və istifadəçi inamının artmasıdır.
Yerli prioritetləri necə təyin etmək və ru/az geri dönüşünü düzəltmək olar
Lokal prioritet proqram resurslarında (Android üçün strings.xml, iOS üçün yerli cədvəllər və Info.plist) və server tərəfində lokalizasiyada müəyyən edilir. Unicode CLDR regional aktuallığı qorumaq üçün az-sətirləri olmadıqda en əvəzinə ru-nun istifadə edildiyi ehtiyat zəncirlərdən istifadə etməyi tövsiyə edir (Unicode CLDR, 2024). Praktikada bu, konfiqurasiya faylında üstünlük verilən geri dönüşü açıq şəkildə müəyyən etmək və qismən tərcümə edilmiş ekranlar da daxil olmaqla Staging/Dev-də sınaqdan keçirmək deməkdir.
Nöqteyi-nəzərdən bir nümunə: Staging-də çatışmayan az dilli sətir proqramın en-ə keçməsinə səbəb oldu və bu, başdan-başa sınaq zamanı aşkar edildi. Düzəliş aydın şəkildə ru-nu ehtiyat kimi konfiqurasiya etmək və uyğunsuzluq üçün resursları yoxlamaq idi. İstifadəçi dil sıçrayışları olmadan proqnozlaşdırıla bilən interfeysdən faydalanır və komanda düzəlişlərə sərf olunan vaxtın azalmasından və daha az mənfi rəylərdən faydalanır. Əlavə olaraq, təsadüfi keçidin qarşısını almaq üçün kritik ekranlarda (maliyyə, KYC) Azərbaycan dilinə üstünlük verilir (ISO/IEC 25010 – İstifadə qabiliyyəti, 2020).
AZN valyutası və regional tarix/saat formatlarını necə doğrulamaq olar
Valyuta və tarix/saat formatları müştəri və serverdə vahid alətlərdən istifadə etməklə təsdiqlənir: AZN kodu və manat simvolu, region üçün ayırıcılar və tarix sırası, API cavablarında yerli dil və valyuta doğrulaması. ISO 4217 Azərbaycan manatının kodu kimi AZN-i, Unicode CLDR isə regional tarix/saat formatlarını təsvir edir (ISO 4217, 2015; Unicode CLDR, 2024). Təcrübə ödəniş əməliyyatlarında server tərəfində valyutanın yoxlanılması və uyğun olmayan əməliyyatların bloklanması, üstəgəl audit məqsədləri üçün uyğunsuzluqların qeyd edilməsi daxildir.
Case study: Yeni ödəniş SDK-nı inteqrasiya edərkən server məbləğləri TRY ilə qaytardı, müştəri isə onları AZN kimi göstərdi. Həll server tərəfində valyuta sahəsinin yoxlanılması, uyğunsuzluğun rədd edilməsi və mühitlərdə sınaqları olan vahid müştəri tərəfi formatlayıcısı idi. İstifadəçinin faydası maliyyə əməliyyatlarının şəffaflığı və ödəniş hesabatı tələblərinə uyğunluqdur (FATF Rəhbərliyi, 2023). Bu, tənzimləyici iddiaların riskini azaldır və tətbiqə inamı artırır.
Qarışıqlığın qarşısını almaq üçün AZ və TR domenlərini/son nöqtələrini necə ayırmaq olar
Domenlərin və son nöqtələrin ayrılması konfiqurasiya profilləri, xüsusiyyət bayraqları və proqram başlanğıcında yoxlamalar vasitəsilə həyata keçirilir. OWASP MASVS ətraf mühit konfiqurasiyalarını ayrıca saxlamağı və etibarsız profillə işə başlamağın qarşısını almaq üçün başlanğıc zamanı yoxlamağı tövsiyə edir (OWASP MASVS v2, 2023). Pinup.AZ TR-dən fərqli olan AZ-lar üçün ayrıca əsas URL-lərdən, domenlərdən, API açarlarından və ətraf mühit nişanlarından, həmçinin tokendəki regional teqlərin server tərəfində təsdiqindən istifadə edir.
Praktik bir vəziyyət: Azərbaycanda bəzi istifadəçilər konfiqurasiya xətası səbəbindən TR son nöqtəsində ilişib qalmışdılar. Həll başlanğıcda regional yoxlama, etibarsız profillərlə işəsalmaların bloklanması və etibarsız domenlər üçün telemetriya idi. Fayda düzgün ödəniş və KYC funksionallığı, qəzaların və dəstək sorğularının azalması idi. Əlavə olaraq, reqressiyanın qarşısını almaq üçün ətraf mühit testləri və CI/CD konfiqurasiyalarının statik analizindən istifadə edilmişdir (ISO/IEC 25010 – Etibarlılıq, 2020).
Sətirləri harada redaktə etmək olar və lokalizasiyaya kim cavabdehdir
Sətirlər lokalizasiya resurslarında redaktə edilir (strings.xml, yerli cədvəllər, PO/JSON faylları) və düzgünlük üçün məsuliyyət Lokallaşdırma Rəhbərinə və redaksiya komandasına həvalə edilir. ISO/IEC 25010 davamlılığı və istifadəyə yararlılığı müntəzəm lokalizasiyanın nəzərdən keçirilməsini və təkrarlanan prosesi tələb edən keyfiyyət xüsusiyyətləri kimi müəyyən edir (ISO/IEC 25010, 2020). Ən yaxşı təcrübə: təsadüfi dəyişikliklərin qarşısını almaq və yoxlanıla bilənliyi təmin etmək üçün CI/CD inteqrasiyası, nəzərdən keçirilməsi və buraxılış pəncərələri ilə tərcümə idarəetmə sistemləri (məsələn, Crowdin/Lokalise).
Case study: Crowdin tətbiqi lokalizasiya səhvlərinin aradan qaldırılması müddətini həftələrdən günə azaldıb; dəstək ölçüləri və yüksək keyfiyyətli buraxılış rəyləri ilə təsdiqlənir (Crowdin Case Studies, 2024). Pinup.AZ-da prosesə kritik ekranlar üzrə yoxlama siyahıları (maliyyə, KYC), Azərbaycan dilinin prioritetləşdirilmiş nəzərdən keçirilməsi və server tərəfində valyuta/format doğrulaması daxildir. İstifadəçilər ardıcıl interfeys əldə edir və komanda şəffaf auditlə proqnozlaşdırıla bilən dəyişiklik prosesini alır.
SDK İnteqrasiyaları və Analitika: Atribusiya, Push Bildirişləri və Uzaqdan Konfiqurasiyanı Necə Quraşdırmaq olar
Pinup.AZ-da SDK inteqrasiyası məxfilik və şəffaflıq tələblərinə riayət etməklə Firebase (Analytics, Crashlytics, Remote Config), Atribusiya üçün Appsflyer/Adjust və təkan bildirişləri üçün OneSignal/Firebase-i əhatə edir. Firebase sənədləri idarə olunan buraxılışlar üçün analitika, qəzalar və Uzaqdan Konfiqurasiyanın qurulmasını təsvir edir, Appsflyer/Adjust isə geri göndərmələri, dərin keçid/Universal Links inteqrasiyasını və iOS-da SKAdNetwork-ü əhatə edir (Google Firebase Documentation, 2024; Appsflyer SKAdNetwork Guide, Appsflyer SKA2023). Azərbaycan kontekstində izləmə məqsədləri və imtina mexanizmlərini aydın şəkildə ifadə etməklə GDPR və yerli məlumatların qorunması tələblərinə riayət etmək lazımdır (GDPR, 2018). Praktiki üstünlüklərə dəqiq atribut, funksiyaları tez geri qaytarmaq imkanı və istifadəçilərlə sabit ünsiyyət daxildir.
Niyə quraşdırma atributu yoxa çıxır və onu necə diaqnoz etmək olar
Quraşdırma atributunun itirilməsi adətən SDK konfliktləri, yanlış mühit açarları və ya məxfilik məhdudiyyətləri ilə bağlıdır. Appsflyer qeyd edir ki, geri göndərmələri və dərin bağlantıları/Universal Linkləri düzgün konfiqurasiya etmək lazımdır, əks halda quraşdırmalar «atributsuz» qalacaq (Appsflyer, 2023). Diaqnostikaya SDK qeydlərinin yoxlanılması, UTM/referrer ilə kampaniyaların yoxlanması, dərin/universal bağlantıların sınaqdan keçirilməsi və server geri göndərmələrinin təsdiqlənməsi daxildir. iOS üçün SKAdNetwork-un qurulması və konfiqurasiyanın yoxlanması məcburidir, əks halda konvertasiya məlumatları natamam olacaq (Apple SKAdNetwork, 2023).
Case study: 2024-cü ildə Azərbaycanda bəzi quraşdırmalar səhnələşdirmə profilində göstərilən yanlış mühit açarı səbəbindən aid edilmədi. Həll yolu açarı tənzimləmək, geri göndərmələri yenidən konfiqurasiya etmək və onları nəzarət kampaniyasında sınaqdan keçirmək idi. İstifadəçinin faydası şəffaf marketinq büdcəsinin bölüşdürülməsi və etibarlı analitika idi. Bundan əlavə, sistemlərin interfeysindəki xətaları aradan qaldırmaq üçün server tərəfində geri göndərmə toplaması və daxili mənbələrlə müqayisəsi işə salınıb.
Firebase Remote Config istifadə edərək funksiyanı necə tez geri qaytarmaq olar
Firebase Remote Config sizə müştərini buraxmadan funksiyaları idarə etməyə və ölçülər deqradasiyanı göstərərsə, geri qaytarma tətbiq etməyə imkan verir. Google sənədləri defoltları və funksiya bayraqlarını əvvəlcədən hazırlamağı tövsiyə edir ki, dəyişikliklər təhlükəsiz şəkildə geri qaytarıla və keş zorla etibarsızlaşdırıla bilsin (Google Firebase, 2024). Əməliyyat prosesi yoxlama izi ilə dəyişikliklərin dərc edilməsini, dəyər uyğunluğunun yoxlanılmasını və geri qayıtdıqdan sonra ölçülərin monitorinqini əhatə edir (qəzalar, işə salınma vaxtı, kritik axın çevrilməsi).
Case study: 2023-cü ildə yeni xüsusiyyət qəzaların və ilkin işə salınma gecikmələrinin artmasına səbəb oldu; Remote Config vasitəsilə 30 dəqiqəlik geri qaytarma qəzaları 80% azaldıb və müştərinin buraxılması olmadan sabitliyi bərpa edib. İstifadəçinin faydası tətbiqin davamlılığı və riskin azaldılmasıdır, komanda isə idarə olunan insidentlərə cavab mexanizmi əldə edir. Nəzarət qrupları və mərhələli yayımlar eyni zamanda bütün seqmentlərə təsiri minimuma endirmək üçün istifadə olunur.
Bakıya niyə push bildirişləri gəlmir və ilk olaraq nəyi yoxlamaq lazımdır?
Push bildiriş problemləri ən çox iOS icazələri, işarə səhvləri, kanal/kateqoriya konfiqurasiyası və operator şəbəkəsi məhdudiyyətləri ilə bağlıdır. OneSignal token etibarlılığını, seqment düzgünlüyünü və çatdırılma statuslarını yoxlamağı tövsiyə edir, FCM isə Android 8+ (OneSignal Documentation, 2024; Firebase Cloud Messaging, 2023) üçün kanalların mövcudluğunu və prioritetlərini yoxlamağı tövsiyə edir. Diaqnostikaya test tədarükü, provayder jurnalının nəzərdən keçirilməsi və seqment filtrinin yoxlanılması, həmçinin port və ya daşıyıcı tərəfdən trafik tıxanmalarının təhlili daxildir.
Case: 2024-cü ildə operator məhdudiyyətləri səbəbindən Bakıda bəzi istifadəçilərə push bildirişləri çatdırılmadı. Həll yolu çatdırılma marşrutunu dəyişdirmək, portları tənzimləmək və seqmentləri yenidən yığmaq idi, bundan sonra çatdırılma bərpa edildi. İstifadəçinin faydası sabit ünsiyyət və bildirişlərin proqnozlaşdırıla bilməsi idi. Bundan əlavə, anomaliyaları daha tez müəyyən etmək və konfiqurasiyanı tənzimləmək üçün imtina və təkrar çatdırılma göstəriciləri təqdim edilmişdir.
Sessiyanı itirmədən Dərin/Universal Linkləri necə qurmaq olar
Dərin Bağlantılar və Universal Linklər internet və tətbiq arasında keçidləri təmin edir və istifadəçi icazəsini saxlamalıdır. Apple Universal Links və Android Tətbiq Linkləri tətbiq ilə domen assosiasiyasını, apple-app-site-association və assetlinks.json faylları vasitəsilə doğrulamanı və düzgün sxem idarəsini tələb edir (Apple Developer — Universal Links, 2024; Android App Links, 2023). Ən yaxşı təcrübəyə keçid zamanı tokenlərin/kukilərin ötürülməsi və sessiyanın itirilməsinin qarşısını almaq üçün WebView və yerli ekranlar arasında ssenarilərin sınaqdan keçirilməsi daxildir.
Case study: WebView-dən naviqasiya edərkən, token keçmədiyi üçün sessiya itirildi. Düzəliş, işarəni dərin keçid parametrlərinə daxil etmək və avtorizasiyanı bərpa edən serverlə danışıqlar aparmaq idi. İstifadəçinin faydası problemsiz UX və kontekst qorunmasıdır və komanda hədəf axınlar üçün sabit dönüşümlərə nail olur. Bundan əlavə, domen assosiasiyasının auditi infrastruktur yeniləmələri zamanı bağlamaların kəsilməsinin qarşısını alır.
Mühitlər və Buraxılış: Məhsulu / Səhnələndirməni / İnkişafı Ayırmaq və Relizləri Necə İdarə etmək olar
Mühitlərin ayrılması DevOps təcrübələrinin və proqnozlaşdırıla bilən buraxılışların əsasını təşkil edir: Məhsul ayrı açarlar, API son nöqtələri, verilənlər bazası və qurma profilləri ilə Staging/Dev-dən təcrid olunmalıdır. DORA Hesabatı göstərir ki, mühitləri aydın şəkildə ayıran komandalar standartlaşdırılmış proseslər və avtomatlaşdırma sayəsində daha yüksək buraxılış sürəti və daha az insident əldə edirlər (DORA Hesabatı, 2023). Pinup.AZ-da bu, sınaq məlumatlarının və ya açarların istehsal qurğularına sızmasının qarşısını almaq üçün ciddi tikinti profilləri, ətraf mühit sirləri və filialın qorunması deməkdir. Praktiki fayda azaldılmış tənzimləmə riskləri və ödəniş xətaları, üstəgəl daha sürətli buraxılış təsdiqləridir. Case study: istehsalda sınaq API açarının istifadəsi səbəbindən tətbiqin rədd edilməsi CI/CD mərhələsində profillər və yoxlamalar həyata keçirməklə həll edildi.
Dev açarlarının və sınaq son nöqtələrinin istehsala girməsinin qarşısını necə almaq olar
Əsas risk sınaq açarlarının/son nöqtələrin istehsal quruluşuna köçürülməsidir ki, bu da uğursuzluqlara və insidentlərə səbəb olur. OWASP MASVS konfiqurasiyanın ayrılmasını, sirləri mühitlər arasında saxlamağı və qurma vaxtı yoxlamalarını tələb edir (OWASP MASVS v2, 2023). Android-də BuildConfig/Gradle productFlavors istifadə olunur, iOS-da isə hər profilin öz açarları və əsas URL-ləri olan sxemlər/hədəflər istifadə olunur. CI/CD-yə manifest və test dəyərləri üçün konfiqurasiyaların yoxlanılması daxildir, uyğun gəlmədikdə quruluşu bloklayır.
Praktik hal: Test URL-ləri üçün manifestin avtomatik yoxlanması etibarsız son nöqtə ilə quruluşun dərc edilməsinin qarşısını aldı və gizli audit sızmaları və dublikat açarları aradan qaldırdı. İstifadəçinin faydası tətbiqin sabitliyi və ödəniş əməliyyatlarına inamdır. Bundan əlavə, köhnə açarların yığılmasının qarşısını almaq üçün gizli istifadə qeydi və fırlanma həyata keçirilir (NIST SP 800-57, 2020).
Müştərini yeniləmədən düzəliş etmək mümkündürmü?
Müştəri yeniləmələri olmadan düzəlişlər Uzaqdan Konfiqurasiya, server tərəfi açarları və xüsusiyyət məhdudiyyətləri vasitəsilə mümkündür. Firebase sənədləri geri qaytarmaların tez və təhlükəsiz şəkildə tətbiq edilməsini təmin etmək üçün əvvəlcədən defoltların və xüsusiyyət bayraqlarının hazırlanmasını tövsiyə edir; keşlər etibarsız olmalı və dəyişikliklərdən sonra ölçülərə nəzarət edilməlidir (Google Firebase, 2024). Əməliyyat prosesinə dəyişikliklərin auditi, nəzarət qrupları və geniş yayılmış təsir riskini azaltmaq üçün tədricən tətbiqlər daxildir.
Case study: 2023-cü ildə yeni funksiyadakı səhv qəzaların artmasına səbəb oldu; Remote Config vasitəsilə 30 dəqiqəlik geri qaytarma müştəri buraxılışı olmadan qəzaları 80% azaltdı və sonrakı Crashlytics təhlili həllin düzgünlüyünü təsdiqlədi (Google Firebase Crashlytics, 2024). İstifadəçi artan tətbiq dayanıqlığından və azaldılmış riskdən faydalanır, komanda isə idarə oluna bilən cavab mexanizmləri əldə edir. Bu yanaşma etibarlı çatdırılma prinsiplərinə uyğun gəlir (SRE Təlimatları, 2020+).
Nəşr etmək nə qədər vaxt aparır və buraxılışları kim təsdiqləyir?
Nəşretmə vaxtı mağazaya görə dəyişir: Google Play adətən yeniləmələri bir neçə saat ərzində, bəzən uzadılmış rəylər zamanı gecikmələrlə buraxır, Tətbiq Mağazası isə bir gündən bir neçə günə qədər vaxt apara bilən əl ilə nəzərdən keçirməyi tələb edir (Google Play Konsol Siyasətləri, 2024; Apple Tətbiq Mağazasının Baxış Təlimatları, 2024). Buraxılışın təsdiqi keyfiyyət, məxfilik və uyğunluq yoxlama siyahılarını, o cümlədən məxfilik manifestini və icazələrin düzgünlüyünü yoxlayan Reliz Meneceri və mağaza sahibləri tərəfindən həyata keçirilir.
Case study: Pinup.AZ-ın App Store-da buraxılması səhv məxfilik manifestinə görə iki gün gecikdi; düzəltmə və yenidən təqdimetmə uğurlu oldu və bu, metadatanın diqqətlə hazırlanmasına ehtiyac olduğunu təsdiq etdi. İstifadəçinin üstünlüyü buraxılışların proqnozlaşdırıla bilməsi və minimuma endirilmiş iş vaxtıdır. Pinup.AZ yerləşdirmə pəncərələrini planlaşdırır və dəyişiklikləri istifadəçi gözləntilərinə uyğunlaşdırmaq üçün dəstək ilə əlaqə saxlayır.
Geri qaytarma və versiyaya nəzarəti necə təşkil etmək olar
Geriyə qayıtma və versiyaya nəzarət buraxılış dayanıqlığını və hadisələr zamanı geri çəkilmələri idarə etmək qabiliyyətini təmin edir. Semantik versiyalaşdırma (SemVer) artım qaydalarını müəyyən edir: uyğun olmayan dəyişikliklər üçün əsas, yeni xüsusiyyətlər üçün kiçik və düzəlişlər üçün yamaq (SemVer, 2013). Ən yaxşı təcrübə buraxılış artefaktlarını qorumaq, məlumat uyğunluğunu qorumaq və arxa plan və konfiqurasiya uyğunluğu testləri daxil olmaqla, geri qaytarma ssenarilərini əvvəlcədən hazırlamaqdır. OWASP MSTG bu prosesi sancaqlar səbəbiylə «tıxacın» qarşısını almaq üçün kriptoqrafik lövbərlərin saxlanması və fırlanması ilə bağlı tövsiyələrlə tamamlayır (OWASP MSTG, 2023).
Praktik bir vəziyyət: «SSL sancma uğursuzluğu» zamanı, kritik son nöqtələrin mövcudluğunu qorumaqla, saxlanılan artefaktlar, ehtiyat sancaqlar və xüsusiyyət bayraqları sayəsində müştəri buraxılışı olmadan əvvəlki pinlərə geri qaytarma həyata keçirildi. İstifadəçi proqnozlaşdırıla bilən və idarə oluna bilən buraxılışlardan faydalanır və komanda sabitliyi daha tez bərpa edə bilər. Əlavə olaraq, dəyişiklikləri izləmək və təkrarlanmanın qarşısını almaq üçün versiya auditi və konfiqurasiya fərqləri tətbiq edilmişdir.
Metodologiya və mənbələr (E-E-A-T)
Metodologiya sənaye standartlarına, platforma siyasətlərinə və yoxlanıla bilən mənbələrə əsaslanır: OWASP MASVS/MSTG (2023–2024) — mobil təhlükəsizlik, məxfi saxlama, SSL sancması, ətraf mühitin ayrılması; Google Play Konsol Siyasətləri və Google Play Integrity (2021–2024) — AAB, icazələr və bütövlük siqnalları üçün tələblər; Apple Platforma Təhlükəsizliyi və Tətbiq Mağazasının Baxış Təlimatları (2024) — Açar zəncirinin təhlükəsizliyi, nəzərdən keçirmə qaydaları və Proqram İncəlməsi; ISO/IEC 25010 (2020) — proqram təminatının keyfiyyəti (saxlanılabilirlik, istifadəyə yararlılıq, etibarlılıq); Unicode CLDR (2024) — lokalizasiya, tarix/valyuta formatları; ISO 639-1 (2002) və ISO 4217 (2015) — dil və valyuta standartları; DORA Hesabatı (2023) — DevOps səmərəliliyi və ətraf mühitin ayrılması; NIST SP 800-57 (2020) və NIST SP 800-160 (2016) — Əsas İdarəetmə və Etibarlı Sistem Mühəndisliyi; SemVer (2013) — Versiya Təlimatları; GDPR (2018) — Məxfilik Tələbləri; Firebase/OneSignal/Appsflyer Sənədləri (2023–2024) — Analitika, Qəzalar, Uzaqdan Konfiqurasiya, FCM, Atribut və SKAdNetwork. Nəticələr Azərbaycan kontekstinə (ru/az, AZN, Asiya/Baku dilləri) və regiondakı tipik şəbəkə məhdudiyyətlərinə uyğunlaşdırılmışdır, burada audit edilə bilənlik, buraxılışların idarə edilməsi və maliyyə əməliyyatları üçün risklərin azaldılması vurğulanır.