Tüm makaleler
Mühendislik

SaaS MVP Lansman Kontrol Listesi: Yayına Almadan Önce Yapılacak 20 Şey

SaaS MVP'nizi yayına almadan önce bu 20 temel maddeyi tamamladığınızdan emin olun — kimlik doğrulama ve ödemelerden hata izleme, hukuki sayfalar ve SEO temellerine kadar.

Murat DUMLU26 Mart 202610 dk okuma

Çoğu geliştirici aylarca özellik geliştirip ardından lansmanı aceleye getirerek önemli adımları atlar. Bu kontrol listesi, SaaS ürününüzden bahsetmeden önce hazır bulundurmanız gereken 20 şeyi kapsar.

Kimlik Doğrulama ve Erişim

1. Düzgün karma ile e-posta + şifre kimlik doğrulama. Şifreler bcrypt (maliyet faktörü ≥ 12) veya Argon2 ile karma yapılmalıdır. Asla düz metin saklamayın. Şifreler için asla MD5 veya SHA-1 kullanmayın.

2. E-posta doğrulama. Kullanıcıların ücretli özelliklere erişmeden önce e-postalarını doğrulamalarını zorunlu kılın. Bu, sahtekarlığı azaltır, e-posta gönderdiğinizde iletim oranını iyileştirir ve onaylı bir iletişim kanalı sağlar.

3. Şifre sıfırlama akışı. Uçtan uca test edin. Sıfırlama bağlantısı 1 saat içinde sona ermeli. Sıfırlama sonrasında mevcut tüm oturumlar geçersiz kılınmalı.

4. Kimlik doğrulama endpoint'lerinde hız sınırlama. Hız sınırlaması olmadan giriş ve kayıt endpoint'leriniz kimlik bilgisi doldurma ve brute force saldırılarının hedefi olur. Kimlik doğrulama rotalarında en az IP başına 5 istek/dakika uygulayın.

Ödemeler

5. Üretimde çalışan ödeme akışı. Sandbox değil — gerçek üretim. Gerçek kartla test edin. Webhook'un tetiklendiğini ve veritabanınızın güncellendiğini doğrulayın. Bu, lansman günü bozulan tek en yaygın şeydir.

6. Abonelik yönetimi. Kullanıcıların size e-posta göndermeden yükseltme, düşürme ve iptal yapabilmesi gerekir. Otomatikleştirin.

7. Fatura makbuzu e-postaları. Çoğu hukuki sistemde yasal gereklilik. Çoğu ödeme işlemcisi (Stripe, iyzico) bunları otomatik olarak gönderir — yapılandırıldığından emin olun.

Hata Yönetimi ve İzleme

8. Hata izleme. Sentry (ücretsiz katman) veya Highlight.io, işlenmemiş istisnaları yakalar ve size uyarı gönderir. Bu olmadan, çökmeleri kullanıcılar size e-posta gönderdiğinde öğrenirsiniz — ya da göndermediklerinde.

9. Backend'de yapılandırılmış loglama. console.log yerine logger (Pino, Winston) kullanın. Üretimde loglar aranabilir olmalıdır. Railway ve Vercel'in her ikisi de yapılandırılmış logları kontrol panellerinde gösterir.

10. Zarif hata sayfaları. "Internal Server Error" yazan bir 500 sayfası bitmemiş görünür. Kullanıcıların geri gitmesine yardımcı olan bir 404 profesyonel görünür. Her ikisi de 20 dakikaya değer.

Güvenlik

11. Her yerde HTTPS. API callback'leri ve webhook'lar dahil her endpoint. Çoğu hosting platformu (Railway, Vercel) bunu otomatik olarak yönetir — etkinleştirildiğini doğrulayın.

12. CORS doğru şekilde yapılandırılmış. API'niz üretimde yalnızca frontend domain'inizden gelen istekleri kabul etmelidir. Joker karakter * CORS politikası bir güvenlik riskidir.

13. Ortam değişkenlerindeki gizli anahtarlar. Kodunuzda veya git geçmişinizde API anahtarı, JWT secret'ı veya veritabanı parolası olmamalı. Emin değilseniz git log -p ile denetleyin.

14. Girdi doğrulama. API sınırında tüm kullanıcı girdilerini doğrulayın ve sanitize edin. NestJS'te class-validator, sade bir Express uygulamasında Zod kullanın. İstemciden gelen verilere asla güvenmeyin.

Hukuki ve Güven

15. Gizlilik Politikası. AB kullanıcılarınız varsa GDPR gereği zorunludur (ve olacaktır). Hangi verileri topladığınızı, nasıl kullandığınızı ve kullanıcıların silme talebini nasıl yapabileceğini açıklamalıdır.

16. Kullanım Koşulları. Sizi hukuki olarak korur. En azından kabul edilebilir kullanım, abonelik koşulları, sorumluluk sınırlaması ve yürürlükteki hukuku kapsayın.

17. Çerez onayı (gerekirse). Analitik çerezler veya izleme kullanıyorsanız AB mevzuatı rızayı zorunlu kılar. Yalnızca zorunlu/oturum çerezleri kullanıyorsanız gizlilik politikanızda basit bir bildirim yeterlidir.

SEO ve Pazarlama Temelleri

18. Google Search Console'a gönderilmiş sitemap.xml. Bu olmadan Google sayfalarınızı yine bulabilir; ancak daha uzun sürer. Manuel olarak gönderin ve 48 saat sonra kapsam raporunu kontrol edin.

19. Open Graph meta etiketleri. Biri Twitter, LinkedIn veya Slack'te linkinizi paylaştığında, önizleme ürün adınızı, açıklamanızı ve iyi görünen bir görseli göstermelidir. OG etiketleri olmadan önizleme düz metindir.

20. Domain'iniz için gerçek bir e-posta adresi. Bir Gmail değil, hello@urunüm.com veya destek@urunüm.com. Domain doğrulamalı e-posta, iletim oranını iyileştirir ve profesyonel görünür. SPF, DKIM ve DMARC kayıtlarını ayarlayın.

Boilerplate'i Otomatikleştirin

1–4. maddeler (kimlik doğrulama), 8–14. maddeler (hata yönetimi ve güvenlik) ve deployment yapılandırması otomatik olarak üretilebilir. PromptForge, kimlik doğrulama, hız sınırlama, girdi doğrulama, Dockerfile ve CI/CD yapılandırması yerleşik NestJS uygulamaları üretir — böylece tek satır iş mantığı yazmadan önce bu listeden 14 maddeyi işaretleyebilirsiniz.

Backend'inizi ücretsiz oluşturun ve bu listedeki 14 maddeyi tek satır iş mantığı yazmadan önce tamamlayın.

AI ile SaaS'ınızı oluşturmaya hazır mısınız?

Tek bir prompttan eksiksiz bir NestJS + Prisma backend oluşturun — ücretsiz deneyin.

Ücretsiz başla