Odricanje od odgovornosti i ograničenja

FixVibe pokreće automatizirane provjere protiv URL-ova i naziva hosta koje podnosiš. Provjere su heurističke: traže obrasce koji se obično povezuju s pogrešnim konfiguracijama sigurnosti i ranjivostima. Podudaranje obrazaca je suštinski nedosavršeno. Možemo — i ponekad to radimo — producirati lažno pozitivne i lažno negativne rezultate.

FixVibe nije:

• zamjena za ljudski penetracijski test ili pregled kvalificiranog sigurnosnog inženjera;
• garancija da je tvoja aplikacija sigurna ako se ne pojave nalazi;
• garancija da je bilo koji nalaz iskoristiv u tvom okruženju;
• profesionalni ili pravni savjet bilo koje vrste;
• alat za certifikaciju usklađenosti (FixVibe nije "službeni" revizor SOC 2, ISO 27001, PCI DSS, HIPAA ili bilo kojeg drugog okvira — pogledaj naš pravilnik o prihvatljivom korištenju za šta potvrđujemo i šta ne).

Lažno pozitivni. Nalaz označen kao "kritičan" ne znači uvijek da je tvoja aplikacija kritično ranjiva. Provjera se mogla pokrenuti na obrascu koji je, u tvom specifičnom stacku, benigan — na primjer, odgovor 403 od rubnog vatrozida koji ispravno blokira zahtjev, a ne izlaže datoteku. Marljivo radimo na suzbijanju lažno pozitivnih, ali ih ne možemo u potpunosti eliminirati.

Lažno negativni. Čisto skeniranje ne dokazuje da je tvoja aplikacija sigurna. Heurističke provjere propuštaju ranjivosti koje zahtijevaju domensko znanje, razumijevanje poslovne logike, višekoračne lance ili testne slučajeve koje nismo implementirali. Odsutnost nalaza nije sigurnosna garancija.

Za sisteme gdje je sigurnost ključna za tvoje poslovanje, trebalo bi slojiti FixVibe s periodičnim profesionalnim penetracijskim testiranjem, programom bug-bounty i rigoroznim pregledom koda.

Neki nalazi FixVibe uključuju predložene korekcije — pisane upute, isječke koda ili tekst namijenjen prosljeđivanju AI asistentु za kodiranje. Ovi prijedlozi su generirani automatski, u nekim slučajevima velikim jezičnim modelom. Namijenjeni su kao polazna točka za tvoju vlastitu istragu, a ne kao gotov kod.

Prije primjene bilo koje predložene korekcije, uključujući bilo koji tekst koji označavamo kao "prompt" ili "fix", moraš:

1. pročitati ga u cijelosti i potvrditi da razumiješ šta mijenja;
2. potvrditi da je prikladan za tvoj specifični stack, verziju okvira i konfiguraciju;
3. testirati ga u staging okruženju koje odražava produkciju;
4. pregledati diff s nekim kvalificiranim prije spajanja;
5. biti spreman na povrat ako promjena uzrokuje neočekivano ponašanje.

Lijepljenje AI-generiranog prijedloga direktno u produkcijski kod bez pregleda na tvoj je vlastiti rizik. EGO HERO LLC ne prihvata odgovornost za ispade, gubitak podataka, sigurnosne regresije ili druge štete uzrokovane primjenom FixVibe-predložene ispravke bez neovisne verifikacije.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• uzrokovati usporavanje ili skokove grešaka;
• kreirati testne retke u tvojoj bazi podataka putem injection sondi;
• pokrenuti tvoje liste blokade za nadzor, paging ili WAF;
• trošiti kvote API trećih strana (npr. upstream pružatelji pretraživanja, SMS gateway) ako tvoji krajnji točki proksiraju prema njima.

Snažno preporučujemo pokretanje aktivnih skeniranja protiv staging okruženja. Ako moraš skenirati produkciju, učini to u prozoru održavanja. Pokretanjem aktivnog skeniranja priznaješ i prihvataš ove rizike.

Naše oznake ozbiljnosti (kritična, visoka, srednja, niska, info) kalibrirane su prema tipičnim web aplikacijama. Ne uzimaju u obzir tvoj specifični model prijetnji, populaciju korisnika, regulatorno okruženje ili vrijednost imovine. "Nizak" nalaz može biti materijalni rizik za fintech koji rukuje sredstvima klijenta; "kritičan" nalaz može biti irelevantan za statički blog. Ti si u najboljoj poziciji da pretvoriš nalaz u realni rizik.

Ti si isključivo odgovoran za potvrdu da imaš ovlaštenje za testiranje svakog URL-a ili naziva hosta koji podnosiš. Aktivna skeniranja, čak i ako zahtijevamo verifikaciju vlasništva, ne oslobađaju te od ove odgovornosti — verifikacija dokazuje da kontroliraš DNS ili HTTP odgovor cilja, a ne da imaš zakonsko ili ugovorno pravo ga testirati (na primjer, SaaS aplikacija koju upravljaš na poddmeni domene koju kontroliraš može i dalje biti podložna pravilima prihvatljive upotrebe njenog cloud provajdera). Pogledaj naš Pravilnik o prihvatljivom korištenju za potpunu sliku.

Odgovornost EGO HERO LLC za bilo koji zahtjev koji proizlazi iz tvog korištenja FixVibe regulirana je Odjeljkom 10 Uvjeta korištenja, uključujući gornju granicu ukupne štete. Korištenjem FixVibe potvrđuješ da si pročitao i razumio taj odjeljak.

support@fixvibe.app.