Vyloučení odpovědnosti a omezení

FixVibe provádí automatické kontroly URL adres a názvů hostitelů, které odesíláš. Kontroly jsou heuristické: hledají vzory běžně spojené s chybnými konfiguracemi zabezpečení a zranitelnostmi. Porovnávání vzorů je ze své podstaty nedokonalé. Můžeme — a někdy produkujeme — falešně pozitivní a falešně negativní výsledky.

FixVibe není:

• náhradou za penetrační test provedený člověkem nebo revizi kvalifikovaného bezpečnostního inženýra;
• zárukou, že tvá aplikace je bezpečná, pokud se neobjeví žádné nálezy;
• zárukou, že jakýkoli nález je zneužitelný ve tvém prostředí;
• profesionálním ani právním poradenstvím jakéhokoli druhu;
• nástrojem pro certifikaci souladu s předpisy (FixVibe není SOC 2, ISO 27001, PCI DSS, HIPAA ani „oficiálním” auditorem žádného jiného rámce — v naší politice přijatelného užívání se dočteš, co potvrzujeme a co ne).

Falešně pozitivní výsledky. Nález označený jako „kritický” neznamená vždy, že tvá aplikace je kriticky zranitelná. Kontrola se mohla spustit na základě vzoru, který je v tvém konkrétním stacku neškodný — například odpověď 403 od hraničního firewallu, který správně blokuje požadavek, nikoli vystavuje soubor. Tvrdě pracujeme na potlačení falešně pozitivních výsledků, ale nemůžeme je zcela eliminovat.

Falešně negativní výsledky. Čistý sken nedokazuje, že tvá aplikace je bezpečná. Heuristické kontroly přehlížejí zranitelnosti, které vyžadují znalost domény, porozumění obchodní logice, víceúrovňové řetězce nebo testovací případy, které jsme neimplementovali. Absence nálezu není bezpečnostní zárukou.

U systémů, kde je bezpečnost pro tvoje podnikání klíčová, bys měl FixVibe doplnit pravidelnými profesionálními penetračními testy, programem bug-bounty a důslednou revizí kódu.

Některé nálezy FixVibe obsahují navrhované nápravné kroky — písemné instrukce, fragmenty kódu nebo text určený k předání asistentovi pro kódování s umělou inteligencí. Tato doporučení jsou generována automaticky, v některých případech velkým jazykovým modelem. Jsou zamýšlena jako výchozí bod pro tvoje vlastní šetření, nikoli jako hotový kód.

Před aplikací jakéhokoli navrhovaného nápravného kroku, včetně textu, který označujeme jako „prompt” nebo „oprava”, musíš:

1. přečíst jej celý a potvrdit, že rozumíš, co mění;
2. potvrdit, že je vhodný pro tvůj konkrétní stack, verzi frameworku a konfiguraci;
3. otestovat jej ve staging prostředí, které odráží produkci;
4. přezkoumat diff s kvalifikovanou osobou před sloučením;
5. být připraven na vrácení zpět, pokud změna způsobí neočekávané chování.

Vkládání sugestí generovaných umělou inteligencí přímo do produkčního kódu bez revize je na tvoje vlastní riziko. EGO HERO LLC nepřijímá žádnou odpovědnost za výpadky, ztrátu dat, bezpečnostní regrese ani jiné škody způsobené aplikací opravy navržené FixVibe bez nezávislého ověření.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• způsobit zpomalení nebo nárůst chyb;
• vytvořit testovací řádky v tvé databázi prostřednictvím injekčních sond;
• spustit tvoje monitorovací, pagerové nebo blokační seznamy WAF;
• spotřebovávat limity API třetích stran (např. upstream poskytovatelů vyhledávání, SMS bran), pokud tvoje endpointy na ně přesměrovávají.

Důrazně doporučujeme spouštět aktivní skeny v staging prostředích. Pokud musíš skenovat produkci, proveď to během okna plánované údržby. Zahájením aktivního skenu tyto rizika uznáváš a přijímáš.

Naše označení závažnosti (kritická, vysoká, střední, nízká, informace) jsou kalibrována vůči typickým webovým aplikacím. Nezohledňují tvůj konkrétní model hrozeb, populaci uživatelů, regulatorní prostředí ani hodnotu aktiv. Nález „nízké” závažnosti může být materiálním rizikem pro fintech spravující prostředky klientů; nález „kritické” závažnosti může být irelevantní pro statický blog. Ty jsi nejlépe pozicován k tomu, aby ses přeložit nález do reálného rizika.

Výlučně ty odpovídáš za potvrzení, že máš oprávnění testovat každou URL nebo název hostitele, který odesíláš. Aktivní skeny, přestože vyžadujeme ověření vlastnictví, tě z této odpovědnosti nevyviňují — ověření dokazuje, že ovládáš DNS nebo HTTP odpověď cíle, nikoli že máš právní nebo smluvní oprávnění jej testovat (například SaaS aplikace, kterou provozuješ na subdoméně domény, kterou kontroluješ, může stále podléhat pravidlům přijatelného použití jejího poskytovatele cloudu). Úplný přehled najdeš v naší Politice přijatelného užívání.

Odpovědnost EGO HERO LLC za jakýkoli nárok vyplývající z tvého použití FixVibe se řídí Oddílem 10 Podmínek služby, včetně stropu celkových náhrad. Používáním FixVibe potvrzuješ, že jsi tento oddíl přečetl a pochopil.

support@fixvibe.app.