// docs / quotas & limits
Kvoter og grænser
Alle kvote- og rate-limit-værdier nedenfor kommer fra entitlement-modulet ved build time, så denne side aldrig kan afvige fra det, serveren faktisk håndhæver.
Entitlements pr. niveau
| Gratis | Hobby | Pro | Ubegrænset | |
|---|---|---|---|---|
| Scanninger / måned | 3 | 50 | 200 | Unlimited-planen¹ |
| Projekter (verificerede domæner) | 1 | 1 | 5 | 20 |
| API-tokens | 0 | 1 | 5 | 20 |
| Webhook-endpoints | 0 | 1 | 5 | 20 |
| Aktive probes | nej | ja | ja | ja |
| GitHub-reposcanninger | nej | nej | ja | ja |
| Planlagte genscanninger | nej | nej | ≥3t kadence | ≥6h cadence |
| Live-trusselsregistrering | nej | nej | nej | ja |
| Delbare rapporter | nej | nej | ja | ja |
| Opbevaring | 7 dage | 30 dage | 90 dage | 365 dage |
| Teampladser | 1 | 1 | 1 | 5 |
| Support | standard | standard | prioriteret | dedikeret |
¹ The Unlimited plan's scan quota is subject to fair use — see Terms. ² The project cap defaults to 20 active-monitoring domains at ≥6h cadence. Contact support@fixvibe.app to raise it in exchange for a longer scheduled cadence.
API-rate limits
Hver /api/v1/*- og /api/mcp-request keyes på en hash af bearer-tokenet og kører gennem to vinduer:
- Burst: 10 requests pr. sekund.
- Steady: 60 requests pr. minut.
- Per signed-in user: 30 scan submissions per 10 minutes — a soft cap above the per-plan monthly quota that absorbs bursts without exhausting the daily budget.
Ved 429 indeholder svaret:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}Det vindue, der blev ramt, navngives i beskeden (burst (10/s) vs steady (60/min)), så en klient-backoff kan tilpasse sig.
Scanningshastighedsgrænse for Free-planen (per IP/24)
On top of the per-org 3-scans-per-month cap, Free plan users face an additional per-IP/24 rate limit: 3 scans per rolling 24 hours per IP /24 block. The same limiter covers anonymous instant scans, which prevents farming Free quota through throwaway accounts on one IP. Requests exceeding the limit return HTTP 429 Too Many Requests with a Retry-After header.
Signup-throttle (pr. IP/24)
5 vellykkede tilmeldinger per IP/24 hver 24. time, for at forhindre automatiseret kontooprettelse på Free-planen. Begrænsede callbacks omdirigerer til /sign-in?error=rate_limited.
Opbevaring
Scanninger + fund auto-purges efter tabellen ovenfor. Anonyme engangsscanninger udløber 24t efter oprettelse. Audit logs opbevares i 18 måneder. Monitor-snapshots beskæres til de seneste 7 dage plus den nyeste baseline pr. (domæne, signal). Afviste alarmer slettes efter 90 dage. Al opbevaring håndhæves dagligt af /api/cron/retention-cleanup.