// docs / quotas & limits
Kontingente & Limits
Jeder unten aufgeführte Kontingent- und Rate-Limit-Wert wird zur Build-Zeit aus dem Entitlements-Modul abgeleitet. So kann diese Seite nicht vom tatsächlichen Server-Verhalten abweichen.
Ansprüche pro Tarif
| Kostenlos | Hobby | Pro | Unbegrenzt | |
|---|---|---|---|---|
| Scans / Monat | 3 | 50 | 200 | Unlimited-Plan¹ |
| Projekte (verifizierte Domains) | 1 | 1 | 5 | 20 |
| API-Tokens | 0 | 1 | 5 | 20 |
| Webhook-Endpunkte | 0 | 1 | 5 | 20 |
| Aktive Prüfungen | nein | ja | ja | ja |
| GitHub-Repo-Scans | nein | nein | ja | ja |
| Geplante Neu-Scans | nein | nein | ≥3h-Takt | ≥6h cadence |
| Live-Bedrohungserkennung | nein | nein | nein | ja |
| Teilbare Berichte | nein | nein | ja | ja |
| Aufbewahrung | 7 Tage | 30 Tage | 90 Tage | 365 Tage |
| Teamplätze | 1 | 1 | 1 | 5 |
| Support | Standard | Standard | Priorität | dediziert |
¹ The Unlimited plan's scan quota is subject to fair use — see Terms. ² The project cap defaults to 20 active-monitoring domains at ≥6h cadence. Contact support@fixvibe.app to raise it in exchange for a longer scheduled cadence.
API-Rate-Limits
Jeder /api/v1/*- und /api/mcp-Request wird auf einen Hash des Bearer-Tokens keyed und läuft durch zwei Fenster:
- Burst: 10 Requests pro Sekunde.
- Steady: 60 Requests pro Minute.
- Per signed-in user: 30 scan submissions per 10 minutes — a soft cap above the per-plan monthly quota that absorbs bursts without exhausting the daily budget.
Bei 429 enthält die Antwort:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}Das ausgelöste Fenster wird in der Nachricht genannt (burst (10/s) vs. steady (60/min)), damit ein Client-Backoff sich anpassen kann.
Free-Plan-Scan-Ratenbegrenzung (pro IP/24)
On top of the per-org 3-scans-per-month cap, Free plan users face an additional per-IP/24 rate limit: 3 scans per rolling 24 hours per IP /24 block. The same limiter covers anonymous instant scans, which prevents farming Free quota through throwaway accounts on one IP. Requests exceeding the limit return HTTP 429 Too Many Requests with a Retry-After header.
Signup-Throttle (pro IP/24)
5 erfolgreiche Anmeldungen pro IP/24 pro 24 Stunden, um automatisierte Free-Plan-Kontoerstellung zu verhindern. Ratenbegrenzte Callbacks leiten zu /sign-in?error=rate_limited weiter.
Aufbewahrung
Scans + Funde werden gemäß obiger Tabelle automatisch gelöscht. Anonyme Einmal-Scans laufen 24h nach Erstellung ab. Audit-Logs werden 18 Monate aufbewahrt. Monitor-Snapshots werden auf die letzten 7 Tage plus die neueste Baseline pro (domain, signal) reduziert. Verworfene Alerts werden nach 90 Tagen gelöscht. Die gesamte Aufbewahrung wird täglich durch /api/cron/retention-cleanup durchgesetzt.