// docs / quotas & limits
Kontingente & Limits
Jeder unten aufgeführte Kontingent- und Rate-Limit-Wert wird zur Build-Zeit aus dem Entitlements-Modul abgeleitet. So kann diese Seite nicht vom tatsächlichen Server-Verhalten abweichen.
Ansprüche pro Tarif
| Kostenlos | Hobby | Pro | Unbegrenzt | |
|---|---|---|---|---|
| Scans / Monat | 3 | 50 | 200 | Unlimited-Plan¹ |
| Projekte (verifizierte Domains) | 1 | 1 | 5 | 20 |
| API-Tokens | 0 | 1 | 5 | 20 |
| Webhook-Endpunkte | 0 | 1 | 5 | 20 |
| Aktive Prüfungen | nein | ja | ja | ja |
| GitHub-Repo-Scans | nein | nein | ja | ja |
| Geplante Neu-Scans | nein | nein | ≥3h-Takt | ≥6h Trittfrequenz |
| Live-Bedrohungserkennung | nein | nein | nein | ja |
| Teilbare Berichte | nein | nein | ja | ja |
| Aufbewahrung | 7 Tage | 30 Tage | 90 Tage | 365 Tage |
| Teamplätze | 1 | 1 | 1 | 5 |
| Support | Standard | Standard | Priorität | dediziert |
¹ Das Scan-Kontingent des Unlimited-Plans unterliegt der fairen Nutzung – siehe Terms. ² Die Projektobergrenze beträgt standardmäßig 20 aktive Überwachungsdomänen bei einer Kadenz von ≥6 Stunden. Wenden Sie sich an support@fixvibe.app, um den Wert im Austausch für eine längere geplante Trittfrequenz zu erhöhen.
API-Rate-Limits
Jeder /api/v1/*- und /api/mcp-Request wird auf einen Hash des Bearer-Tokens keyed und läuft durch zwei Fenster:
- Burst: 10 Requests pro Sekunde.
- Steady: 60 Requests pro Minute.
- Per signed-in user: 30 Scan-Übermittlungen pro 10 Minuten – eine weiche Obergrenze über dem monatlichen Kontingent pro Plan, die Spitzen aufnimmt, ohne das Tagesbudget zu erschöpfen.
Bei 429 enthält die Antwort:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}Das ausgelöste Fenster wird in der Nachricht genannt (burst (10/s) vs. steady (60/min)), damit ein Client-Backoff sich anpassen kann.
Free-Plan-Scan-Ratenbegrenzung (pro IP/24)
Zusätzlich zur Obergrenze von 3 Scans pro Monat pro Organisation gilt für Benutzer des Free Plans ein zusätzliches Ratenlimit pro IP/24: 3 Scans pro rollierende 24 Stunden pro IP /24 Block. Derselbe Begrenzer gilt für anonyme Sofortscans, wodurch verhindert wird, dass Free Kontingente durch Wegwerfkonten auf einem IP gefarmt werden. Anfragen, die das Limit überschreiten, geben HTTP 429 Too Many Requests mit einem Retry-After Header zurück.
Signup-Throttle (pro IP/24)
5 erfolgreiche Anmeldungen pro IP/24 pro 24 Stunden, um automatisierte Free-Plan-Kontoerstellung zu verhindern. Ratenbegrenzte Callbacks leiten zu /sign-in?error=rate_limited weiter.
Aufbewahrung
Scans + Funde werden gemäß obiger Tabelle automatisch gelöscht. Anonyme Einmal-Scans laufen 24h nach Erstellung ab. Audit-Logs werden 18 Monate aufbewahrt. Monitor-Snapshots werden auf die letzten 7 Tage plus die neueste Baseline pro (domain, signal) reduziert. Verworfene Alerts werden nach 90 Tagen gelöscht. Die gesamte Aufbewahrung wird täglich durch /api/cron/retention-cleanup durchgesetzt.
