// docs / scans
Types de scan
FixVibe lance trois types de scans contre trois types de cibles. Chacun a des contrôles, une vitesse et un rayon d'impact différents : choisis celui qui correspond à ce que tu testes.
Passif
Disponible à tous les niveaux. Un scan passif n’envoie jamais d’attaques contrefaites ; il récupère le URL comme un navigateur normal et vérifie les réponses envoyées, les actifs du client, l'exposition BaaS, DNS et la posture de sécurité publique par rapport à 260+ passive checks.
Comme il est en lecture seule, le passif peut tourner sur n'importe quelle URL : pas de vérification de domaine, pas d'attestation. Le compromis, c'est la profondeur : le passif manque tout ce qui exige d'envoyer une entrée pour être découvert.
Ce que le passif détecte
- En-têtes de sécurité manquants (HSTS, CSP, frame-options, etc.).
- Attributs de cookies non sûrs (pas de Secure / HttpOnly / SameSite).
- Configuration TLS faible, certificats expirés, preload HSTS manquant.
- Secrets dans les bundles JS (clés de service Supabase, clés AWS, Stripe sk_, etc.).
- Source maps exposées, endpoints de debug, specs OpenAPI, introspection GraphQL.
- RLS Supabase ouverte / règles Firebase / mauvaise configuration Clerk.
- DNS (prise de contrôle de sous-domaine, SPF/DKIM/DMARC manquants).
- Listes de threat intel (Spamhaus, URLhaus).
- Versions de frameworks obsolètes avec CVE connues.
Actif Hobby+
Les analyses actives effectuent une vérification limitée sur les domaines vérifiés que vous avez explicitement autorisés. Ils sont disponibles sur le plan Hobby et les niveaux supérieurs (Pro, Unlimited) et sont conçus pour confirmer les comportements à risque sans publier les recettes de sonde sous-jacentes.
Pourquoi nous le verrouillons : le flux d'attestation
Les sondes actives peuvent théoriquement affecter la production : réponses lentes, pics d'erreurs, données parasites dans des stores de test. Nous te demandons de :
- Vérifier le domaine via DNS TXT ou un fichier HTTP (Compte → Domaines).
- Attester ton autorisation : une confirmation unique au démarrage du scan indiquant que tu as la permission. Elle est horodatée côté serveur avec ton IP, user-agent et timestamp, puis écrite dans
audit_logs.
Pour les nouvelles analyses programmées et les API/MCP démarrages actifs, l'autorisation de domaine est enregistrée à partir de Dashboard → Domains et peut être révoquée à tout moment. Les analyses actives automatisées utilisent le niveau de sécurité autorisé pour ce domaine.
Dépôt GitHub Pro+
Les analyses de dépôt ignorent les tests URL déployés et examinent la source via FixVibe GitHub App ou votre connexion OAuth. Ils signalent les risques de code haute confiance, de dépendance et de sécurité du référentiel sans stocker votre code source.
Les scans de dépôt n'écrivent jamais dans ton dépôt et ne persistent jamais le code source : seules les preuves des constats sont stockées. Quota : même bucket scansPerMonth que les scans d'URL.
Déclencher via l'API
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API et MCP peuvent lancer des analyses passives et des analyses actives pour les domaines vérifiés qui ont été explicitement autorisés dans Dashboard → Domains. Référence complète : /docs/api.
Scans anonymes ponctuels
La page d'accueil permet aux visiteurs non inscrits de lancer un seul scan passif par session de navigateur. Ces scans expirent 24 heures après leur création et peuvent être migrés vers un vrai compte en s'inscrivant avant expiration : le callback d'authentification rattache automatiquement le scan anonyme à la nouvelle organisation.
