כתב ויתור והגבלות

FixVibe מריץ בדיקות אוטומטיות על כתובות URL ומארחים שאתם מגישים. הבדיקות היוריסטיות: הן מחפשות דפוסים הקשורים בדרך כלל לתצורות אבטחה שגויות ולחולשות. התאמת דפוסים היא בטבעה בעלת אובדן מידע. אנחנו יכולים — וחלק מהזמן — לייצר חיוביים כוזבים ושליליים כוזבים.

FixVibe אינו:

• תחליף לבדיקות חדירה אנושיות או לסקירה של מהנדס אבטחה מוסמך;
• ערובה לכך שהיישום שלכם מאובטח אם לא מופיעים ממצאים;
• ערובה לכך שממצא כלשהו ניתן לניצול בסביבה שלכם;
• ייעוץ מקצועי או משפטי מכל סוג שהוא;
• כלי לאישור ציות (FixVibe אינו המבקר ה"רשמי" של SOC 2, ISO 27001, PCI DSS, HIPAA, או כל מסגרת אחרת — עיינו במדיניות השימוש המותר שלנו למה שאנחנו מאשרים ולמה לא).

חיוביים כוזבים. ממצא מסומן כ"קריטי" לא תמיד מציין שהיישום שלכם אכן חשוף בצורה קריטית. הבדיקה עשויה להיות מופעלת על דפוס שבמחסנית הספציפית שלכם הוא שפיר — למשל, תגובת 403 מחומת אש בקצה שחוסמת בקשה כיאות, ואינה חושפת קובץ. אנחנו עובדים קשה לדכא חיוביים כוזבים אך איננו יכולים לבטל אותם לגמרי.

שליליים כוזבים. סריקה נקייה אינה מוכיחה שהיישום שלכם מאובטח. הבדיקות ההיוריסטיות מחמיצות חולשות הדורשות ידע תחומי, הבנת לוגיקה עסקית, שרשראות רב-שלביות, או מקרי בחינה שלא הטמענו. היעדר ממצא אינו ערובה לאבטחה.

עבור מערכות שבהן האבטחה קריטית לעסקים שלכם, כדאי לשכב את FixVibe עם בדיקות חדירה מקצועיות תקופתיות, תוכנית bug-bounty, וסקירת קוד מקיפה.

חלק מממצאי FixVibe כוללים תיקונים מוצעים — הוראות כתובות, קטעי קוד, או טקסט שנועד להועבר לעוזר תכנות AI. ההצעות הללו נוצרות אוטומטית, ובחלק מהמקרים על ידי מודל שפה גדול. הן נועדו כנקודת פתיחה לחקירה שלכם, לא ככוד מוכן להדבקה.

לפני יישום כל תיקון מוצע, כולל כל טקסט שאנחנו מסמנים כ"פרומפט" או "תיקון", עליכם:

1. לקרוא אותו במלואו ולאשר שאתם מבינים מה הוא משנה;
2. לאשר שהוא מתאים למחסנית הספציפית שלכם, לגרסת המסגרת, ולתצורה שלכם;
3. לבחון אותו בסביבת staging שמשקפת ייצור;
4. לסקור את ה-diff עם מישהו מוסמך לפני מיזוג;
5. להיות מוכנות לבצע rollback אם השינוי גורם להתנהגות בלתי צפויה.

הדבקת הצעה שנוצרה על ידי AI ישירות לקוד ייצור ללא סקירה היא על אחריותכם בלבד. EGO HERO LLC אינה נושאת באחריות לשיבושים, אובדן נתונים, רגרסיות אבטחה, או נזקים אחרים הנגרמים מיישום תיקון שהוצע על ידי FixVibe ללא אימות עצמאי.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• לגרום להאטות או לקפיצות שגיאות;
• ליצור שורות בדיקה במסד הנתונים שלכם דרך probes הזרקה;
• להפעיל את רשימות החסימה של הניטור, ההתראות, או ה-WAF שלכם;
• לצרוך מכסות API של צד שלישי (למשל, ספקי חיפוש upstream, שערי SMS) אם נקודות הקצה שלכם מייצגות אותם.

אנחנו ממליצים בחום להריץ סריקות פעילות נגד סביבות staging. אם חייבים לסרוק ייצור, עשו זאת במהלך חלון תחזוקה. על ידי הפעלת סריקה פעילה, אתם מכירים ומקבלים את הסיכונות הללו.

תוויות החומרה שלנו (קריטי, גבוה, בינוני, נמוך, מידע) מכוילות מול יישומי אינטרנט אופייניים. הן אינן מביאות בחשבון את מודל האיום הספציפי שלכם, אוכלוסיית המשתמשים, הסביבה הרגולטורית, או ערך הנכסים שלכם. ממצא "נמוך" עשוי להוות סיכון מהותי לחברת פינטק המנהלת כספי לקוחות; ממצא "קריטי" עשוי להיות בלתי רלוונטי לבלוג סטטי. אתם הכי טובים לתרגם ממצא לסיכון בעולם האמיתי.

אתם אחראים באופן בלעדי לאשר שיש לכם סמכות לבדוק כל כתובת URL או מארח שאתם מגישים. סריקות פעילות, גם כשאנחנו דורשים אימות בעלות, אינן פוטרות אתכם מאחריות זו — האימות מוכיח שאתם שולטים בתגובת ה-DNS או ה-HTTP של היעד, לא שיש לכם סמכות משפטית או חוזית לבדוק אותו (למשל, יישום SaaS שאתם מפעילים על תת-דומיין של דומיין שאתם שולטים בו עשוי עדיין להיות כפוף לכללי השימוש המותר של ספק הענן שלו). ראו את מדיניות השימוש המותר שלנו לתמונה המלאה.

אחריותה של EGO HERO LLC לכל תביעה הנובעת משימושכם ב-FixVibe מוסדרת בסעיף 10 של תנאי השימוש, כולל תקרת הנזקים המצטברים. על ידי שימוש ב-FixVibe אתם מאשרים שקראתם והבנתם סעיף זה.

support@fixvibe.app.