Odricanje od odgovornosti i ograničenja

FixVibe provodi automatske provjere URL-ova i naziva hostova koje šalješ. Provjere su heurističke: traže uzorke koji se često povezuju s pogrešnim sigurnosnim konfiguracijama i ranjivostima. Prepoznavanje uzoraka je po prirodi nepotpuno. Možemo — i ponekad i jesmo — producirati lažno pozitivne i lažno negativne rezultate.

FixVibe nije:

• zamjena za testiranje penetracije od strane ljudskog stručnjaka ili pregled kvalificiranog sigurnosnog inženjera;
• jamstvo da je tvoja aplikacija sigurna ako se ne pojave nalazi;
• jamstvo da je bilo koji nalaz iskoristiv u tvojoj okolini;
• profesionalni ili pravni savjet bilo koje vrste;
• alat za certificiranje usklađenosti (FixVibe nije "službeni" revizor SOC 2, ISO 27001, PCI DSS, HIPAA ni bilo kojeg drugog okvira — pogledaj naša pravila prihvatljivog korištenja za ono što potvrđujemo i što ne potvrđujemo).

Lažno pozitivni. Nalaz označen kao "kritičan" ne znači uvijek da je tvoja aplikacija kritično ranjiva. Provjera se mogla aktivirati na uzorak koji je u tvojoj specifičnoj tehnologiji benigan — primjerice, odgovor 403 od rubnog vatrozida koji ispravno blokira zahtjev, a ne izlaže datoteku. Trudimo se suzbijati lažno pozitivne rezultate, ali ih ne možemo eliminirati.

Lažno negativni. Čisto skeniranje ne dokazuje da je tvoja aplikacija sigurna. Heurističke provjere propuštaju ranjivosti koje zahtijevaju domensko znanje, razumijevanje poslovne logike, višestepene lance ili testne slučajeve koje nismo implementirali. Odsutnost nalaza nije sigurnosno jamstvo.

Za sustave gdje je sigurnost ključna za tvoje poslovanje, trebao bi kombinirati FixVibe s periodičnim profesionalnim testiranjem penetracije, programom nagrađivanja za otkrivanje bugova i rigoroznim pregledom koda.

Neki nalazi FixVibe-a uključuju predložene popravke — pisane upute, isječke koda ili tekst namijenjen AI asistentima za pisanje koda. Ovi prijedlozi su generirani automatski, u nekim slučajevima od strane velikog jezičnog modela. Namijenjeni su kao polazišna točka za vlastitu istragu, ne kao gotov kod.

Prije primjene bilo kojeg predloženog popravka, uključujući tekst koji označavamo kao "prompt" ili "popravak", moraš:

1. pročitati ga u cijelosti i potvrditi da razumiješ što mijenja;
2. potvrditi da je prikladan za tvoj specifični tehnološki stos, verziju okvira i konfiguraciju;
3. testirati ga u staging okruženju koje odražava produkciju;
4. pregledati razliku s kvalificiranom osobom prije spajanja;
5. biti spreman za povrat promjena ako promjena uzrokuje neočekivano ponašanje.

Lijepljenje AI-generiranog prijedloga izravno u produkcijski kod bez pregleda je na tvoj vlastiti rizik. EGO HERO LLC ne prihvaća nikakvu odgovornost za prekide rada, gubitak podataka, sigurnosne regresije ili druge štete uzrokovane primjenom popravka koji je predložio FixVibe bez neovisne provjere.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• uzrokovati usporenja ili skokove grešaka;
• stvoriti testne retke u tvojoj bazi podataka putem ubacivanja probnih podataka;
• aktivirati tvoj monitoring, sustav uzbunjivanja ili blok-liste WAF-a;
• potrošiti kvote API-ja trećih strana (npr. pružatelji pretrage, SMS pristupnici) ako tvoji endpointi proslijeđuju zahtjeve njima.

Preporučujemo pokretanje aktivnih skeniranja u staging okruženjima. Ako moraš skenirati produkciju, učini to za vrijeme prozora održavanja. Pokretanjem aktivnog skeniranja priznaješ i prihvaćaš te rizike.

Naše oznake ozbiljnosti (kritična, visoka, srednja, niska, info) kalibrirane su prema tipičnim web aplikacijama. Ne uzimaju u obzir tvoj specifičan model prijetnji, korisničku populaciju, regulatornu okolinu ili vrijednost imovine. Nalaz "niske" ozbiljnosti može biti materijalan rizik za fintech koji upravlja klijentskim sredstvima; nalaz "kritične" ozbiljnosti može biti nebitan za statički blog. Ti si u najboljoj poziciji da prevedeš nalaz u stvarni rizik.

Isključivo si odgovoran za potvrdu da imaš ovlast testirati svaki URL ili naziv hosta koji šalješ. Aktivna skeniranja, iako zahtijevamo verifikaciju vlasništva, ne oslobađaju te te odgovornosti — verifikacija dokazuje da kontroliraš DNS ili HTTP odgovor cilja, ne da imaš pravnu ili ugovornu ovlast za testiranje (primjerice, SaaS aplikacija koju vodiš na poddomain domene pod tvojom kontrolom još uvijek može biti podložna pravilima prihvatljivog korištenja pružatelja clouda). Pogledaj naša Pravila prihvatljivog korištenja za potpunu sliku.

Odgovornost EGO HERO LLC-a za bilo koji zahtjev koji proizlazi iz tvog korištenja FixVibe-a regulirana je Odjelom 10 Uvjeta korištenja, uključujući ograničenje ukupne naknade štete. Korištenjem FixVibe-a potvrđuješ da si pročitao i razumio taj odjeljak.

support@fixvibe.app.