Avviso e limitazioni

FixVibe esegue controlli automatizzati sugli URL e i nomi host che invii. I controlli sono euristici: cercano schemi comunemente associati a configurazioni di sicurezza errate e vulnerabilità. Il riconoscimento di schemi è fondamentalmente imperfetto. Possiamo — e talvolta accade — produrre falsi positivi e falsi negativi.

FixVibe non è:

• un sostituto di un test di penetrazione manuale o della revisione di un ingegnere della sicurezza qualificato;
• una garanzia che la tua applicazione sia sicura se non compaiono risultati;
• una garanzia che un risultato sia sfruttabile nel tuo ambiente;
• consulenza professionale o legale di alcun tipo;
• uno strumento di certificazione di conformità (FixVibe non è l'auditor “ufficiale” di SOC 2, ISO 27001, PCI DSS, HIPAA o qualsiasi altro framework — consulta la nostra politica di uso accettabile per sapere cosa attestiamo e cosa no).

Falsi positivi. Un risultato etichettato come “critico” non significa sempre che la tua applicazione sia criticamente vulnerabile. Il controllo potrebbe essersi attivato su uno schema che, nel tuo stack specifico, è benigno — ad esempio, una risposta 403 di un firewall perimetrale che blocca correttamente una richiesta, senza esporre alcun file. Lavoriamo duramente per sopprimere i falsi positivi, ma non possiamo eliminarli.

Falsi negativi. Una scansione pulita non prova che la tua applicazione sia sicura. I controlli euristici non rilevano le vulnerabilità che richiedono conoscenza del dominio, comprensione della logica di business, catene in più fasi o casi di test che non abbiamo ancora implementato. L'assenza di un risultato non è una garanzia di sicurezza.

Per i sistemi in cui la sicurezza è critica per la tua attività, dovresti integrare FixVibe con test di penetrazione professionali periodici, un programma di bug bounty e revisioni del codice rigorose.

Alcuni risultati di FixVibe includono rimedi suggeriti — istruzioni scritte, frammenti di codice o testo da passare a un assistente di codifica IA. Questi suggerimenti vengono generati automaticamente, in alcuni casi da un modello linguistico di grandi dimensioni. Sono pensati come punto di partenza per la tua indagine, non come codice pronto all'uso.

Prima di applicare qualsiasi rimedio suggerito, incluso qualsiasi testo che etichettiamo come “prompt” o “fix”, devi:

1. leggerlo per intero e confermare di aver capito cosa modifica;
2. confermare che sia appropriato per il tuo stack specifico, la versione del framework e la configurazione;
3. testarlo in un ambiente di staging che rispecchi la produzione;
4. far revisionare il diff da una persona qualificata prima di effettuare il merge;
5. essere pronto a eseguire un rollback se la modifica causa comportamenti imprevisti.

Incollare un suggerimento generato da IA direttamente nel codice di produzione senza revisione è a tuo rischio. EGO HERO LLC non accetta alcuna responsabilità per interruzioni del servizio, perdita di dati, regressioni della sicurezza o altri danni causati dall'applicazione di una correzione suggerita da FixVibe senza verifica indipendente.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• causare rallentamenti o picchi di errori;
• creare righe di test nel tuo database tramite sonde di iniezione;
• attivare il tuo monitoraggio, gli avvisi o le liste di blocco del WAF;
• consumare quote API di terze parti (es. fornitori di ricerca upstream, gateway SMS) se i tuoi endpoint li utilizzano come proxy.

Consigliamo vivamente di eseguire scansioni attive su ambienti di staging. Se devi analizzare la produzione, fallo durante una finestra di manutenzione. Avviando una scansione attiva, riconosci e accetti questi rischi.

Le nostre etichette di gravità (critico, alto, medio, basso, info) sono calibrate sulle applicazioni web tipiche. Non tengono conto del tuo specifico modello di minaccia, della tua popolazione di utenti, del tuo contesto normativo o del valore dei tuoi asset. Un risultato “basso” può rappresentare un rischio materiale per una fintech che gestisce fondi di clienti; un risultato “critico” può essere irrilevante per un blog statico. Tu sei nella posizione migliore per tradurre un risultato in un rischio reale.

Sei l'unico responsabile di confermare di avere l'autorità per testare ogni URL o nome host che invii. Le scansioni attive, anche se richiediamo la verifica della proprietà, non ti esonerano da questa responsabilità — la verifica dimostra che controlli il DNS o la risposta HTTP di un obiettivo, non che tu abbia l'autorità legale o contrattuale per testarlo (ad esempio, un'app SaaS che gestisci su un sottodominio di un dominio che controlli potrebbe comunque essere soggetta alle regole di uso accettabile del suo cloud provider). Consulta la nostra Politica di Uso Accettabile per il quadro completo.

La responsabilità di EGO HERO LLC per qualsiasi reclamo derivante dall'uso di FixVibe è disciplinata dalla Sezione 10 dei Termini di Servizio, incluso il limite massimo sui danni aggregati. Utilizzando FixVibe dichiari di aver letto e compreso tale sezione.

support@fixvibe.app.