// docs / quotas & limits
クォータと制限
以下のすべてのクォータとレート制限値は、ビルド時にエンタイトルメントモジュールから導出されます。そのため、このページがサーバーで実際に強制される内容からずれることはありません。
プラン別エンタイトルメント
| 無料 | ホビー | プロ | 無制限 | |
|---|---|---|---|---|
| スキャン / 月 | 3 | 50 | 200 | Unlimited プラン¹ |
| プロジェクト(検証済みドメイン) | 1 | 1 | 5 | 20 |
| API トークン | 0 | 1 | 5 | 20 |
| Webhook エンドポイント | 0 | 1 | 5 | 20 |
| アクティブプローブ | いいえ | はい | はい | はい |
| GitHub リポジトリスキャン | いいえ | いいえ | はい | はい |
| スケジュール済み再スキャン | いいえ | いいえ | 3h以上の間隔 | ≥6h cadence |
| ライブ脅威検出 | いいえ | いいえ | いいえ | はい |
| 共有可能なレポート | いいえ | いいえ | はい | はい |
| 保持期間 | 7日 | 30日 | 90日 | 365日 |
| チーム席数 | 1 | 1 | 1 | 5 |
| サポート | 標準 | 標準 | 優先 | 専用 |
¹ The Unlimited plan's scan quota is subject to fair use — see Terms. ² The project cap defaults to 20 active-monitoring domains at ≥6h cadence. Contact support@fixvibe.app to raise it in exchange for a longer scheduled cadence.
API レート制限
すべての /api/v1/* と /api/mcp リクエストは Bearer トークンのハッシュをキーにし、2つのウィンドウを通過します。
- バースト: 1秒あたり10リクエストです。
- 定常: 1分あたり60リクエストです。
- Per signed-in user: 30 scan submissions per 10 minutes — a soft cap above the per-plan monthly quota that absorbs bursts without exhausting the daily budget.
429 の場合、レスポンスには次が含まれます。
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}どのウィンドウに引っかかったかはメッセージ内で示されます(burst (10/s) と steady (60/min))。そのため、クライアントのバックオフを適応できます。
Free プランのスキャンレート制限(IP/24 ごと)
On top of the per-org 3-scans-per-month cap, Free plan users face an additional per-IP/24 rate limit: 3 scans per rolling 24 hours per IP /24 block. The same limiter covers anonymous instant scans, which prevents farming Free quota through throwaway accounts on one IP. Requests exceeding the limit return HTTP 429 Too Many Requests with a Retry-After header.
サインアップスロットル(IP/24 ごと)
IP/24 あたり 24 時間で成功するサインアップは 5 回までで、Free プランの自動アカウント作成を防ぎます。レート制限されたコールバックは /sign-in?error=rate_limited にリダイレクトされます。
保持
スキャンと検出結果は上の表に従って自動削除されます。匿名の単発スキャンは作成から24時間後に期限切れになります。監査ログは18か月保持されます。監視スナップショットは直近7日分と (domain, signal) ごとの最新ベースラインに削られます。閉じたアラートは90日後に削除されます。すべての保持処理は /api/cron/retention-cleanup により毎日強制されます。