// docs / quotas & limits
クォータと制限
以下のすべてのクォータとレート制限値は、ビルド時にエンタイトルメントモジュールから導出されます。そのため、このページがサーバーで実際に強制される内容からずれることはありません。
プラン別エンタイトルメント
| 無料 | ホビー | プロ | 無制限 | |
|---|---|---|---|---|
| スキャン / 月 | 3 | 50 | 200 | Unlimited プラン¹ |
| プロジェクト(検証済みドメイン) | 1 | 1 | 5 | 20 |
| API トークン | 0 | 1 | 5 | 20 |
| Webhook エンドポイント | 0 | 1 | 5 | 20 |
| アクティブプローブ | いいえ | はい | はい | はい |
| GitHub リポジトリスキャン | いいえ | いいえ | はい | はい |
| スケジュール済み再スキャン | いいえ | いいえ | 3h以上の間隔 | ≥6 時間のケイデンス |
| ライブ脅威検出 | いいえ | いいえ | いいえ | はい |
| 共有可能なレポート | いいえ | いいえ | はい | はい |
| 保持期間 | 7日 | 30日 | 90日 | 365日 |
| チーム席数 | 1 | 1 | 1 | 5 |
| サポート | 標準 | 標準 | 優先 | 専用 |
¹ Unlimited プランのスキャン クォータはフェアユースの対象となります。Terms を参照してください。 ² プロジェクトの上限は、デフォルトで 6 時間以上の頻度で 20 個のアクティブ監視ドメインに設定されます。 support@fixvibe.app に連絡して、スケジュールされたケイデンスを長くする代わりに値を上げてください。
API レート制限
すべての /api/v1/* と /api/mcp リクエストは Bearer トークンのハッシュをキーにし、2つのウィンドウを通過します。
- バースト: 1秒あたり10リクエストです。
- 定常: 1分あたり60リクエストです。
- Per signed-in user: 10 分あたり 30 件のスキャン送信 — プランごとの月次割り当てを超えるソフト キャップで、1 日の予算を使い果たすことなくバーストを吸収します。
429 の場合、レスポンスには次が含まれます。
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}どのウィンドウに引っかかったかはメッセージ内で示されます(burst (10/s) と steady (60/min))。そのため、クライアントのバックオフを適応できます。
Free プランのスキャンレート制限(IP/24 ごと)
Free プランのユーザーには、組織ごとの月あたり 3 スキャンの上限に加えて、IP/24 ごとの追加のレート制限が適用されます。つまり、IP /24 ブロックごとにローリング 24 時間あたり 3 スキャンです。同じリミッターが匿名インスタント スキャンにも適用され、1 つの IP の使い捨てアカウントによる Free クォータの確保を防ぎます。制限を超えるリクエストは、Retry-After ヘッダーを持つ HTTP 429 Too Many Requests を返します。
サインアップスロットル(IP/24 ごと)
IP/24 あたり 24 時間で成功するサインアップは 5 回までで、Free プランの自動アカウント作成を防ぎます。レート制限されたコールバックは /sign-in?error=rate_limited にリダイレクトされます。
保持
スキャンと検出結果は上の表に従って自動削除されます。匿名の単発スキャンは作成から24時間後に期限切れになります。監査ログは18か月保持されます。監視スナップショットは直近7日分と (domain, signal) ごとの最新ベースラインに削られます。閉じたアラートは90日後に削除されます。すべての保持処理は /api/cron/retention-cleanup により毎日強制されます。
