// docs / scans
スキャンの種類
FixVibe は3種類のターゲットに対して3種類のスキャンを実行します。それぞれゲート条件、速度、影響範囲が異なるため、テスト対象に合うものを選んでください。
パッシブ
すべてのレベルで利用可能です。パッシブ スキャンでは、細工された攻撃入力が送信されることはありません。通常のブラウザと同様に URL を取得し、送信された応答、クライアント資産、BaaS の露出、DNS、および 260+ passive checks に対する公安体制をチェックします。
読み取り専用であるため、パッシブスキャンは任意の URL に対して実行できます。ドメイン検証も証明も不要です。その代わり深さには限界があり、入力を送信しないと発見できないものは検出できません。
パッシブで検出できるもの
- 不足しているセキュリティヘッダー(HSTS、CSP、frame-options など)。
- 安全でない Cookie 属性(Secure / HttpOnly / SameSite なし)。
- 弱い TLS 設定、期限切れ証明書、HSTS preload の不足。
- JS バンドル内のシークレット(Supabase service key、AWS key、Stripe sk_ など)。
- 公開されたソースマップ、デバッグエンドポイント、OpenAPI 仕様、GraphQL introspection。
- 開いた Supabase RLS / Firebase ルール / Clerk の設定不備。
- DNS(サブドメイン乗っ取り、SPF/DKIM/DMARC の不足)。
- 脅威インテリジェンス掲載(Spamhaus、URLhaus)。
- 既知の CVE がある古いフレームワークバージョン。
アクティブ Hobby+
アクティブ スキャンは、明示的に許可した検証済みドメインに対して制限付き検証を実行します。これらは Hobby プランおよび上位層 (Pro、Unlimited) で利用でき、基礎となるプローブ レシピを公開せずに危険な動作を確認するように設計されています。
ゲートする理由: 証明フロー
アクティブプローブは理論上、本番環境に影響する可能性があります。応答の遅延、エラー増加、テストストアへの不要データ投入などです。そのため、次を求めます。
- ドメインを検証する — DNS TXT または HTTP ファイル(Account → Domains)で行います。
- 権限を証明する — スキャン開始時に、あなたに許可があることを1回確認します。サーバーは IP、ユーザーエージェント、タイムスタンプを付与し、
audit_logsに書き込みます。
スケジュールされた再スキャンと API/MCP のアクティブな開始の場合、ドメイン認証は Dashboard → Domains から記録され、いつでも取り消すことができます。自動アクティブ スキャンでは、そのドメインに対して承認された安全レベルが使用されます。
GitHub リポジトリ Pro+
リポジトリ スキャンでは、デプロイされた URL テストがスキップされ、FixVibe GitHub App または OAuth 接続を通じてソースがレビューされます。これらは、ソース コードを保存せずに、信頼性の高いコード、依存関係、およびリポジトリのセキュリティ リスクを報告します。
リポジトリスキャンはリポジトリに書き込まず、ソースコードも永続化しません。保存されるのは検出結果の証拠だけです。クォータは URL スキャンと同じ scansPerMonth 枠です。
API からトリガーする
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API と MCP はパッシブ スキャンを開始でき、Dashboard → Domains で明示的に承認された検証済みドメインのアクティブ スキャンを開始できます。完全な参照: /docs/api。
匿名の単発スキャン
ホームページでは、未登録の訪問者がブラウザセッションごとに1回だけパッシブスキャンを実行できます。これらのスキャンは作成から24時間後に期限切れになります。期限切れ前に登録すると実アカウントへ移行でき、認証コールバックが匿名スキャンを新しい org に自動で紐付けます。
