FixVibe

// docs / scans

スキャンの種類

FixVibe は3種類のターゲットに対して3種類のスキャンを実行します。それぞれゲート条件、速度、影響範囲が異なるため、テスト対象に合うものを選んでください。

パッシブ

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

読み取り専用であるため、パッシブスキャンは任意の URL に対して実行できます。ドメイン検証も証明も不要です。その代わり深さには限界があり、入力を送信しないと発見できないものは検出できません。

パッシブで検出できるもの

  • 不足しているセキュリティヘッダー(HSTS、CSP、frame-options など)。
  • 安全でない Cookie 属性(Secure / HttpOnly / SameSite なし)。
  • 弱い TLS 設定、期限切れ証明書、HSTS preload の不足。
  • JS バンドル内のシークレット(Supabase service key、AWS key、Stripe sk_ など)。
  • 公開されたソースマップ、デバッグエンドポイント、OpenAPI 仕様、GraphQL introspection。
  • 開いた Supabase RLS / Firebase ルール / Clerk の設定不備。
  • DNS(サブドメイン乗っ取り、SPF/DKIM/DMARC の不足)。
  • 脅威インテリジェンス掲載(Spamhaus、URLhaus)。
  • 既知の CVE がある古いフレームワークバージョン。

アクティブ Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

ゲートする理由: 証明フロー

アクティブプローブは理論上、本番環境に影響する可能性があります。応答の遅延、エラー増加、テストストアへの不要データ投入などです。そのため、次を求めます。

  1. ドメインを検証する — DNS TXT または HTTP ファイル(Account → Domains)で行います。
  2. 権限を証明する — スキャン開始時に、あなたに許可があることを1回確認します。サーバーは IP、ユーザーエージェント、タイムスタンプを付与し、audit_logs に書き込みます。

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub リポジトリ Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

リポジトリスキャンはリポジトリに書き込まず、ソースコードも永続化しません。保存されるのは検出結果の証拠だけです。クォータは URL スキャンと同じ scansPerMonth 枠です。

API からトリガーする

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

匿名の単発スキャン

ホームページでは、未登録の訪問者がブラウザセッションごとに1回だけパッシブスキャンを実行できます。これらのスキャンは作成から24時間後に期限切れになります。期限切れ前に登録すると実アカウントへ移行でき、認証コールバックが匿名スキャンを新しい org に自動で紐付けます。

スキャンの種類 — Docs · FixVibe