// docs / scans

Скан түрлері

FixVibe үш түрлі нысанаға қарсы үш түрлі скан жүргізеді. Әрқайсысының gate-тері, жылдамдығы және әсер ету ауқымы бөлек — тексеріп жатқан нәрсеңізге сәйкесін таңдаңыз.

Passive

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

Read-only болғандықтан, passive кез келген URL-ға қарсы жүре алады — domain verification жоқ, attestation жоқ. Trade-off — depth: input жіберуді қажет ететін нәрсенің бәрін passive өткізіп алады.

Passive не табады

Жоқ security headers (HSTS, CSP, frame-options, т.б.).
Қауіпсіз емес cookie attributes (Secure / HttpOnly / SameSite жоқ).
Әлсіз TLS configuration, expired certs, HSTS preload жоқ.
JS bundles ішіндегі secrets (Supabase service keys, AWS keys, Stripe sk_, т.б.).
Exposed source maps, debug endpoints, OpenAPI specs, GraphQL introspection.
Ашық Supabase RLS / Firebase rules / Clerk misconfiguration.
DNS (subdomain takeover, missing SPF/DKIM/DMARC).
Threat-intel listings (Spamhaus, URLhaus).
Known CVEs бар outdated framework versions.

Active Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

Неге gate қоямыз: attestation flow

Active probes теориялық түрде production-ға әсер етуі мүмкін — slow responses, error spikes, test stores ішіндегі garbage data. Біз сізден мынаны талап етеміз:

Domain-ды verify етіңіз — DNS TXT немесе HTTP file арқылы (Account → Domains).
Attest authorization — scan-start кезінде рұқсатыңыз бар екенін айтатын бір confirmation. IP, user-agent және timestamp-пен server-stamped; audit_logs ішіне жазылады.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo scans ешқашан repo-ға write етпейді және source code persist етпейді — тек finding evidence сақталады. Quota: URL scans-пен бірдей scansPerMonth bucket.

API арқылы trigger ету

curl

curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

Анонимді бір реттік scans

Home page unsigned-up visitors-қа browser session сайын бір passive scan іске қосуға мүмкіндік береді. Бұл scans creation-нан кейін 24 сағатта expire болады және expire болмай тұрып signup жасасаңыз real account-қа migrated болады — auth callback anonymous scan-ды new org-қа автоматты attach етеді.