ការបដិសេធនិងការកំណត់

FixVibe ដំណើរការការពិនិត្យដោយស្វ័យប្រវត្តិប្រឆាំងនឹង URL និង hostname ដែលអ្នកដាក់ស្នើ។ ការពិនិត្យគឺជា heuristic: ពួកវារកមើលលំនាំដែលទាក់ទងជាធម្មតាជាមួយ security misconfiguration និងភាពងាយរងគ្រោះ។ Pattern-matching គឺខ្ចីហ្វូងធម្មជាតិ។ យើង — ហើយជួនកាល — អាចផលិត false positive និង false negative។

FixVibe មិនមែនជា:

• ការជំនួស penetration test ដោយមនុស្ស ឬការពិនិត្យរបស់ security engineer ដែលមានគុណភាព;
• ការធានាថា application របស់អ្នកមានសុវត្ថិភាព ប្រសិនបើការរកឃើញមិនលេចឡើង;
• ការធានាថាការរកឃើញណាមួយអាចត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងបរិស្ថានរបស់អ្នក;
• ដំបូន្មានវិជ្ជាជីវៈ ឬច្បាប់ណាមួយ;
• ឧបករណ៍ compliance-certification (FixVibe មិនមែនជា auditor "ផ្លូវការ" នៃ SOC 2, ISO 27001, PCI DSS, HIPAA, ឬ framework ណាមួយទេ — សូមមើលគោលការណ៍ប្រើប្រាស់ដែលអាចទទួលយកបានរបស់យើងសម្រាប់អ្វីដែលយើងធ្វើ និងមិនធ្វើ)។

False positive។ ការរកឃើញដែលមានស្លាក "critical" មិនតែងតែមានន័យថា application របស់អ្នកងាយរងគ្រោះយ៉ាងធ្ងន់ធ្ងរទេ។ ការពិនិត្យអាចបានទទួលការជំរុញនៅលំនាំដែល ក្នុង stack ជាក់លាក់របស់អ្នក គឺមិនខ្ចាត់ — ឧទាហរណ៍ ការឆ្លើយតប 403 ពី edge firewall ដែលកំពុងទប់ស្កាត់សំណើបានត្រឹមត្រូវ មិនមែនលាតត្រដាងឯកសារ។ យើងព្យាយាមទប់ស្កាត់ false positive ប៉ុន្តែមិនអាចលុបបំបាត់ពួកវាបានទេ។

False negative។ ការស្កែនស្អាតមិនបញ្ជាក់ថា application របស់អ្នកមានសុវត្ថិភាពទេ។ ការពិនិត្យ heuristic ខកខានភាពងាយរងគ្រោះដែលតម្រូវឱ្យមានចំណេះដឹង domain ការយល់ដឹង business-logic ខ្សែសង្វាក់ multi-step ឬ test case ដែលយើងមិនទាន់អនុវត្ត។ ការអវត្តមានការរកឃើញមិនមែនជាការធានាសុវត្ថិភាពទេ។

សម្រាប់ប្រព័ន្ធដែលសុវត្ថិភាពមានសារៈសំខាន់ចំពោះអាជីវកម្មរបស់អ្នក អ្នកគួរតែបញ្ចូល FixVibe ជាមួយ penetration testing វិជ្ជាជីវៈតាមកាលកំណត់ កម្មវិធី bug-bounty និង code review យ៉ាងម៉ត់ចត់។

ការរកឃើញ FixVibe មួយចំនួនមាន remediation ដែលបានណែនាំ — ការណែនាំជាលាយលក្ខណ៍អក្សរ code snippet ឬសំណេរដែលមានបំណងបញ្ជូនទៅ AI coding assistant។ ការណែនាំទាំងនេះត្រូវបានផលិតដោយស្វ័យប្រវត្តិ ក្នុងករណីខ្លះដោយ large language model។ ពួកវាមានបំណងជាចំណុចចាប់ផ្តើមសម្រាប់ការស៊ើបអង្កេតផ្ទាល់ខ្លួនរបស់អ្នក មិនមែនជា code drop-in ទេ។

មុនពេលអនុវត្ត remediation ដែលបានណែនាំ រួមទាំងសំណេរណាដែលយើងដាក់ស្លាកថា "prompt" ឬ "fix" អ្នកត្រូវ:

1. អានវាទាំងស្រុង ហើយបញ្ជាក់ថាអ្នកយល់ពីអ្វីដែលវាផ្លាស់ប្តូរ;
2. បញ្ជាក់ថាវាមានភាពសមស្របសម្រាប់ stack ជំនាន់ framework និងការកំណត់ជាក់លាក់របស់អ្នក;
3. សាកល្បងវានៅក្នុងបរិស្ថាន staging ដែលឆ្លុះបញ្ចាំង production;
4. ពិនិត្យ diff ជាមួយអ្នកដែលមានគុណភាពមុនពេលបញ្ចូល;
5. រៀបចំខ្លួនដើម្បី rollback ប្រសិនបើការផ្លាស់ប្តូរបង្កឱ្យមានឥរិយាបថដែលមិនបានរំពឹងទុក។

ការដាក់ការណែនាំ AI-generated ដោយផ្ទាល់ក្នុង code production ដោយគ្មានការពិនិត្យគឺដោយហានិភ័យផ្ទាល់ខ្លួនរបស់អ្នក។ EGO HERO LLC មិនទទួលខុសត្រូវចំពោះការរាំងស្ទះ ការបាត់ខាតទិន្នន័យ security regression ឬការខូចខាតផ្សេងទៀតដែលបណ្តាលមកពីការអនុវត្តការជួសជុលដែលបានណែនាំដោយ FixVibe ដោយគ្មានការផ្ទៀងផ្ទាត់ឯករាជ្យទេ។

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• បង្កឱ្យមានការឈឺចាប់ ឬការផ្ទុះ error;
• បង្កើតជួរ test នៅក្នុង database របស់អ្នកតាម injection probe;
• ជំរុញ monitoring paging ឬ WAF block list របស់អ្នក;
• ប្រើ quota API third-party (ឧទាហរណ៍ upstream search provider SMS gateway) ប្រសិនបើ endpoint របស់អ្នក proxy ទៅពួកវា។

យើងណែនាំយ៉ាងម៉ត់ចត់ឱ្យដំណើរការស្កែន active ប្រឆាំងនឹងបរិស្ថាន staging។ ប្រសិនបើអ្នកត្រូវស្កែន production ធ្វើវាក្នុងពេល maintenance window។ តាមរយៈការចាប់ផ្តើមស្កែន active អ្នកទទួលស្គាល់ និងទទួលយកហានិភ័យទាំងនេះ។

ស្លាក severity របស់យើង (critical, high, medium, low, info) ត្រូវបានកំណត់ប្រឆាំងនឹង web application ធម្មតា។ ពួកវាមិនគិតពី threat model ជាក់លាក់របស់អ្នក ចំនួនប្រជាជន user បរិស្ថានបទបញ្ញត្តិ ឬតម្លៃទ្រព្យសម្បត្តិ។ ការរកឃើញ "low" អាចជាហានិភ័យសំខាន់សម្រាប់ fintech ដែលគ្រប់គ្រងប្រាក់ client; ការរកឃើញ "critical" អាចមិនពាក់ព័ន្ធសម្រាប់ static blog។ អ្នកគឺស្ថិតនៅក្នុងទីតាំងល្អបំផុតដើម្បីបកស្រាយការរកឃើញទៅជាហានិភ័យពិតប្រាកដ។

អ្នកទទួលខុសត្រូវតែមួយគត់ក្នុងការបញ្ជាក់ថាអ្នកមានអំណាចដើម្បីសាកល្បង URL ឬ hostname គ្រប់ចំណុចដែលអ្នកដាក់ស្នើ។ ស្កែន active ទោះបីយើងទាមទារ ownership verification ក៏ដោយ មិនបំបាត់ទំនួលខុសត្រូវនេះចេញពីអ្នកទេ — ការ verification បញ្ជាក់ថាអ្នកគ្រប់គ្រង DNS ឬការឆ្លើយតប HTTP របស់គោលដៅ មិនមែនថាអ្នកមានអំណាចច្បាប់ ឬកិច្ចសន្យាដើម្បីសាកល្បងវា (ឧទាហរណ៍ SaaS app ដែលអ្នកដំណើរការលើ subdomain នៃ domain ដែលអ្នកគ្រប់គ្រងអាចនៅតែជាប់ពាក់ព័ន្ធនឹងច្បាប់ acceptable-use របស់ cloud provider)។ សូមមើល គោលការណ៍ប្រើប្រាស់ដែលអាចទទួលយកបាន របស់យើងសម្រាប់ព័ត៌មានពេញលេញ។

ទំនួលខុសត្រូវរបស់ EGO HERO LLC ចំពោះការទាមទារណាមួយដែលកើតចេញពីការប្រើ FixVibe របស់អ្នកត្រូវបានគ្រប់គ្រងដោយផ្នែក 10 នៃ លក្ខខណ្ឌសេវាកម្ម រួមមាន cap លើការខូចខាត aggregate។ តាមរយៈការប្រើ FixVibe អ្នកទទួលស្គាល់ថាអ្នកបានអាន និងយល់ពីផ្នែកនោះ។

support@fixvibe.app.