// docs / scans
스캔 유형
FixVibe는 세 가지 유형의 대상에 대해 세 가지 종류의 스캔을 실행합니다. 각각 다른 접근 제어, 속도, 영향 범위를 가지고 있습니다 — 테스트하려는 것에 맞는 것을 선택하세요.
패시브
모든 계층에서 사용 가능합니다. 패시브 스캔은 조작된 공격 입력을 전송하지 않습니다. 일반 브라우저처럼 URL을 가져와 전송된 응답, 클라이언트 자산, BaaS 노출, DNS 및 260+ passive checks에 대한 공공 보안 상태를 확인합니다.
읽기 전용이므로 패시브 스캔은 어떤 URL에도 실행할 수 있습니다. 도메인 확인도, attestation도 필요 없습니다. 대신 깊이가 trade-off입니다. 입력을 보내야만 발견되는 문제는 패시브로 놓칠 수 있습니다.
패시브가 잡아내는 것
- 누락된 보안 헤더(HSTS, CSP, frame-options 등).
- 안전하지 않은 쿠키 속성(Secure / HttpOnly / SameSite 누락).
- 약한 TLS 설정, 만료된 인증서, HSTS preload 누락.
- JS bundle 안의 secret(Supabase service key, AWS key, Stripe sk_ 등).
- 노출된 source map, debug endpoint, OpenAPI spec, GraphQL introspection.
- 열린 Supabase RLS / Firebase rules / Clerk misconfiguration.
- DNS(subdomain takeover, SPF/DKIM/DMARC 누락).
- Threat-intel listing(Spamhaus, URLhaus).
- 알려진 CVE가 있는 오래된 framework 버전.
액티브 Hobby+
활성 스캔은 명시적으로 승인한 확인된 도메인에 대해 제한된 검증을 수행합니다. Hobby 계획 및 상위 계층(Pro, Unlimited)에서 사용할 수 있으며 기본 프로브 레시피를 게시하지 않고도 위험한 동작을 확인하도록 설계되었습니다.
게이트를 두는 이유: attestation 흐름
액티브 프로브는 이론적으로 프로덕션에 영향을 줄 수 있습니다. 느린 응답, 오류 spike, 테스트 저장소의 garbage data 같은 문제가 생길 수 있습니다. 그래서 다음을 요구합니다.
- DNS TXT 또는 HTTP file로 도메인을 확인하세요(Account → Domains).
- 스캔 시작 시 권한이 있음을 한 번 확인하는 권한 attestation을 합니다. 서버는 IP, user-agent, timestamp를 찍어
audit_logs에 기록합니다.
예약된 재검색 및 API/MCP 활성 시작의 경우 도메인 승인은 Dashboard → Domains에서 기록되며 언제든지 취소될 수 있습니다. 자동 활성 검사는 해당 도메인에 대해 승인된 안전 수준을 사용합니다.
GitHub 저장소 Pro+
Repo 스캔은 배포된 URL 테스트를 건너뛰고 FixVibe GitHub App 또는 OAuth 연결을 통해 소스를 검토합니다. 소스 코드를 저장하지 않고도 신뢰도가 높은 코드, 종속성, 저장소 보안 위험을 보고합니다.
Repo 스캔은 repo에 절대 쓰지 않으며 source code도 저장하지 않습니다. finding evidence만 저장합니다. Quota는 URL 스캔과 같은 scansPerMonth bucket을 사용합니다.
API로 트리거
curl -X POST https://fixvibe.app/api/v1/scans \
-H "Authorization: Bearer fxv_..." \
-H "content-type: application/json" \
-d '{"target":"https://staging.example.com"}'REST API 및 MCP은 수동 검색을 시작할 수 있으며 Dashboard → Domains에서 명시적으로 승인된 확인된 도메인에 대해 활성 검색을 시작할 수 있습니다. 전체 참조: /docs/api.
익명 one-shot 스캔
홈 페이지에서는 가입하지 않은 방문자가 브라우저 세션당 패시브 스캔을 한 번 실행할 수 있습니다. 이 스캔은 생성 후 24시간 뒤 만료되며, 만료 전에 가입하면 실제 계정으로 마이그레이션할 수 있습니다. auth callback이 익명 스캔을 새 org에 자동으로 연결합니다.
