FixVibe

// docs / scans

스캔 유형

FixVibe는 세 가지 유형의 대상에 대해 세 가지 종류의 스캔을 실행합니다. 각각 다른 접근 제어, 속도, 영향 범위를 가지고 있습니다 — 테스트하려는 것에 맞는 것을 선택하세요.

패시브

Available on every tier. A passive scan never sends crafted attack input; it fetches the URL like a normal browser and checks shipped responses, client assets, BaaS exposure, DNS, and public security posture against 250+ vulnerability classes.

읽기 전용이므로 패시브 스캔은 어떤 URL에도 실행할 수 있습니다. 도메인 확인도, attestation도 필요 없습니다. 대신 깊이가 trade-off입니다. 입력을 보내야만 발견되는 문제는 패시브로 놓칠 수 있습니다.

패시브가 잡아내는 것

  • 누락된 보안 헤더(HSTS, CSP, frame-options 등).
  • 안전하지 않은 쿠키 속성(Secure / HttpOnly / SameSite 누락).
  • 약한 TLS 설정, 만료된 인증서, HSTS preload 누락.
  • JS bundle 안의 secret(Supabase service key, AWS key, Stripe sk_ 등).
  • 노출된 source map, debug endpoint, OpenAPI spec, GraphQL introspection.
  • 열린 Supabase RLS / Firebase rules / Clerk misconfiguration.
  • DNS(subdomain takeover, SPF/DKIM/DMARC 누락).
  • Threat-intel listing(Spamhaus, URLhaus).
  • 알려진 CVE가 있는 오래된 framework 버전.

액티브 Hobby+

Active scans perform bounded verification against verified domains you have explicitly authorized. They are available on the Hobby plan and higher tiers (Pro, Unlimited) and are designed to confirm risky behavior without publishing the underlying probe recipes.

게이트를 두는 이유: attestation 흐름

액티브 프로브는 이론적으로 프로덕션에 영향을 줄 수 있습니다. 느린 응답, 오류 spike, 테스트 저장소의 garbage data 같은 문제가 생길 수 있습니다. 그래서 다음을 요구합니다.

  1. DNS TXT 또는 HTTP file로 도메인을 확인하세요(Account → Domains).
  2. 스캔 시작 시 권한이 있음을 한 번 확인하는 권한 attestation을 합니다. 서버는 IP, user-agent, timestamp를 찍어 audit_logs에 기록합니다.

For scheduled re-scans and API/MCP active starts, domain authorization is recorded from Dashboard → Domains and can be revoked at any time. Automated active scans use the authorized safety level for that domain.

GitHub repository Pro+

Repo scans skip deployed URL testing and review source through the FixVibe GitHub App or your OAuth connection. They report high-confidence code, dependency, and repository-security risks without storing your source code.

Repo 스캔은 repo에 절대 쓰지 않으며 source code도 저장하지 않습니다. finding evidence만 저장합니다. Quota는 URL 스캔과 같은 scansPerMonth bucket을 사용합니다.

API로 트리거

curl
curl -X POST https://fixvibe.app/api/v1/scans \
  -H "Authorization: Bearer fxv_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://staging.example.com"}'

REST API and MCP can start passive scans, and can start active scans for verified domains that have been explicitly authorized in Dashboard → Domains. Full reference: /docs/api.

익명 one-shot 스캔

홈 페이지에서는 가입하지 않은 방문자가 브라우저 세션당 패시브 스캔을 한 번 실행할 수 있습니다. 이 스캔은 생성 후 24시간 뒤 만료되며, 만료 전에 가입하면 실제 계정으로 마이그레이션할 수 있습니다. auth callback이 익명 스캔을 새 org에 자동으로 연결합니다.

스캔 유형 — Docs · FixVibe