Atruna un ierobežojumi

FixVibe veic automatizētas pārbaudes pret URL un resursdatoru nosaukumiem, ko tu iesniedz. Pārbaudes ir heiristiskas: tās meklē parakstus, kas parasti saistīti ar drošības nepareizām konfigurācijām un ievainojamībām. Parakstu atpazīšana ir principiāli nepilnīga. Mēs varam — un dažreiz darām — radīt viltus pozitīvus un viltus negatīvus rezultātus.

FixVibe nav:

• aizstājējs cilvēku veiktam iespiešanās testam vai kvalificēta drošības inženiera pārskatam;
• garantija, ka tava lietojumprogramma ir droša, ja neparādās atklājumi;
• garantija, ka kāds atklājums ir izmantojams tavā vidē;
• profesionāls vai juridisks padoms jebkāda veida;
• atbilstības sertifikācijas rīks (FixVibe nav SOC 2, ISO 27001, PCI DSS, HIPAA vai cita ietvara “oficiālais” revidents — skatiet mūsu pieņemamas lietošanas politiku, lai noskaidrotu, ko mēs apliecinām un ko ne).

Viltus pozitīvi. Atklājums ar marķējumu “kritisks” ne vienmēr nozīmē, ka tava lietojumprogramma ir kritiski ievainojama. Pārbaude var būt aktivizējusies pēc paraksta, kas tavā konkrētajā stekā ir nekaitīgs — piemēram, 403 atbilde no malas ugunsmūra, kas pareizi bloķē pieprasījumu, nevis atklāj failu. Mēs cenšamies novērst viltus pozitīvus, bet nevaram tos pilnībā izskaust.

Viltus negatīvi. Tīra skenēšana nepierāda, ka tava lietojumprogramma ir droša. Heiristiskās pārbaudes palaiž garām ievainojamības, kurām nepieciešamas domēna zināšanas, biznesa loģikas izpratne, daudzsoļu ķēdes vai testa gadījumi, ko mēs neesam ieviesuši. Atklājuma neesamība nav drošības garantija.

Sistēmām, kurās drošība ir kritiska tavam biznesam, FixVibe vajadzētu apvienot ar regulāriem profesionāliem iespiešanās testiem, kļūdu atlīdzināšanas programmu un rūpīgu koda pārskatīšanu.

Daži FixVibe atklājumi ietver ieteiktos risinājumus — rakstiskas instrukcijas, koda fragmentus vai tekstu, kas paredzēts nosūtīšanai AI kodēšanas palīgam. Šie ieteikumi ir ģenerēti automātiski, dažos gadījumos ar liela valodas modeļa palīdzību. Tie ir paredzēti kā sākuma punkts tavam pašam izmeklēšanai, nevis kā gatavs kods.

Pirms jebkāda ieteiktā risinājuma piemērošanas, tostarp jebkura teksta, ko mēs apzīmējam kā “uzvedni” vai “labojumu”, tev ir:

1. pilnībā izlasīt to un apstiprināt, ka saproti, ko tas maina;
2. apstiprināt, ka tas ir piemērots tavam konkrētajam stekam, ietvara versijai un konfigurācijai;
3. testēt to starpposma vidē, kas atspoguļo ražošanu;
4. pārskatīt atšķirību ar kādu kvalificētu personu pirms apvienošanas;
5. būt gatavam atcelšanai, ja izmaiņa rada neparedzētu uzvedību.

AI ģenerēta ieteikuma ielīmēšana tieši ražošanas kodā bez pārskatīšanas notiek tavā pašu riskā. EGO HERO LLC neuzņemas nekādu atbildību par darbības pārtraukumiem, datu zudumu, drošības regresijām vai citiem zaudējumiem, kas radušies, piemērojot FixVibe ieteiktu labojumu bez neatkarīgas pārbaudes.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• izraisīt palēnināšanos vai kļūdu smailes;
• izveidot testa rindas tavā datubāzē caur injekcijas zonēšanu;
• aktivizēt tavas monitoringa, pageru vai WAF bloķēšanas sarakstus;
• izlietot trešo pušu API kvotus (piem., augšupplūsmas meklēšanas pakalpojumu sniedzēji, SMS vārtejās), ja tavi galapunkti tiem starpniekpiekļūst.

Mēs stingri iesakām aktīvās skenēšanas veikt pret starpposma vidēm. Ja tev ir jāskenē ražošana, dari to apkopes logā. Uzsākot aktīvu skenēšanu, tu atzīsti un pieņem šos riskus.

Mūsu smaguma marķējumi (kritisks, augsts, vidējs, zems, informācija) ir kalibrēti pret tipiskām tīmekļa lietojumprogrammām. Tie neņem vērā tavu konkrēto draudu modeli, lietotāju populāciju, regulatīvo vidi vai aktīvu vērtību. “Zems” atklājums var būt būtisks risks finanšu tehnoloģijas uzņēmumam, kas apstrādā klientu līdzekļus; “kritisks” atklājums var būt nebūtisks statiskam blogam. Tu esi vislabāk novietots, lai pārveidotu atklājumu reālā riskā.

Tu esi vienīgais atbildīgais par to, ka tev ir pilnvaras testēt katru URL vai resursdatora nosaukumu, ko iesniedz. Aktīvās skenēšanas, pat ja mēs pieprasām īpašumtiesību pārbaudi, neatbrīvo tevi no šīs atbildības — pārbaude apliecina, ka tu kontrolē mērķa DNS vai HTTP atbildi, nevis to, ka tev ir juridiskas vai līgumiskas pilnvaras to testēt (piemēram, SaaS lietojumprogramma, ko darbini domēna apakšdomēnā, ko kontrolē, joprojām var būt pakļauta tā mākoņa pakalpojumu sniedzēja pieņemamas lietošanas noteikumiem). Skatiet mūsu Pieņemamas lietošanas politiku, lai iegūtu pilnu ainu.

EGO HERO LLC atbildība par jebkuru prasību, kas izriet no tava FixVibe lietošanas, tiek regulēta ar Pakalpojuma noteikumu 10. paragrāfu, tostarp ierobežojumu kopējiem zaudējumiem. Lietojot FixVibe, tu atzīsti, ka esi izlasījis un sapratis šo paragrāfu.

support@fixvibe.app.