Zastrzeżenia i ograniczenia

FixVibe wykonuje automatyczne sprawdzenia wobec URL-i i nazw hostów, które przesyłasz. Sprawdzenia są heurystyczne: szukają wzorców powszechnie kojarzonych z błędnymi konfiguracjami bezpieczeństwa i podatnościami. Dopasowywanie wzorców jest z natury niedoskonałe. Możemy — i czasem produkujemy — wyniki fałszywie pozytywne i fałszywie negatywne.

FixVibe nie jest:

• zamiennikiem testu penetracyjnego przeprowadzonego przez człowieka ani recenzji wykwalifikowanego inżyniera ds. bezpieczeństwa;
• gwarancją, że twoja aplikacja jest bezpieczna, jeśli nie pojawią się żadne wyniki;
• gwarancją, że jakikolwiek wynik jest możliwy do wykorzystania w twoim środowisku;
• profesjonalną ani prawną poradą jakiegokolwiek rodzaju;
• narzędziem do certyfikacji zgodności (FixVibe nie jest SOC 2, ISO 27001, PCI DSS, HIPAA ani oficjalnym audytorem żadnego innego frameworka — sprawdź naszą politykę dopuszczalnego użytkowania, co poświadczamy, a czego nie).

Wyniki fałszywie pozytywne. Wynik oznaczony jako „krytyczny” nie zawsze oznacza, że twoja aplikacja jest krytycznie podatna. Sprawdzenie mogło zostać uruchomione przez wzorzec, który w twoim konkretnym stosie jest nieszkodliwy — na przykład odpowiedź 403 z firewall'a brzegowego, który poprawnie blokuje żądanie, a nie udostępnia plik. Ciężko pracujemy, aby ograniczyć wyniki fałszywie pozytywne, ale nie możemy ich całkowicie wyeliminować.

Wyniki fałszywie negatywne. Czyste skanowanie nie dowodzi, że twoja aplikacja jest bezpieczna. Sprawdzenia heurystyczne pomijają podatności wymagające wiedzy dziedzinowej, zrozumienia logiki biznesowej, wieloetapowych łańcuchów lub przypadków testowych, których nie zaimplementowaliśmy. Brak wyniku nie jest gwarancją bezpieczeństwa.

W przypadku systemów, w których bezpieczeństwo jest krytyczne dla twojego biznesu, powinieneś uzupełniać FixVibe o okresowe profesjonalne testy penetracyjne, program bug-bounty i rygorystyczny przegląd kodu.

Niektóre wyniki FixVibe zawierają proponowane środki zaradcze — instrukcje pisemne, fragmenty kodu lub tekst przeznaczony do przekazania asystentowi kodowania AI. Te sugestie są generowane automatycznie, w niektórych przypadkach przez duży model językowy. Są przeznaczone jako punkt wyjścia do twojego własnego dochodzenia, a nie jako gotowy do użycia kod.

Przed zastosowaniem jakiegokolwiek proponowanego środka zaradczego, w tym jakiegokolwiek tekstu, który oznaczamy jako „prompt” lub „poprawka”, musisz:

1. przeczytać go w całości i potwierdzić, że rozumiesz, co zmienia;
2. potwierdzić, że jest odpowiedni dla twojego konkretnego stosu, wersji frameworka i konfiguracji;
3. przetestować go w środowisku testowym odzwierciedlającym produkcję;
4. przejrzeć diff z osobą wykwalifikowaną przed scaleniem;
5. być gotowym do wycofania zmian, jeśli zmiana spowoduje nieoczekiwane zachowanie.

Wklejanie sugestii generowanej przez AI bezpośrednio do kodu produkcyjnego bez przeglądu jest na twoje własne ryzyko. EGO HERO LLC nie ponosi odpowiedzialności za przestoje, utratę danych, regresje bezpieczeństwa ani inne szkody spowodowane zastosowaniem poprawki zaproponowanej przez FixVibe bez niezależnej weryfikacji.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• powodować spowolnienia lub skoki błędów;
• tworzyć wiersze testowe w twojej bazie danych poprzez sondy iniekcji;
• wyzwalać twoje systemy monitorowania, alertowania lub listy blokowania WAF;
• zużywać limity API stron trzecich (np. dostawców wyszukiwania upstream, bramek SMS), jeśli twoje endpointy przekazują żądania do nich.

Zdecydowanie zalecamy uruchamianie aktywnych skanów w środowiskach testowych. Jeśli musisz skanować produkcję, rób to w oknie konserwacyjnym. Inicjując aktywne skanowanie, potwierdzasz i akceptujesz te ryzyka.

Nasze etykiety ważności (krytyczna, wysoka, średnia, niska, informacja) są skalibrowane względem typowych aplikacji webowych. Nie uwzględniają twojego konkretnego modelu zagrożeń, populacji użytkowników, środowiska regulacyjnego ani wartości aktywów. Wynik „niski” może być materialnym ryzykiem dla fintechu obsługującego środki klientów; wynik „krytyczny” może być nieistotny dla statycznego bloga. Ty jesteś najlepiej usytuowany, aby przełożyć wynik na realne ryzyko.

Wyłącznie ty odpowiadasz za potwierdzenie, że masz uprawnienia do testowania każdego URL lub nazwy hosta, który przesyłasz. Aktywne skany, choć wymagamy weryfikacji własności, nie zwalniają cię z tej odpowiedzialności — weryfikacja dowodzi, że kontrolujesz DNS lub odpowiedź HTTP celu, a nie że masz prawne lub umowne uprawnienia do jego testowania (na przykład aplikacja SaaS, którą obsługujesz na subdomenie domeny, którą kontrolujesz, może nadal podlegać zasadom dopuszczalnego użytkowania jej dostawcy chmury). Zobacz naszą Politykę dopuszczalnego użytkowania, aby uzyskać pełny obraz.

Odpowiedzialność EGO HERO LLC za jakiekolwiek roszczenie wynikające z korzystania przez ciebie z FixVibe jest regulowana przez Sekcję 10 Warunków świadczenia usług, w tym limit łącznych odszkodowań. Korzystając z FixVibe, potwierdzasz, że przeczytałeś i zrozumiałeś tę sekcję.

support@fixvibe.app.