Aviso e limitações

O FixVibe executa verificações automatizadas contra URLs e nomes de host que você envia. As verificações são heurísticas: buscam padrões comumente associados a configurações incorretas de segurança e vulnerabilidades. A correspondência de padrões é fundamentalmente imperfeita. Podemos — e às vezes isso ocorre — produzir falsos positivos e falsos negativos.

O FixVibe não é:

• um substituto para um teste de penetração manual ou a revisão de um engenheiro de segurança qualificado;
• uma garantia de que sua aplicação é segura se nenhum resultado aparecer;
• uma garantia de que algum resultado seja explorável no seu ambiente;
• aconselhamento profissional ou jurídico de qualquer natureza;
• uma ferramenta de certificação de conformidade (o FixVibe não é o auditor “oficial” de SOC 2, ISO 27001, PCI DSS, HIPAA ou qualquer outro framework — consulte nossa política de uso aceitável para saber o que atestamos e o que não atestamos).

Falsos positivos. Um resultado rotulado como “crítico” não significa sempre que sua aplicação seja criticamente vulnerável. A verificação pode ter sido acionada por um padrão que, no seu stack específico, é benigno — por exemplo, uma resposta 403 de um firewall de borda que está bloqueando corretamente uma requisição, e não expondo um arquivo. Trabalhamos muito para suprimir falsos positivos, mas não podemos eliminá-los.

Falsos negativos. Uma varredura limpa não prova que sua aplicação é segura. As verificações heurísticas não detectam vulnerabilidades que exigem conhecimento de domínio, compreensão da lógica de negócio, cadeias de múltiplas etapas ou casos de teste que ainda não implementamos. A ausência de um resultado não é uma garantia de segurança.

Para sistemas em que a segurança é crítica para o seu negócio, você deve combinar o FixVibe com testes de penetração profissionais periódicos, um programa de bug bounty e revisões de código rigorosas.

Alguns resultados do FixVibe incluem remediações sugeridas — instruções escritas, trechos de código ou texto destinado a ser passado a um assistente de codificação com IA. Essas sugestões são geradas automaticamente, em alguns casos por um modelo de linguagem de grande porte. Elas são pensadas como ponto de partida para sua própria investigação, não como código pronto para uso.

Antes de aplicar qualquer remediação sugerida, incluindo qualquer texto que rotulamos como “prompt” ou “fix”, você deve:

1. lê-lo por completo e confirmar que entende o que ele altera;
2. confirmar que é adequado para o seu stack específico, versão do framework e configuração;
3. testá-lo em um ambiente de staging que reflita a produção;
4. revisar o diff com alguém qualificado antes de fazer o merge;
5. estar preparado para reverter a alteração caso ela cause comportamentos inesperados.

Colar uma sugestão gerada por IA diretamente no código de produção sem revisão é por sua conta e risco. A EGO HERO LLC não aceita nenhuma responsabilidade por interrupções, perda de dados, regressões de segurança ou outros danos causados pela aplicação de uma correção sugerida pelo FixVibe sem verificação independente.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• causar lentidão ou picos de erros;
• criar linhas de teste no seu banco de dados via sondas de injeção;
• acionar seu monitoramento, alertas ou listas de bloqueio do WAF;
• consumir cotas de API de terceiros (p. ex., provedores de busca upstream, gateways de SMS) se seus endpoints os utilizam como proxy.

Recomendamos fortemente executar varreduras ativas em ambientes de staging. Se precisar varrer a produção, faça-o durante uma janela de manutenção. Ao iniciar uma varredura ativa, você reconhece e aceita esses riscos.

Nossos rótulos de severidade (crítico, alto, médio, baixo, info) são calibrados para aplicações web típicas. Eles não levam em conta seu modelo de ameaça específico, sua população de usuários, seu ambiente regulatório ou o valor dos seus ativos. Um resultado “baixo” pode ser um risco material para uma fintech que gerencia fundos de clientes; um resultado “crítico” pode ser irrelevante para um blog estático. Você está na melhor posição para traduzir um resultado em um risco do mundo real.

Você é o único responsável por confirmar que tem autoridade para testar cada URL ou nome de host que enviar. As varreduras ativas, mesmo que exijamos verificação de propriedade, não o isentam dessa responsabilidade — a verificação prova que você controla o DNS ou a resposta HTTP de um alvo, não que você tem autoridade legal ou contratual para testá-lo (por exemplo, um app SaaS que você opera em um subdomínio de um domínio que controla ainda pode estar sujeito às regras de uso aceitável do seu provedor cloud). Consulte nossa Política de Uso Aceitável para o quadro completo.

A responsabilidade da EGO HERO LLC por qualquer reclamação decorrente do seu uso do FixVibe é regida pela Seção 10 dos Termos de Serviço, incluindo o limite máximo de danos agregados. Ao usar o FixVibe, você confirma que leu e compreendeu essa seção.

support@fixvibe.app.