// disclaimer
Отказ от ответственности и ограничения
обновлено · 2026-05-05
// read this
Результаты и рекомендуемые исправления FixVibe носят эвристический и информационный характер. Они не являются профессиональным советом по безопасности. Ты должен самостоятельно проверить и протестировать каждый результат и каждое предложенное изменение перед применением в производственной системе.
Что мы делаем — и чего не делаем
FixVibe выполняет автоматические проверки URL и имён хостов, которые ты вводишь. Проверки эвристические: они ищут паттерны, обычно связанные с неправильными настройками безопасности и уязвимостями. Сопоставление паттернов по своей природе несовершенно. Мы можем — и иногда это происходит — выдавать ложноположительные и ложноотрицательные результаты.
FixVibe — это не:
- замена ручного пентеста или проверки квалифицированного инженера по безопасности;
- гарантия того, что твоё приложение безопасно, если результатов нет;
- гарантия того, что любой результат эксплуатируем в твоей среде;
- профессиональная или юридическая консультация любого рода;
- инструмент сертификации соответствия (FixVibe не является «официальным» аудитором по SOC 2, ISO 27001, PCI DSS, HIPAA или любому другому стандарту — что именно мы подтверждаем, а что нет, описано в правилах приемлемого использования).
Результаты: ложноположительные и ложноотрицательные
Ложноположительные результаты. Результат с пометкой «критический» не всегда означает, что твоё приложение критически уязвимо. Проверка могла сработать на паттерн, который в твоём конкретном стеке безвреден — например, ответ 403 от пограничного межсетевого экрана, правильно блокирующего запрос, а не раскрывающего файл. Мы много работаем над подавлением ложноположительных результатов, но полностью устранить их невозможно.
Ложноотрицательные результаты. Чистый результат сканирования не доказывает безопасность твоего приложения. Эвристические проверки пропускают уязвимости, требующие доменных знаний, понимания бизнес-логики, многошаговых цепочек или тест-кейсов, которые мы ещё не реализовали. Отсутствие результата не является гарантией безопасности.
Для систем, где безопасность критически важна для бизнеса, следует сочетать FixVibe с регулярным профессиональным пентестом, программой вознаграждения за уязвимости и строгим ревью кода.
Рекомендуемые исправления и контент, созданный ИИ
Некоторые результаты FixVibe содержат предлагаемые меры по устранению — письменные инструкции, фрагменты кода или текст, предназначенный для передачи ИИ-ассистенту по написанию кода. Эти предложения генерируются автоматически, в ряде случаев большой языковой моделью. Они задуманы как отправная точка для твоего собственного исследования, а не как готовый к использованию код.
Перед применением любого предлагаемого исправления, включая текст, который мы помечаем как «промпт» или «исправление», необходимо:
- прочитать его целиком и убедиться, что ты понимаешь, что именно изменится;
- убедиться, что оно подходит для твоего конкретного стека, версии фреймворка и конфигурации;
- протестировать в стейджинг-среде, повторяющей продакшен;
- перед слиянием провести ревью diff с квалифицированным специалистом;
- быть готовым откатить изменения, если они приведут к непредвиденному поведению.
Вставка предложения, сгенерированного ИИ, напрямую в продакшен-код без ревью — на твой страх и риск. EGO HERO LLC не несёт ответственности за сбои, потерю данных, регрессии безопасности или иной ущерб, вызванный применением исправления, предложенного FixVibe, без независимой проверки.
Активное сканирование может повлиять на продакшен
Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:
- вызвать замедление или всплески ошибок;
- создать тестовые строки в базе данных через инъекционные зонды;
- сработать в системах мониторинга, оповещения или в блок-листах WAF;
- потребить квоты сторонних API (например, провайдеров поиска, SMS-шлюзов), если твои эндпоинты проксируют на них.
Настоятельно рекомендуем запускать активное сканирование в стейджинг-среде. Если необходимо сканировать продакшен, делай это в окно технического обслуживания. Запуская активное сканирование, ты признаёшь и принимаешь эти риски.
Оценки критичности — это ориентиры, а не закон
Наши метки критичности (критический, высокий, средний, низкий, информационный) откалиброваны по типичным веб-приложениям. Они не учитывают твою конкретную модель угроз, состав пользователей, регуляторную среду или ценность активов. Результат «низкий» может быть существенным риском для финтеха, работающего со средствами клиентов; результат «критический» может быть неактуален для статичного блога. Ты лучше всего понимаешь, как перевести результат в реальный риск.
Авторизация — твоя ответственность
Ты единолично отвечаешь за подтверждение того, что имеешь право тестировать каждый URL или имя хоста, которые вводишь. Активное сканирование, даже при нашем требовании верификации владения, не освобождает тебя от этой ответственности — верификация подтверждает, что ты контролируешь DNS или HTTP-ответ цели, а не то, что у тебя есть юридическое или договорное право на её тестирование (например, SaaS-приложение, которое ты размещаешь на субдомене контролируемого тобой домена, может по-прежнему подпадать под правила приемлемого использования облачного провайдера). Полную картину см. в Правилах приемлемого использования.
Ограничение ответственности — ссылка на Условия использования
Ответственность EGO HERO LLC по любому требованию, возникшему в связи с использованием тобой FixVibe, регулируется Разделом 10 Условий использования, включая ограничение совокупного размера возмещения ущерба. Используя FixVibe, ты подтверждаешь, что прочитал и понял этот раздел.