Izjava o omejitvi odgovornosti in omejitve

FixVibe izvaja avtomatizirane preglede URL-jev in imen gostiteljev, ki jih predložiš. Pregledi so hevristični: iščejo vzorce, ki so pogosto povezani z varnostnimi napakami in ranljivostmi. Prepoznavanje vzorcev je po naravi nepopolno. Lahko — in včasih tudi — ustvarimo lažno pozitivne in lažno negativne rezultate.

FixVibe ni:

• nadomestek za penetracijsko testiranje s strani človeškega strokovnjaka ali pregled usposobljenega varnostnega inženirja;
• jamstvo, da je tvoja aplikacija varna, če se ne prikažejo ugotovitve;
• jamstvo, da je katera koli ugotovitev izkoriščljiva v tvojem okolju;
• strokoven ali pravni nasvet katere koli vrste;
• orodje za certificiranje skladnosti (FixVibe ni “uradni” revizor SOC 2, ISO 27001, PCI DSS, HIPAA ali katerega koli drugega okvira — za podrobnosti o tem, kaj potrjujemo in česa ne, poglej naš pravilnik o sprejemljivi uporabi).

Lažno pozitivni. Ugotovitev, označena kot “kritična”, ne pomeni vedno, da je tvoja aplikacija kritično ranljiva. Preverba se je morda sprožila na vzorec, ki je v tvojem specifičnem skladu benigen — na primer odgovor 403 od robnega požarnega zidu, ki pravilno blokira zahtevo in ne izpostavlja datoteke. Trudimo se zatreti lažno pozitivne rezultate, vendar jih ne moremo odpraviti.

Lažno negativni. Čisto skeniranje ne dokazuje, da je tvoja aplikacija varna. Hevristični pregledi zamudijo ranljivosti, ki zahtevajo domensko znanje, razumevanje poslovne logike, večstopenjske verige ali testne primere, ki jih nismo implementirali. Odsotnost ugotovitve ni varnostno jamstvo.

Za sisteme, kjer je varnost ključna za tvoje poslovanje, moraš FixVibe kombinirati s periodičnim profesionalnim penetracijskim testiranjem, programom nagrajevanja za odkrivanje hroščev in skrbnim pregledom kode.

Nekatere ugotovitve FixVibe vključujejo predlagane popravke — pisana navodila, odlomke kode ali besedilo, namenjeno AI pomočnikom za kodiranje. Ti predlogi so generirani samodejno, v nekaterih primerih z velikim jezikovnim modelom. Namenjeni so kot izhodišče za lastno preiskavo, ne kot neposredna koda.

Pred uporabo katerega koli predlaganega popravka, vključno z besedilom, ki ga označujemo kot “poziv” ali “popravek”, moraš:

1. ga v celoti prebrati in potrditi, da razumeš, kaj spremeni;
2. potrditi, da je primeren za tvoj specifičen sklad, različico ogrodja in konfiguracijo;
3. ga preizkusiti v staging okolju, ki odraža produkcijo;
4. razliko pregledati s kvalificirano osebo pred združevanjem;
5. biti pripravljen na povrnitev sprememb, če sprememba povzroči nepričakovano vedenje.

Lepljenje AI-generiranega predloga neposredno v produkcijsko kodo brez pregleda je na tvoje lastno tveganje. EGO HERO LLC ne sprejema nobene odgovornosti za izpade, izgubo podatkov, varnostne regresije ali drugo škodo, ki jo povzroči uporaba popravka, ki ga predlaga FixVibe, brez neodvisne preveritve.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• povzroči upočasnitve ali skoke napak;
• ustvari testne vrstice v tvoji bazi podatkov prek preizkusnih vbrizgavanj;
• sproži tvoj monitoring, sistem obveščanja ali blokadne liste WAF;
• porabi kvote API tretjih strank (npr. ponudniki iskanja, SMS prehodi), če tvoje točke posredujejo zahteve njim.

Priporočamo izvajanje aktivnih skeniranj v staging okoljih. Če moraš skenirati produkcijo, to stori med vzdrževalnim oknom. Z začetkom aktivnega skeniranja priznaš in sprejmeš ta tveganja.

Naše oznake resnosti (kritična, visoka, srednja, nizka, info) so umerjene glede na tipične spletne aplikacije. Ne upoštevajo tvojega specifičnega modela groženj, populacije uporabnikov, regulativnega okolja ali vrednosti sredstev. Ugotovitev “nizke” resnosti je lahko bistveno tveganje za fintech, ki upravlja sredstva strank; ugotovitev “kritične” resnosti je lahko nepomembna za statičen blog. Ti si v najboljšem položaju, da ugotovitev prevedeš v dejansko tveganje.

Izključno si odgovoren/odgovorna za potrditev, da imaš pooblastilo za testiranje vsakega URL-ja ali imena gostitelja, ki ga predložiš. Aktivna skeniranja, čeprav zahtevamo preverjanje lastništva, te ne razbremenijo te odgovornosti — preverjanje dokazuje, da nadziraš DNS ali HTTP odziv cilja, ne da imaš pravno ali pogodbno pooblastilo za testiranje (na primer aplikacija SaaS, ki jo vodiš na poddomenski domeni, ki jo nadziraš, je morda še vedno predmet pravil sprejemljive uporabe ponudnika oblaka). Za celotno sliko poglej naš Pravilnik o sprejemljivi uporabi.

Odgovornost EGO HERO LLC za katero koli zahtevo, ki izhaja iz tvoje uporabe FixVibe, ureja 10. razdelek Pogojev uporabe, vključno z omejitvijo skupnih odškodnin. Z uporabo FixVibe potrjuješ, da si prebral/a in razumel/a ta razdelek.

support@fixvibe.app.