// docs / quotas & limits
Квоти й ліміти
Кожне значення квоти й rate limit нижче виводиться з модуля entitlements під час build, тому ця сторінка не може розійтися з тим, що сервер реально застосовує.
Права за тарифами
| Безкоштовно | Хобі | Про | Без ограничений | |
|---|---|---|---|---|
| Сканування / місяць | 3 | 50 | 200 | План Unlimited¹ |
| Проєкти (перевірені домени) | 1 | 1 | 5 | 20 |
| API tokens | 0 | 1 | 5 | 20 |
| Webhook-ендпойнти | 0 | 1 | 5 | 20 |
| Активні проби | ні | так | так | так |
| Сканування GitHub repo | ні | ні | так | так |
| Заплановані повторні сканування | ні | ні | cadence ≥3h | ≥6h cadence |
| Виявлення загроз наживо | ні | ні | ні | так |
| Звіти для поширення | ні | ні | так | так |
| Зберігання | 7 днів | 30 днів | 90 днів | 365 днів |
| Місця в команді | 1 | 1 | 1 | 5 |
| Підтримка | стандартна | стандартна | пріоритетна | виділена |
¹ The Unlimited plan's scan quota is subject to fair use — see Terms. ² The project cap defaults to 20 active-monitoring domains at ≥6h cadence. Contact support@fixvibe.app to raise it in exchange for a longer scheduled cadence.
Обмеження швидкості API
Кожен request /api/v1/* і /api/mcp keyed on hash bearer token і проходить через два windows:
- Burst: 10 запитів на секунду.
- Steady: 60 запитів на хвилину.
- Per signed-in user: 30 scan submissions per 10 minutes — a soft cap above the per-plan monthly quota that absorbs bursts without exhausting the daily budget.
На 429 відповідь містить:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}Window, який спрацював, названий у message (burst (10/s) vs steady (60/min)), щоб client backoff міг адаптуватися.
Обмеження швидкості сканувань для плану Free (на IP/24)
On top of the per-org 3-scans-per-month cap, Free plan users face an additional per-IP/24 rate limit: 3 scans per rolling 24 hours per IP /24 block. The same limiter covers anonymous instant scans, which prevents farming Free quota through throwaway accounts on one IP. Requests exceeding the limit return HTTP 429 Too Many Requests with a Retry-After header.
Обмеження реєстрацій (per IP/24)
5 успішних реєстрацій на IP/24 за 24 години, щоб запобігти автоматичному створенню акаунтів плану Free. Колбеки, що потрапили під ліміт, перенаправляються на /sign-in?error=rate_limited.
Зберігання
Сканування + знахідки автоматично видаляються за таблицею вище. Анонімні одноразові сканування спливають через 24h після створення. Audit logs зберігаються 18 місяців. Monitor snapshots prune до останніх 7 днів плюс latest baseline per (domain, signal). Dismissed alerts purge після 90 днів. Усе зберігання щодня застосовує /api/cron/retention-cleanup.