Відмова від відповідальності та обмеження

FixVibe виконує автоматизовані перевірки URL-адрес і імен хостів, які ти подаєш. Перевірки є евристичними: вони шукають шаблони, які зазвичай пов'язані з помилковими конфігураціями безпеки та вразливостями. Розпізнавання шаблонів за своєю природою є неточним. Ми можемо — і іноді так буває — генерувати хибнопозитивні та хибнонегативні результати.

FixVibe не є:

• замінником тесту на проникнення від людського фахівця або перевірки кваліфікованого інженера з безпеки;
• гарантією того, що твій застосунок є безпечним, якщо знахідок не виявлено;
• гарантією того, що будь-яка знахідка є використовуваною у твоєму середовищі;
• професійною або юридичною порадою будь-якого роду;
• інструментом сертифікації відповідності (FixVibe не є “офіційним” аудитором SOC 2, ISO 27001, PCI DSS, HIPAA або будь-якого іншого стандарту — дивись нашу політику прийнятного використання щодо того, що ми підтверджуємо і що ні).

Хибнопозитивні. Знахідка, позначена як “критична”, не завжди означає, що твій застосунок критично вразливий. Перевірка могла спрацювати на шаблон, який у твоєму конкретному стеку є нешкідливим — наприклад, відповідь 403 від граничного брандмауера, який правильно блокує запит, а не відкриває файл. Ми докладаємо зусиль для пригнічення хибнопозитивних результатів, але не можемо їх усунути повністю.

Хибнонегативні. Чисте сканування не доводить, що твій застосунок є безпечним. Евристичні перевірки пропускають вразливості, що вимагають доменних знань, розуміння бізнес-логіки, багатоетапних ланцюжків або тестових випадків, які ми не реалізували. Відсутність знахідки не є гарантією безпеки.

Для систем, де безпека є критичною для твого бізнесу, слід поєднувати FixVibe з регулярним професійним тестуванням на проникнення, програмою винагород за виявлення помилок та ретельним переглядом коду.

Деякі знахідки FixVibe включають запропоновані виправлення — письмові інструкції, фрагменти коду або текст, призначений для AI-асистентів з написання коду. Ці пропозиції генеруються автоматично, в деяких випадках великою мовною моделлю. Вони призначені як відправна точка для власного розслідування, а не як готовий код.

Перед застосуванням будь-якого запропонованого виправлення, включаючи текст, який ми позначаємо як “prompt” або “виправлення”, ти повинен:

1. прочитати його повністю і підтвердити, що розумієш, що воно змінює;
2. підтвердити, що воно підходить для твого конкретного стеку, версії фреймворку та конфігурації;
3. протестувати його в staging-середовищі, що відображає виробництво;
4. переглянути різницю з кваліфікованою людиною перед злиттям;
5. бути готовим відкотити зміни, якщо вони спричинять несподівану поведінку.

Вставлення AI-згенерованої пропозиції безпосередньо у виробничий код без перевірки здійснюється на твій власний ризик. EGO HERO LLC не несе жодної відповідальності за збої, втрату даних, регресії безпеки або іншу шкоду, спричинену застосуванням виправлення, запропонованого FixVibe, без незалежної верифікації.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• спричинити сповільнення або сплески помилок;
• створити тестові рядки в твоїй базі даних через ін'єкційні проби;
• активувати твій моніторинг, систему оповіщення або блокувальні списки WAF;
• вичерпати квоти API третіх сторін (наприклад, постачальників пошуку, SMS-шлюзів), якщо твої кінцеві точки проксують запити до них.

Ми наполегливо рекомендуємо виконувати активні сканування в staging-середовищах. Якщо потрібно сканувати виробництво, роби це під час вікна технічного обслуговування. Ініціюючи активне сканування, ти визнаєш і приймаєш ці ризики.

Наші мітки серйозності (критична, висока, середня, низька, інформаційна) відкалібровані відносно типових веб-застосунків. Вони не враховують твою конкретну модель загроз, популяцію користувачів, регуляторне середовище або вартість активів. Знахідка “низької” серйозності може бути суттєвим ризиком для фінтех-компанії, що управляє коштами клієнтів; знахідка “критичної” серйозності може бути неактуальною для статичного блогу. Ти найкраще розумієш, як перетворити знахідку в реальний ризик.

Ти несеш виключну відповідальність за підтвердження того, що маєш право тестувати кожну URL-адресу або ім'я хоста, яке подаєш. Активні сканування, хоча ми й вимагаємо верифікації права власності, не звільняють тебе від цієї відповідальності — верифікація доводить, що ти контролюєш DNS або HTTP-відповідь цілі, а не те, що ти маєш законне або договірне право на тестування (наприклад, SaaS-застосунок, який ти запускаєш на піддомені домену під твоїм контролем, може підпадати під правила прийнятного використання хмарного провайдера). Дивись нашу Політику прийнятного використання для повної картини.

Відповідальність EGO HERO LLC за будь-яку претензію, що виникає з твого використання FixVibe, регулюється Розділом 10 Умов використання, включаючи обмеження сукупної шкоди. Використовуючи FixVibe, ти підтверджуєш, що прочитав і зрозумів цей розділ.

support@fixvibe.app.