Tuyên bố miễn trừ và giới hạn

FixVibe chạy các kiểm tra tự động đối với các URL và tên máy chủ bạn gửi. Các kiểm tra mang tính heuristic: chúng tìm kiếm các mẫu thường liên quan đến các cấu hình sai bảo mật và lỗ hổng. Khớp mẫu về cơ bản là không hoàn hảo. Chúng tôi có thể — và đôi khi có — tạo ra kết quả dương tính giả và âm tính giả.

FixVibe không phải là:

• thay thế cho kiểm tra thâm nhập do con người thực hiện hoặc đánh giá của kỹ sư bảo mật có trình độ;
• bảo đảm rằng ứng dụng của bạn an toàn nếu không có phát hiện nào xuất hiện;
• bảo đảm rằng bất kỳ phát hiện nào có thể bị khai thác trong môi trường của bạn;
• lời khuyên chuyên nghiệp hoặc pháp lý dưới bất kỳ hình thức nào;
• công cụ chứng nhận tuân thủ (FixVibe không phải là kiểm toán viên 'chính thức' của SOC 2, ISO 27001, PCI DSS, HIPAA hay bất kỳ khung nào khác — hãy xem chính sách sử dụng chấp nhận được của chúng tôi để biết những gì chúng tôi và không chứng thực).

Dương tính giả. Phát hiện được gắn nhãn 'critical' không phải lúc nào cũng có nghĩa là ứng dụng của bạn thực sự có lỗ hổng nghiêm trọng. Kiểm tra có thể đã kích hoạt trên một mẫu mà trong ngăn xếp cụ thể của bạn lại vô hại — ví dụ: phản hồi 403 từ tường lửa biên đang chặn yêu cầu một cách chính xác, không phải đang để lộ tệp. Chúng tôi nỗ lực giảm thiểu dương tính giả nhưng không thể loại bỏ hoàn toàn.

Âm tính giả. Quét sạch không chứng minh ứng dụng của bạn an toàn. Các kiểm tra heuristic bỏ qua các lỗ hổng đòi hỏi kiến thức miền, hiểu biết logic nghiệp vụ, chuỗi đa bước hoặc các trường hợp kiểm tra mà chúng tôi chưa triển khai. Sự vắng mặt của phát hiện không phải là bảo đảm bảo mật.

Đối với các hệ thống mà bảo mật là quan trọng đối với doanh nghiệp của bạn, bạn nên bổ sung FixVibe bằng kiểm tra thâm nhập chuyên nghiệp định kỳ, chương trình bug-bounty và đánh giá mã nguồn nghiêm ngặt.

Một số phát hiện của FixVibe bao gồm các biện pháp khắc phục được đề xuất — hướng dẫn bằng văn bản, đoạn mã hoặc văn bản dự định truyền cho trợ lý mã hóa AI. Những đề xuất này được tạo ra tự động, trong một số trường hợp bởi một mô hình ngôn ngữ lớn. Chúng được thiết kế như điểm khởi đầu cho cuộc điều tra của riêng bạn, không phải là mã sẵn sàng sử dụng.

Trước khi áp dụng bất kỳ biện pháp khắc phục nào được đề xuất, kể cả văn bản chúng tôi gắn nhãn là 'prompt' hoặc 'fix', bạn phải:

1. đọc toàn bộ và xác nhận bạn hiểu những gì nó thay đổi;
2. xác nhận nó phù hợp với ngăn xếp cụ thể, phiên bản khung và cấu hình của bạn;
3. kiểm tra trong môi trường staging phản ánh sản xuất;
4. xem xét diff với người có chuyên môn trước khi hợp nhất;
5. chuẩn bị sẵn sàng để hoàn tác nếu thay đổi gây ra hành vi không mong đợi.

Dán đề xuất do AI tạo ra thẳng vào mã sản xuất mà không xem xét là rủi ro của riêng bạn. EGO HERO LLC không chịu trách nhiệm pháp lý đối với sự cố ngừng hoạt động, mất dữ liệu, hồi quy bảo mật hoặc các thiệt hại khác do áp dụng bản sửa lỗi do FixVibe đề xuất mà không có xác minh độc lập.

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• gây ra tình trạng chậm chạp hoặc tăng đột biến lỗi;
• tạo ra các hàng thử nghiệm trong cơ sở dữ liệu của bạn thông qua các thăm dò injection;
• kích hoạt danh sách giám sát, cảnh báo hoặc chặn WAF của bạn;
• tiêu thụ hạn mức API của bên thứ ba (ví dụ: nhà cung cấp tìm kiếm upstream, cổng SMS) nếu các endpoint của bạn proxy đến chúng.

Chúng tôi khuyến nghị mạnh mẽ chạy quét chủ động đối với môi trường staging. Nếu bạn phải quét sản xuất, hãy làm trong cửa sổ bảo trì. Bằng cách khởi tạo quét chủ động, bạn thừa nhận và chấp nhận những rủi ro này.

Nhãn mức độ nghiêm trọng của chúng tôi (critical, high, medium, low, info) được hiệu chỉnh đối với các ứng dụng web thông thường. Chúng không xem xét mô hình mối đe dọa cụ thể, dân số người dùng, môi trường pháp lý hoặc giá trị tài sản của bạn. Phát hiện 'low' có thể là rủi ro quan trọng đối với công ty fintech xử lý tiền của khách hàng; phát hiện 'critical' có thể không liên quan đến blog tĩnh. Bạn ở vị trí tốt nhất để chuyển đổi phát hiện thành rủi ro thực tế.

Bạn hoàn toàn chịu trách nhiệm xác nhận rằng bạn có thẩm quyền kiểm tra mọi URL hoặc tên máy chủ bạn gửi. Quét chủ động, mặc dù chúng tôi yêu cầu xác minh quyền sở hữu, không miễn trừ bạn khỏi trách nhiệm này — xác minh chứng minh bạn kiểm soát DNS hoặc phản hồi HTTP của mục tiêu, không phải rằng bạn có thẩm quyền pháp lý hay hợp đồng để kiểm tra nó (ví dụ: ứng dụng SaaS bạn vận hành trên tên miền phụ của tên miền bạn kiểm soát vẫn có thể phải tuân theo các quy tắc sử dụng chấp nhận được của nhà cung cấp đám mây của nó). Xem Chính sách Sử dụng Được Chấp nhận của chúng tôi để có bức tranh toàn cảnh.

Trách nhiệm của EGO HERO LLC đối với bất kỳ khiếu nại nào phát sinh từ việc bạn sử dụng FixVibe được điều chỉnh bởi Mục 10 của Điều khoản dịch vụ, bao gồm giới hạn bồi thường tổng hợp. Bằng cách sử dụng FixVibe, bạn thừa nhận rằng bạn đã đọc và hiểu phần đó.

support@fixvibe.app.