// docs / quotas & limits
ໂຄຕ້າ ແລະ ຂີດຈຳກັດ
ຄ່າ quota ແລະ rate-limit ທຸກຢ່າງຂ້າງລຸ່ມຖືກ derive ຈາກ entitlements module ໃນເວລາ build, ດັ່ງນັ້ນໜ້ານີ້ຈຶ່ງບໍ່ເລື່ອນອອກຈາກສິ່ງທີ່ server ບັງຄັບໃຊ້ຈິງ.
Entitlements ແຕ່ລະ tier
| ຟຣີ | ງານອະດິເລກ | ມືອາຊີບ | Unlimited | |
|---|---|---|---|---|
| Scans / ເດືອນ | 3 | 50 | 200 | ແຜນ Unlimited¹ |
| Projects (verified domains) | 1 | 1 | 5 | 20 |
| API tokens | 0 | 1 | 5 | 20 |
| Owner-depth scans | ບໍ່ | ໄດ້ | ໄດ້ | ໄດ້ |
| GitHub repo scans | ບໍ່ | ບໍ່ | ໄດ້ | ໄດ້ |
| Scheduled re-scans | ບໍ່ | ບໍ່ | cadence ≥3h | cadence ≥1h |
| Live threat detection | ບໍ່ | ບໍ່ | ບໍ່ | ໄດ້ |
| Retention | 7 ມື້ | 30 ມື້ | 90 ມື້ | 365 ມື້ |
| Team seats | 1 | 1 | 1 | 5 |
| Support | standard | standard | priority | dedicated |
¹ ໂກຕ້າການສະແກນຂອງແຜນ Unlimited ຂຶ້ນກັບການນຳໃຊ້ທີ່ຍຸຕິທຳ — ເບິ່ງ ເງື່ອນໄຂ. ² ຂີດຈຳກັດເລີ່ມຕົ້ນແມ່ນ 20 domain ໃນການຕິດຕາມ active ດ້ວຍຄວາມຖີ່ ≥1h. ຕິດຕໍ່ support@fixweb.app ເພື່ອເພີ່ມຂີດຈຳກັດໂດຍແລກກັບຄວາມຖີ່ຕາມຕາຕະລາງທີ່ຍາວກວ່າ.
API rate limits
ທຸກ request /api/v1/* ແລະ /api/mcp keyed ດ້ວຍ hash ຂອງ bearer token ແລະຜ່ານ 2 windows:
- Burst: 10 requests ຕໍ່ວິນາທີ.
- Steady: 60 requests ຕໍ່ນາທີ.
ໃນ 429, response ລວມມີ:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}Window ທີ່ trip ຖືກເອີ້ນຊື່ໃນ message (burst (10/s) vs steady (60/min)) ເພື່ອໃຫ້ client backoff ປັບຕົວໄດ້.
ຂີດຈຳກັດອັດຕາການສະແກນຂອງແຜນ Free (ຕໍ່ IP/24)
ນອກຈາກເພດານ 3 ການສະແກນຕໍ່ເດືອນຕໍ່ອົງກອນ, ຜູ້ໃຊ້ແຜນ Free ມີຂີດຈຳກັດເພີ່ມເຕີມຕໍ່ IP/24: 3 ການສະແກນຕໍ່ຊົ່ວໂມງ, 100 ຕໍ່ມື້. Limiter ດຽວກັນຄອບຄຸມການສະແກນທັນທີແບບບໍ່ເປີດເຜີຍຊື່, ປ້ອງກັນການໃຊ້ໂກຕ້າ Free ຈົນໝົດຜ່ານບັນຊີໃຊ້ຄັ້ງດຽວ. ຄຳຂໍທີ່ເກີນຂີດຈຳກັດໃດໜຶ່ງສົ່ງຄືນ HTTP 429 Too Many Requests ພ້ອມ Retry-After header.
Signup throttle (per IP/24)
5 ການລົງທະບຽນສຳເລັດຕໍ່ IP/24 ໃນທຸກ 24 ຊົ່ວໂມງ ເພື່ອປ້ອງກັນການສ້າງບັນຊີແຜນ Free ອັດຕະໂນມັດ. Callback ທີ່ຖືກຈຳກັດອັດຕາ redirect ໄປຫາ /sign-in?error=rate_limited.
Retention
Scans + findings auto-purge ຕາມຕາຕະລາງຂ້າງເທິງ. Anonymous one-shot scans ໝົດອາຍຸ 24h ຫຼັງສ້າງ. Audit logs ເກັບ 18 ເດືອນ. Monitor snapshots prune ເຫຼືອ 7 ມື້ຫຼ້າສຸດບວກ latest baseline ຕໍ່ (domain, signal). Dismissed alerts purge ຫຼັງ 90 ມື້. Retention ທັງໝົດບັງຄັບທຸກມື້ໂດຍ /api/cron/retention-cleanup.