fixinator.app

是什么

Fixinator 是一款专注 ColdFusion/CFML 的静态代码安全扫描工具，由 Foundeo Inc. 提供。它读取但不执行源代码，可查找 SQL Injection、XSS、远程代码执行、路径遍历、不安全文件访问/上传、弱哈希或加密算法、不安全应用设置等问题，也能识别 CFML、Java、JavaScript 已知脆弱库和恶意 CFML 后门。

核心能力与部署

在防护类型上，Fixinator 更接近面向 CFML 的 SAST，并额外覆盖 ColdFusion/Lucee 升级兼容性检查，例如被移除的标签、函数及细微行为变化。管理上支持自动修复或给出修复建议，可切换扫描器、静默低置信度结果、只看高危项，并长期忽略已确认问题。集成方面，正文明确支持 Jenkins、Travis CI、GitHub Actions、Bitbucket Pipelines、AWS CodeBuild、GitLab CI Jobs 等，适合放入提交或流水线阶段。

定价与适用规模

Starter 为 64 美元/月，含 1000 次云扫描请求、最多 2 名开发者；Fixer 为 128 美元/月，含 5000 次请求、最多 4 名开发者，定位 CI/CD；Enterprise 为 256 美元/月，含 10000 次请求、最多 8 名开发者，并可本地不限量运行。Freelancer 为 24 美元/月。页面称默认年度计费，但购物车可切换月付并随时取消，也可申请试用。

优缺点

优点是定位清晰，对 CFML 生态安全与兼容性问题覆盖深入，CI/CD 友好；Enterprise 可部署在自有 Lucee 5+ 或 Adobe ColdFusion 2016+ 服务器，甚至完全断网运行。缺点是 Starter/Fixer 需把代码通过 HTTPS 发送到云端 API，虽声明仅内存扫描不落盘，但对高敏源码仍可能不够；同时页面未披露 SOC 2、ISO 27001、SLA 或支持响应级别。

适合谁与中国访问

它适合仍在使用 Adobe ColdFusion 或 Lucee 的团队，尤其是需要上线前审计、持续扫描或版本升级评估的企业。中国访问情况正文未提供，需实测 fixinator.app 与 api.fixinator.app 连通性；支付方式也未说明。若国内网络、合规或源码出境受限，建议优先评估 Enterprise 本地部署，或对比具备本地化部署能力且确认支持 CFML 规则的 SAST 替代品。