Skip to content

阅读清单与核验

这一章用于维护引用质量。ToLO 站点是公开教育材料,不能把未核验的 CVE 版本范围、会议归属、论文结论或安全案例写成确定事实

这一章给你什么

你将能做到用到的内容
区分 verified / pending / unverified 的具体含义Verification Status
评估一个来源(advisory / 论文 / 博客 / release note)是否可以引用Verification Status §来源优先级
处理版本口径冲突时的规范流程Verification Status §来源优先级

你需要先知道什么

安全内容最容易出错的地方不是语法,而是来源。一个 CVE 的版本范围、一个论文的会议年份、一个工具的状态,都可能因为来源不同而变化。

本站的原则是:宁可写 pending,也不把未核验内容写成确定事实

为什么单独成章

ToLO 的材料横跨:

  • 学术论文
  • 工业 advisory(NVD / GHSA)
  • 项目 release note 与修复 commit
  • 博客长文
  • 开源项目

不同来源经常存在版本口径差异,甚至同一个 CVE 在 NVD 与 GHSA 中的受影响范围也可能写法不同。

举几个真实例子(本站已记录):

CVENVDGHSA站点处理
CVE-2023-36258before 0.0.236< 0.0.247保留两者,verification: pending
CVE-2024-8309langchain 0.2.5langchain <0.2.0 + langchain-community >=0.2.0, <0.2.19保留两者,verification: pending
CVE-2023-396310.0.245langchain <0.0.308, numexpr <2.8.5保留差异

因此本站把核验状态显式写入内容工作流:

  • verified:已经核对权威来源
  • pending:可作为待处理线索,但正文必须保留限定
  • unverified:不能进入事实性叙述

使用方式

新增论文或案例时,先在数据文件中登记来源,再写草稿。写入正文前检查:

  • ID(CVE / GHSA / arXiv / DOI)
  • 标题、作者、年份
  • 版本范围、修复版本
  • advisory / commit 链接

是否一致。若无法一致,保留差异并标 pending,不要自行推断

学习者为什么要关心

ToLO 是一个抽象信任问题,但案例和论文都依赖具体事实。如果 CVE 版本范围写错:

  • 案例复盘会误导读者
  • 修复建议可能指向错误版本
  • 学术对照实验结论无法重现

如果论文结论被夸大:

  • 防御建议会变形
  • 后续研究可能基于错误前提

读本站时看到 pending,意思不是”没用”,而是”这条材料可以学习模式,但具体事实仍需回到来源核验”

工作流概览

┌──────────────────────────────────────────────────┐
│ 1. 收到新候选(论文 / CVE / 博客 / 工具) │
│ ↓ │
│ 2. 在 data/{papers,cases,resources}.yml 登记 │
│ 状态: pending │
│ ↓ │
│ 3. 写草稿(可用 agent / LLM 辅助) │
│ ↓ │
│ 4. 主控人核验来源 │
│ ├─ 一致 → 状态: verified,正文用确定语 │
│ ├─ 部分一致 → 状态: pending,正文用限定语 │
│ └─ 完全不一致 / 来源不存在 → 状态: unverified │
│ ↓ │
│ 5. (verified / pending)写入站点 │
└──────────────────────────────────────────────────┘

详细规则见 Verification Status

当前核验清单位置

初始核验清单维护在博士研究工作区:

/home/unravel/code/PhD-AI-Infra-Security/01-literature/verification.md

网站中未完成核验的条目必须标记pendingunverified

读完检查

回答以下问题:

  • 看到 verification: pending 字段时,你知道该怎么读正文吗?
    • 正文应用”据 NVD”/“据论文”等限定语;事实级别引用前要回到原始来源。
  • 一个 NVD 链接打不开,该如何处理?
    • 用 Internet Archive / Wayback Machine 找快照;同时记录”目前无法访问”。
  • 一个 CVE 在 NVD 和 GHSA 上版本范围不一致,怎么写案例页?
    • 保留两者,frontmatter affected_versions 字段把两个口径都列出,正文用 “据 NVD … 据 GHSA …” 区分。

下一步阅读