阅读清单与核验
这一章用于维护引用质量。ToLO 站点是公开教育材料,不能把未核验的 CVE 版本范围、会议归属、论文结论或安全案例写成确定事实。
这一章给你什么
| 你将能做到 | 用到的内容 |
|---|---|
区分 verified / pending / unverified 的具体含义 | Verification Status |
| 评估一个来源(advisory / 论文 / 博客 / release note)是否可以引用 | Verification Status §来源优先级 |
| 处理版本口径冲突时的规范流程 | Verification Status §来源优先级 |
你需要先知道什么
安全内容最容易出错的地方不是语法,而是来源。一个 CVE 的版本范围、一个论文的会议年份、一个工具的状态,都可能因为来源不同而变化。
本站的原则是:宁可写 pending,也不把未核验内容写成确定事实。
为什么单独成章
ToLO 的材料横跨:
- 学术论文
- 工业 advisory(NVD / GHSA)
- 项目 release note 与修复 commit
- 博客长文
- 开源项目
不同来源经常存在版本口径差异,甚至同一个 CVE 在 NVD 与 GHSA 中的受影响范围也可能写法不同。
举几个真实例子(本站已记录):
| CVE | NVD | GHSA | 站点处理 |
|---|---|---|---|
| CVE-2023-36258 | before 0.0.236 | < 0.0.247 | 保留两者,verification: pending |
| CVE-2024-8309 | langchain 0.2.5 | langchain <0.2.0 + langchain-community >=0.2.0, <0.2.19 | 保留两者,verification: pending |
| CVE-2023-39631 | 0.0.245 | langchain <0.0.308, numexpr <2.8.5 | 保留差异 |
因此本站把核验状态显式写入内容工作流:
verified:已经核对权威来源pending:可作为待处理线索,但正文必须保留限定unverified:不能进入事实性叙述
使用方式
新增论文或案例时,先在数据文件中登记来源,再写草稿。写入正文前检查:
- ID(CVE / GHSA / arXiv / DOI)
- 标题、作者、年份
- 版本范围、修复版本
- advisory / commit 链接
是否一致。若无法一致,保留差异并标 pending,不要自行推断。
学习者为什么要关心
ToLO 是一个抽象信任问题,但案例和论文都依赖具体事实。如果 CVE 版本范围写错:
- 案例复盘会误导读者
- 修复建议可能指向错误版本
- 学术对照实验结论无法重现
如果论文结论被夸大:
- 防御建议会变形
- 后续研究可能基于错误前提
读本站时看到 pending,意思不是”没用”,而是”这条材料可以学习模式,但具体事实仍需回到来源核验”。
工作流概览
┌──────────────────────────────────────────────────┐│ 1. 收到新候选(论文 / CVE / 博客 / 工具) ││ ↓ ││ 2. 在 data/{papers,cases,resources}.yml 登记 ││ 状态: pending ││ ↓ ││ 3. 写草稿(可用 agent / LLM 辅助) ││ ↓ ││ 4. 主控人核验来源 ││ ├─ 一致 → 状态: verified,正文用确定语 ││ ├─ 部分一致 → 状态: pending,正文用限定语 ││ └─ 完全不一致 / 来源不存在 → 状态: unverified ││ ↓ ││ 5. (verified / pending)写入站点 │└──────────────────────────────────────────────────┘详细规则见 Verification Status。
当前核验清单位置
初始核验清单维护在博士研究工作区:
/home/unravel/code/PhD-AI-Infra-Security/01-literature/verification.md网站中未完成核验的条目必须标记为 pending 或 unverified。
读完检查
回答以下问题:
- 看到
verification: pending字段时,你知道该怎么读正文吗?- 正文应用”据 NVD”/“据论文”等限定语;事实级别引用前要回到原始来源。
- 一个 NVD 链接打不开,该如何处理?
- 用 Internet Archive / Wayback Machine 找快照;同时记录”目前无法访问”。
- 一个 CVE 在 NVD 和 GHSA 上版本范围不一致,怎么写案例页?
- 保留两者,frontmatter
affected_versions字段把两个口径都列出,正文用 “据 NVD … 据 GHSA …” 区分。
- 保留两者,frontmatter
下一步阅读
- Verification Status:按核验规则回查 Public CVE Case Studies 和 论文消化总览。