阅读清单与核验

这一章用于维护引用质量。ToLO 站点是公开教育材料，不能把未核验的 CVE 版本范围、会议归属、论文结论或安全案例写成确定事实。

你需要先知道什么

安全内容最容易出错的地方不是语法，而是来源。一个 CVE 的版本范围、一个论文的会议年份、一个工具的状态，都可能因为来源不同而变化。

本站的原则是：宁可写 pending，也不把未核验内容写成确定事实。

ToLO 的材料横跨学术论文、工业 advisory、NVD/GHSA、博客长文和开源项目 release note。不同来源经常存在版本口径差异，甚至同一个 CVE 在 NVD 与 GHSA 中的受影响范围也可能写法不同。

因此本站把核验状态显式写入内容工作流。verified 表示已经核对权威来源；pending 表示可作为待处理线索，但正文必须保留限定；unverified 表示不能进入事实性叙述。

新增论文或案例时，先在数据文件中登记来源，再写草稿。写入正文前检查 ID、标题、作者、年份、版本范围、修复版本和 advisory 链接是否一致。若无法一致，保留差异并标 pending，不要自行推断。

ToLO 是一个抽象信任问题，但案例和论文都依赖具体事实。如果 CVE 版本范围写错，案例复盘就会误导读者；如果论文结论被夸大，防御建议就会变形。

读本站时看到 pending，意思不是”没用”，而是”这条材料可以学习模式，但具体事实仍需回到来源核验”。