Skip to content
ToLO Knowledge Base

Reading List Verification

正式引用前,所有论文、CVE、GHSA 和会议出处都需要核验。

核验不是行政步骤,而是内容质量控制。ToLO 站点会同时引用学术论文、工业 advisory、GitHub issue、博客和 release note;这些来源的可信度和粒度不同,必须显式标注状态。

先修概念:来源层级

不是所有链接的权重一样。项目自己的 security advisory 通常比二次转载更可靠;NVD/GHSA 适合查 CVE 和 CWE,但版本口径有时会和项目 release note 不一致;博客适合学习背景,但不应单独支撑版本范围。

当前来源

初始核验清单维护在博士研究工作区:

/home/unravel/code/PhD-AI-Infra-Security/01-literature/verification.md

网站中未完成核验的条目必须标记为 pendingunverified

如果网页正文与核验清单冲突,以已核验的权威来源为准;如果权威来源之间也冲突,页面应保留冲突说明,而不是自行合并成一个看似确定的版本范围。

标记规则

  • verified:已核对官方页面、论文页面、DOI、arXiv、NVD、MITRE、GHSA 或 vendor advisory。
  • pending:已经列入待写内容,但还没有完成来源核验。
  • unverified:暂时找不到可靠来源,不能作为事实写入正文。

pending 可以进入站点,但正文必须使用限定语,例如”据 NVD”、“据 GHSA”、“公开来源显示”。unverified 不应进入事实性叙述,只能作为维护 TODO 或候选线索。

写入正文前检查

  • CVE ID、GHSA ID、项目名和版本范围是否来自官方或权威来源。
  • 论文标题、作者、会议、年份和 arXiv ID 是否一致。
  • 安全案例是否只描述公开事实和抽象模式。
  • 是否避免写入可直接复现攻击的步骤、私有 PoC 或未披露细节。

来源优先级

安全案例优先使用 NVD、MITRE、GHSA、vendor advisory、project security advisory、release note 和修复 commit。论文优先使用出版社页面、会议页面、作者主页、DOI、arXiv 或 OpenReview。博客与工具页应核验原始作者和项目仓库,而不是二次转载。

当来源层级不一致时,优先保留更权威、更接近项目上游的说法。例如版本范围以 GHSA 或项目 advisory 为准,但如果 NVD 有不同口径,也应在案例页中标出差异。

常见问题

  • CVE ID 存在就算 verified 吗? 不算。还要核验影响组件、版本范围、修复版本和 CWE/描述是否与本站归类一致。
  • 博客文章可以作为事实来源吗? 可以作为观点或案例线索,但安全事实仍优先回到官方 advisory 或项目来源。
  • 论文 arXiv 年份和会议年份不一致怎么办? 两者都写清楚,会议归属未确认前标 pending
  • 能否引用私有研究报告? 不能。私有报告只用于校准术语和边界,网页不复制其未公开内容。

读完检查

写入一个新案例前,至少回答:

  • CVE/GHSA/advisory 链接是否可访问?
  • 版本范围是否来自权威来源?
  • ToLO 归类是否来自公开事实,而不是推测?
  • 页面是否避免复制私有报告或未披露细节?

下一步阅读

回到 Public CVE Case Studies,按这个核验状态逐个补案例页。