# 订阅源目录

> `OFFICIAL-FIRST` | 详细系统映射以 [source-map.yaml](/Users/x/websafe/08-threat-intel/source-map.yaml) 为准

本页只给出订阅分层和代表性来源。完整的 62 个系统、source adapter、tier、输出目录和 secure-code 主题全部由 `source-map.yaml` 维护，不允许在代码里另写一份系统清单。

## 置信度分层

| 级别 | 允许直接入 registry | 用途 |
|------|---------------------|------|
| `official` | `yes` | 厂商公告、官方安全页、官方 API / RSS / JSON |
| `ecosystem-authority` | `yes` | 大生态的权威漏洞数据库和厂商合作源 |
| `research` | `no` | 利用链、影响面、实验映射和补充背景 |
| `triage-only` | `no` | 结构漂移、版本不清、来源冲突、单点弱证据 |

## 官方与机读源

| 来源 | 覆盖对象 | 用途 |
|------|----------|------|
| [GitHub Security Advisories](https://github.com/advisories) | 开源依赖、官方 advisories | 适合 npm、Maven、Composer、PyPI、RubyGems、Go 生态 |
| [OSV.dev](https://osv.dev/) | 开源包与供应链 | 补齐包级影响版本与修复版本 |
| [NVD](https://nvd.nist.gov/vuln/search) | 通用 CVE、CVSS、CPE | 统一 CVE 视图和元数据补全 |
| [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) | 在野利用 | hotlane 优先源 |
| [WordPress Security News](https://wordpress.org/news/category/security/) | WordPress core | 核心 CMS 官方源 |
| [Drupal Security Advisories](https://www.drupal.org/security) | Drupal core / contrib | CMS 官方源 |
| [Joomla Security Centre](https://developer.joomla.org/security-centre.html) | Joomla | CMS 官方源 |
| [Adobe Security Bulletins](https://helpx.adobe.com/security.html) | Adobe Commerce / Magento | 电商核心公告 |
| [Shopware Security Advisories](https://github.com/shopware/shopware/security/advisories) | Shopware | 电商官方源 |
| [Node.js Security Releases](https://nodejs.org/en/blog/vulnerability) | Node.js | 运行时官方源 |
| [Apache HTTP Server Security](https://httpd.apache.org/security/vulnerabilities_24.html) | Apache HTTP Server | 服务器官方源 |
| [Apache Tomcat Security](https://tomcat.apache.org/security.html) | Apache Tomcat | 服务器官方源 |

## 生态权威源

| 来源 | 适用场景 | 备注 |
|------|----------|------|
| [Wordfence Vulnerability Database](https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/) | WordPress plugin / theme | 大型 WordPress 生态的重要正式来源 |
| [Patchstack Database](https://patchstack.com/database/) | WordPress plugin / theme | 可作为 extension 层正式入库来源 |
| [WPScan Vulnerability Database](https://wpscan.com/vulnerability-database) | WordPress 扩展生态 | 用于交叉确认和去重 |
| [Sansec Blog](https://sansec.io/research) | Magento / Adobe Commerce 生态 | 供应链与在野利用补充 |
| [Friends Of Presta](https://security.friendsofpresta.org/) | PrestaShop modules | 模块生态权威源 |
| [GitLab Advisory DB](https://advisories.gitlab.com/) | 多语言开源包 | 生态辅助交叉源 |

## 研究补充源

| 来源 | 用途 | 规则 |
|------|------|------|
| [PortSwigger Research](https://portswigger.net/research) | Web 安全利用链与边界案例 | 只能补充，不可单独入 registry |
| [Project Zero](https://googleprojectzero.blogspot.com/) | 高质量漏洞研究 | 用于理解影响面和 exploitation 细节 |
| [ProjectDiscovery Blog](https://blog.projectdiscovery.io/) | 检测与验证思路 | 用于实验映射，不单独确认为正式案例 |

## 订阅维护规则

- 系统范围、tier、source adapter 和输出目录只允许改 [source-map.yaml](/Users/x/websafe/08-threat-intel/source-map.yaml)。
- 同一漏洞的 `CVE / GHSA / OSV / vendor advisory / ecosystem advisory` 必须合并为一个 canonical record。
- plugin / module / extension 大生态允许使用 `ecosystem-authority` 作为正式入库来源，但必须保留 `source_confidence`。
- 页面结构漂移、版本缺失或来源冲突时，adapter 必须失败或转入 `triage/`，不得生成伪案例。