# Source Confidence

## Levels

| Level | Meaning | Registry eligibility |
|------|---------|----------------------|
| `official` | Vendor公告、官方 repo advisories、官方 RSS/API/JSON | 可直接进入 registry |
| `ecosystem-authority` | Wordfence、Patchstack、Sansec、Friends Of Presta、WPScan 等权威生态源 | 可直接进入 registry |
| `research` | 高质量研究文章、工程博客、攻防分析 | 只能补充，不可单独确认正式案例 |
| `triage-only` | 结构漂移、来源不明、版本不清或数据冲突 | 只能进入 triage |

## Rules

1. canonical advisory 的 `source_confidence` 取合并来源中的最高等级。
2. 若没有 `official` 或 `ecosystem-authority` 来源，记录进入 triage。
3. 版本信息缺失、来源冲突、或多源无法统一时，记录进入 triage。
4. `research` 只能补充利用路径、影响说明和实验映射，不能单独决定入库。