4.1 KiB
4.1 KiB
订阅源目录
OFFICIAL-FIRST| 详细系统映射以 source-map.yaml 为准
本页只给出订阅分层和代表性来源。完整的 62 个系统、source adapter、tier、输出目录和 secure-code 主题全部由 source-map.yaml 维护,不允许在代码里另写一份系统清单。
置信度分层
| 级别 | 允许直接入 registry | 用途 |
|---|---|---|
official |
yes |
厂商公告、官方安全页、官方 API / RSS / JSON |
ecosystem-authority |
yes |
大生态的权威漏洞数据库和厂商合作源 |
research |
no |
利用链、影响面、实验映射和补充背景 |
triage-only |
no |
结构漂移、版本不清、来源冲突、单点弱证据 |
官方与机读源
| 来源 | 覆盖对象 | 用途 |
|---|---|---|
| GitHub Security Advisories | 开源依赖、官方 advisories | 适合 npm、Maven、Composer、PyPI、RubyGems、Go 生态 |
| OSV.dev | 开源包与供应链 | 补齐包级影响版本与修复版本 |
| NVD | 通用 CVE、CVSS、CPE | 统一 CVE 视图和元数据补全 |
| CISA KEV Catalog | 在野利用 | hotlane 优先源 |
| WordPress Security News | WordPress core | 核心 CMS 官方源 |
| Drupal Security Advisories | Drupal core / contrib | CMS 官方源 |
| Joomla Security Centre | Joomla | CMS 官方源 |
| Adobe Security Bulletins | Adobe Commerce / Magento | 电商核心公告 |
| Shopware Security Advisories | Shopware | 电商官方源 |
| Node.js Security Releases | Node.js | 运行时官方源 |
| Apache HTTP Server Security | Apache HTTP Server | 服务器官方源 |
| Apache Tomcat Security | Apache Tomcat | 服务器官方源 |
生态权威源
| 来源 | 适用场景 | 备注 |
|---|---|---|
| Wordfence Vulnerability Database | WordPress plugin / theme | 大型 WordPress 生态的重要正式来源 |
| Patchstack Database | WordPress plugin / theme | 可作为 extension 层正式入库来源 |
| WPScan Vulnerability Database | WordPress 扩展生态 | 用于交叉确认和去重 |
| Sansec Blog | Magento / Adobe Commerce 生态 | 供应链与在野利用补充 |
| Friends Of Presta | PrestaShop modules | 模块生态权威源 |
| GitLab Advisory DB | 多语言开源包 | 生态辅助交叉源 |
研究补充源
| 来源 | 用途 | 规则 |
|---|---|---|
| PortSwigger Research | Web 安全利用链与边界案例 | 只能补充,不可单独入 registry |
| Project Zero | 高质量漏洞研究 | 用于理解影响面和 exploitation 细节 |
| ProjectDiscovery Blog | 检测与验证思路 | 用于实验映射,不单独确认为正式案例 |
订阅维护规则
- 系统范围、tier、source adapter 和输出目录只允许改 source-map.yaml。
- 同一漏洞的
CVE / GHSA / OSV / vendor advisory / ecosystem advisory必须合并为一个 canonical record。 - plugin / module / extension 大生态允许使用
ecosystem-authority作为正式入库来源,但必须保留source_confidence。 - 页面结构漂移、版本缺失或来源冲突时,adapter 必须失败或转入
triage/,不得生成伪案例。