Методика и источники

Reading Time: 2 minutes

Методика новостей: источники, проверка, статусы

LinuxWin Cyber — быстрый кибер-дайджест для РФ: «что случилось → кого касается → что сделать сегодня». Скорость важна, но важнее — чтобы читатель понимал, на чём держатся факты и где заканчивается уверенность.

Откуда берём факты

  • Бюллетени безопасности (advisory), страницы статуса и постмортемы вендоров.
  • CERT/CSIRT и регуляторы: предупреждения, разъяснения, публичные уведомления.
  • Трекеры уязвимостей (CVE/NVD и аналоги) — только вместе с вендорским advisory или подтверждаемым контекстом.
  • Отчёты исследователей — если есть методология, индикаторы и репутация автора/лаборатории.
  • Крупные медиа — как контекст/подтверждение, но не как единственный источник.

Тиры источников (и как мы их используем)

  • Tier 1 — official: первоисточник. Именно его формулировки считаем базой (advisory, заявление компании, публикация регулятора, CERT).
  • Tier 2 — established media: подтверждение и контекст, если есть ссылка на первоисточник или прямые цитаты.
  • Tier 3 — specialist blogs: детали и аналитика; берём только то, что можно проверить по методологии/индикаторам.
  • Tier 4 — агрегаторы: только как сигнал «похоже, тема важная». Публикация — после поиска первоисточника.

Ограничение: не более двух материалов в день, основанных на одном и том же домене-источнике, чтобы не превращаться в зеркало.

Как проверяем перед публикацией

  • Сверяем дату/время первичной публикации и обновлений (если advisory редактировался).
  • Фиксируем объект: продукт, версия, компонент, режим/конфигурация, если это уязвимость.
  • Ищем подтверждение: второй независимый источник или официальный комментарий (если возможно).
  • Отделяем факт от оценки: в тексте явно маркируем «известно / заявлено / предполагается».
  • Проверка на полезность: у каждой заметки должен быть минимальный блок действия («что сделать сейчас»).

Статусы материалов

  • Официально — есть первичный источник (advisory/заявление/CERT/регулятор).
  • Подтверждено — есть минимум два независимых надёжных источника, согласующихся по фактам.
  • Предварительно — сигнал есть, но подтверждение неполное; публикуем только если риск для читателя практический (например, массовая фишинговая волна) и явно пишем, чего не хватает.

В конце материалов используем короткую строку: «Источник: … Подтверждение: … Статус: …».

Чего мы не публикуем (осознанно)

  • PoC, эксплойт-код и пошаговые сценарии атак, которые упрощают повторение.
  • Слухи без проверяемого первоисточника.
  • Персональные данные, «сливы баз», ссылки на скачивание, цитирование даркнет-площадок.
  • Обвинения без документируемых фактов или официальных заявлений.
  • Панику и кликбейт: серьёзность обсуждаем через масштаб, условия эксплуатации и наличие патча/обхода.

Как предложить тему и помочь с проверкой

Если вы видите важный инфоповод для РФ, пришлите нам:

  • ссылку на первоисточник (advisory/заявление/страница статуса);
  • кратко: кого касается (продукт/сектор/тип пользователей);
  • что вы уже проверили (например, «патч вышел», «есть обходной путь»).

Канал связи — на странице «Контакты редакции».