Supply Chain

analyzing-supply-chain-malware-artifacts 是一個用於追查木馬化更新、遭投毒的依賴項與建置流程竄改的惡意軟體分析技能。可用來比對可信與不可信的工件、擷取指標、評估受影響範圍，並以更少猜測完成回報。

了解 exploiting-broken-link-hijacking 技能如何從過期網域、閒置服務與可認領的外部資源中，發現並驗證斷鏈劫持風險。這套內容專為 Security Audit 工作流程設計，能以實用的分流流程，協助你區分無害的失效連結與可能遭接管的候選目標。

detecting-typosquatting-packages-in-npm-pypi 可透過比對名稱相似度、發佈時間新舊與下載異常，協助找出可疑的 npm 與 PyPI 套件。適合用於資安稽核流程、相依套件審查，以及以可重現的 Registry 檢查流程進行供應鏈風險初篩。

用於稽核 GitHub Actions 與 CI/CD 設定的 detecting-supply-chain-attacks-in-ci-cd 技能。它可協助找出未鎖定版本的 actions、腳本注入、相依性混淆、機密外洩，以及 Security Audit 工作流程中高風險權限。適合用來檢視 repo、workflow 檔案或可疑的 pipeline 變更，並提供清楚的發現與修正建議。