Supply Chain

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

了解 exploing-broken-link-hijacking 技能如何从过期域名、废弃服务和可认领的外部资源中发现并验证 broken link hijacking 风险。它面向 Security Audit 工作流，帮助你通过实用的分流流程，把普通失效链接与可接管目标区分开来。

detecting-typosquatting-packages-in-npm-pypi 可通过比较名称相似度、发布时间新近程度和下载异常，帮助识别可疑的 npm 和 PyPI 包。适用于安全审计流程、依赖审查，以及可复现的注册表检查流程中的供应链风险初筛。

用于审计 GitHub Actions 和 CI/CD 配置的 detecting-supply-chain-attacks-in-ci-cd 技能。它可以帮助发现未固定版本的 action、脚本注入、依赖混淆、敏感信息泄露以及 Security Audit 工作流中的高风险权限。适合用来检查仓库、工作流文件或可疑的流水线变更，并给出清晰的发现和修复建议。