Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets 的設計存在潛在風險，只要擁有儲存庫寫入權限的使用者，就可能存取甚至竊取secrets。 為了降低風險，建議使用 GitHub Environment secrets的保護規則和正確配置的 OIDC（OpenID Connect）信任策略，以強化憑證與密鑰的安全性。 除了機制設計問題外，初學者在撰寫GitHub Action Workflow 時的錯誤用法，也常造成機密洩漏風險。 最常見的情況是直接將 secrets值寫入工作流程檔案中，使得敏感資訊如金鑰或密碼暴露於公開程式碼之中，嚴重威脅系統安全，如圖1所示。 圖1：將secrets直接寫入Workflow上。 圖片內容取自github: airman604 目前網路上廣為流傳的做法，是透過Github的介面在路徑「settings → secrets and

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets 的設計存在潛在風險，只要擁有儲存庫寫入權限的使用者，就可能存取甚至竊取secrets。 為了降低風險，建議使用 GitHub Environment secrets的保護規則和正確配置的 OIDC（OpenID Connect）信任策略，以強化憑證與密鑰的安全性。 除了機制設計問題外，初學者在撰寫GitHub Action Workflow 時的錯誤用法，也常造成機密洩漏風險。 最常見的情況是直接將 secrets值寫入工作流程檔案中，使得敏感資訊如金鑰或密碼暴露於公開程式碼之中，嚴重威脅系統安全，如圖1所示。 圖1：將secrets直接寫入Workflow上。 圖片內容取自github: airman604 目前網路上廣為流傳的做法，是透過Github的介面在路徑「settings → secrets and

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets 的設計存在潛在風險，只要擁有儲存庫寫入權限的使用者，就可能存取甚至竊取secrets。 為了降低風險，建議使用 GitHub Environment secrets的保護規則和正確配置的 OIDC（OpenID Connect）信任策略，以強化憑證與密鑰的安全性。 除了機制設計問題外，初學者在撰寫GitHub Action Workflow 時的錯誤用法，也常造成機密洩漏風險。 最常見的情況是直接將 secrets值寫入工作流程檔案中，使得敏感資訊如金鑰或密碼暴露於公開程式碼之中，嚴重威脅系統安全，如圖1所示。 圖1：將secrets直接寫入Workflow上。 圖片內容取自github: airman604 目前網路上廣為流傳的做法，是透過Github的介面在路徑「settings → secrets and

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets 的設計存在潛在風險，只要擁有儲存庫寫入權限的使用者，就可能存取甚至竊取secrets。 為了降低風險，建議使用 GitHub Environment secrets的保護規則和正確配置的 OIDC（OpenID Connect）信任策略，以強化憑證與密鑰的安全性。 除了機制設計問題外，初學者在撰寫GitHub Action Workflow 時的錯誤用法，也常造成機密洩漏風險。 最常見的情況是直接將 secrets值寫入工作流程檔案中，使得敏感資訊如金鑰或密碼暴露於公開程式碼之中，嚴重威脅系統安全，如圖1所示。 圖1：將secrets直接寫入Workflow上。 圖片內容取自github: airman604 目前網路上廣為流傳的做法，是透過Github的介面在路徑「settings → secrets and

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 在開發流程自動化日益普及的時代，GitHub Actions 成為許多開發者不可或缺的工具。 然而，資安研究人員提醒， GitHub Repository secrets 的設計存在潛在風險，只要擁有儲存庫寫入權限的使用者，就可能存取甚至竊取secrets。 為了降低風險，建議使用 GitHub Environment secrets的保護規則和正確配置的 OIDC（OpenID Connect）信任策略，以強化憑證與密鑰的安全性。 除了機制設計問題外，初學者在撰寫GitHub Action Workflow 時的錯誤用法，也常造成機密洩漏風險。 最常見的情況是直接將 secrets值寫入工作流程檔案中，使得敏感資訊如金鑰或密碼暴露於公開程式碼之中，嚴重威脅系統安全，如圖1所示。 圖1：將secrets直接寫入Workflow上。 圖片內容取自github: airman604 目前網路上廣為流傳的做法，是透過Github的介面在路徑「settings → secrets and

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影響Citrix NetScaler ADC 與 Gateway設備，特別是版本13.1及14.1以下。 此外，部分受影響的NetScaler版本已達生命週期終止（EoL），建議用戶儘速升級至支援版本以確保安全，因漏洞涉及記憶體溢位與記憶體越界，攻擊者可能藉此取得系統記憶體中的敏感資料，如使用者登入憑證、有效的Session Token以及記憶體中處理的HTTP請求內容等，攻擊者可能繞過多因子驗證機制，造成嚴重的資料外洩風險。 美國網路安全暨基礎設施安全局（CISA）已於7月10日和6月30日將這二個漏洞納入已知利用漏洞（KEV）目錄，提醒企業與政府機關優先修補，並加強監控異常存取行為。 研究人員建議除了立即套用官方修補程式外，還應註銷現有Citrix Session...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影響Citrix NetScaler ADC 與 Gateway設備，特別是版本13.1及14.1以下。 此外，部分受影響的NetScaler版本已達生命週期終止（EoL），建議用戶儘速升級至支援版本以確保安全，因漏洞涉及記憶體溢位與記憶體越界，攻擊者可能藉此取得系統記憶體中的敏感資料，如使用者登入憑證、有效的Session Token以及記憶體中處理的HTTP請求內容等，攻擊者可能繞過多因子驗證機制，造成嚴重的資料外洩風險。 美國網路安全暨基礎設施安全局（CISA）已於7月10日和6月30日將這二個漏洞納入已知利用漏洞（KEV）目錄，提醒企業與政府機關優先修補，並加強監控異常存取行為。 研究人員建議除了立即套用官方修補程式外，還應註銷現有Citrix Session...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 近期Citrix發布二項嚴重資安漏洞公告，分別為CVE-2025-5777（CVSS 4.x：9.3）與CVE-2025-6543（CVSS 4.x：9.2），並已釋出修補程式以應對攻擊威脅，這二個漏洞主要影...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 BERT（又被趨勢科技稱作Water Pombero）於2025年4月首次被發現，是一種具備跨平台能力的勒索軟體，主要針對Windows和Linux環境發動攻擊。...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 BERT（又被趨勢科技稱作Water Pombero）於2025年4月首次被發現，是一種具備跨平台能力的勒索軟體，主要針對Windows和Linux環境發動攻擊。...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 BERT（又被趨勢科技稱作Water Pombero）於2025年4月首次被發現，是一種具備跨平台能力的勒索軟體，主要針對Windows和Linux環境發動攻擊。...