<div dir="ltr">Greetings Marcus, <div>    Let me put some light on what I'm trying to accomplish here, npm is basically a dependency manager for NodeJS, it allows users to quickly install libraries and dependencies for their NodeJS Projects. NPM now provides 'npm audit' which reports vulnerabilities to the user and also updates to patched versions of those dependencies with 'npm audit --fix', I've attached a sample report for reference. </div><div><div><img src="cid:ii_k7sl8whs0" alt="npm_audit.png" width="343" height="171" style="margin-right: 0px;"><br></div></div><div>The vulnerability information is mostly crowdsourced from <a href="https://www.npmjs.com/advisories">npmjs.com/advisories</a> </div><div><br></div><div>Now coming back to MacPorts, multiple organizations publish CVEs ( Common Vulnerabilities and Exposures ) which are linked to CPEs</div><div>What are CPEs?</div><div>CPE stands for Common Platform Enumeration and is "a standardized method of describing and identifying classes of applications, operating systems, and hardware devices present among an enterprise's computing assets"</div><div>Currently, the US Government maintains a searchable index of CPEs as a part of NIST. </div><div><br></div><div>SInce CPEs come in a standard format   <span style="background-color:rgb(204,204,204)">cpe:/ {part} : {vendor} : {product} : {version} : {update} : {edition} : {language}</span><span style="background-color:rgb(255,255,255)"> </span></div><div><span style="background-color:rgb(255,255,255)">for example, a <a href="https://nvd.nist.gov/products/cpe/detail/188006?status=FINAL&orderBy=CPEURI&namingFormat=2.3&keyword=cpe%3A2.3%3Aa%3Aagilebits">CPE published </a>on 1password </span>cpe:/a:agilebits:1password:3.0:-:~~~</div><div>Can be used to identify that the package <a href="https://distfiles.macports.org/1password-cli/">1password</a> is vulnerable ( current portfile on macports isn't installing the vulnerable pckage )</div><div><br></div><div>We can either mirror the database or use the API at <a href="https://nvd.nist.gov/">nvd.nist.gov</a> to look for vulnerable ports ( I'd suggest the former ). </div><div>Crowdsourcing the data is another way to identify vulnerabilities in packages, I'd be happy to develop the full stack of a vulnerability advisory for MacPorts but I believe it would put more pressure on the maintainers to also moderate the vulnerability advisory. </div><div><br></div><div>~Darsh </div></div>