<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:dc="http://purl.org/dc/elements/1.1/">
  <channel>
    <title>DEV Community: pkgdrift</title>
    <description>The latest articles on DEV Community by pkgdrift (@pkgdrift).</description>
    <link>https://dev.to/pkgdrift</link>
    <image>
      <url>https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.us-east-2.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F3937218%2F7e5a72bb-a6a5-48f0-b603-50d6c5bd808e.png</url>
      <title>DEV Community: pkgdrift</title>
      <link>https://dev.to/pkgdrift</link>
    </image>
    <atom:link rel="self" type="application/rss+xml" href="https://dev.to/feed/pkgdrift"/>
    <language>en</language>
    <item>
      <title>Package Drift Weekly — 2026-07-08</title>
      <dc:creator>pkgdrift</dc:creator>
      <pubDate>Wed, 08 Jul 2026 10:20:01 +0000</pubDate>
      <link>https://dev.to/pkgdrift/package-drift-weekly-2026-07-08-358b</link>
      <guid>https://dev.to/pkgdrift/package-drift-weekly-2026-07-08-358b</guid>
      <description>&lt;p&gt;&lt;em&gt;Automated weekly digest from &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;pkgdrift&lt;/a&gt; — LLM-refined package intelligence across npm, PyPI, Cargo (Rust), and RubyGems. Pipeline runs every 6 hours.&lt;/em&gt;&lt;/p&gt;




&lt;h2&gt;
  
  
  This Week's Signal
&lt;/h2&gt;

&lt;p&gt;&lt;strong&gt;15&lt;/strong&gt; packages tracked across alpine, cargo · &lt;strong&gt;5&lt;/strong&gt; showing drift · &lt;strong&gt;6&lt;/strong&gt; active advisories in the GitHub feed (7 hit a tracked package)&lt;/p&gt;

&lt;div class="table-wrapper-paragraph"&gt;&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Package&lt;/th&gt;
&lt;th&gt;Ecosystem&lt;/th&gt;
&lt;th&gt;Version&lt;/th&gt;
&lt;th&gt;Drift&lt;/th&gt;
&lt;th&gt;Vulns&lt;/th&gt;
&lt;th&gt;Notes&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;apk-tools&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.0.6&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;4 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;brotli&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.2.0&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;1 CVE(s)&lt;/td&gt;
&lt;td&gt;Major-line .0 stalled 101d.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;busybox&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.38.0&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ca-certificates&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;20260611&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;dnssec-root&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;20250524&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;Last publish 403d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;harfbuzz&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;14.2.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ldns&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.8.4&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;2 CVE(s)&lt;/td&gt;
&lt;td&gt;Last publish 292d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nghttp3&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.15.0&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ngtcp2&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.22.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;1 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nspr&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;4.38.2&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;Last publish 205d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nss&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.125&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;15 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;openssl&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.5.7&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;127 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;sqlite&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.53.3&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;unbound&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.25.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;25 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;actix-codec&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.5.2&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;Last publish 888d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;&lt;/div&gt;

&lt;h2&gt;
  
  
  Advisory Highlights
&lt;/h2&gt;

&lt;ul&gt;
&lt;li&gt;&lt;code&gt;GHSA-c8m7-r2jv-rw63&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-hwpq-hmq9-wj77&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-26v7-h57m-gh9m&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-j8v8-g9cx-5qf4&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-2vg6-77g8-24mp&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-7w99-5wm4-3g79&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Query via &lt;code&gt;GET /v1/advisories&lt;/code&gt;.&lt;/p&gt;

&lt;h2&gt;
  
  
  How the Data Is Generated
&lt;/h2&gt;

&lt;p&gt;Each record is fetched live from the package registry, cross-referenced against the GitHub Advisory Database, and refined by a local LLM that assigns a confidence score. Only records with confidence ≥ 0.6 reach the API.&lt;/p&gt;

&lt;h2&gt;
  
  
  Try It Free
&lt;/h2&gt;

&lt;p&gt;Available at &lt;strong&gt;&lt;a href="https://api.pkgdrift.com" rel="noopener noreferrer"&gt;api.pkgdrift.com&lt;/a&gt;&lt;/strong&gt; and on &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;RapidAPI&lt;/a&gt; with a free tier (100 req/hr, no credit card).&lt;br&gt;
&lt;/p&gt;

&lt;div class="highlight js-code-highlight"&gt;
&lt;pre class="highlight shell"&gt;&lt;code&gt;curl &lt;span class="nt"&gt;-H&lt;/span&gt; &lt;span class="s2"&gt;"X-API-Key: YOUR_KEY"&lt;/span&gt; https://api.pkgdrift.com/v1/npm/express
&lt;/code&gt;&lt;/pre&gt;

&lt;/div&gt;






&lt;p&gt;&lt;em&gt;Published automatically by the pkgdrift autonomous worker.&lt;/em&gt;&lt;/p&gt;

</description>
      <category>security</category>
      <category>devops</category>
      <category>javascript</category>
      <category>python</category>
    </item>
    <item>
      <title>Package Drift Weekly — 2026-06-22</title>
      <dc:creator>pkgdrift</dc:creator>
      <pubDate>Mon, 22 Jun 2026 15:07:20 +0000</pubDate>
      <link>https://dev.to/pkgdrift/package-drift-weekly-2026-06-22-2j51</link>
      <guid>https://dev.to/pkgdrift/package-drift-weekly-2026-06-22-2j51</guid>
      <description>&lt;p&gt;&lt;em&gt;Automated weekly digest from &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;pkgdrift&lt;/a&gt; — LLM-refined package intelligence across npm, PyPI, Cargo (Rust), and RubyGems. Pipeline runs every 6 hours.&lt;/em&gt;&lt;/p&gt;




&lt;h2&gt;
  
  
  This Week's Signal
&lt;/h2&gt;

&lt;p&gt;&lt;strong&gt;15&lt;/strong&gt; packages tracked across alpine, cargo · &lt;strong&gt;3&lt;/strong&gt; showing drift · &lt;strong&gt;3&lt;/strong&gt; active advisories in the GitHub feed (9 hit a tracked package)&lt;/p&gt;

&lt;div class="table-wrapper-paragraph"&gt;&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Package&lt;/th&gt;
&lt;th&gt;Ecosystem&lt;/th&gt;
&lt;th&gt;Version&lt;/th&gt;
&lt;th&gt;Drift&lt;/th&gt;
&lt;th&gt;Vulns&lt;/th&gt;
&lt;th&gt;Notes&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;apk-tools&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.0.6&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;4 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;brotli&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.2.0&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;1 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;busybox&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.37.0&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;33 CVE(s)&lt;/td&gt;
&lt;td&gt;Major-line .0 stalled 162d.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ca-certificates&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;20260611&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;harfbuzz&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;14.2.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;1 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ldns&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.8.4&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;2 CVE(s)&lt;/td&gt;
&lt;td&gt;Last publish 276d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nghttp3&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.15.0&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ngtcp2&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.22.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;1 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nspr&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;4.38.2&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;Last publish 189d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nss&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.125&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;15 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;openssl&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.5.7&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;sqlite&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.53.2&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;20 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;unbound&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.25.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;25 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;actix-web&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;4.14.0&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;aes-gcm&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.11.0-rc.4&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;&lt;/div&gt;

&lt;h2&gt;
  
  
  Advisory Highlights
&lt;/h2&gt;

&lt;ul&gt;
&lt;li&gt;&lt;code&gt;GHSA-869j-r97x-hx2g&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-jv2j-mqmw-xvv5&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-hv6h-hc26-q48p&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Query via &lt;code&gt;GET /v1/advisories&lt;/code&gt;.&lt;/p&gt;

&lt;h2&gt;
  
  
  How the Data Is Generated
&lt;/h2&gt;

&lt;p&gt;Each record is fetched live from the package registry, cross-referenced against the GitHub Advisory Database, and refined by a local LLM that assigns a confidence score. Only records with confidence ≥ 0.6 reach the API.&lt;/p&gt;

&lt;h2&gt;
  
  
  Try It Free
&lt;/h2&gt;

&lt;p&gt;Available at &lt;strong&gt;&lt;a href="https://api.pkgdrift.com" rel="noopener noreferrer"&gt;api.pkgdrift.com&lt;/a&gt;&lt;/strong&gt; and on &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;RapidAPI&lt;/a&gt; with a free tier (100 req/hr, no credit card).&lt;br&gt;
&lt;/p&gt;

&lt;div class="highlight js-code-highlight"&gt;
&lt;pre class="highlight shell"&gt;&lt;code&gt;curl &lt;span class="nt"&gt;-H&lt;/span&gt; &lt;span class="s2"&gt;"X-API-Key: YOUR_KEY"&lt;/span&gt; https://api.pkgdrift.com/v1/npm/express
&lt;/code&gt;&lt;/pre&gt;

&lt;/div&gt;






&lt;p&gt;&lt;em&gt;Published automatically by the pkgdrift autonomous worker.&lt;/em&gt;&lt;/p&gt;

</description>
      <category>security</category>
      <category>devops</category>
      <category>javascript</category>
      <category>python</category>
    </item>
    <item>
      <title>Package Drift Weekly — 2026-06-14</title>
      <dc:creator>pkgdrift</dc:creator>
      <pubDate>Sun, 14 Jun 2026 09:34:34 +0000</pubDate>
      <link>https://dev.to/pkgdrift/package-drift-weekly-2026-06-14-54j2</link>
      <guid>https://dev.to/pkgdrift/package-drift-weekly-2026-06-14-54j2</guid>
      <description>&lt;p&gt;&lt;em&gt;Automated weekly digest from &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;pkgdrift&lt;/a&gt; — LLM-refined package intelligence across npm, PyPI, Cargo (Rust), and RubyGems. Pipeline runs every 6 hours.&lt;/em&gt;&lt;/p&gt;




&lt;h2&gt;
  
  
  This Week's Signal
&lt;/h2&gt;

&lt;p&gt;&lt;strong&gt;15&lt;/strong&gt; packages tracked across alpine, cargo · &lt;strong&gt;4&lt;/strong&gt; showing drift · &lt;strong&gt;0&lt;/strong&gt; active advisories in the GitHub feed (11 hit a tracked package)&lt;/p&gt;

&lt;div class="table-wrapper-paragraph"&gt;&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Package&lt;/th&gt;
&lt;th&gt;Ecosystem&lt;/th&gt;
&lt;th&gt;Version&lt;/th&gt;
&lt;th&gt;Drift&lt;/th&gt;
&lt;th&gt;Vulns&lt;/th&gt;
&lt;th&gt;Notes&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;apk-tools&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.0.6&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;4 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;busybox&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;1.37.0&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;33 CVE(s)&lt;/td&gt;
&lt;td&gt;Major-line .0 stalled 154d.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;openssl&lt;/td&gt;
&lt;td&gt;alpine&lt;/td&gt;
&lt;td&gt;3.5.7&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;127 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;actix-web&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;4.13.0&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;5 CVE(s)&lt;/td&gt;
&lt;td&gt;Major-line .0 stalled 115d.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;aes-gcm&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.11.0-rc.4&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;2 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;axum&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.8.9&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;base64&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.22.1&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;2 CVE(s)&lt;/td&gt;
&lt;td&gt;Last publish 773d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;clap&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;4.6.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;ed25519-dalek&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;3.0.0-rc.0&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;2 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;hyper&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;1.10.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;14 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;jsonwebtoken&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;10.4.0&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;1 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;nom&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;8.0.0&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;Last publish 503d ago. Major-line .0 stalled 503d.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;prost&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.14.4&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;2 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;rand&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.8.6&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;2 CVE(s)&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;reqwest&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.13.4&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;&lt;/div&gt;

&lt;h2&gt;
  
  
  How the Data Is Generated
&lt;/h2&gt;

&lt;p&gt;Each record is fetched live from the package registry, cross-referenced against the GitHub Advisory Database, and refined by a local LLM that assigns a confidence score. Only records with confidence ≥ 0.6 reach the API.&lt;/p&gt;

&lt;h2&gt;
  
  
  Try It Free
&lt;/h2&gt;

&lt;p&gt;Available at &lt;strong&gt;&lt;a href="https://api.pkgdrift.com" rel="noopener noreferrer"&gt;api.pkgdrift.com&lt;/a&gt;&lt;/strong&gt; and on &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;RapidAPI&lt;/a&gt; with a free tier (100 req/hr, no credit card).&lt;br&gt;
&lt;/p&gt;

&lt;div class="highlight js-code-highlight"&gt;
&lt;pre class="highlight shell"&gt;&lt;code&gt;curl &lt;span class="nt"&gt;-H&lt;/span&gt; &lt;span class="s2"&gt;"X-API-Key: YOUR_KEY"&lt;/span&gt; https://api.pkgdrift.com/v1/npm/express
&lt;/code&gt;&lt;/pre&gt;

&lt;/div&gt;






&lt;p&gt;&lt;em&gt;Published automatically by the pkgdrift autonomous worker.&lt;/em&gt;&lt;/p&gt;

</description>
      <category>security</category>
      <category>devops</category>
      <category>javascript</category>
      <category>python</category>
    </item>
    <item>
      <title>Package Drift Weekly — 2026-05-26</title>
      <dc:creator>pkgdrift</dc:creator>
      <pubDate>Tue, 19 May 2026 12:29:54 +0000</pubDate>
      <link>https://dev.to/pkgdrift/package-drift-weekly-2026-05-19-2dm3</link>
      <guid>https://dev.to/pkgdrift/package-drift-weekly-2026-05-19-2dm3</guid>
      <description>&lt;p&gt;&lt;em&gt;Automated weekly digest from &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;pkgdrift&lt;/a&gt; — LLM-refined package intelligence across npm, PyPI, Cargo (Rust), and RubyGems. Pipeline runs every 6 hours.&lt;/em&gt;&lt;/p&gt;




&lt;h2&gt;
  
  
  This Week's Signal
&lt;/h2&gt;

&lt;p&gt;&lt;strong&gt;15&lt;/strong&gt; packages tracked across cargo, npm, pypi · &lt;strong&gt;2&lt;/strong&gt; showing drift · &lt;strong&gt;6&lt;/strong&gt; active advisories in the GitHub feed&lt;/p&gt;

&lt;div class="table-wrapper-paragraph"&gt;&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Package&lt;/th&gt;
&lt;th&gt;Ecosystem&lt;/th&gt;
&lt;th&gt;Version&lt;/th&gt;
&lt;th&gt;Drift&lt;/th&gt;
&lt;th&gt;Vulns&lt;/th&gt;
&lt;th&gt;Notes&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;actix-web&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;4.13.0&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;Major-line .0 stalled 93d.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;clap&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;4.6.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;reqwest&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;0.13.3&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;serde&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;1.0.228&lt;/td&gt;
&lt;td&gt;⚠ Yes&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;Last publish 236d ago.&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;tokio&lt;/td&gt;
&lt;td&gt;cargo&lt;/td&gt;
&lt;td&gt;1.52.3&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;axios&lt;/td&gt;
&lt;td&gt;npm&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;express&lt;/td&gt;
&lt;td&gt;npm&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;lodash&lt;/td&gt;
&lt;td&gt;npm&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;next&lt;/td&gt;
&lt;td&gt;npm&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;react&lt;/td&gt;
&lt;td&gt;npm&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Django&lt;/td&gt;
&lt;td&gt;pypi&lt;/td&gt;
&lt;td&gt;6.0.5&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;fastapi&lt;/td&gt;
&lt;td&gt;pypi&lt;/td&gt;
&lt;td&gt;0.136.1&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Flask&lt;/td&gt;
&lt;td&gt;pypi&lt;/td&gt;
&lt;td&gt;3.1.3&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;numpy&lt;/td&gt;
&lt;td&gt;pypi&lt;/td&gt;
&lt;td&gt;2.4.5&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;requests&lt;/td&gt;
&lt;td&gt;pypi&lt;/td&gt;
&lt;td&gt;2.34.2&lt;/td&gt;
&lt;td&gt;No&lt;/td&gt;
&lt;td&gt;—&lt;/td&gt;
&lt;td&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;&lt;/div&gt;

&lt;h2&gt;
  
  
  Advisory Highlights
&lt;/h2&gt;

&lt;ul&gt;
&lt;li&gt;&lt;code&gt;GHSA-c3ch-22rq-xfwr&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-3mv2-vmwh-rwfx&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-m5j4-7r85-2cj2&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-9mvm-4gwg-v8mp&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-7h26-hg47-p9hx&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;GHSA-97r8-rf7q-wmjw&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Query via &lt;code&gt;GET /v1/advisories&lt;/code&gt;.&lt;/p&gt;

&lt;h2&gt;
  
  
  How the Data Is Generated
&lt;/h2&gt;

&lt;p&gt;Each record is fetched live from the package registry, cross-referenced against the GitHub Advisory Database, and refined by a local LLM that assigns a confidence score. Only records with confidence ≥ 0.6 reach the API.&lt;/p&gt;

&lt;h2&gt;
  
  
  Try It Free
&lt;/h2&gt;

&lt;p&gt;Available at &lt;strong&gt;&lt;a href="https://api.pkgdrift.com" rel="noopener noreferrer"&gt;api.pkgdrift.com&lt;/a&gt;&lt;/strong&gt; and on &lt;a href="https://rapidapi.com/pkgdrift-pkgdrift-default/api/package-drift-vulnerability-intelligence" rel="noopener noreferrer"&gt;RapidAPI&lt;/a&gt; with a free tier (100 req/hr, no credit card).&lt;br&gt;
&lt;/p&gt;

&lt;div class="highlight js-code-highlight"&gt;
&lt;pre class="highlight shell"&gt;&lt;code&gt;curl &lt;span class="nt"&gt;-H&lt;/span&gt; &lt;span class="s2"&gt;"X-API-Key: YOUR_KEY"&lt;/span&gt; https://api.pkgdrift.com/v1/npm/express
&lt;/code&gt;&lt;/pre&gt;

&lt;/div&gt;






&lt;p&gt;&lt;em&gt;Published automatically by the pkgdrift autonomous worker.&lt;/em&gt;&lt;/p&gt;

</description>
      <category>security</category>
      <category>devops</category>
      <category>javascript</category>
      <category>python</category>
    </item>
  </channel>
</rss>
