<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Calibri, sans-serif; color: rgb(0, 0, 0); ">
<div>Someone in the OVAL community mentioned they were trying to use the package receipt plist files to determine if things were installed. &quot;Things&quot; could be applications, patches, libraries, printer drivers, plug-ins, all sorts of things, not just applications.
 They found directly checking the plist files to be problematic and found pkgutil should be used instead. We (MITRE) developed the referenced extension schema. Mac OS provides an installation receipt capability much like other package managers on other UNIX
 systems. It seems that OVAL should support checking this system provided audit trail.</div>
<div><br>
</div>
<div>If the audit trail is unreliable or unsuitable for the purpose, that's another good discussion.</div>
<div><br>
</div>
<div>- Jasen.</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Peter Link &lt;<a href="mailto:plink53@mac.com">plink53@mac.com</a>&gt;<br>
<span style="font-weight:bold">Date: </span>Thursday, July 11, 2013 2:11 PM<br>
<span style="font-weight:bold">To: </span>MITRE Employee &lt;<a href="mailto:jasenj1@mitre.org">jasenj1@mitre.org</a>&gt;<br>
<span style="font-weight:bold">Cc: </span>&quot;<a href="mailto:scap-on-apple-dev@lists.macosforge.org">scap-on-apple-dev@lists.macosforge.org</a>&quot; &lt;<a href="mailto:scap-on-apple-dev@lists.macosforge.org">scap-on-apple-dev@lists.macosforge.org</a>&gt;, &quot;<a href="mailto:scap-on-apple@lists.macosforge.org">scap-on-apple@lists.macosforge.org</a>&quot;
 &lt;<a href="mailto:scap-on-apple@lists.macosforge.org">scap-on-apple@lists.macosforge.org</a>&gt;, oval-developer-list OVAL Developer List/Closed Public Discussion &lt;<a href="mailto:oval-developer-list@lists.mitre.org">oval-developer-list@lists.mitre.org</a>&gt;<br>
<span style="font-weight:bold">Subject: </span>Re: [SCAP-On-Apple] Mac OS X proposed pkginfo OVAL Test.<br>
</div>
<div><br>
</div>
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
Jasen,
<div><span class="Apple-tab-span" style="white-space:pre"></span>What are you trying to achieve? Is your goal a test that logs whether a specific application has (ever) been installed? I'm trying to understand why this would be needed. Knowing whether a patch
 has been installed was used for Windows systems (although I'm not sure that actually means anything was fixed) but using the existence of an application being installed (or attempted to be) doesn't mean it actually patched something or should be used as validation
 that something was fixed. It also doesn't necessarily mean the patch or application was completely installed.</div>
</div>
</div>
</span>
</body>
</html>