Trivy и Dependency-Check сообщают о различных уязвимостях

Когда я запускаю сканирование с помощью Dependency-Check, я получаю большой набор уязвимостей, см. Пример ниже, однако, когда я запускаю сканирование с помощью Trivy, я получаю только одну. Единственная уязвимость является преднамеренной - я зашел на страницу источников данных для Trivy и добавил пакет, в котором была уязвимость (в противном случае Trivy сообщил о нулевых уязвимостях).

Отчет о проверке зависимостей:

Мелкий отчет:

Итак, у меня вопрос - почему Dependency-Check сообщает о таком количестве других уязвимостей? Почему Trivy сообщает меньше? Хотел бы использовать Trivy для моей организации, но мне нужно понимать эту разницу.

Мое предположение ... Trivy использует только страницу рекомендаций github для источников данных, тогда как проверка зависимостей использует NVD? Почему бы не использовать оба? Страница рекомендаций предназначена только для пакетов, в которых также есть исправление?

Любые отзывы супер приветствуются!