Leginkább a végtelen berántott dependencia (OS package-ek, libek, .jar-ok, npm module-ok, stb.) CVE-jeit tudja összeszedni. Persze ha nincs igazi OS bent, csak egy szál statikus bináris, akkor ezek jelentős része nem megy.