OWASP 依赖项检查抑制不起作用

问：

我正在尝试使用最新的 owasp docker 映像在 gitlab-ci 作业中使用 owasp 依赖项检查。 依赖项检查效果很好，但是当我尝试添加抑制 xml 文件时，它不起作用 - 它不会抑制任何漏洞。

以下是我使用依赖项检查的方式：

.owasp_scanning: &owasp_scanning
  stage: security-scanning
  image:
    name: owasp/dependency-check:latest
    entrypoint: [""]
  needs: []
  allow_failure: true
  before_script:
  - |
    if [ -e "$CI_PROJECT_DIR/suppressions.xml" ]; then
      echo "Suppression file found: $CI_PROJECT_DIR/suppressions.xml"
      cat "$CI_PROJECT_DIR/suppressions.xml"
    else
      echo "Suppression file not found: $CI_PROJECT_DIR/suppressions.xml"
    fi
  script:
    # prints owasp dependency check version
    - /usr/share/dependency-check/bin/dependency-check.sh --version
    # prints full report and create artifact
    - /usr/share/dependency-check/bin/dependency-check.sh --scan "$CI_PROJECT_DIR" \
      -f HTML -o "$CI_PROJECT_DIR/dependency-check-report.html" \
      --project "$CI_PROJECT_NAME" --failOnCVSS 0 \
      --suppression "$CI_PROJECT_DIR/suppressions.xml"

before_script部分中，我可以看到该文件位于右侧，并且包含预期的代码。 下面是抑制 .xml，它是从依赖项检查报告中的“抑制”按钮创建的：

<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
   <suppress>
      <notes><![CDATA[
      file name: standing_order_kucmin.jar: guava-28.1-jre.jar
      ]]></notes>
      <packageUrl regex="true">^pkg:maven/com\.google\.guava/guava@.*$</packageUrl>
      <cpe>cpe:/a:google:guava</cpe>
   </suppress>
   <suppress>
      <notes><![CDATA[
      file name: standing_order_kucmin.jar: commons-io-2.5.jar
      ]]></notes>
      <packageUrl regex="true">^pkg:maven/commons\-io/commons\-io@.*$</packageUrl>
      <cve>CVE-2021-29425</cve>
   </suppress>
</suppressions>

有人能看到我做错了什么吗？提前致谢