EPSS (Exploit Prediction Scoring System)

EPSS сочетает машинное обучение с реальными сигналами — опубликованными эксплойтами, телеметрией киберразведки, бюллетенями вендоров, обсуждениями в соцсетях — и для каждой CVE выдаёт два значения: вероятность (0–1) и процентильный ранг. EPSS дополняет CVSS, отвечая не на вопрос, насколько уязвимость теоретически тяжела, а на то, насколько вероятна её реальная эксплуатация в ближайшее время. Программы управления уязвимостями используют EPSS для приоритизации больших бэклогов: критическая по CVSS уязвимость с очень низким EPSS может подождать, а средняя с высоким EPSS и в списке KEV обычно поднимается в очереди. Оценки обновляются ежедневно.