3.10 EPSS的批评意见

与CVSS类似，EPSS也受到业界和学术界的批评。卡内基梅隆大学软件工程研究所（SEI）博客上的一篇文章《Probably Don’t Rely on EPSS Yet》（https://insights.sei.cmu.edu/blog/probably-dont-rely-on-epss-yet）对EPSS提出了质疑。SEI最初发布了一篇题为《Towards Improving CVSS》的论文，对CVSS进行了尖锐的批评，EPSS便是在该论文发布后不久推出的（https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=538368）。

文章提出的一些主要批评包括EPSS的不透明性及其数据和输出问题。文章讨论了EPSS的开发过程、治理或目标受众如何被决定的方面尚不清楚。文章指出，EPSS依赖于现有的CVE ID，这意味着EPSS对软件供应商、事件响应团队或漏洞奖励小组等实体没有帮助，因为这些小组处理的许多漏洞尚未获得CVE ID，且可能永远不会获得。此外，EPSS在处理零日漏洞时也无济于事，因为这些漏洞在被利用时才获得关注，而没有已知的关联CVE ID。

文章的作者还对EPSS的开放性和透明性提出了担忧。尽管EPSS自称是一个开放和数据驱动的努力，并且如前所述还有一个特别兴趣小组（SIG），但EPSS及其管理组织FIRST仍然保留在任何时候更改网站和模型的权利，无需解释。实际上，即使是SIG成员也无法访问用于底层EPSS模型的代码或数据。SIG本身对模型没有监督或治理权，而模型更新或修改的过程对SIG成员乃至公众都不透明。文章指出，由于EPSS由FIRST管理，EPSS模型和数据也可能被从公共贡献和使用中撤回。

文章表明，EPSS专注于预测漏洞在接下来的30天内被利用的可能性。但要做出这种预测需要一些基本的条件。这些条件包括NVD中已有的CVE ID并且具有相关的CVSS v3向量值、与CVE ID关联的活跃利用尝试的入侵检测系统（IDS）签名、来自AlienVault或Fortinet的数据贡献（它们向EPSS提供数据），以及与未来30天相关的模型。正如作者指出的，只有10%的具有CVE ID的漏洞有伴随的IDS签名，这意味着90%的具有CVE ID的漏洞在利用时可能不会被检测到。这也导致对Fortinet和AlienVault的IDS传感器及相关数据的依赖，可以通过更广泛的安全供应商社区的进一步参与来缓解。