3.8 漏洞预测评分系统

基于对CVSS的批评，一些人呼吁使用漏洞预测评分系统（Exploit Prediction Scoring System, EPSS）或将CVSS与EPSS结合，以使漏洞指标更具可操作性和效率。与CVSS类似，EPSS也由FIRST管理。EPSS以其开放和数据驱动的努力为荣，旨在估计软件漏洞在野外被利用的概率。CVSS关注漏洞的固有特性，最终形成严重性评分。然而，仅仅依靠严重性评分并不能表明漏洞被利用的可能性，而这对于需要优先处理漏洞修复和缓解工作的漏洞管理专业人员来说是至关重要的信息，以最大限度地减少组织风险。

EPSS有一个面向公众开放的特别兴趣小组（SIG），欢迎那些对参与该项目感兴趣的人加入。EPSS由志愿者驱动，由研究人员、安全从业者、学术界和政府人员领导，但FIRST拥有根据组织需要更新模型和相关指导的权利，尽管这是一个行业协作的方式。目前，该小组拥有来自RAND、Cyentia、弗吉尼亚理工大学和Kenna Security等组织的主席和创建者。EPSS有几篇论文深入探讨了相关主题，如攻击预测、漏洞建模和披露以及软件利用（www.first.org/epss/papers）。