Основное отличие систем оценки уязвимостей CVSS (Common Vulnerability Scoring System) и EPSS (Exploit Prediction Scoring System) заключается в подходах к оценке. 19

CVSS фокусируется на потенциальной серьёзности уязвимости, то есть на том, насколько она разрушительна. 1 Система учитывает сложность эксплойта, взаимодействие с пользователем и воздействие, но не рассматривает, активно ли злоумышленники используют уязвимость. 1 CVSS опирается на статическую оценку, то есть оценка уязвимости не меняется даже при появлении новых угроз. 2

EPSS, в свою очередь, предсказывает вероятность эксплуатации уязвимости в реальном мире. 1 Система помогает организациям сосредоточиться на уязвимостях, которые несут в себе наибольший риск. 1 EPSS учитывает телеметрию угроз, доступность кода эксплойта и шаблоны атак. 1 Система динамическая, ежедневно обновляется, отражая последние разведданные об эксплойтах. 1

Таким образом, CVSS оценивает потенциальное воздействие уязвимости, а EPSS — вероятность её использования. 19

При этом CVSS и EPSS могут работать вместе, дополняя друг друга в сбалансированной стратегии управления уязвимостями. 1