Только EPSS тоже не серебряная пуля. Он вероятностный и для свежих CVE даёт около нуля, пока эксплойт не всплывёт публично. Для 0-day у тебя будет красивый низкий EPSS прямо перед тем, как тебя поломают.
Связка нормальная: CVSS как базовая тяжесть, EPSS как 'насколько вероятно', KEV от CISA как 'уже бьют прямо сейчас'. Три источника, и картинка адекватная. Один CVSS — это как мерить здоровье только по температуре.
Кстати CVSS 4.0 вроде завезли Threat и Environmental метрики ровно для этого, чтобы контекст учитывать. Кто-нибудь реально его в проде использует или все по старинке на base score сидят?
У меня коллега автоматизировал: если в отчёте больше 80% находок Critical, скрипт автоматом помечает весь отчёт как 'Low quality' и шлёт обратно подрядчику. Жестоко, но статистика ложняков упала вдвое
perf_freak это гениально, надо себе такое же. У меня реально был отчёт где FTP на 21 порту во внутренней сети шёл как 9.8 Critical с рекомендацией 'перенесите FTP на порт 2121'. Я сначала думал это шутка.
Про 4.0 — мы пробовали, на бумаге круто, но supplemental метрики никто из сканеров толком не заполняет, всё опять упирается в base. В итоге считаем Environmental руками для топ-20 ассетов, на остальное времени нет.
Вывод треда простой: цифра в отчёте без вектора и без контекста — мусор. Я в своих отчётах теперь всегда пишу 'почему именно у вас это High/Low', иначе клиент справедливо не верит. Голый score никого не убеждает.
Подытожу для тех кто зашёл с поиска: не приоритезируйте по голому CVSS. Берите KEV (уже эксплуатируется) -> EPSS (вероятность) -> reachability в вашей среде. И гоните в шею подрядчиков у которых всё 9.8.
