По моему мнению, и если вы внимательно прочитаете, наихудший случай касается только агентов с множественными угрозами, поэтому используйте наихудший случай.Предполагать, что вероятность в целом должна быть наихудшей, означает, что это не вероятность, а наихудший случай.Это очень разные вещи.
Если вы читаете первый абзац, он упоминает, что вероятность - это грубая мера того, насколько вероятно, что эта уязвимость будет раскрыта.
Во-вторых, вы смешиваете уязвимость и риск там, где конечный показательвсегда риск.
Я был бы признателен за поддержку этого ответа, чтобы я мог вернуться к рецензенту кода и показать ему, что он неправильно понял вероятность OWASP.