公司內部的資安檢核，常常出現的手法有兩種，一個是Penetration Testing，另一個是Vulnerability Test。 我們先從Vulnerability Test 說起好了。

漏洞測試 (Vulnerability Test) ，又稱弱點掃描，是一種主動性的安全評估方式。它利用專門的工具或技術，對系統、應用程式或網路進行掃描，以發現潛在的漏洞、弱點或配置錯誤。這些漏洞可能被惡意攻擊者利用，造成資訊洩漏、系統癱瘓等嚴重後果。

傳統都是手動，因為是請專業人員，所以可以深入靈活的發現漏洞，但耗時、成本較高。所以一般目前常用的是，自動化掃描工具，例如，OWASP ZAP、Nessus、OpenVAS、Qualys、Nmap等。但，結果可能產生誤報或漏報，自動化並無法發現所有漏洞。所以可以再請專業人員加測。還有，模糊測試 (Fuzz Testing)，是利用程式向系統輸入大量非預期的、隨機的或邊界值資料，以發現系統的異常行為或崩潰。當然，在開發初期，我們可以先從分析軟體的源代碼，找出潛在的漏洞。例如，DevSecOps。