雖然滲透測試和漏洞掃描都是用來評估系統安全的工具，但兩者在方法、目的和深度上都有所不同，剛進行業也常弄混。

漏洞掃描 (Vulnerability Scanning)，目的是 找出系統中已知的漏洞。對系統進行全面掃描，比對已知的漏洞資料庫，找出系統存在的漏洞。而，滲透測試 (Penetration Testing)，目的是， 模擬駭客攻擊，評估系統的安全性。以測試人員模擬駭客，利用各種技術和工具，主動攻擊系統，尋找漏洞並嘗試入侵。

那麼，為何系統需要做滲透測試和漏洞掃描？簡單來說，滲透測試和漏洞掃描的報告就是一份「健康證」，證明組織的系統是健康的、安全的，並且符合相關的法規和標準。

而報告裡，除了摘要、漏洞詳細資訊、風險評估、建議 (當然不是和你說怎麼改，只會和你說，要參照哪個rule)，還會有免責聲明，說明測試的範圍和限制，例如未測試的系統或應用程式。並明確滲透測試團隊的責任，以及組織在修復漏洞方面的責任。另外，還必須用簡單易懂的語言描述複雜的技術問題，也能客觀地評估系統的安全性，不誇大或縮小風險。並針對發現的漏洞提出切實可行的建議，或提供的建議能夠幫助組織快速修復漏洞。雖然，目前沒看到一家給的建議是真的完全可行，所以很多都只是和你說，撞到哪個rule。