用户定期进行渗透测试的主要原因有二：一是找到并堵住可能被黑客利用的路径，二是满足合规以避免被处罚。许多组织每年都至少实施一次渗透测试，但渗透测试的最佳频率应该是多少？一年一次？还是更多次？

答案取决于多种因素，例如开发周期的类型、应用程序的关键程度，以及用户所处的行业等。

1、开发周期

如果你的团队是敏捷开发模式，它的特点是发布周期短，迭代速度快。这将导致难以跟踪对代码库所做的更改，并增加了出现安全漏洞的可能性。为了降低安全风险，一年只测试一次显然是不够的。也就是说，渗透测试的周期应该与组织的开发周期保持一致。对于静态web应用程序，每4-6个月测试一次即可。但对于经常更新的web应用程序，则需要更加频繁地测试。每月甚至每周测试一次。

2、关键应用

另一种情况是Web应用程序之于业务的关键程度。对于非常依赖其web应用程序开展业务，任何系统停摆都可能导致严重财务损失的组织，必须对其关键web应用频繁地进行测试，以控制业务中断或数据丢失的风险。至于非关键业务的web应用程序则可依据组织所具备的资源，看情况进行测试。

3、面向客户

如果组织的web应用程序都在内部，频繁的渗透测试就没有必要。然而，如果组织的web应用程序可供公众（客户）访问，根据应用程序的大小和复杂性，可能需要每月甚至每周的测试。除了外部访问的情况，如果组织属于高风险行业，也需要考虑高频次的测试。

4、缺乏专职人员

这可能听上去违反直觉，但事实是如果组织自身没有安全团队，可能需要更加频繁地进行测试。原因是没有专职安全人员的组织更容易受到攻击，所以更加需要依靠外部的渗透测试人员来评估组织的安全状况。评估频次与组织的规模和复杂性成正比。

5、收并购

在商业收并购过程中，经常会出现很多混乱复杂的局面，导致关键系统和数据的风险程度陡增。因此，在收并购期间更频繁地进行渗透测试非常重要。2016年万豪收购喜达屋，却没有意识到两年前的黑客攻击导致后者超过5亿客户记录被泄露，“面临高达10亿美元的监管罚款和诉讼费用”。

持续渗透测试

传统的渗透测试是按照固定的时间表进行的，比如一年一次或半年一次，属于定期评估的概念。持续渗透测试则是一个不断扫描系统以发现漏洞的过程，以期在攻击者利用漏洞之前识别并修复漏洞。这对于具有敏捷开发周期的组织来说尤为重要。由于经常发布新代码，因此出现安全漏洞的可能性更大。

虽然定期渗透测试很重要，但在企业越来越依赖其web应用程序的当今世界，显然已经不够，持续渗透测试会越来越重要。

参考阅读
五大类渗透测试
人工渗透测试之死？
云渗透测试需采取不一样的方法