切记：你看不到任何东西

    Bellis说，在那些渗透测试不能发挥长处的领域中，该工艺不能被用来全景地、360度地探测组织的整个安全状态。

    “在所有弱点中，能被你找到的不会超过2%。”Bellis说，“你必须优先考虑你想要这2%包括什么，也就是说，你要根据问题的重要程度来做出决定。这是很困难的。”

    Orbitz优先保护客户免受那些利用公司网站的人感染客户。Bellis表示，这本身就是一个艰巨的任务。

    切记：它并不总是在运作

    Bellis还指出，像许多安全工具一样，通常渗透测试也不会总是在工作。他说，有时候，一项测试可能不能找到严重的弱点。但是这就是为什么在更大的安全“兵工厂”中它仅能被看做是一个工具的原因。

    “关键是要知道，你希望利用渗透测试找到什么东西，并在此基础上对它做出期望。”他说，“最后，尽管如此，没有什么安全工具本身是百分百有效的。”

    回到Chess关于渗透测试将会走向灭亡的预言，Bellis指出，某些安全技术总是要被打上死亡的记号。例如，就像Gartner 2003年的预测，IDS已经死亡（但是入侵检测和防护系统今天仍在生存）。

    “没有谁会完全有用，但也没有谁是完全没有价值的。”他说。