Vengono spesso utilizzati come sinonimi, in realtà si tratta di pratiche simili, ma non uguali.
Ecco le differenze: 

1. Intervento automatizzato o manuale: il vulnerability assessment viene condotto esclusivamente per mezzo di un’attività automatizzata, mentre il pen test è condotto sia attraverso l’automazione che tramite interventi manuali. 
2. Profondità di ricerca della vulnerabilità: Come indica la parola stessa, un penetration test è un security test che mira alla profondità rispetto a una specifica criticità, mentre il vulnerability assessment va alla ricerca di punti di vulnerabilità.
3. Frequenza: l’ideale è eseguire il vulnerability assessment a scadenze regolari, ad esempio una decina di volte ogni anno (una volta al mese sarebbe l’ideale), mentre il pen test può essere effettuato di tanto in tanto, a seconda di esigenze specifiche. 
4. Rischi: il vulnerability assessment viene eseguito senza che il sistema subisca danni, il pen test è un attacco sì simulato, ma pur sempre un hackeraggio e come tale comporta rischi che possono essere anche elevati. Ecco perché il pen test è consigliato solo a quelle aziende capaci di gestire la criticità. 

Vulnerability assessment tools

1. Netsparker: Si tratta di uno scanner automatico estremamente preciso e in grado di verificare vulnerabilità come Sql Injection e Cross-Site Scripting in applicazioni Web. Netsparker dimostra che le vulnerabilità rintracciate sono reali e non falsi positivi. Disponibile come software Windows e come servizio on line.
2. Acunetix: è un vulnerability scanner capace di segnalare oltre 4500 criticità in applicazioni web, incluse tutte le varianti di SQL Injection e XSS. Del tutto automatizzato, è l’ideale per accompagnare l’attività di un tester. Evita falsi positivi e lavora a velocità sostenuta riducendo i tempi.
3. Core Impact: 20 anni di esperienza per questo programma che automatizza molti processi di penetration test. Ultimamente il servizio è offerto a un prezzo più basso rispetto al passato. Ideale sia per le aziende che per le società che si occupano di consulenza sulla sicurezza.
4. Probely: esegue la scansione delle web application individuando vulnerabilità o problemi di sicurezza. Fornisce indicazioni su come superare le criticità tenendo conto delle esigenze degli sviluppatori. Dotato di un’interfaccia elegante e intuitiva. 
5. Immuniweb: è un tool molto conosciuto, nonché pluripremiato. Non a caso gli analisti di Idc l’hanno giudicata piattaforma “efficace e innovativa”. E’ in grado di fare

• Rilevamento degli asset e classificazione dei rischi
• Web Penetration Testing (web, API, cloud, AWS)
• Mobile Penetration Testing (iOS and Android App, Backend API)
• Monitoraggio continuativo, 24 ore su 24 e 7 giorni su 7 (web, API, cloud, AWS).
• Website Security Test
• Mobile App Security Test
• Phishing Test