Soluciones de seguridad SaaS como "WhiteHat Sentinal" y "Fortify on Demand" se están volviendo populares hoy en día. Las metodologías de ambos describen la verificación manual. ¿Califica esto el informe de evaluación de seguridad de la aplicación producido por ellos como informe de prueba de penetración? o si simplemente se seguirían considerando un informe VA (Evaluación de vulnerabilidad). ¿Alguien tiene un entendimiento sobre el funcionamiento de estas soluciones?
También, ¿Existen normas adecuadas definidas por alguna organización establecida como NIST, OWASP, SANS, etc. para calificar una evaluación como una prueba de penetración?
Gracias
PS. Sé la diferencia entre un VA y un PT.