Un tema comune nell'ingegneria della sicurezza è che la sicurezza perfetta è impossibile (oppure a almeno altamente improbabile ). Considera il Infinity Maxim di Johnston
:There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys).
Con questo in mente , che senso ha che i test di penetrazione siano organizzati su una base "no hack, no fee" (analogo a "nessun vincita, nessun compenso"). ? Detto in altro modo, l'Infinity Maxim vale anche per gli scenari di penna real-test? Sono interessato alle risposte di esperti pen-tester, senza riferimento a particolari ditte.