网站漏洞扫描，一般一个月一次就可以。如果是渗透测试的话，一个季度一次就可以。那网站漏洞扫描和渗透测试有什么区别呢？网站漏洞扫描一般是自动化的，比如用安全厂商或者一些开源漏扫工具，输入一个ip或者域名，进行漏扫，一般10-20分钟出结果，结果会以报告的形式。报告中一般会包括，漏洞的整体评估，漏洞的数量，漏洞的风险等级，漏洞详情，漏洞的修复建议。下图是来自悬镜安全研发的云鉴漏洞扫描的报告截图，之前用过他们的漏洞扫描的产品还不错。

渗透测试的话，比漏洞扫描要更高级，渗透测试更偏向于人工分析，人工漏洞挖掘，发现的问题会多，发现的漏洞会深，以及成果会比自动化漏洞扫描的结果要更准确。渗透测试的周期，一般一个域名，简单的话，时间短一些，长的话，可能需要1个月，所以相应的费用也会高一些。之前让悬镜安全给做过渗透测试，和自动化的漏洞报告对比来看，确实钱花的值。

不过还是要根据自己的需求来定，如果是定期需要报告，自动化的就可以，如果是真的想排查系统的安全性，渗透测试的一个季度来一次就可以。