So früh wie möglich und so spät wie nötig. Bei der Implentierung neuer Lösungen steigen die Kosten für Korrekturen und Änderungen mit dem Projektablauf. Auf der anderen Seite können im Verlauf eines Projektes bei der Umsetzung neue Schwachstellen und Fehlkonfigurationen entstehen die zu einem früheren Zeitpunkt nicht erkannt werden können. In jedem Fall stellt ein Penetrationstest eine Momentaufnahme des Zustandes zum Zeitpunkt der Überprüfung dar. Daher sollten nach größeren Veränderungen an Code, Infrastruktur und Konfigurationen immer erneute Tests eingeplant werden. In manchen fällen kann es dabei genügen Stichprobenprüfungen durchzuführen und vollständige Prüfungen in größeren Abständen (z.B. jährlich) vorzusehen.