Ein Penetrationstest bzw. eine Sicherheitsanalyse wird typischerweise genau dokumentiert, sodass am Ende ein umfangreicher Bericht entsteht. Der Kern des Berichts sind gefundene Schwachstellen und ihre „proof of concepts“ zur technischen Nachstellung. Zusätzlich kann der Bericht einige weitere Komponenten beinhalten, wie z.B. Risiken und Empfehlungen zur Behebung der Schwachstellen oder eine zusammenfassende Einschätzung des getesteten Systems bzw. Software der Analysten. Die Dokumentationsarbeit und Erstellung des finalen Berichts kann manuell über Textverarbeitungsprogramme wie z.B. Microsoft Word erfolgen oder auch über dedizierte Tools, die speziell für den Anwendungsfall Pentesting als Dienstleistung ausgelegt sind.

Zu den Letztgenannten gehört Dradis. Das Tool stellt eine Web-Oberfläche bereit, die den Sicherheitsanalysten sowohl kollaborative Dokumentation ermöglicht als auch bei der projektbezogenen Organisation behilflich ist. Zur Erstellung von portierbaren Ergebnisdokumenten stellt Dradis verschiedene Dateiformate zur Verfügung. Schwachstellen können beispielsweise als Tabellen im CSV- oder XLSX-Format aus Dradis exportiert werden. Auch aufwendigere Berichtsdokumente lassen sich mit dem Tool generieren, z.B. im Microsoft Word- oder PDF-Format.

Letzteren liegen Templating-Engines zugrunde, mit deren Hilfe sich Aufbau, Design und Formatierung definieren lassen. Durch diese Automatisierung wird den Analysten bei der Berichterstellung potenziell einige formale Arbeit erspart – Zeit, die wiederum in den technischen Teil des Tests investiert werden kann und somit der Qualität des Ergebnisses zugutekommt. Zudem können Script-Sprachen eingesetzt werden, mithilfe derer sich fast beliebige zusätzliche Logik einbauen lässt. Word-Berichte bedienen sich hierfür beispielsweise an Visual Basic Scripts, die nach dem Export aus Dradis in Word ausgeführt werden können, um Anpassungen am Dokument vorzunehmen. Bei anderen Formaten, wie z.B. HTML, ermöglicht Dradis Ruby-Scripting direkt beim Export des Berichts.