5.6.7 Performantietesten (Proces Kwetsbaarhedenbeheer) 3.0

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Wat is het? 

Performantietesten zijn een onderdeel van het bredere risicobeheerproces, inclusief vulnerability management. Ze richten zich op het evalueren van hoe een systeem presteert onder verschillende belastingen en omstandigheden. Dit omvat het meten van responstijden, verwerkingssnelheden, en de capaciteit van de toepassing om meerdere gelijktijdige gebruikers of transacties te verwerken zonder noemenswaardig prestatieverlies. Door dergelijke testen uit te voeren, kun je in een vroeg stadium potentiële prestatieproblemen identificeren die, net als beveiligingskwetsbaarheden, een risico vormen voor de stabiliteit en continuïteit van de dienst. 

Performantietesten spelen ook een rol bij het waarborgen van de robuustheid van het systeem bij incidenten zoals Denial of Service (DoS) aanvallen. Hoewel de primaire focus op prestatie ligt, kunnen deze testen helpen bij het blootleggen van kwetsbaarheden in het systeem onder stress. 

In welke omgeving doe je performantietesten? 

  • Als de acceptatieomgeving op exact dezelfde manier is ingericht als de productieomgeving, kan een performantietest gebeuren in de acceptatieomgeving om reeds in een preliminair stadium mogelijke zwakheden op gebied van beschikbaarheid op te sporen.  

  • Ingeval de acceptatieomgeving te sterk afwijkt van de productieomgeving, kan je performantietesten in de productieomgeving uitvoeren. Om de mogelijke impact te beperken, moet je de timing wel zo voorzien dat het niet conflicteert met piekmomenten (bijvoorbeeld in een weekend, niet bij een maandafsluiting).  

Wat te doen? 

Tijdens performantietesten kunnen de volgende aspecten geëvalueerd worden: 

  • Loadtesten: Het simuleren van verwachte gebruikersaantallen en transacties om te bepalen of het systeem stabiel blijft bij normale en piekbelastingen. 

  • Stress testen: Het systeem wordt onder extreme belasting geplaatst om de grenzen en breekpunten te identificeren, wat kan helpen bij het mitigeren van risico’s zoals DoS-aanvallen. 

  • Soak testen: Het langdurig belasten van het systeem om na te gaan of er na verloop van tijd prestatieproblemen optreden, zoals geheugenlekken of het geleidelijk vertragen van het systeem. 

  • Spike testen: Plotselinge verhogingen van de belasting worden gesimuleerd om de reactie van het systeem op snelle veranderingen te beoordelen. 

 Welke tools? 

De Vlaamse overheid legt geen specifieke tools op.  

 Scope? 

Performantietesten moeten worden uitgevoerd op alle kritieke systemen en toepassingen die onder de verantwoordelijkheid van de organisatie vallen, met name die welke onder een hoge belasting kunnen komen te staan of die complexe dataverwerkingen uitvoeren. Aangezien prestatietesten een belangrijk onderdeel zijn van de development lifecycle, moeten ze worden uitgevoerd vóór elke belangrijke release naar productie, om te testen of het systeem voldoet aan de prestatie-eisen en beschikbaarheidsnormen. 

Opgelegde beperkingen? 

Performantietesten mogen de stabiliteit en beschikbaarheid van het systeem niet verstoren tijdens reguliere werktijden. Net zoals zoals bij vulnerability scans en penetratietesten, moeten de primaire systeemfuncties gewaarborgd blijven tijdens het testen. Testen moeten bij voorkeur worden uitgevoerd in een testomgeving die de productieomgeving nauwkeurig simuleert. Indien dit niet beschikbaar is, dient dit te worden uitgevoerd op de productieomgeving buiten de piekmomenten.