5.6.11. Wanneer moet er iets gebeuren? (Proces Kwetsbaarhedenbeheer) 3.0
- Kenzo Vertenten (VO)
- Tom De Cubber
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
Nieuw toegevoegde tekst wordt overal in het rood weergegeven
Visueel samengevat is dit de samenvatting van de verschillende fases en soorten testen en wanneer wat kan/moet gebeuren. Sommige praktijken kun je in verschillende fases ondernemen; dit kan eenmalig of als controlemechanisme dat fouten in een vorige fase gecorrigeerd zijn.
Dezelfde regels gelden voor:
eigen toepassingen en infrastructuur
de centrale dienstverlening,
diensten, (open) source code, toepassingen of infrastructuur die je bij een leverancier inkoopt
Omgeving | Soort test die je uitvoert | Frequentie |
|---|---|---|
Ontwikkeling | Statische code reviews | Vóór promotie naar een volgende omgeving |
Test | Dynamische code reviews | Vóór promotie naar een volgende omgeving |
Acceptatie | Dynamische code reviews | Vóór promotie naar een volgende omgeving |
Performantietesten | Vóór promotie naar een volgende omgeving | |
Op regelmatige basis, bijvoorbeeld maandelijks | ||
Penetratietesten | Volgens Informatieklasse | |
Productie
| Vulnerability scans | Op regelmatige basis, bijvoorbeeld maandelijks |
Netwerk scanning | Permanent | |
Performantietesten | Ingeval er geen identieke non-productie omgeving voorhanden is | |
Penetratietesten | Volgens Informatieklasse | |
Responsible Disclosure | Permanent |