Wat is een OTAP-straat en hoe kan ik deze beveiligen?

OTAP staat voor Ontwikkel-, Test-, Acceptatie- en Productiefase. De OTAP-straat geeft een pad om tijdens de softwareontwikkeling en -implementatie te bewandelen. In dit artikel vertellen we meer over een OTAP-straat opzetten en beschrijven we een aantal best practices om dit pad te doorlopen. 

Om te beginnen wordt een programma of component allereerst ontwikkeld in de ontwikkelomgeving. De ontwikkelaar heeft hier zijn ontwikkeltools voor en heeft tevens de volledige controle over de inrichting van de rechten van de serviceprocessen en hetgeen waar de applicatie op draait (een webserver is vaak geïntegreerd aanwezig in deze omgeving). Aan het einde van elke dag wordt dit ingecheckt in het versiebeheerprogramma op de ontwikkelserver of op een aan de ontwikkelomgeving gekoppeld cloud-versiebeheersysteem (vaak Git).

Het doel van deze stap is om de gewenste functionaliteit te realiseren en minimaal op werking te testen voordat deze beschikbaar wordt gesteld bij de interne test. Om de beveiliging te waarborgen is het van belang dat er tijdens de ontwikkelstap al nagedacht wordt over de beveiliging van het programma of de component (privacy by design). Zo kan de ontwikkelaar ervoor kiezen om wel of geen SSL te gebruiken en is de ideale ontwikkelomgeving er eentje die is afgeschermd. Aanvullend kunnen code-review, security-review of (unit) testtools in het ontwikkelproces aanwezig zijn om met zo min mogelijk handwerk goede code te borgen. Het is belangrijk om in de ontwikkelomgeving de daadwerkelijke omgeving zoveel mogelijk na te bootsen, maar vanwege snelheid en kosten zullen verschillen, die tijdens de volgende stappen bewust beheerst moeten worden, altijd bestaan.

De gezamenlijke versie die is gecreëerd, wordt vervolgens van programmabroncode omgezet naar een programma of component en eventueel doorgezet naar een testserver. Hier wordt de tester afhankelijk van de gekozen oplossing binnen een programma (denk hierbij aan logging, afhandelen van foutmeldingen, etc.). Het testen kan op verschillende wijzen, namelijk een deeltest, automatisch, technisch en functioneel. Dit hangt uiteraard af van het doel van de test.

Het doel van deze stap is om een probleemanalyse uit te voeren. Het advies is om een testomgeving te bouwen in bijvoorbeeld een Sandbox en deze zoveel mogelijk gelijk te maken aan een productieomgeving. Het voordeel van een testomgeving is dat er een debug build in geplaatst kan worden.

Op het moment dat het programma of de component is getest, kan de versie worden geïnstalleerd in de acceptatieomgeving. De acceptatieomgeving is zoveel mogelijk gelijk aan de productieomgeving (soms zelfs bij de klant aanwezig) en hierin komen met name de infrastructuur en platformfactoren aan bod. Het is mogelijk om de klant hier alvast te laten zien hoe de release eruit komt te zien en hem (formeel) te laten bevestigen dat deze versie in productie mag worden genomen. In de acceptatiefase is het vaak niet meer mogelijk om diagnose tools te installeren. Alleen de software die al aanwezig is, of die via beschikbare interfaces kan testen, kan ter analyse worden gebruikt.

Het doel van deze stap is om aan de klant te laten zien hoe het eruit komt te zien en wat de performance is. Het is hierbij te adviseren de autorisaties te beperken tot de minimale benodigde rechten.

Als de klant het programma of de component accepteert, wordt het geïnstalleerd op de productieomgeving. Hier vindt de daadwerkelijke integratie plaats met de verschillende backend applicaties. Het is belangrijk dat de verschillende backend applicaties dezelfde versie hebben als die van de productie. Tevens is het belangrijk dat er een terugdraaiplan is om bij verassingen nog terug te kunnen naar de oude versie.

Het doel van deze omgeving is om de softwareontwikkeling voor de klant te kunnen voltooien. Het is hierbij belangrijk om rekening te houden met het beheren van de toegang tot het netwerk, routers en/of firewalls. Het verschil tussen de productie- en de acceptatieomgeving is dat hier geen ruimte is voor downtime/ fouten.

Wil je een OTAP-straat opzetten of wil je juist meer informatie over OTAP? Bijvoorbeeld in relatie tot ISO 27001 of de AVG-wetgeving? Neem dan gerust contact met ons op. Onze adviseurs vertellen je graag meer over de eisen en mogelijkheden.