Когда-то я задавал вопрос, про опранизацию тестирования распределённой команде. Процесс более менее отлажен, но возник вопрос. А кто должен отвечать за perfomance, security testing? Комманда разработчик API или GUI? И на какой стадии: разработки или уже выхода продукта в pre-live?
Понимаете, это всё зависит от бюджета и времени же. Можно вообще это не проверять и жить в незнании, либо отслеживать только на проде. По мне так, нагрузку уж хотя бы по минимуму прогнать на почти готовом проекте на тестовом сервере. А безопасность - искать человека, это не так просто.
Я к тому, что не обязательно на какой-то именно этап или отдел это всё спихивать, важно вообще это как-то проверить, любым доступным способом. А потом плясать уже далее.