IEC 62304-Konformität mit GitLab

Veit Schiele

14. Februar 2021

3–4 Minuten

../../_images/choice.png

Die internationale Norm IEC 62304 definiert die Anforderungen an den Lebenszyklus von Medizinproduktesoftware. Sie schreibt Prozesse, Aktivitäten und Aufgaben vor, um die Sicherheit und Effektivität eines Medizinprodukts durch einen umfassenden, risikobasierten Ansatz bei der Softwareentwicklung zu verbessern. Dabei kann GitLab als Plattform, die alle Werkzeuge von der Projektplanung bis zum Sicherheitstest bereitstellt, einen guten Beitrag zur Einhaltung der Anforderungen der IEC 62304 leisten.

Warnung

Die auf dieser Website zur Verfügung gestellten Informationen dienen ausschließlich zu Informationszwecken. Diese Informationen stellen keine Rechtsberatung dar. Sie sind nicht umfassend und garantieren nicht an sich die Einhaltung der IEC 62304. Um die Konformität mit der IEC 62304 zu erreichen, empfehlen wir, sich von Spezialist*inneen beraten zu lassen.

Prozesssteuerung

Softwareentwicklungspläne und -prozesse können mit dem GitLab-Wiki erstellt, verwaltet und referenziert werden. Es kann als umfassendes Dokumentationssystem verwendet werden, um eure Pläne und Prozesse während des gesamten Softwareentwicklungszyklus nahtlos zu referenzieren und zu integrieren.

Requirements-Management

Es können Vorlagen für System-, Entwicklungs- und Kund*innen-Anforderungen erstellt und leicht in den Entwicklungsprozess integriert werden. Aufgabenlisten und Kanban-Boards <gitlab-kanban-boards> bieten sowohl Entwickler*innen als auch Prüfer*innen einfache Möglichkeiten zur Planung und Verfolgung von Aufgaben.

Zur Durchsetzung von Anforderungen und Codierungsstandards könnt ihr Merge-Requests verwenden, einen Genehmigungsprozess, der es nur autorisierten Prüfer*innen erlaubt, die vorgenommenen Änderungen zusammenzuführen. Mithilfe geschützter Zweige könnt ihr detailliert festlegen, wer wo Änderungen vornehmen darf.

GitLab, das als Service Desk konfiguriert ist, ermöglicht die Interaktion mit Kund*inneen und externen Stakeholdern, um von ihnen Feedback zu erhalten und mit ihnen zu interagieren.

Nachvollziehbarkeit

Die Rückverfolgbarkeit kann durch Labels und Beziehungen zwischen Issues während des gesamten Softwareentwicklungszyklus aufrechterhalten werden. Labels erleichtern nicht nur Aufgaben und Merge Requests, sondern auch die Benachrichtigung durch das Abonnieren einzelner Labels.

Mit dem Activity-LogA bleibt es nachvollziehbar, wann welche Änderungen von wem vorgenommen wurden.

Risiko-Management

Mit der statischen Code-Analyse kann jede Codeänderung automatisch auf Sicherheitslücken geprüft werden. Nach einem Scan wird direkt bei der Merge-Anforderung ein Bericht erstellt, der die Nachvollziehbarkeit gewährleistet.

Sobald Risiken identifiziert wurden, können Maßnahmen zu deren Behebung geplant und in Issues dokumentiert werden.