Aikido
Kostenlos starten
Ohne Kreditkarte
Regeln

Wie man unerreichbaren toten Code identifiziert und entfernt

Lesbarkeit

Veröffentlicht am:
16. Dezember 2025
Zuletzt aktualisiert am:
16. Dezember 2025
Regel
Entfernen unreachable tot Code
Unreachable Code ist verwirrend, nicht testbar,
und sollte entfernt werden entfernt werden.

Unterstützte Sprachen: 45+

Einleitung

Unerreichbarer Code signalisiert fehlerhafte Logik in Ihrer Codebasis. Code nach Rückgabe oder werfen Anweisungen wurden zum Ausführen geschrieben, laufen aber nie. Bedingungen, die immer falsch sind, verbergen Validierungs- oder Fehlerbehandlungsroutinen, die nie ausgelöst werden. Zweige, die die Logik aufgrund des Kontrollflusses nie erreicht, enthalten Funktionalität, die nicht ausgeführt werden kann. Wenn Sie unerreichbaren Code finden, haben Sie einen Fehler entdeckt, bei dem Ihr Code nicht das tut, was er tun sollte.

Warum es wichtig ist

Sicherheitslücken: Unerreichbare Sicherheitsprüfungen schützen Ihre Anwendung nicht. Wenn Authentifizierung, Autorisierung oder Eingabevalidierung nach einer Rückgabe Anweisung, Ihr Code sieht sicher aus, ist es aber nicht. Angreifer können Funktionen ausnutzen, die Sicherheitsmaßnahmen zu haben scheinen, diese aber tatsächlich umgehen. Code-Reviews könnten diese Schwachstellen übersehen, da die Sicherheitslogik zwar in der Codebasis existiert, aber nie ausgeführt wird.

Logikfehler in der Produktion: Toter Code bedeutet, dass Ihre Funktion nicht die Logik implementiert, die Sie erwarten. Validierungen, die nie ausgeführt werden, lassen ungültige Daten passieren. Unerreichbare Fehlerbehandlung bedeutet, dass Fehler unentdeckt weitergegeben werden. Umgegangene Geschäftsregeln führen zu falschen Ergebnissen. Der Code sieht korrekt aus, verhält sich aber anders als beabsichtigt.Testlücken: Unerreichbarer Code kann nicht getestet werden. Wenn Ihre Testsuite trotz unerreichbaren kritischen Codes erfolgreich ist, bedeutet dies, dass Sie keine Tests haben, die diese Pfade abdecken. Unerreichbarer Code offenbart Lücken in Ihrer Testabdeckung, wo wichtige Logik existiert, aber keine Tests deren Ausführung überprüfen.

Auswirkungen auf die Bundle-Größe: Unerreichbarer Code wird immer noch als Ballast in Ihrem JavaScript-Bundle an Benutzer ausgeliefert. Benutzer laden Code herunter und parsen ihn, der niemals ausgeführt wird, aber dies ist zweitrangig gegenüber den Logikfehlern, die toter Code anzeigt.

Code-Beispiele

❌ Nicht konform:

function transferFunds(fromAccount, toAccount, amount) {
    if (!fromAccount || !toAccount) {
        return { success: false, error: 'Invalid accounts' };
    }

    if (amount <= 0) {
        return { success: false, error: 'Invalid amount' };
        logSuspiciousActivity(fromAccount, amount);
    }

    const balance = getBalance(fromAccount);
    if (balance >= amount) {
        deductFunds(fromAccount, amount);
        addFunds(toAccount, amount);
        return { success: true };
    }

    return { success: false, error: 'Insufficient funds' };

    // Check for fraud patterns
    if (isHighRiskTransaction(fromAccount, toAccount, amount)) {
        notifyFraudTeam(fromAccount, toAccount, amount);
        return { success: false, error: 'Transaction blocked' };
    }
}

Warum es falsch ist: Die Betrugserkennungslogik wird nie ausgeführt, da die Funktion zurückkehrt, bevor sie erreicht wird. Die Protokollierung verdächtiger Aktivitäten nach der Betragsprüfung wird ebenfalls nie ausgeführt. Diese Funktion scheint Sicherheitsmaßnahmen zu enthalten, verarbeitet aber tatsächlich alle Überweisungen ohne Betrugsprüfungen.

✅ Konform:

function transferFunds(fromAccount, toAccount, amount) {
    if (!fromAccount || !toAccount) {
        return { success: false, error: 'Invalid accounts' };
    }

    if (amount <= 0) {
        logSuspiciousActivity(fromAccount, amount);
        return { success: false, error: 'Invalid amount' };
    }

    if (isHighRiskTransaction(fromAccount, toAccount, amount)) {
        notifyFraudTeam(fromAccount, toAccount, amount);
        return { success: false, error: 'Transaction blocked' };
    }

    const balance = getBalance(fromAccount);
    if (balance >= amount) {
        deductFunds(fromAccount, amount);
        addFunds(toAccount, amount);
        return { success: true };
    }

    return { success: false, error: 'Insufficient funds' };
}

Warum das wichtig ist: Alle Sicherheitsprüfungen werden vor der Verarbeitung der Übertragung ausgeführt. Die Betrugserkennung läuft bei jeder Transaktion. Verdächtige Aktivitäten werden protokolliert. Die Funktion implementiert die Sicherheitslogik, die sie vorgibt zu haben.

Fazit

Unerreichbarer Code weist auf Fehler in Ihrer Logik hin, bei denen die beabsichtigte Funktionalität nie ausgeführt wird. Finden Sie ihn mit statischen Analysetools in Ihrer CI-Pipeline und behandeln Sie ihn als kritisches Problem, nicht nur als Code-Bereinigung. Wenn Sie unerreichbaren Code entdecken, untersuchen Sie, warum er existiert und welche Logik eigentlich ausgeführt werden sollte, aber nicht ausgeführt wird.

Springe zu:
Textlink
<div class="toc-wrap"><a class="toc" name=":zap:Part I: Sales Cycle with Potential Lead" fs-toc-element="link"></a></div>

Wenden Sie diese Regel in Ihrem Repo an

Kostenlos testen
Keine Karte erforderlich
Demo buchen
Teilen:

www.aikido.dev/code-quality-rules/wie-man-unerreichbaren-dead-code-identifiziert-und-entfernt

FAQs

Haben Sie Fragen?

Wie identifiziere ich nicht erreichbaren Code in großen Codebasen?

Statische Analysetools können offensichtliche Fälle wie Code nach Return- oder Throw-Anweisungen erkennen. Für komplexere Fälle verwenden Sie Code-Coverage-Tools während des Testens. Code, der über alle Testläufe hinweg null Coverage aufweist, könnte unerreichbar sein. Überprüfen Sie jeden Fall manuell, da ein Teil des Codes erreichbar, aber einfach ungetestet sein könnte.

Was ist mit Code nach frühen Returns in Try-Catch-Blöcken?

Code nach einem Return in einem Try-Block, aber vor dem Finally-Block, ist unerreichbar. Finally-Blöcke werden jedoch immer ausgeführt, selbst nach einem Return. Ein häufiger Fehler ist es, wichtige Bereinigung nach einem Return in einem Try-Block zu platzieren, anstatt im Finally-Block, wo sie tatsächlich ausgeführt würde.

Kann unerreichbarer Code Laufzeitfehler verursachen?

Nein, weil er nie ausgeführt wird. Er kann jedoch auf undefinierte Variablen verweisen oder nicht existierende Funktionen aufrufen, ohne Fehler zu verursachen, was ihn noch heimtückischer macht. Dieser fehlerhafte Code besteht alle Tests, weil er nie läuft, aber er führt jeden in die Irre, der die Codebasis liest.

Was ist mit Feature Flags und bedingter Kompilierung?

Code hinter deaktivierten Feature-Flags ist zur Laufzeit erreichbar, selbst wenn er in Ihrer aktuellen Umgebung deaktiviert ist. Wirklich unerreichbarer Code ist aufgrund des Kontrollflusses strukturell unmöglich auszuführen. Code mit Feature-Flags ist bedingt erreichbar und sollte bleiben, bis das Feature vollständig entfernt wird.

Sollte ich ungenutzte Funktionen und Imports entfernen?

Ja, aber das ist eine andere Kategorie von totem Code. Unerreichbarer Code ist aufgrund des Kontrollflusses strukturell unmöglich auszuführen. Unbenutzte Funktionen sind erreichbar, werden aber nie aufgerufen. Beide sollten entfernt werden, erfordern aber unterschiedliche Erkennungsstrategien. Die Erkennung von unbenutztem Code erfordert eine Ganzprogrammanalyse, während die Erkennung von unerreichbarem Code auf Funktionsebene funktioniert.

Verwandte Regeln

13. Januar 2026
„•“
Produkt- & Unternehmens-Updates

Von „No Bullsh*t Security“ zu 1 Milliarde Dollar: Wir haben gerade unsere Serie-B-Finanzierungsrunde in Höhe von 60 Millionen Dollar abgeschlossen.

Aikido eine Serie-B-Finanzierung in Höhe von 60 Millionen US-Dollar bei einer Bewertung von 1 Milliarde US-Dollar Aikido und treibt damit seine Vision von selbstsichernder Software und kontinuierlichen Penetrationstests voran.

Keine Elemente gefunden.
8. Januar 2026
„•“
Schwachstellen & Bedrohungen

Kritische Sicherheitslücke in n8n ermöglicht nicht authentifizierte Remote-Codeausführung (CVE-2026-21858)

Eine kritische Sicherheitslücke in n8n (CVE-2026-21858) ermöglicht die Ausführung von nicht authentifiziertem Remote-Code auf selbst gehosteten Instanzen. Erfahren Sie, wer davon betroffen ist und wie Sie Abhilfe schaffen können.

#Schwachstellen

6. Januar 2026
„•“
Aikido

KI-gesteuerter Pentest von Coolify: Sieben CVEs identifiziert

KI-gesteuerte Penetrationstests von Coolify identifizierten sieben CVEs, darunter Schwachstellen für Privilegieneskalation und Remote Code Execution. Die Ergebnisse wurden verantwortungsvoll offengelegt und behoben.

#KI-Penetrationstests

Werden Sie jetzt sicher.

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Scanning starten
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.