Aikido
Kostenlos starten
Ohne Kreditkarte
Regeln

Wie man unerreichbaren toten Code identifiziert und entfernt

Lesbarkeit

Veröffentlicht am:
16. Dezember 2025
Zuletzt aktualisiert am:
16. Dezember 2025
Regel
Entfernen Sie unerreichbaren toten Code
Unerreichbarer Code ist verwirrend, 
unprüfbar und sollte entfernt werden.

Unterstützte Sprachen: 45+

Einleitung

Unerreichbarer Code signalisiert fehlerhafte Logik in Ihrer Codebasis. Code nach Rückgabe oder werfen Anweisungen wurden zum Ausführen geschrieben, laufen aber nie. Bedingungen, die immer falsch sind, verbergen Validierungs- oder Fehlerbehandlungsroutinen, die nie ausgelöst werden. Zweige, die die Logik aufgrund des Kontrollflusses nie erreicht, enthalten Funktionalität, die nicht ausgeführt werden kann. Wenn Sie unerreichbaren Code finden, haben Sie einen Fehler entdeckt, bei dem Ihr Code nicht das tut, was er tun sollte.

Warum es wichtig ist

Sicherheitslücken: Unerreichbare Sicherheitsprüfungen schützen Ihre Anwendung nicht. Wenn Authentifizierung, Autorisierung oder Eingabevalidierung nach einer Rückgabe Anweisung, Ihr Code sieht sicher aus, ist es aber nicht. Angreifer können Funktionen ausnutzen, die Sicherheitsmaßnahmen zu haben scheinen, diese aber tatsächlich umgehen. Code-Reviews könnten diese Schwachstellen übersehen, da die Sicherheitslogik zwar in der Codebasis existiert, aber nie ausgeführt wird.

Logikfehler in der Produktion: Toter Code bedeutet, dass Ihre Funktion nicht die Logik implementiert, die Sie erwarten. Validierungen, die nie ausgeführt werden, lassen ungültige Daten passieren. Unerreichbare Fehlerbehandlung bedeutet, dass Fehler unentdeckt weitergegeben werden. Umgegangene Geschäftsregeln führen zu falschen Ergebnissen. Der Code sieht korrekt aus, verhält sich aber anders als beabsichtigt.Testlücken: Unerreichbarer Code kann nicht getestet werden. Wenn Ihre Testsuite trotz unerreichbaren kritischen Codes erfolgreich ist, bedeutet dies, dass Sie keine Tests haben, die diese Pfade abdecken. Unerreichbarer Code offenbart Lücken in Ihrer Testabdeckung, wo wichtige Logik existiert, aber keine Tests deren Ausführung überprüfen.

Auswirkungen auf die Bundle-Größe: Unerreichbarer Code wird immer noch als Ballast in Ihrem JavaScript-Bundle an Benutzer ausgeliefert. Benutzer laden Code herunter und parsen ihn, der niemals ausgeführt wird, aber dies ist zweitrangig gegenüber den Logikfehlern, die toter Code anzeigt.

Code-Beispiele

❌ Nicht konform:

function transferFunds(fromAccount, toAccount, amount) {
    if (!fromAccount || !toAccount) {
        return { success: false, error: 'Invalid accounts' };
    }

    if (amount <= 0) {
        return { success: false, error: 'Invalid amount' };
        logSuspiciousActivity(fromAccount, amount);
    }

    const balance = getBalance(fromAccount);
    if (balance >= amount) {
        deductFunds(fromAccount, amount);
        addFunds(toAccount, amount);
        return { success: true };
    }

    return { success: false, error: 'Insufficient funds' };

    // Check for fraud patterns
    if (isHighRiskTransaction(fromAccount, toAccount, amount)) {
        notifyFraudTeam(fromAccount, toAccount, amount);
        return { success: false, error: 'Transaction blocked' };
    }
}

Warum es falsch ist: Die Betrugserkennungslogik wird nie ausgeführt, da die Funktion zurückkehrt, bevor sie erreicht wird. Die Protokollierung verdächtiger Aktivitäten nach der Betragsprüfung wird ebenfalls nie ausgeführt. Diese Funktion scheint Sicherheitsmaßnahmen zu enthalten, verarbeitet aber tatsächlich alle Überweisungen ohne Betrugsprüfungen.

✅ Konform:

function transferFunds(fromAccount, toAccount, amount) {
    if (!fromAccount || !toAccount) {
        return { success: false, error: 'Invalid accounts' };
    }

    if (amount <= 0) {
        logSuspiciousActivity(fromAccount, amount);
        return { success: false, error: 'Invalid amount' };
    }

    if (isHighRiskTransaction(fromAccount, toAccount, amount)) {
        notifyFraudTeam(fromAccount, toAccount, amount);
        return { success: false, error: 'Transaction blocked' };
    }

    const balance = getBalance(fromAccount);
    if (balance >= amount) {
        deductFunds(fromAccount, amount);
        addFunds(toAccount, amount);
        return { success: true };
    }

    return { success: false, error: 'Insufficient funds' };
}

Warum das wichtig ist: Alle Sicherheitsprüfungen werden vor der Verarbeitung der Übertragung ausgeführt. Die Betrugserkennung läuft bei jeder Transaktion. Verdächtige Aktivitäten werden protokolliert. Die Funktion implementiert die Sicherheitslogik, die sie vorgibt zu haben.

Fazit

Unerreichbarer Code weist auf Fehler in Ihrer Logik hin, bei denen die beabsichtigte Funktionalität nie ausgeführt wird. Finden Sie ihn mit statischen Analysetools in Ihrer CI-Pipeline und behandeln Sie ihn als kritisches Problem, nicht nur als Code-Bereinigung. Wenn Sie unerreichbaren Code entdecken, untersuchen Sie, warum er existiert und welche Logik eigentlich ausgeführt werden sollte, aber nicht ausgeführt wird.

Springe zu:
Textlink
<div class="toc-wrap"><a class="toc" name=":zap:Part I: Sales Cycle with Potential Lead" fs-toc-element="link"></a></div>

Wenden Sie diese Regel in Ihrem Repo an

Kostenlos testen
Keine Karte erforderlich
Demo buchen
Teilen:

www.aikido.dev/code-quality-rules/wie-man-unerreichbaren-dead-code-identifiziert-und-entfernt-2

FAQs

Haben Sie Fragen?

Wie identifiziere ich nicht erreichbaren Code in großen Codebasen?

Statische Analysetools erkennen offensichtliche Fälle wie Code nach return- oder throw-Anweisungen. Für komplexe Fälle verwenden Sie Code-Coverage-Tools während des Testens. Code, der über umfassende Testsuiten hinweg keine Coverage aufweist, ist wahrscheinlich unerreichbar, obwohl Sie dies manuell überprüfen sollten, da er möglicherweise nur ungetestet ist.

Was ist mit Code nach frühen Returns in Try-Catch-Blöcken?

Code nach einem Return in einem Try-Block, aber vor dem Finally-Block, ist unerreichbar. Der Finally-Block wird immer ausgeführt, selbst nach einem Return. Ein häufiger Fehler ist es, Bereinigungscode nach einem Return in einem Try-Block zu platzieren, anstatt im Finally-Block, wo er tatsächlich ausgeführt würde.

Kann unerreichbarer Code Laufzeitfehler verursachen?

Unerreichbarer Code IST der Fehler. Es bedeutet, dass kritische Logik, die ausgeführt werden sollte, nicht ausgeführt wird. Wenn Ihr unerreichbarer Code Validierung, Sicherheitsprüfungen oder Fehlerbehandlung enthält, ist Ihre Funktion fehlerhaft, obwohl sie keine Ausnahmen auslöst. Der Fehler ist, dass die beabsichtigte Funktionalität nie ausgeführt wird, nicht dass unerreichbarer Code abstürzt.

Was ist mit Feature Flags und bedingter Kompilierung?

Code hinter deaktivierten Feature-Flags ist zur Laufzeit immer noch erreichbar, selbst wenn er in Ihrer Umgebung deaktiviert ist. Wirklich unerreichbarer Code ist aufgrund des Kontrollflusses strukturell unmöglich auszuführen. Code mit Feature-Flags ist bedingt erreichbar und sollte bleiben, bis Sie das Feature vollständig entfernen.

Sollte ich ungenutzte Funktionen und Imports entfernen?

Ja, aber das ist ein anderes Problem. Unerreichbarer Code ist aufgrund des Kontrollflusses strukturell unmöglich innerhalb seiner Funktion auszuführen. Unbenutzte Funktionen sind aufrufbar, werden aber nie aufgerufen. Beide verschwenden Ressourcen, erfordern aber unterschiedliche Erkennungsstrategien. Die Erkennung von unerreichbarem Code funktioniert auf Funktionsebene, während die Erkennung von unbenutztem Code eine Ganzprogrammanalyse erfordert.

Verwandte Regeln

13. Januar 2026
„•“
Produkt- & Unternehmens-Updates

Von „No Bullsh*t Security“ zu 1 Milliarde Dollar: Wir haben gerade unsere Serie-B-Finanzierungsrunde in Höhe von 60 Millionen Dollar abgeschlossen.

Aikido eine Serie-B-Finanzierung in Höhe von 60 Millionen US-Dollar bei einer Bewertung von 1 Milliarde US-Dollar Aikido und treibt damit seine Vision von selbstsichernder Software und kontinuierlichen Penetrationstests voran.

Keine Elemente gefunden.
8. Januar 2026
„•“
Schwachstellen & Bedrohungen

Kritische Sicherheitslücke in n8n ermöglicht nicht authentifizierte Remote-Codeausführung (CVE-2026-21858)

Eine kritische Sicherheitslücke in n8n (CVE-2026-21858) ermöglicht die Ausführung von nicht authentifiziertem Remote-Code auf selbst gehosteten Instanzen. Erfahren Sie, wer davon betroffen ist und wie Sie Abhilfe schaffen können.

#Schwachstellen

6. Januar 2026
„•“
Aikido

KI-gesteuerter Pentest von Coolify: Sieben CVEs identifiziert

KI-gesteuerte Penetrationstests von Coolify identifizierten sieben CVEs, darunter Schwachstellen für Privilegieneskalation und Remote Code Execution. Die Ergebnisse wurden verantwortungsvoll offengelegt und behoben.

#KI-Penetrationstests

Werden Sie jetzt sicher.

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Scanning starten
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.