ISGroup Cybersicherheitsberatung

Code Review: Was man bei der Code-Überprüfung tun und lassen sollte

Hier sind einige bewährte Methoden (Best Practices) und zu vermeidende Vorgehensweisen bei der Code-Review:

Bewährte Methoden (Best Practices)

  1. Klarheit der Ziele:
    • Bevor Sie mit einer Überprüfung beginnen, stellen Sie sicher, dass Sie wissen, wonach Sie suchen. Die Überprüfung kann sich auf Sicherheit, Funktionalität, Wartbarkeit oder den Codestil beziehen. Jeder Aspekt erfordert unterschiedliche Aufmerksamkeit und einen spezifischen Ansatz.
  2. Kollaborativer Ansatz:
    • Betrachten Sie die Code-Review als eine gemeinschaftliche Aktivität und nicht als Gelegenheit zur Kritik. Es ist wichtig, einen konstruktiven Dialog mit dem Autor des Codes zu führen, nützliches Feedback zu geben und nach Möglichkeit Lösungen vorzuschlagen.
  3. Dokumentation von Konflikten:
    • Wenn während der Code-Review Konflikte auftreten, stellen Sie sicher, dass ein definierter Prozess zu deren Lösung existiert. Dies kann die Konsultation von Unternehmensrichtlinien oder das Einholen einer externen Meinung beinhalten.
  4. Angemessene Zeitplanung:
    • Überstürzen Sie die Code-Review nicht. Obwohl es wichtig ist, zügig vorzugehen – insbesondere wenn andere Teammitglieder warten –, ist es unerlässlich, sich die nötige Zeit zu nehmen, um Sicherheitslücken und funktionale Fehler korrekt zu identifizieren.

Zu vermeidende Vorgehensweisen bei der Code-Review

  1. Ständige und ungerechtfertigte Kritik:
    • Vermeiden Sie es, Fehler im Code nur um des Kritisierens willen zu suchen. Wenn Sie ständig ohne triftigen Grund kritisieren, riskieren Sie, an Glaubwürdigkeit zu verlieren und ein feindseliges Arbeitsumfeld zu schaffen.
  2. Mangelnde Vorbereitung:
    • Beginnen Sie keine Überprüfung, ohne den Kontext des Codes oder die Erwartungen an seine Funktion zu kennen. Eine effektive Überprüfung erfordert ein gutes Verständnis der technischen Spezifikationen und der vom Unternehmen angewandten Codierungsstandards.
  3. Ignorieren der Bedeutung des Fachwissens:
    • Ein Prüfer muss über gute Kenntnisse in dem Bereich verfügen, zu dem der Code gehört. Wenn Sie den spezifischen Bereich (z. B. Compliance-Vorschriften oder geschäftliche Risiken) nicht gut kennen, riskieren Sie, wichtige Schwachstellen zu übersehen.
  4. Keine Definition der Review-Ergebnisse:
    • Stellen Sie sicher, dass die Überprüfung die erwarteten Ergebnisse liefert, wie z. B. Fehlerberichte, Sicherheitsempfehlungen oder Code-Korrekturen. Ohne eine klare Definition dessen, was aus der Überprüfung hervorgehen soll, läuft der Prozess Gefahr, ineffektiv zu sein.

Diese Praktiken tragen dazu bei, sicherzustellen, dass die Code-Review nicht nur technisch fundiert ist, sondern auch die menschlichen und kollaborativen Aspekte berücksichtigt, was ein gesundes und produktives Entwicklungsumfeld fördert.

🔙 Zurück zur Mini-Serie von ISGroup SRL zum Thema Code-Review!

In

Leave a Reply

Your email address will not be published. Required fields are marked *