Audit-Vorlage
lean
Finde Bloat, dead codeCode, der nie ausgefuehrt oder referenziert wird, sodass sein Entfernen nichts veraendert. und ungenutzte Dependencies — ohne etwas Tragendes zu löschen.
Mappt auf: Google Eng · OWASPOpen Worldwide Application Security Project — der Referenzkatalog für Web-App-Sicherheitsrisiken. · YAGNIYou Aren't Gonna Need It — ein Prinzip, Funktionalitaet erst zu bauen, wenn sie wirklich gebraucht wird.
Spezialisten, parallel
Jeder Befund ist belegbasiert und übersteht ≥2-von-3 adversarielle Skeptiker.
Wie dieses Audit arbeitet
Ein read-only Schlankheits-Audit über fünf Dimensionen: Dependency-Transparenz und Supply Chain, dead codeCode, der nie ausgefuehrt oder referenziert wird, sodass sein Entfernen nichts veraendert. und Orphan-FilesDateien, die kein anderer Teil des Codes importiert oder referenziert und die niemand mehr erreicht., Duplikation, AI-SlopMinderwertiger, redundanter Code oder Text, den KI-Agenten in Masse erzeugen, ohne echten Mehrwert zu schaffen. und defensives Boilerplate, sowie Over-Engineering. Es baut zuerst eine SBOMSoftware Bill of Materials — eine vollstaendige Stueckliste aller Komponenten und Dependencies, die eine Software enthaelt. und eine Reachability-MapEin Graph, welcher Code von echten Einstiegspunkten aus erreichbar ist, um Ungenutztes zu belegen., dann gated es jede Entfernung hinter Chesterton's FenceDas Prinzip, etwas erst zu entfernen, wenn man versteht, warum es ueberhaupt da ist. und einem Resurrector-Skeptiker — jeder Schnitt landet in remove-now, investigate, deprecate oder protected, nie ein blindes Löschen.
Wann du es einsetzt
Du übernimmst eine AI-generierte Codebase
Nach Monaten agent-geschriebenem Code vermutest du duplizierte Utilities, Code-wiederholende Kommentare und über-defensives Boilerplate, kannst es aber nicht belegen. Das Audit meldet die Duplikations-Dichte mit beiden Clone-Stellen, markiert log-and-continue Catch-Blöcke und benennt, welche Vereinfachungen verhaltens-äquivalent sind.
Dependency-Surface vor einem Release verschlanken
Du willst Install- und Supply-Chain-Risiko senken, fürchtest aber einen kaputten Fresh-Install. Es trennt declared-but-unused Dependencies von Phantom-DepsEin Paket, das der Code nutzt, aber nicht im Manifest deklariert, sodass es nur zufaellig funktioniert. (used-but-undeclared), erklärt, warum jedes transitiveEine Abhaengigkeit, die nicht direkt, sondern ueber eine deiner direkten Dependencies hereinkommt. Package da ist, und prüft Lockfile und Lizenzen gegen Policy.
Entscheiden, ob dead code wirklich tot ist
Ein statisches Tool hat unused Exports und Orphan-FilesDateien, die kein anderer Teil des Codes importiert oder referenziert und die niemand mehr erreicht. markiert, aber Reflection, dynamische Imports und Out-of-Repo-Consumer lassen dich zögern. Das Audit verfolgt die Reachability-MapEin Graph, welcher Code von echten Einstiegspunkten aus erreichbar ist, um Ungenutztes zu belegen., nennt die ausgeschlossenen dynamischen Kanäle und labelt jeden Kandidaten als proven-dead oder nur suspected-dead.
Was du bekommst
Eine Schlankheits-Scorecard plus priorisierte GitHub-Issues, jedes mit Removal-Klasse, dem Reachability-Beleg und einem Vorher/Nachher-Fix samt Revert-Note.