Code-Review
Ein Code-Review ist die systematische Prüfung von Quellcode durch eine zweite Instanz, bevor eine Änderung in den gemeinsamen Bestand übernommen wird – auf fachliche Korrektheit, Sicherheit, Verständlichkeit und Wartbarkeit.
Das Code-Review ist das Vier-Augen-Prinzip der Softwareentwicklung; seit KI Quellcode in hohem Tempo erzeugt, verschiebt sich der Engpass der Entwicklungsarbeit vom Schreiben zum Prüfen – und das Review wird zur zentralen Qualitätsstufe.
In einfachen Worten
Der Ablauf ist in eingespielten Teams Standard: Eine Änderung wird über die Versionskontrolle als abgegrenztes Paket eingereicht, eine zweite Person liest den Code, kommentiert Auffälligkeiten und fordert Nachbesserung oder gibt frei. Erst nach der Freigabe fließt die Änderung in den gemeinsamen Bestand und durchläuft die automatisierten Prüfungen der CI/CD-Strecke. Geprüft wird dabei mehr als die reine Funktion: der übersehene Sonderfall, die Sicherheitslücke, die Verständlichkeit für die nächste Person, die an dieser Stelle weiterarbeiten muss. Mit dem Aufkommen von Agentic Coding gewinnt das Review deutlich an Gewicht. Maschinell erzeugter Code ist meist syntaktisch sauber und wirkt plausibel; seine Schwächen liegen in inhaltlichen Fehlern, die sich gut tarnen – etwa einem falsch behandelten Grenzfall oder einer unbemerkt veränderten Annahme. Wenn das Erzeugen von Code schnell und günstig wird, bleibt das sorgfältige Prüfen der Teil der Arbeit, der Zeit und Erfahrung verlangt – und damit der Engpass, an dem die Qualität eines Systems hängt.
Wozu brauche ich das?
Ein verbindliches Review gehört überall dorthin, wo mehr als eine Person am Code arbeitet oder wo beim Agentic Coding ein KI-Agent Quellcode erzeugt – in beiden Fällen braucht jede Änderung eine prüfende zweite Instanz. Für Unternehmen, die Software beauftragen, ist das Review zugleich ein Einkaufs-Kriterium: Wer Entwicklungsleistung einkauft, sollte erfragen, wie der Dienstleister Änderungen prüft, bevor sie live gehen – und ob KI-erzeugter Code dieselbe Prüftiefe durchläuft wie handgeschriebener. Ein niedriger Preis, der durch entfallene Prüfung entsteht, verlagert die Kosten in den späteren Betrieb.
Beispiel aus der Praxis
Ein Betrieb lässt seine Webanwendung um eine Exportfunktion erweitern; ein Coding-Agent erzeugt die Änderung in kurzer Zeit. Im Review fällt zweierlei auf: Ein Grenzfall mit leeren Eingabefeldern führt zu einem Absturz, und die neue Funktion prüft die Zugriffsrechte nicht – jeder angemeldete Nutzer hätte fremde Daten exportieren können. Beides war funktional unauffällig und wäre im normalen Betrieb zunächst nicht aufgefallen. Die Nachbesserung kostet wenig Zeit; derselbe Befund nach dem Livegang wäre ein meldepflichtiger Sicherheitsvorfall gewesen. Der Tempogewinn der maschinellen Erzeugung bleibt erhalten – die zweite Instanz nach dem Vier-Augen-Prinzip hat ihn abgesichert.
Wirtschaftlicher Nutzen
Der wirtschaftliche Gewinn KI-gestützter Entwicklung entsteht beim schnelleren Erzeugen; wer im Gegenzug die Prüfung einspart, gibt ihn wieder her. Eine gestrichene Review-Stufe meldet sich später zu höheren Kosten zurück – als Sicherheitsvorfall, als Störung im Livebetrieb oder als aufwendige Sanierung eines Systems, dessen Innenleben niemand mehr überblickt. Umgekehrt hat ein gelebtes Review einen zweiten wirtschaftlichen Nutzen: Es ist der Lernpfad, über den Berufseinsteiger das Prüfen erlernen – durch begleitetes Lesen, Testen und Zerlegen erzeugten Codes. Betriebe, die ausbilden, sichern sich damit die erfahrenen Prüfer von morgen.
Typische Fehler
- KI-erzeugten Code ungeprüft übernehmen, weil er sauber formatiert und plausibel wirkt.
- Das Review als Formalie behandeln und Änderungen nur überfliegen, statt Grenzfälle und Sicherheit zu prüfen.
- Zu große Änderungspakete einreichen, die niemand mehr gründlich lesen kann.
- Alle Reviews der erfahrensten Person aufbürden, sodass genau dort ein Engpass entsteht.
- Beim Einkauf von Entwicklungsleistung nur Tempo und Preis bewerten und die Prüfpraxis des Anbieters nicht erfragen.
Worauf achten?
- Änderungen klein und abgegrenzt halten – kleine Pakete werden nachweislich gründlicher geprüft.
- Automatisierte Tests in der CI/CD-Strecke vorschalten, damit das menschliche Review sich auf Inhalt, Grenzfälle und Sicherheit konzentrieren kann.
- Für KI-erzeugten Code dieselbe Prüftiefe ansetzen wie für handgeschriebenen – seine Fehler tarnen sich besser.
- Berufseinsteiger über begleitetes Prüfen heranführen – Lesen, Testen und Zerlegen erzeugten Codes ist der neue Lernpfad.
- Review-Entscheidungen über die Versionskontrolle dokumentieren, damit nachvollziehbar bleibt, wer was wann freigegeben hat.
Häufig gestellte Fragen
Was ist ein Code-Review?
Die systematische Prüfung von Quellcode durch eine zweite Instanz, bevor eine Änderung in den gemeinsamen Bestand übernommen wird. Geprüft werden fachliche Korrektheit, Sicherheit, Verständlichkeit und Wartbarkeit – über die Kommentar- und Freigabefunktionen der Versionskontrolle.
Warum ist das Review bei KI-erzeugtem Code besonders wichtig?
Weil maschinell erzeugter Code meist syntaktisch sauber und plausibel wirkt, seine Fehler aber inhaltlich sind und sich gut tarnen – falsch behandelte Grenzfälle, fehlende Rechteprüfungen, unbemerkt veränderte Annahmen. Je schneller Code entsteht, desto mehr hängt die Qualität an der Prüfung.
Ersetzen automatisierte Tests das Code-Review?
Nein, sie ergänzen es. Automatisierte Tests prüfen definierte Erwartungen und fangen Regressionen; das menschliche Review beurteilt, was Tests nicht abdecken – Sicherheit, Verständlichkeit, Architektur-Passung und die Grenzfälle, an die noch niemand gedacht hat.
Worauf sollten Auftraggeber von Software beim Thema Review achten?
Auf die Prüfpraxis des Dienstleisters: Wird jede Änderung von einer zweiten Instanz geprüft, durchläuft KI-erzeugter Code dieselbe Prüftiefe, und sind Freigaben dokumentiert? Ein Preisvorteil durch entfallene Prüfung verlagert die Kosten in den späteren Betrieb.