Code-Audit in 48 Stunden: Welche Signale wirklich zählen.
Codebase Audit: Woran man erkennt, wie krank ein Projekt wirklich ist
Ein Code-Audit ist kein Fingerzeig auf schlechte Arbeit. Es ist eine ehrliche Diagnose.
Was ein Audit leisten soll
Nicht: Schuldige finden. Sondern: Zustand verstehen. Welche Bereiche sind riskant? Wo schleppt sich das Team durch Mud? Was kostet unverhältnismäßig viel Zeit? Welche Bereiche kennt niemand mehr richtig?
Ein Audit ist der Ausgangspunkt für einen Plan – kein Selbstzweck.
Was man sich in 48 Stunden anschaut
Automatisierte Analyse: Statische Code-Analyse (PHPStan, ESLint, SonarQube), Dependency-Scan auf bekannte Vulnerabilities, Test Coverage Report, Komplexitätsmetriken.
Manuelle Code-Inspektion: Die komplexesten Klassen und Funktionen (nach Metriken identifiziert) lesen. Nicht jede Zeile – die Hotspots. Git-History für häufig geänderte Files auswerten (oft korreliert mit schlechter Qualität).
Interviews: Was nervt das Team täglich? Welche Bereiche meidet jeder? Diese Infos kommen nie aus dem Code-Analyzer.
Signale, die wirklich zählen
Lange Build-Zeiten. Hohe Fehlerrate in bestimmten Modulen. Tests, die flaky sind (manchmal rot, manchmal grün). Ausreden, warum ein Feature "länger gedauert hat als erwartet". Niemand im Team, der einen bestimmten Bereich vollständig versteht.
Audit-Report: Was drin sein sollte
Nicht: Eine Liste aller Code-Smells. Sondern: Priorisierte Handlungsempfehlungen. Was ist kritisch (Sicherheit, Stabilität)? Was kostet am meisten Entwicklungszeit? Was hat die beste ROI-Ratio bei der Behebung?
Checkliste Codebase Audit
Statische Analyse durchgelaufen
Dependency-Vulnerabilities geprüft
Test Coverage gemessen
Git-History-Analyse durchgeführt (Hotspot-Dateien)
Team-Interviews für qualitative Insights
Report mit priorisierten Maßnahmen erstellt
Audit für eure Codebase?
markom.digital führt strukturierte Code-Audits durch – mit konkretem Output, der als Basis für Entscheidungen taugt.
