![Research paper: removing dependencies from large (Java) software projects [pdf]](/images/2A1E6232-BB0E-4179-BD93-CB494D99FE5E)
Die heutigen Softwarelandschaften, insbesondere im Java-Bereich, sind geprägt von einem enormen Wachstum an Abhängigkeiten und Bibliotheken. Während Paketmanager wie Maven oder Gradle das Hinzufügen neuer Abhängigkeiten erleichtern und automatisieren, stellt sich im Laufe der Zeit oft ein anderes Problem ein: Veraltete oder nicht mehr benötigte Abhängigkeiten bleiben unbemerkt bestehen. Dies führt zu einer erhöhten Komplexität, erschwert die Wartung und kann sogar zu Sicherheitsrisiken führen. Besonders in großen Softwareprojekten ist es jedoch nicht trivial, ungenutzte Abhängigkeiten zuverlässig zu erkennen und sicher zu entfernen. Fehler bei diesem Prozess können zu Systemausfällen oder Funktionsstörungen führen, was Unternehmen vor große Herausforderungen stellt.
Der Umgang mit Abhängigkeiten im Softwareentwicklungsprozess gehört zu den zentralen Aufgaben der Softwarequalitätssicherung. Das ständige Aktualisieren sowie Hinzufügen neuer Bibliotheken ermöglicht es Entwicklern, neue Features schneller umzusetzen und auf sich ändernde Umgebungsbedingungen zu reagieren. Doch mit der Zeit sammeln sich Abhängigkeiten an, die keine aktive Rolle mehr im Projekt spielen, weil zum Beispiel bestimmte Funktionen entfernt wurden oder ganze Module ersetzt sind. Das Entfernen dieser nicht mehr benötigten Abhängigkeiten bietet viele Vorteile: geringere Komplexität, kürzere Build-Zeiten, bessere Übersichtlichkeit des Codes und vor allem eine reduzierte Angriffsfläche für potenzielle Sicherheitslücken. Der Kern der Problematik liegt allerdings in der notwendigen Sicherheit bei der Entfernung: Wie kann man mit Gewissheit sagen, welche Abhängigkeiten wirklich unbenutzt sind? In großen Projekten mit vielen dynamischen Java-Features wie Reflection, dynamischem Proxy oder Classloading ist das Generieren eines präzisen Aufrufgrafs (Call Graph) eine Herausforderung.
Statische Analysen wollen genau dies leisten – sie rekonstruieren Aufrufbeziehungen im Code, um nachzuweisen, ob eine bestimmte Abhängigkeit verwendet wird oder nicht. Aber das Problem eines vollständigen und gleichzeitig exakten Aufrufgrafs ist theoretisch sogar als unentscheidbar eingestuft und in der Praxis oft nur näherungsweise zu lösen. Als Reaktion auf diese Herausforderung haben Forscher und Entwickler verschiedene Werkzeuge entwickelt, die das Entfernen unbenutzter Abhängigkeiten unterstützen. Ein vielversprechender Ansatz basiert auf der Erweiterung der statischen Analyse mit Hilfe modernster Call-Graph-Generierungstools, wie zum Beispiel OPAL. Diese Tools sind speziell darauf ausgelegt, die dynamischen Aspekte moderner Java-Anwendungen besser zu erfassen.
Ein Beispiel hierfür ist das Projekt DepClean, das auf der Analyse von Abhängigkeiten aufbaut, um ungenutzte Pakete zu erkennen. Ein innovativer Beitrag zur Thematik ist zudem die Entwicklung eines Entscheidungsrahmens, der auf dem Output solcher Analysewerkzeuge aufsetzt und Entwicklern hilft, fundierte Entscheidungen zum Entfernen von Abhängigkeiten zu treffen. Statt blind als ungenutzt markierte Abhängigkeiten zu löschen, wird die Beziehung der jeweilige Abhängigkeit zu anderen Systembestandteilen genauer geprüft und nach logischen Kriterien kategorisiert. Dies reduziert falsch-positive Ergebnisse – also die Fälle, bei denen eine vermeintlich ungenutzte Abhängigkeit tatsächlich doch benötigt wird – erheblich. Es zeigt sich, dass durch den Einsatz dieses kombinierten Ansatzes bestehend aus verbesserten Analysewerkzeugen und einem strukturierten Entscheidungsprozess bis zu einem Drittel der Fehlalarme im Vergleich zu bisherigen Methoden vermieden werden können.
Für große, industriell eingesetzte Anwendungen bedeutet dies eine signifikante Erleichterung der Wartbarkeit und gleichzeitig eine Erhöhung der Systemsicherheit. Darüber hinaus bestätigt die Analyse der Historie von Open-Source-Projekten die Zuverlässigkeit der daran angelehnten Methoden. Wenn Entwickler in der Vergangenheit Abhängigkeiten entfernt haben, stimmen die automatischen Erkennungsergebnisse in hoher Übereinstimmung damit überein. Das schafft Vertrauen in den automatisierten Prozess und zeigt, dass moderne Werkzeuge eine wichtige Unterstützung für Entwicklerteams darstellen. Die Praxis in Unternehmen wie der ING Bank, die Softwareprojekte mit hoher Komplexität und enormer Bedeutung für den Geschäftsbetrieb betreibt, unterstreicht die Relevanz des Themas.
Dort stehen oftmals Millionen von Kunden und komplexe Backend-Systeme im Mittelpunkt, bei denen jede Ausfallzeit schwerwiegende Folgen hätte. Umso wichtiger ist es, nicht benötigte Abhängigkeiten zu entfernen, ohne das Risiko eines Fehlers einzugehen. Zusammenfassend lässt sich sagen, dass das Entfernen ungenutzter Abhängigkeiten in großen Java-Projekten weiterhin eine Herausforderung darstellt, die aber mit spezifischen Methoden und Werkzeugen zunehmend besser bewältigt wird. Eine Kombination aus statischer Analyse mit ausgefeilter Call-Graph-Generierung, ergänzt durch logisch fundierte Entscheidungsprozesse, stellt einen vielversprechenden Weg dar, um Software aufgeräumter, sicherer und wartbarer zu machen. Hersteller und Entwickler sind gut beraten, diese Verfahren in ihre Entwicklungs- und Wartungsprozesse zu integrieren, um die langfristige Qualität ihrer Software zu sichern und zugleich Risiken durch veraltete Abhängigkeiten zu minimieren.
Die Zukunft der Softwareentwicklung wird maßgeblich davon profitieren, dass automatisierte und dennoch sichere Werkzeuge diese komplexe Aufgabe immer besser lösen können.
