E-mail senden E-Mail Adresse kopieren
2026-06-05
Patricia Müller

Wenn kopierter Code zum unsichtbaren Risiko wird

Die Wiederverwendung von Code ist das Herzstück der modernen Softwareentwicklung. Doch was passiert, wenn derselbe Komfort, der Innovationen beschleunigt, gleichzeitig unbemerkt versteckte Risiken in den Systemen verbreitet? CISPA Founders Fellow Alfusainey Jallow berichtet wie ihn seine Forschung zu Softwareentwicklungspraktiken zu einer überraschenden Erkenntnis führte: Sobald Code seinen ursprünglichen Kontext verlässt, lässt er sich – ebenso wie seine Schwachstellen, Lizenzen und Entwicklungsgeschichte – überraschend schwer zurückverfolgen.

Wo bist du aufgewachsen, und was hat dich dort geprägt – insbesondere in Bezug auf Technologie, Wissenschaft oder Unternehmertum?

Alfusainey Jallow: Ich bin in Gambia aufgewachsen und habe später mein Studium in der Schweiz und in Deutschland fortgesetzt. Während meiner Zeit in Gambia war ich Teil eines kleinen Teams, das an der Entwicklung eines Systems für Patientenakten mitwirkte, das von zwei Krankenhäusern genutzt wurde. Diese Erfahrung gab mir einen ersten echten Einblick darin, wie Technologie das tägliche Leben der Menschen nachhaltig beeinflussen kann.

Mit der Zeit begann ich mich für Softwaresicherheit zu interessieren und dafür, wie Entwickler gemeinsam Software erstellen und teilen. Besonders interessierte mich, wie Online-Communities, Open-Source-Projekte und mittlerweile auch KI-Codierungsassistenten moderne Softwaresysteme prägen.

 

Wann kam dir zum ersten Mal der Gedanke, dass du nicht nur forschen, sondern auch ein Unternehmen gründen wolltest?

Während meiner Doktorarbeit untersuchte ich, wie Entwickler Code aus Quellen wie Stack Overflow und GitHub wiederverwenden und wie sich die Weiterentwicklung dieses Codes auf sie auswirken kann.

Zunächst erschien mir die Wiederverwendung von Code als eine ganz normale und nützliche Praxis in der Entwicklung. Doch je mehr ich mich damit beschäftigte, desto mehr wurde mir klar, dass dahinter ein größeres Problem steckte. Wenn Code-Schnipsel in verschiedene Projekte kopiert werden, verlieren sie oft den Bezug zu ähnlichem Code, der an anderer Stelle verwendet wird. Mit der Zeit entwickeln sie sich getrennt voneinander weiter, und es wird schwierig nachzuverfolgen, woher sie stammen oder ob sie Risiken in Bezug auf Sicherheit, Wartung oder Lizenzierung bergen.

Mir wurde klar, dass dies nicht nur ein Forschungsproblem war, sondern auch ein praktisches Problem, das viele Unternehmen betreffen könnte, die heute Software entwickeln.

 

Welche Rolle spielte dabei der Wunsch, Forschungsergebnisse in praktische Anwendungen umzusetzen?

Die Forschung half mir, das Problem zu verstehen, aber mir wurde auch klar, dass wissenschaftliche Arbeiten allein es nicht lösen würden. Um besser zu verstehen, ob dies außerhalb der Wissenschaft tatsächlich ein Problem darstellte, nahm ich 2023 am Helmholtz Field Study Fellowship teil.

Im Rahmen der Studie befragten wir professionelle Softwareentwickler aus Unternehmen wie Adobe, Swisscom, Bosch und Magnolia. In diesen Gesprächen beschrieben viele Entwickler Herausforderungen im Zusammenhang mit dem Verständnis wiederverwendeten Codes, der Aufrechterhaltung der Transparenz über Systeme hinweg und der Verfolgung von Risiken, die mit gemeinsam genutzten Codefragmenten verbunden sind.

Diese Gespräche bestätigten, dass es sich hierbei nicht nur um ein akademisches Problem handelte, sondern um etwas, das Praktiker in realen Softwareentwicklungsumgebungen erleben. Diese Erfahrung spielte eine wichtige Rolle bei meiner Entscheidung, das Problem im Rahmen des CISPA Founders Fellowship weiter zu erforschen.

„Die Forschung hat mir geholfen, das Problem zu verstehen, aber mir wurde auch klar, dass wissenschaftliche Arbeiten allein es nicht lösen würden.“

Alfusainey Jallow
Teilnehmer am CISPA Founders Fellowship

Was hat dich konkret dazu bewogen, am Founders Fellowship am CISPA Helmholtz-Zentrum für Informationssicherheit teilzunehmen?

Das Founders Fellowship bietet mir die Möglichkeit, diese Ideen nicht nur im Rahmen der akademischen Forschung zu untersuchen. Mir hat gefallen, dass das Programm Forschung mit Problemen aus der Praxis verbindet und die Zusammenarbeit mit Fachleuten und der Industrie fördert.

Für mich ist es zudem eine gute Gelegenheit, mehr über die Entwicklung von Produkten zu lernen, die Bedürfnisse der Nutzer:innen zu verstehen und zu prüfen, ob das von mir untersuchte Problem tatsächlich eine Herausforderung für Unternehmen darstellt.

 

Erzähl mir von deiner Startup-Idee.

Meine Startup-Idee, die derzeit den Namen „FragmentIQ“ trägt, befasst sich mit dem Konzept der verteilten Code-Intelligenz. Das Ziel ist es, besser zu verstehen, wie sich ähnliche Code-Fragmente in modernen Software-Ökosystemen verbreiten, verändern und wieder auftauchen.

Heutzutage verwenden Entwickler Code aus vielen verschiedenen Quellen wieder, darunter Open-Source-Projekte, Entwicklerforen, interne Repositorys, Dokumentationen und KI-Codierungsassistenten. Bestehende Tools für die Software-Lieferkette konzentrieren sich jedoch hauptsächlich auf Paketabhängigkeiten und können wiederverwendete Codefragmente außerhalb dieser Abhängigkeitsgraphen nicht ordnungsgemäß nachverfolgen.

Das bedeutet, dass wichtige Informationen zu einem Codefragment – wie Sicherheitslücken, API-Änderungen, Lizenzrisiken, Fehlerbehebungen oder Leistungsverbesserungen – oft nicht zu den damit verbundenen Fragmenten gelangen, die an anderer Stelle verwendet werden.

FragmentIQ untersucht, wie diese verborgenen Zusammenhänge sichtbarer gemacht werden können, damit Unternehmen besser verstehen, wie sich code-bezogene Risiken und Wissen in Software-Ökosystemen verbreiten.

 

Mit diesem Programm erhalten Promovierende, Postdoktorand:innen und herausragende Masterstudierende die Möglichkeit, ihre innovativen Forschungsarbeiten in den Bereichen Informationssicherheit, Datenschutz und KI/ML in erfolgreiche Startups umzusetzen. Hier geben wir einen umfassenden Überblick über das Programm, seine Ziele, Teilnahmebedingungen, Vorteile, Struktur und das Bewerbungsverfahren.

Mehr Infos

 

Welches Problem möchtest du mit deiner Idee lösen – über die Technologie selbst hinaus?

Ich möchte Unternehmen dabei helfen, Software mit mehr Sicherheit und besserer Transparenz zu entwickeln. Entwickler stehen unter großem Druck und verwenden oft Code wieder, um Zeit zu sparen und schneller voranzukommen. Das ist ein normaler und wichtiger Teil der Softwareentwicklung.

Die Herausforderung besteht darin, dass Unternehmen oft nicht vollständig verstehen, wie sich wiederverwendeter Code über Systeme hinweg ausbreitet oder wie sich die mit diesem Code verbundenen Risiken im Laufe der Zeit entwickeln.

Wenn wir die Transparenz in Bezug auf wiederverwendeten Code verbessern können, können Unternehmen bessere Entscheidungen hinsichtlich Sicherheit und Wartung treffen, ohne die Entwickler auszubremsen.

 

Wenn dein Startup in fünf Jahren erfolgreich ist, was wird sich dann konkret geändert haben?

Ich hoffe, dass Unternehmen ein besseres Verständnis dafür entwickeln, wie gemeinsam genutzte Codefragmente zwischen Repositorys, internen Systemen, Online-Foren und KI-generiertem Code zirkulieren.

Außerdem würde ich mir wünschen, dass die Softwarebranche über die reine Verfolgung von Paketabhängigkeiten hinausgeht und auch die Beziehungen zwischen gemeinsam genutzten Codefragmenten besser versteht.

 

Und wenn du den Satz vervollständigen würdest: „Ein Unternehmen zu gründen bedeutet für mich…“ – wie würdest du ihn beenden?

Ein Unternehmen zu gründen bedeutet für mich, zu versuchen, Forschungsideen in praktische Lösungen umzusetzen, die den Menschen im Alltag helfen können :)