Flaky Tests: 1.156 Entwicklertage Verlust in OpenStack allein

Fehlerhafte Testergebnisse gefährden zunehmend die Effizienz moderner Softwareentwicklung.

Eine neue Studie der Kyushu University und der University of Waterloo zeigt: Unzuverlässige Softwaretests – sogenannte „Flaky Tests" – sind kein Randphänomen mehr. Die am 26. Mai im Fachjournal IEEE Transactions on Software Engineering veröffentlichte Untersuchung belegt, dass diese Instabilitäten systematisch zwischen Projekten wandern und enorme Verzögerungen verursachen. Besonders betroffen: komplexe Ökosysteme wie OpenStack, das als Rückgrat vieler Cloud-Infrastrukturen dient.

Die zunehmende Komplexität moderner IT-Infrastrukturen schafft neue Einfallstore für Cyberangriffe, die oft unbemerkt bleiben. In diesem kostenlosen E-Book erfahren Unternehmer und IT-Verantwortliche, wie sie aktuelle Bedrohungen frühzeitig erkennen und ihre Systeme wirksam schützen. Gratis-Ratgeber: Cyber-Bedrohungen 2024 abwenden

1.156 verlorene Entwicklertage allein in OpenStack

Die Forscher analysierten 649 OpenStack-Projekte mit rund 29.000 Code-Reviews und 73.000 einzelnen Code-Änderungen. Das Ergebnis ist alarmierend: 55 Prozent aller Projekte leiden unter Instabilitäten, die aus anderen Bereichen des Ökosystems stammen.

Die konkreten Zahlen:
- 1.535 spezifische Tests waren von projektübergreifender Unzuverlässigkeit betroffen
- 1.105 Fälle von inkonsistenten Testergebnissen wurden dokumentiert
- 70 Prozent der Unit-Tests zeigten Anzeichen von Cross-Projekt-Instabilität

Die Folge: Ein kumulativer Verlust von 1.156 Entwicklertagen – Zeit, die für die Fehlersuche in falsch-positiven Testergebnissen verschwendet wurde.

Warum Tests plötzlich versagen

Die Ursachen sind vielfältig. Timing-Probleme in Continuous-Integration-Systemen, schwankende Serververfügbarkeit und Konflikte zwischen verschiedenen Software-Abhängigkeiten stehen ganz oben auf der Liste. Besonders tückisch: Inkonsistenzen in der Testkonfiguration führen dazu, dass Tests in einer Umgebung bestehen, in einer anderen jedoch fehlschlagen – obwohl sich am Code nichts geändert hat.

„Ein Fehler in einem Repository kann Dutzende verbundener Projekte in Alarmbereitschaft versetzen", so die Forscher. Das Problem: Echte Fehler lassen sich kaum noch von falschen Alarmen unterscheiden.

KI treibt Testflut – aber die Qualität hinkt hinterher

Während die IEEE-Studie die technischen Mechanismen untersucht, zeigt der zeitgleich veröffentlichte Sembi Software Quality Pulse Report ein grundsätzlicheres Problem: 53 Prozent des heutigen Codes wird bereits von Künstlicher Intelligenz generiert oder unterstützt.

Die Folge: Über ein Drittel der Entwicklungsteams berichtet, dass KI-gestützte Entwicklung den Testaufwand um 26 bis 50 Prozent erhöht hat. Zwar sind bereits 57 Prozent aller Tests automatisiert, doch die Integration der Werkzeuge bleibt fragmentiert. Nur 1,82 Prozent der Organisationen haben vollständig integrierte Qualitätssicherungstools in ihren DevOps-Pipelines.

Hinzu kommen Sicherheitsbedenken: 86 Prozent der Unternehmen berichten von Verzögerungen durch Sicherheitsprobleme. Zwar zeigen 63 Prozent Interesse an KI-gestützter Qualitätssicherung, doch Datenschutz- und Sicherheitsbedenken bremsen die Einführung.

Projekt Glasswing: KI findet 27 Jahre alte Bugs

Anthropic, das Unternehmen hinter dem KI-Modell Claude, treibt mit „Project Glasswing" die automatisierte Schwachstellensuche voran. Das System durchforstet Open-Source-Repositories und hat bereits Tausende potenzielle Sicherheitslücken in über 1.000 Projekten identifiziert.

Die Ergebnisse sind beeindruckend:
- 1.726 bestätigte Schwachstellen, davon über 1.000 mit hohem oder kritischem Schweregrad
- Ein 27 Jahre alter Bug in OpenBSD wurde entdeckt
- Apple schloss 52 Schwachstellen, die durch das Projekt identifiziert wurden
- Microsoft behob 16 CVEs, darunter einen kritischen Remote-Code-Execution-Fehler

Besonders spektakulär: Mozilla veröffentlichte Firefox 150 mit 271 Sicherheitskorrekturen – alle durch das Mythos-Modell identifiziert. Einige der Fehler schlummerten bis zu 20 Jahre im Code. Mozilla reagierte mit einem wöchentlichen Update-Zyklus. Oracle kündigte an, ab dem 28. Mai auf monatliche Sicherheitsupdates umzustellen.

Neue Tools für die Echtzeit-Sicherheit

Am 26. Mai 2026 stellte Detectify einen neuen Model Context Protocol (MCP) Server vor. Das System erlaubt KI-Agenten, Schwachstellen in Echtzeit zu finden und zu beheben. Der Workflow: Patch generieren, Validierungsscan durchführen, Ergebnis zur menschlichen Prüfung vorlegen.

Der „Megalodon"-Angriff: Als die Automatisierung zur Waffe wurde

Die Dringlichkeit stabiler Testsysteme zeigt ein Angriff Mitte Mai: Die „Megalodon"-Attacke traf das GitHub-Ökosystem mit voller Wucht. Innerhalb von sechs Stunden führten Angreifer 5.718 bösartige Commits in über 5.500 Repositories aus. Sie nutzten GitHub Actions, um CI/CD-Secrets, Cloud-Zugangsschlüssel und API-Tokens zu stehlen.

Der Schutz sensibler Zugangsdaten und die Einhaltung neuer gesetzlicher IT-Sicherheitsvorgaben stellen Unternehmen vor wachsende Herausforderungen. Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Pflichten und Cyberrisiken Sie jetzt kennen müssen, um Ihre Firma proaktiv abzusichern. Kostenlosen Security-Report jetzt anfordern

Die Methode war perfide: Die Angreifer ersetzten bestehende Workflows durch manipulierte Versionen und verschafften sich so dauerhaften Zugriff. Entdeckt wurde der Angriff erst Tage später durch infizierte Pakete im Tiledesk-Ökosystem.

Die Lehre: Wenn Testumgebungen instabil sind, werden sie zum Einfallstor. Denn legitime Fehlschläge lassen sich dann kaum noch von Angriffen unterscheiden.

Was jetzt passieren muss

Die Forscher empfehlen drei Strategien gegen Cross-Projekt-Instabilität:
1. Standardisierung von CI-Umgebungen
2. Intelligentere Abhängigkeitsverwaltung
3. Früherkennungstools speziell für Flaky Tests

Branchenanalysten erwarten eine verstärkte „Shift-Left"-Bewegung: Qualitätssicherung wird noch früher im Entwicklungsprozess integriert. Der Bedarf an „selbstheilenden" Testsuites und automatisierter Schwachstellenbehebung wird rasant wachsen.

Die wirtschaftliche Argumentation ist klar: Wenn allein ein einziges Ökosystem wie OpenStack 1.156 Entwicklertage verliert, wird die Investition in zuverlässige Testinfrastrukturen zur betriebswirtschaftlichen Notwendigkeit. Die Umstellung auf häufigere Patch-Zyklen bei großen Anbietern zeigt: Die Branche bereitet sich auf eine Zukunft vor, in der Software-Wartung kontinuierlich, automatisiert und hochgradig überwacht abläuft. KI ist dabei sowohl das Problem – durch die massive Zunahme von Code – als auch die einzige plausible Lösung für die wachsende Komplexität moderner Software-Ökosysteme.

de | wissenschaft | 69422845 |