Existem apenas duas boas razões para relatar algo assim para a gerência: é se você acredita que o codificador que fez isso era malicioso e tentava roubar alguma coisa, ou se você acredita que o codificador que fez isso é incompetente, o que pode ser tão prejudicial quanto um codificador malicioso.
Do jeito que você o descreve, parece que você acredita que ele é apenas um programador que cometeu um erro. Aposto que você fez isso uma vez ou duas, mesmo como um desenvolvedor experiente. Ele foi pego em revisão antes de chegar à produção, e você conversou com o cara e o alertou sobre o assunto.
Pessoalmente, neste momento, eu arquivaria todo o incidente sob "nenhum dano feito, lição aprendida" e deixe-o ir. Mas fique de olho nos commits desse cara por um tempo, só para ter certeza, e se você vir um padrão emerge, então vai para o gerenciamento. Mas no momento, não há razão para ir errando potencialmente a carreira de alguém com um erro.