Cursor – Code Review

Tutorial ini nunjukin cara nyetel code review pakai Cursor CLI di GitHub Actions. Workflow-nya bakal menganalisis pull request, nemuin masalah, dan ngepost feedback sebagai komentar.

Buat sebagian besar pengguna, kami nyaranin pakai Bugbot aja. Bugbot nyediain automated code review terkelola tanpa perlu setup. Pendekatan CLI ini berguna buat jelajah kapabilitas dan kustomisasi tingkat lanjut.

Show full workflow file

cursor-code-review.yml

name: Tinjauan Kode

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # Lewati tinjauan kode otomatis untuk PR draft
    if: github.event.pull_request.draft == false
    steps:
      - name: Checkout repositori
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Instal Cursor CLI
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Konfigurasi identitas git
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: Lakukan tinjauan kode otomatis
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'Kamu berjalan di runner GitHub Actions yang melakukan tinjauan kode otomatis. gh CLI tersedia dan terautentik lewat GH_TOKEN. Kamu boleh mengomentari pull request.

          Konteks:
          - Repo: ${{ github.repository }}
          - PR Number: ${{ github.event.pull_request.number }}
          - PR Head SHA: ${{ github.event.pull_request.head.sha }}
          - PR Base SHA: ${{ github.event.pull_request.base.sha }}
          - Tinjauan pemblokiran: ${{ env.BLOCKING_REVIEW }}

          Tujuan:
          1) Periksa ulang komentar tinjauan yang ada dan balas resolved ketika sudah ditangani.
          2) Tinjau diff PR saat ini dan tandai hanya isu yang jelas dan berseveritas tinggi.
          3) Tinggalkan komentar inline yang sangat singkat (1–2 kalimat) hanya pada baris yang berubah, serta ringkasan singkat di akhir.

          Prosedur:
          - Ambil komentar yang ada: gh pr view --json comments
          - Ambil diff: gh pr diff
          - Get changed files with patches to compute inline positions: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - Hitung anchor inline yang tepat untuk setiap isu (path file + posisi diff). Komentar HARUS ditempatkan inline pada baris yang berubah di diff, bukan sebagai komentar tingkat atas.
          - Deteksi komentar tingkat atas sebelumnya bergaya "tidak ada isu" yang ditulis oleh bot ini (cocokkan body seperti: "✅ no issues", "No issues found", "LGTM").
          - Jika run SAAT INI menemukan isu dan ada komentar "tidak ada isu" sebelumnya:
            - Lebih baik hapus agar tidak membingungkan:
              - Try deleting top-level issue comments via: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - Jika penghapusan tidak memungkinkan, minimalkan lewat GraphQL (minimizeComment) atau edit untuk menambahkan prefiks "[Digantikan oleh temuan baru]".
            - Jika tidak bisa dihapus atau diminimalkan, balas ke komentar tersebut: "⚠️ Digantikan: isu ditemukan di commit yang lebih baru".
          - Jika isu yang dilaporkan sebelumnya tampak sudah diperbaiki oleh perubahan di sekitarnya, balas: ✅ Isu ini tampaknya terselesaikan oleh perubahan terbaru
          - Analisis HANYA untuk:
            - Dereferensi null/undefined
            - Kebocoran resource (file atau koneksi tidak ditutup)
            - Injeksi (SQL/XSS)
            - Concurrency/race condition
            - Kurangnya penanganan error untuk operasi kritis
            - Kesalahan logika yang jelas dengan perilaku yang salah
            - Pola antip erforma yang jelas dengan dampak terukur
            - Kerentanan keamanan yang pasti
          - Hindari duplikasi: lewati jika umpan balik serupa sudah ada pada atau dekat baris yang sama.

          Aturan komentar:
          - Maks 10 komentar inline total; prioritaskan isu paling kritis
          - Satu isu per komentar; tempatkan tepat pada baris yang berubah
          - Semua komentar isu HARUS inline (terjangkar ke file dan baris/posisi di diff PR)
          - Gunakan nada natural, spesifik, dan dapat ditindaklanjuti; jangan sebut otomatis atau tingkat keyakinan
          - Gunakan emoji: 🚨 Kritis 🔒 Keamanan ⚡ Performa ⚠️ Logika ✅ Terselesaikan ✨ Peningkatan

          Pengajuan:
          - Jika TIDAK ada isu untuk dilaporkan dan sudah ada komentar tingkat atas yang menyatakan "no issues" (mis. "✅ no issues", "No issues found", "LGTM"), JANGAN kirim komentar lain. Lewati pengajuan untuk menghindari duplikasi.
          - Jika TIDAK ada isu untuk dilaporkan dan TIDAK ada komentar "no issues" sebelumnya, kirim satu komentar ringkas yang menyatakan tidak ada isu.
          - Jika ADA isu untuk dilaporkan dan ada komentar "no issues" sebelumnya, pastikan komentar sebelumnya dihapus/diciutkan/ditandai sebagai superseded sebelum mengirim ulasan baru.
          - Jika ADA isu untuk dilaporkan, kirim SATU ulasan yang HANYA berisi komentar inline plus ringkasan singkat opsional. Gunakan GitHub Reviews API agar komentar berupa inline:
            - Bangun array JSON komentar seperti: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Kirim via: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - JANGAN gunakan: gh pr review --approve atau --request-changes

          Perilaku pemblokiran:
          - Jika BLOCKING_REVIEW bernilai true dan ada isu 🚨 atau 🔒 yang diposting: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - Jika tidak: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - Selalu set CRITICAL_ISSUES_FOUND di akhir
          '

      - name: Periksa hasil ulasan pemblokiran
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Memeriksa isu kritis..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Ditemukan isu kritis dan ulasan pemblokiran diaktifkan. Menggagalkan workflow."
            exit 1
          else
            echo "✅ Tidak ada isu pemblokiran."
          fi

Tinjauan kode otomatis yang menampilkan komentar sebaris pada pull request

Konfigurasikan autentikasi

Setel kunci API dan secret repositori untuk mengautentikasi Cursor CLI di GitHub Actions.

Menyiapkan izin agen

Bikin file konfigurasi buat ngatur aksi yang bisa dilakukan agen. Ini mencegah operasi yang nggak diinginkan seperti push kode atau bikin pull request. Buat .cursor/cli.json di root repositori kamu:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

Konfigurasi ini bikin agen bisa baca file dan pakai GitHub CLI buat komentar, tapi ngehalangin dia buat ngubah apa pun di repositori kamu. Lihat referensi permissions buat opsi konfigurasi lainnya.

Bangun workflow GitHub Actions

Sekarang kita bangun workflow-nya langkah demi langkah.

Setel pemicu workflow

Bikin .github/workflows/cursor-code-review.yml dan konfigurasikan supaya jalan di pull request:

name: Cursor Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

Checkout repository

Tambahkan langkah checkout untuk mengakses kode dari pull request:

- name: Checkout repository
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Instal Cursor CLI

Tambahkan langkah instalasi CLI:

- name: Install Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

Konfigurasi agen review

Sebelum implementasi langkah review penuh, yuk pahami anatomi prompt review kita. Bagian ini ngejelasin gimana kita mau agen berperilaku: Objective: Kita mau agen nge-review diff PR saat ini dan cuma menandai isu yang jelas dengan tingkat keparahan tinggi, lalu ninggalin komentar inline yang sangat singkat (1-2 kalimat) hanya di baris yang berubah, dengan ringkasan singkat di akhir. Ini menjaga rasio signal-to-noise tetap seimbang. Format: Kita mau komentar yang pendek dan langsung ke poin. Kita pakai emoji biar gampang discan, dan kita mau ringkasan high-level dari keseluruhan review di akhir. Submission: Saat review selesai, kita mau agen menyertakan komentar pendek berdasarkan temuan selama review. Agen harus ngirim satu review yang berisi komentar inline plus ringkasan yang padat. Edge cases: Kita perlu nangani:

Komentar yang sudah ada dan terselesaikan: Agen harus menandainya selesai saat sudah ditangani
Hindari duplikasi: Agen harus skip komentar kalau umpan balik serupa sudah ada pada atau dekat baris yang sama

Final prompt: Prompt lengkap menggabungkan semua kebutuhan perilaku ini untuk bikin umpan balik yang fokus dan bisa ditindaklanjuti Sekarang kita implementasikan langkah agen review:

- name: Perform code review
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "You are operating in a GitHub Actions runner performing automated code review. The gh CLI is available and authenticated via GH_TOKEN. You may comment on pull requests.
    
    Context:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Objectives:
    1) Re-check existing review comments and reply resolved when addressed
    2) Review the current PR diff and flag only clear, high-severity issues
    3) Leave very short inline comments (1-2 sentences) on changed lines only and a brief summary at the end
    
    Procedure:
    - Get existing comments: gh pr view --json comments
    - Get diff: gh pr diff
    - If a previously reported issue appears fixed by nearby changes, reply: ✅ This issue appears to be resolved by the recent changes
    - Avoid duplicates: skip if similar feedback already exists on or near the same lines
    
    Commenting rules:
    - Max 10 inline comments total; prioritize the most critical issues
    - One issue per comment; place on the exact changed line
    - Natural tone, specific and actionable; do not mention automated or high-confidence
    - Use emojis: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement
    
    Submission:
    - Submit one review containing inline comments plus a concise summary
    - Use only: gh pr review --comment
    - Do not use: gh pr review --approve or --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

Uji reviewer kamu

Bikin pull request percobaan untuk memastikan workflow berjalan dan agen ngepost komentar review dengan feedback pakai emoji.

Pull request yang menampilkan komentar review otomatis dengan emoji dan feedback inline pada baris tertentu

Langkah berikutnya

Sekarang kamu punya sistem tinjauan kode otomatis yang sudah berjalan. Pertimbangkan peningkatan berikut:

Siapkan workflow tambahan untuk memperbaiki kegagalan CI
Konfigurasikan level tinjauan yang berbeda untuk cabang yang berbeda
Integrasikan dengan proses review kode tim kamu yang sudah ada
Kustomisasi perilaku agent untuk tipe file atau direktori yang berbeda

Show Lanjutan: Memblokir review

Kamu bisa mengonfigurasi workflow agar gagal jika ditemukan masalah kritis, sehingga pull request tidak bisa digabungkan sampai masalahnya ditangani.Tambahkan perilaku pemblokiran ke promptPertama, perbarui langkah agent review kamu untuk menyertakan variabel lingkungan BLOCKING_REVIEW dan tambahkan perilaku pemblokiran ini ke prompt:

Perilaku pemblokiran:
- Jika BLOCKING_REVIEW bernilai true dan ada isu 🚨 atau 🔒 yang diposting: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Jika tidak: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Selalu set CRITICAL_ISSUES_FOUND di akhir

Tambahkan langkah pemeriksaan pemblokiranLalu tambahkan langkah baru ini setelah langkah review kode kamu:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Mulai

Tanpa antarmuka (headless)

Referensi

Code Review

Konfigurasikan autentikasi

Menyiapkan izin agen

Bangun workflow GitHub Actions

Setel pemicu workflow

Checkout repository

Instal Cursor CLI

Konfigurasi agen review

Uji reviewer kamu

Langkah berikutnya

Mulai

Tanpa antarmuka (headless)

Referensi

​Konfigurasikan autentikasi

​Menyiapkan izin agen

​Bangun workflow GitHub Actions

​Setel pemicu workflow

​Checkout repository

​Instal Cursor CLI

​Konfigurasi agen review

​Uji reviewer kamu

​Langkah berikutnya

Konfigurasikan autentikasi

Menyiapkan izin agen

Bangun workflow GitHub Actions

Setel pemicu workflow

Checkout repository

Instal Cursor CLI

Konfigurasi agen review

Uji reviewer kamu

Langkah berikutnya