Cursor – Code Review

このチュートリアルでは、GitHub Actions で Cursor CLI を使ったコードレビューの設定方法を紹介する。ワークフローはプルリクエストを解析し、問題を検出し、コメントでフィードバックを投稿する。

ほとんどのユーザーには、代わりに Bugbot の利用をおすすめする。Bugbot はセットアップ不要で、マネージドな自動コードレビューを提供する。この CLI アプローチは、機能の検証や高度なカスタマイズに役立つ。

Show ワークフロー全体のファイル

cursor-code-review.yml

name: コードレビュー

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # 下書き PR は自動コードレビューをスキップ
    if: github.event.pull_request.draft == false
    steps:
      - name: リポジトリをチェックアウト
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Cursor CLI をインストール
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: git のユーザー情報を設定
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: 自動コードレビューを実行
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'GitHub Actions のランナー上で自動コードレビューを実行してる。gh CLI は利用可能で、GH_TOKEN で認証済み。pull request にコメントしてOK。

          コンテキスト:
          - リポジトリ: ${{ github.repository }}
          - PR 番号: ${{ github.event.pull_request.number }}
          - PR ヘッド SHA: ${{ github.event.pull_request.head.sha }}
          - PR ベース SHA: ${{ github.event.pull_request.base.sha }}
          - ブロッキングレビュー: ${{ env.BLOCKING_REVIEW }}

          目的:
          1) 既存のレビューコメントを再チェックし、解決済みなら返信で resolved と記す。
          2) 現在の PR の差分をレビューし、明確で重大度の高い問題だけを指摘する。
          3) 変更行にのみごく短いインラインコメント（1～2文）を残し、最後に簡潔なサマリーを書く。

          手順:
          - 既存コメントを取得: gh pr view --json comments
          - 差分を取得: gh pr diff
          - インライン位置計算用にパッチ付き変更ファイルを取得: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - 各問題の正確なインラインアンカーを計算（ファイルパス + 差分位置）。コメントは必ず差分の変更行にインラインで配置し、トップレベルコメントにはしない。
          - このボットが作成した過去のトップレベル「問題なし」系コメントを検出（本文が "✅ no issues"、"No issues found"、"LGTM" などに一致）。
          - 今回の実行で問題が見つかり、過去に「問題なし」コメントがある場合:
            - 混乱を避けるため削除を優先:
              - トップレベルの該当コメントを削除: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - 削除不可なら GraphQL（minimizeComment）で最小化、または本文の先頭に "[Superseded by new findings]" を付与して編集。
            - 削除も最小化も不可なら、そのコメントに返信: "⚠️ Superseded: issues were found in newer commits"
          - 以前報告した問題が近傍の変更で解決されたと思われる場合は返信: ✅ This issue appears to be resolved by the recent changes
          - 次のみを解析対象にする:
            - null/undefined 参照
            - リソースリーク（未クローズのファイルや接続）
            - インジェクション（SQL/XSS）
            - 並行性/レースコンディション
            - 重要な処理でのエラーハンドリング欠如
            - 明白なロジックエラーによる不正な挙動
            - 明確なパフォーマンスのアンチパターンで測定可能な影響があるもの
            - 明確なセキュリティ脆弱性
          - 重複回避: 同一または近接行に類似フィードバックがある場合はスキップ。

          コメント規約:
          - インラインコメントは最大 10 件まで。重要度の高いものを優先
          - コメント 1 件につき問題は 1 つ。正確な変更行に配置
          - すべての問題コメントはインライン必須（PR 差分内のファイルと位置に紐付け）
          - 口調は自然で、具体的かつ実行可能な内容にする。自動化や確信度には触れない
          - 絵文字を使用: 🚨 重大 🔒 セキュリティ ⚡ パフォーマンス ⚠️ ロジック ✅ 解決 ✨ 改善

          送信:
          - 報告すべき問題がなく、既に「問題なし」を示すトップレベルコメント（例: "✅ no issues"、"No issues found"、"LGTM"）が存在する場合は、新たなコメントは送信しない。冗長を避けるためスキップ。
          - 報告すべき問題がなく、過去の「問題なし」コメントもない場合は、問題なしを記す短いサマリーコメントを 1 件送信。
          - 報告すべき問題があり、過去に「問題なし」コメントがある場合は、新規レビュー送信前にそれを削除/最小化/新発見で上書き済みと明記。
          - 報告すべき問題がある場合は、インラインコメントのみで構成されるレビューを 1 件だけ送信し、必要なら簡潔なサマリー本文を付与。GitHub Reviews API を用いてコメントがインラインになるようにする:
            - Build a JSON array of comments like: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Submit via: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - 使用禁止: gh pr review --approve や --request-changes

          ブロッキング動作:
          - BLOCKING_REVIEW が true で、🚨 または 🔒 の問題を投稿した場合: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - それ以外: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - 最後に必ず CRITICAL_ISSUES_FOUND を設定
          '

      - name: ブロッキングレビューの結果を確認
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "重大な問題がないか確認中..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ 重大な問題が見つかり、ブロッキングレビューが有効。ワークフローを失敗させる。"
            exit 1
          else
            echo "✅ ブロック対象の問題は見つからなかった。"
          fi

認証の設定

GitHub Actions で Cursor CLI を認証するには、API キーとリポジトリのシークレットを設定してね。

エージェントの権限を設定する

エージェントが実行できるアクションを制御するための設定ファイルを作成しよう。これで、コードのプッシュやプルリクエストの作成といった意図しない操作を防げる。リポジトリのルートに .cursor/cli.json を作成:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

この設定により、エージェントはファイルを読み取り、コメントには GitHub CLI を使えるけど、リポジトリを変更することはできない。設定の詳細は permissions reference を見てね。

GitHub Actions のワークフローを構築する

それじゃあ、ワークフローをステップごとに作っていこう。

ワークフローのトリガーを設定する

.github/workflows/cursor-code-review.yml を作成して、pull request で実行されるように設定しよう:

name: Cursor コードレビュー

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

リポジトリをチェックアウト

プルリクエストのコードにアクセスできるよう、チェックアウトの手順を追加しよう：

- name: リポジトリのチェックアウト
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Cursor CLI をインストールする

CLI のインストール手順を追加:

- name: Cursor CLI のインストール
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

レビューエージェントを設定する

完全なレビュー手順を実装する前に、まずレビュー用プロンプトの構造を押さえよう。このセクションでは、エージェントにどう動いてほしいかをまとめる: 目的: エージェントには、現在の PR diff をレビューして、明確で重大度の高い問題だけをフラグし、変更行にのみごく短いインラインコメント（1〜2文）を残し、最後に簡潔なサマリーを付けてほしい。これでシグナルとノイズのバランスを保てる。 フォーマット: コメントは短く、要点だけにする。スキャンしやすくするために絵文字を使い、最後にレビュー全体のハイレベルなサマリーがほしい。送信: レビューが完了したら、レビューで見つかった内容に基づく短いコメントを含めてほしい。エージェントは、インラインコメントと簡潔なサマリーを含む単一のレビューを送信すべき。 エッジケース: 次に対応する必要がある:

既存コメントの解決: 対応済みなら完了としてマークする
重複回避: 同様の指摘が同一行または近傍にすでにある場合はコメントをスキップする

最終プロンプト: 上記の振る舞い要件をすべて組み合わせて、フォーカスされた実行可能なフィードバックを生成するではレビューエージェントのステップを実装しよう:

- name: コードレビューを実行
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "GitHub Actions のランナー上で自動コードレビューを実行している。gh CLI は GH_TOKEN で認証済みで利用可能。プルリクエストにコメントしてOK。
    
    コンテキスト:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    目的:
    1) 既存のレビューコメントを再確認し、対応済みであれば「resolved」と返信
    2) 現在の PR の差分をレビューし、明確で重大度の高い問題のみを指摘
    3) 変更行にのみ非常に短いインラインコメント（1～2文）を残し、最後に簡潔なサマリーを付ける
    
    手順:
    - 既存コメントの取得: gh pr view --json comments
    - 差分の取得: gh pr diff
    - 以前報告した問題が近傍の変更で修正されたと見受けられる場合は、次のように返信: ✅ この問題は最近の変更で解消されたようです
    - 重複回避: 同様のフィードバックが同じ行付近に既にある場合はスキップ
    
    コメントルール:
    - インラインコメントは合計最大10件まで。最も重要な問題を優先
    - 1コメントにつき1件の問題。正確に変更行に付与
    - 口調は自然で、具体的かつ実行可能に。自動化や高確度である旨は言及しない
    - 絵文字の使用: 🚨 重大 🔒 セキュリティ ⚡ パフォーマンス ⚠️ ロジック ✅ 解決 ✨ 改善
    
    提出:
    - インラインコメントと簡潔なサマリーを含むレビューを1件提出
    - 次のみ使用: gh pr review --comment
    - 使用しない: gh pr review --approve または --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

レビュアーをテストしよう

ワークフローが正しく動作し、エージェントが絵文字付きのフィードバックでレビューコメントを投稿することを確認するために、テスト用のプルリクエストを作成しよう。

特定の行へのインラインフィードバックと絵文字付きの自動レビューコメントが表示されたプルリクエスト

次のステップ

これで自動コードレビューシステムが動くようになった。次の拡張も検討してみて:

CI の失敗を修正するための追加ワークフローをセットアップ
ブランチごとに異なるレビューレベルを設定
チームの既存のコードレビュープロセスと統合
ファイルタイプやディレクトリごとにエージェントの動作をカスタマイズ

Show 高度: ブロッキングレビュー

致命的な問題が見つかった場合にワークフローを失敗させ、対応されるまで pull request のマージを防げる。プロンプトにブロッキング動作を追加まず、レビューエージェントのステップを更新して、BLOCKING_REVIEW 環境変数を含め、このブロッキング動作をプロンプトに追加する:

Blocking behavior:
- If BLOCKING_REVIEW is true and any 🚨 or 🔒 issues were posted: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Otherwise: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Always set CRITICAL_ISSUES_FOUND at the end

ブロッキングチェックのステップを追加次に、コードレビューのステップの後にこの新しいステップを追加する:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

はじめよう

ヘッドレス

リファレンス

コードレビュー

認証の設定

エージェントの権限を設定する

GitHub Actions のワークフローを構築する

ワークフローのトリガーを設定する

リポジトリをチェックアウト

Cursor CLI をインストールする

レビューエージェントを設定する

レビュアーをテストしよう

次のステップ

はじめよう

ヘッドレス

リファレンス

​認証の設定

​エージェントの権限を設定する

​GitHub Actions のワークフローを構築する

​ワークフローのトリガーを設定する

​リポジトリをチェックアウト

​Cursor CLI をインストールする

​レビューエージェントを設定する

​レビュアーをテストしよう

​次のステップ

認証の設定

エージェントの権限を設定する

GitHub Actions のワークフローを構築する

ワークフローのトリガーを設定する

リポジトリをチェックアウト

Cursor CLI をインストールする

レビューエージェントを設定する

レビュアーをテストしよう

次のステップ