Cursor – Code Review

В этом руководстве ты настроишь code review с помощью Cursor CLI в GitHub Actions. Workflow будет анализировать pull request’ы, находить проблемы и публиковать фидбек в комментариях.

Для большинства пользователей мы рекомендуем использовать Bugbot. Bugbot предоставляет управляемое автоматическое code review без какой-либо настройки. Подход с CLI полезен для изучения возможностей и продвинутой кастомизации.

Показать полный файл рабочего процесса

cursor-code-review.yml

name: Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # Пропускай автоматический код‑ревью для черновых PR
    if: github.event.pull_request.draft == false
    steps:
      - name: Checkout repository
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Install Cursor CLI
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Configure git identity
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: Perform automated code review
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'Ты работаешь в раннере GitHub Actions и выполняешь автоматическое код‑ревью. gh CLI доступен и аутентифицирован через GH_TOKEN. Можно комментировать pull request’ы.

          Context:
          - Repo: ${{ github.repository }}
          - PR Number: ${{ github.event.pull_request.number }}
          - PR Head SHA: ${{ github.event.pull_request.head.sha }}
          - PR Base SHA: ${{ github.event.pull_request.base.sha }}
          - Blocking Review: ${{ env.BLOCKING_REVIEW }}

          Objectives:
          1) Перепроверь существующие комментарии к обзору и ответь resolved, когда они учтены.
          2) Просмотри текущий diff PR и отмечай только очевидные, критичные проблемы.
          3) Оставляй очень короткие инлайн‑комментарии (1–2 предложения) только на изменённых строках и короткое резюме в конце.

          Procedure:
          - Получить существующие комментарии: gh pr view --json comments
          - Получить diff: gh pr diff
          - Получить изменённые файлы с патчами для вычисления инлайн‑позиций: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - Вычисли точные инлайн‑якоря для каждой проблемы (путь к файлу + позиция в diff). Комментарии ДОЛЖНЫ быть размещены инлайн на изменённой строке в diff, а не как верхнеуровневые.
          - Найди предыдущие верхнеуровневые комментарии в стиле «нет проблем», созданные этим ботом (совпадение по тексту типа: "✅ no issues", "No issues found", "LGTM").
          - Если текущий запуск находит проблемы и существуют предыдущие комментарии «нет проблем»:
            - Предпочти удалить их, чтобы избежать путаницы:
              - Попробуй удалить верхнеуровневые комментарии через: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - Если удалить нельзя, сверни их через GraphQL (minimizeComment) или отредактируй, добавив префикс "[Superseded by new findings]".
            - Если ни удалить, ни свернуть нельзя, ответь на тот комментарий: "⚠️ Superseded: issues were found in newer commits".
          - Если ранее сообщённая проблема выглядит исправленной недавними изменениями, ответь: ✅ This issue appears to be resolved by the recent changes
          - Анализируй ТОЛЬКО:
            - Разыменование null/undefined
            - Утечки ресурсов (незакрытые файлы или соединения)
            - Инъекции (SQL/XSS)
            - Проблемы конкурентности/гонки
            - Отсутствие обработки ошибок для критических операций
            - Очевидные логические ошибки с некорректным поведением
            - Явные анти‑паттерны производительности с измеримым влиянием
            - Однозначные уязвимости безопасности
          - Избегай дублей: пропускай, если похожая обратная связь уже есть на тех же или соседних строках.

          Commenting rules:
          - Максимум 10 инлайн‑комментариев всего; приоритизируй самые критичные проблемы
          - Одна проблема на комментарий; размещай на точной изменённой строке
          - Все комментарии по проблемам ДОЛЖНЫ быть инлайн (привязанными к файлу и строке/позиции в diff PR)
          - Естественный тон, конкретно и по делу; не упоминай автоматизацию или «высокую уверенность»
          - Используй эмодзи: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement

          Submission:
          - Если НЕТ проблем для отчёта и уже есть верхнеуровневый комментарий «нет проблем» (например, "✅ no issues", "No issues found", "LGTM"), НЕ отправляй ещё один комментарий. Пропусти отправку, чтобы избежать повторов.
          - Если НЕТ проблем для отчёта и НЕТ предыдущего комментария «нет проблем», отправь один короткий сводный комментарий, что проблем нет.
          - Если ЕСТЬ проблемы для отчёта и существует предыдущий комментарий «нет проблем», убедись, что тот комментарий удалён/свёрнут/помечен как устаревший перед отправкой нового ревью.
          - Если ЕСТЬ проблемы для отчёта, отправь ОДНО ревью, содержащее ТОЛЬКО инлайн‑комментарии плюс опциональное короткое сводное тело. Используй GitHub Reviews API, чтобы гарантировать, что комментарии инлайн:
            - Построй JSON‑массив комментариев вида: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Отправь через: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - НЕ используй: gh pr review --approve или --request-changes

          Blocking behavior:
          - Если BLOCKING_REVIEW = true и были опубликованы какие‑либо 🚨 или 🔒 проблемы: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - Иначе: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - Всегда устанавливай CRITICAL_ISSUES_FOUND в конце
          '

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Проверяем наличие критических проблем..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Обнаружены критические проблемы, и блокирующий обзор включён. Завершаем workflow с ошибкой."
            exit 1
          else
            echo "✅ Блокирующих проблем не найдено."
          fi

Автоматизированный code review в действии: встроенные комментарии в pull request

Настройка аутентификации

Настрой свой API‑ключ и секреты репозитория, чтобы аутентифицировать Cursor CLI в GitHub Actions.

Настрой разрешения агента

Создай файл конфигурации, чтобы контролировать, какие действия агент может выполнять. Это предотвратит нежелательные операции, например пуш кода или создание pull request’ов. Создай .cursor/cli.json в корне репозитория:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

Эта конфигурация позволяет агенту читать файлы и использовать GitHub CLI для комментариев, но не позволяет ему вносить изменения в твой репозиторий. См. справочник по разрешениям для дополнительных параметров настройки.

Собери рабочий процесс GitHub Actions

Теперь давай по шагам соберём рабочий процесс.

Настрой триггер рабочего процесса

Создай .github/workflows/cursor-code-review.yml и настрой его на запуск при pull requests:

name: Ревью кода в Cursor

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

Проверь репозиторий

Добавь шаг checkout, чтобы получить доступ к коду pull request:

- name: Получить репозиторий
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Установи Cursor CLI

Добавь шаг установки CLI:

- name: Установить Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

Настройка агента рецензирования

Прежде чем внедрять полный шаг рецензии, давай разберём анатомию нашего промпта для рецензии. Этот раздел описывает, как мы хотим, чтобы агент себя вёл: Цель: Мы хотим, чтобы агент просматривал текущий diff PR и отмечал только очевидные, критичные проблемы, затем оставлял очень короткие инлайн‑комментарии (1–2 предложения) только на изменённых строках, с кратким итоговым резюме в конце. Это сохраняет баланс между сигналом и шумом. Формат: Нужны комментарии, которые короткие и по делу. Мы используем эмодзи, чтобы упрощать просмотр комментариев, и хотим получить в конце обзор на высоком уровне всей рецензии. Отправка: Когда рецензия завершена, мы хотим, чтобы агент добавил короткий комментарий на основе найденного в ходе рецензии. Агент должен отправить одну рецензию, содержащую инлайн‑комментарии плюс сжатое резюме. Краевые случаи: Нужно обработать:

Существующие комментарии, помеченные как решённые: агент должен отмечать их выполненными, когда они адресованы
Избегать дубликатов: агент должен пропускать комментарии, если похожий фидбек уже существует на тех же строках или рядом

Итоговый промпт: Полный промпт объединяет все эти поведенческие требования, чтобы создать сфокусированный, прикладной фидбек Теперь давай реализуем шаг с агентом рецензирования:

- name: Провести код‑ревью
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "Ты работаешь в GitHub Actions runner и выполняешь автоматическое код‑ревью. gh CLI доступен и аутентифицирован через GH_TOKEN. Можно оставлять комментарии в pull request'ах.
    
    Контекст:
    - Репозиторий: ${{ github.repository }}
    - Номер PR: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Цели:
    1) Перепроверь существующие комментарии к ревью и отвечай «resolved», когда вопрос закрыт
    2) Просмотри текущий diff PR и отмечай только очевидные, высокосерьёзные проблемы
    3) Оставляй очень короткие инлайн‑комментарии (1–2 предложения) только на изменённых строках и добавь краткое резюме в конце
    
    Процедура:
    - Получить существующие комментарии: gh pr view --json comments
    - Получить diff: gh pr diff
    - Если ранее отмеченная проблема выглядит исправленной близкими изменениями, ответь: ✅ Похоже, эта проблема решена недавними изменениями
    - Избегай дубликатов: пропускай, если похожий фидбек уже есть на этих или соседних строках
    
    Правила комментирования:
    - Не более 10 инлайн‑комментариев всего; приоритезируй самые критичные проблемы
    - Одна проблема на комментарий; ставь на конкретной изменённой строке
    - Естественный тон, конкретика и практичность; не упоминай, что комментарий автоматический, и не заявляй о высокой уверенности
    - Используй эмодзи: 🚨 Критично 🔒 Безопасность ⚡ Производительность ⚠️ Логика ✅ Решено ✨ Улучшение
    
    Отправка:
    - Отправь один обзор с инлайн‑комментариями плюс краткое резюме
    - Используй только: gh pr review --comment
    - Не используй: gh pr review --approve или --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

Протестируй своего ревьюера

Создай тестовый pull request, чтобы убедиться, что workflow работает, а агент оставляет комментарии к ревью с эмодзи и обратной связью.

Pull request с автоматическими комментариями к ревью, эмодзи и встроенной обратной связью по конкретным строкам

Следующие шаги

Теперь у тебя есть рабочая система автоматического code review. Подумай о таких улучшениях:

Настрой дополнительные workflows для исправления сбоев CI
Настрой разные уровни review для разных веток
Интегрируйся с существующим процессом code review в твоей команде
Настрой поведение агента для разных типов файлов или директорий

Показать Продвинутое: блокирующие review

Можно настроить workflow так, чтобы он падал при обнаружении критических проблем, не позволяя смержить pull request, пока они не будут исправлены.Добавь блокирующее поведение в промптСначала обнови шаг review-агента, добавив переменную окружения BLOCKING_REVIEW, и опиши это блокирующее поведение в промпте:

Blocking behavior:
- If BLOCKING_REVIEW is true and any 🚨 or 🔒 issues were posted: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Otherwise: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Always set CRITICAL_ISSUES_FOUND at the end

Добавь шаг проверки блокировкиЗатем добавь этот новый шаг сразу после шага code review:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Начать

Безголовый

Справочник

Code Review

Настройка аутентификации

Настрой разрешения агента

Собери рабочий процесс GitHub Actions

Настрой триггер рабочего процесса

Проверь репозиторий

Установи Cursor CLI

Настройка агента рецензирования

Протестируй своего ревьюера

Следующие шаги

Начать

Безголовый

Справочник

​Настройка аутентификации

​Настрой разрешения агента

​Собери рабочий процесс GitHub Actions

​Настрой триггер рабочего процесса

​Проверь репозиторий

​Установи Cursor CLI

​Настройка агента рецензирования

​Протестируй своего ревьюера

​Следующие шаги

Настройка аутентификации

Настрой разрешения агента

Собери рабочий процесс GitHub Actions

Настрой триггер рабочего процесса

Проверь репозиторий

Установи Cursor CLI

Настройка агента рецензирования

Протестируй своего ревьюера

Следующие шаги