Cursor – Revue de code

Ce tutoriel te montre comment configurer la revue de code avec Cursor CLI dans GitHub Actions. Le workflow analysera les pull requests, identifiera les problèmes et publiera des commentaires.

Pour la plupart des utilisateurs, on recommande d’utiliser plutôt Bugbot. Bugbot fournit une revue de code automatisée gérée, sans configuration requise. Cette approche via la CLI est utile pour explorer les capacités et pour des personnalisations avancées.

Show full workflow file

cursor-code-review.yml

name: Revue de code

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # Ignorer la revue de code automatique pour les PR en brouillon
    if: github.event.pull_request.draft == false
    steps:
      - name: Cloner le dépôt
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Installer la CLI Cursor
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Configurer l’identité Git
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: Lancer la revue de code automatique
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print 'Tu opères dans un runner GitHub Actions effectuant une revue de code automatique. La CLI gh est disponible et authentifiée via GH_TOKEN. Tu peux commenter les pull requests.

          Contexte :
          - Dépôt : ${{ github.repository }}
          - Numéro de PR : ${{ github.event.pull_request.number }}
          - SHA de tête de PR : ${{ github.event.pull_request.head.sha }}
          - SHA de base de PR : ${{ github.event.pull_request.base.sha }}
          - Revue bloquante : ${{ env.BLOCKING_REVIEW }}

          Objectifs :
          1) Revérifier les commentaires de revue existants et répondre « résolu » lorsqu’ils ont été traités.
          2) Examiner le diff actuel de la PR et signaler uniquement les problèmes clairs et de haute gravité.
          3) Laisser des commentaires en ligne très courts (1–2 phrases) uniquement sur les lignes modifiées, plus un bref résumé à la fin.

          Procédure :
          - Récupérer les commentaires existants : gh pr view --json comments
          - Récupérer le diff : gh pr diff
          - Récupérer les fichiers modifiés avec leurs patches pour calculer les positions en ligne : gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - Calculer des ancres en ligne exactes pour chaque problème (chemin de fichier + position dans le diff). Les commentaires DOIVENT être placés en ligne sur la ligne modifiée du diff, pas en commentaires de niveau supérieur.
          - Détecter les précédents commentaires de niveau supérieur de type « aucun problème » rédigés par ce bot (corps correspondant à : "✅ no issues", "No issues found", "LGTM").
          - Si l’exécution ACTUELLE trouve des problèmes et que des commentaires « aucun problème » antérieurs existent :
            - Préférer les supprimer pour éviter toute confusion :
              - Essayer de supprimer les commentaires de niveau supérieur via : gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - Si la suppression n’est pas possible, les minimiser via GraphQL (minimizeComment) ou les modifier pour préfixer « [Superseded by new findings] ».
            - Si ni la suppression ni la minimisation n’est possible, répondre à ce commentaire : "⚠️ Superseded: issues were found in newer commits".
          - Si un problème précédemment signalé semble corrigé par des changements proches, répondre : ✅ Ce problème semble être résolu par les changements récents
          - Analyser UNIQUEMENT :
            - Déréférencements de null/undefined
            - Fuites de ressources (fichiers ou connexions non fermés)
            - Injections (SQL/XSS)
            - Concurrence/conditions de course
            - Absence de gestion d’erreurs pour des opérations critiques
            - Erreurs logiques évidentes avec comportement incorrect
            - Anti‑patterns de performance clairs avec impact mesurable
            - Vulnérabilités de sécurité avérées
          - Éviter les doublons : ignorer si un retour similaire existe déjà sur ou près des mêmes lignes.

          Règles de commentaire :
          - Maximum 10 commentaires en ligne au total ; prioriser les problèmes les plus critiques
          - Un problème par commentaire ; placer sur la ligne modifiée exacte
          - Tous les commentaires de problème DOIVENT être en ligne (ancrés à un fichier et à une ligne/position dans le diff de la PR)
          - Ton naturel, spécifique et actionnable ; ne mentionne pas qu’il s’agit d’automatisation ou de forte confiance
          - Utiliser des émojis : 🚨 Critique 🔒 Sécurité ⚡ Performance ⚠️ Logique ✅ Résolu ✨ Amélioration

          Soumission :
          - S’il n’y a AUCUN problème à signaler et qu’un commentaire de niveau supérieur indiquant « aucun problème » existe déjà (p. ex. « ✅ aucun problème », « Aucun problème trouvé », « LGTM »), ne publie PAS un autre commentaire. Passe la soumission pour éviter les doublons.
          - S’il n’y a AUCUN problème à signaler et qu’aucun commentaire « aucun problème » antérieur n’existe, publie un bref commentaire récapitulatif indiquant qu’il n’y a aucun problème.
          - S’il Y A des problèmes à signaler et qu’un commentaire « aucun problème » antérieur existe, assure-toi que ce commentaire est supprimé/réduit/marqué comme remplacé avant de soumettre la nouvelle revue.
          - S’il Y A des problèmes à signaler, soumets UNE revue contenant UNIQUEMENT des commentaires en ligne plus un court récapitulatif facultatif. Utilise l’API GitHub Reviews pour garantir que les commentaires sont en ligne :
            - Construis un tableau JSON de commentaires comme : [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - Envoie via : gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - N’utilise PAS : gh pr review --approve ou --request-changes

          Comportement de blocage :
          - Si BLOCKING_REVIEW est true et que des problèmes 🚨 ou 🔒 ont été signalés : echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - Sinon : echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - Définis toujours CRITICAL_ISSUES_FOUND à la fin
          '

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Revue de code automatisée en action avec des commentaires en ligne sur une pull request

Configurer l’authentification

Configure ta clé d’API et les secrets du dépôt pour authentifier Cursor CLI dans GitHub Actions.

Configurer les autorisations de l’agent

Crée un fichier de configuration pour contrôler les actions que l’agent peut effectuer. Ça évite des opérations involontaires comme pousser du code ou créer des pull requests. Crée .cursor/cli.json à la racine de ton dépôt :

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

Cette configuration permet à l’agent de lire des fichiers et d’utiliser la CLI GitHub pour les commentaires, tout en l’empêchant de modifier ton dépôt. Consulte la référence des autorisations pour plus d’options de configuration.

Créer le workflow GitHub Actions

Construisons maintenant le workflow étape par étape.

Configurer le déclencheur du workflow

Crée .github/workflows/cursor-code-review.yml et configure-le pour qu’il s’exécute sur les pull requests :

name: Cursor Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

Récupérer le dépôt

Ajoute l’étape de checkout pour accéder au code de la pull request :

- name: Checkout repository
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Installer le CLI Cursor

Ajoute l’étape d’installation du CLI :

- name: Install Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

Configurer l’agent de review

Avant d’implémenter l’étape de review complète, voyons l’anatomie de notre prompt de review. Cette section décrit le comportement attendu de l’agent : Objectif : On veut que l’agent examine le diff actuel de la PR et ne signale que les problèmes clairs et sévères, puis laisse de très courts commentaires inline (1-2 phrases) uniquement sur les lignes modifiées, avec un bref résumé à la fin. Ça maintient un bon ratio signal/bruit. Format : On veut des commentaires courts et directs. On utilise des emojis pour faciliter le scan des commentaires, et on veut un résumé de haut niveau de la review complète à la fin. Soumission : Quand la review est terminée, on veut que l’agent inclue un court commentaire basé sur ce qui a été trouvé pendant la review. L’agent doit soumettre une seule review contenant des commentaires inline plus un résumé concis. Cas limites : On doit gérer :

Commentaires existants résolus : l’agent doit les marquer comme résolus lorsqu’ils sont adressés
Éviter les doublons : l’agent doit s’abstenir de commenter si un retour similaire existe déjà sur ou près des mêmes lignes

Prompt final : Le prompt complet combine toutes ces exigences comportementales pour produire un feedback ciblé et actionnable Maintenant, implémente l’étape de l’agent de review :

- name: Perform code review
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "You are operating in a GitHub Actions runner performing automated code review. The gh CLI is available and authenticated via GH_TOKEN. You may comment on pull requests.
    
    Context:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Objectives:
    1) Re-check existing review comments and reply resolved when addressed
    2) Review the current PR diff and flag only clear, high-severity issues
    3) Leave very short inline comments (1-2 sentences) on changed lines only and a brief summary at the end
    
    Procedure:
    - Get existing comments: gh pr view --json comments
    - Get diff: gh pr diff
    - If a previously reported issue appears fixed by nearby changes, reply: ✅ This issue appears to be resolved by the recent changes
    - Avoid duplicates: skip if similar feedback already exists on or near the same lines
    
    Commenting rules:
    - Max 10 inline comments total; prioritize the most critical issues
    - One issue per comment; place on the exact changed line
    - Natural tone, specific and actionable; do not mention automated or high-confidence
    - Use emojis: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement
    
    Submission:
    - Submit one review containing inline comments plus a concise summary
    - Use only: gh pr review --comment
    - Do not use: gh pr review --approve or --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

Teste ton reviewer

Crée une pull request de test pour vérifier que le workflow fonctionne et que l’agent publie des commentaires de review avec des émojis.

Pull request affichant des commentaires de review automatisés avec des émojis et des retours en ligne sur des lignes spécifiques

Prochaines étapes

Tu as maintenant un système d’examen de code automatisé opérationnel. Pense à ces améliorations :

Mettre en place des workflows supplémentaires pour corriger les échecs CI
Configurer différents niveaux de revue selon les branches
L’intégrer au processus de revue de code existant de ton équipe
Personnaliser le comportement de l’agent selon les types de fichiers ou les répertoires

Show Avancé : revues bloquantes

Tu peux configurer le workflow pour échouer si des problèmes critiques sont détectés, empêchant la fusion de la pull request tant qu’ils ne sont pas résolus.Ajouter un comportement bloquant au promptD’abord, mets à jour l’étape de ton agent de revue pour inclure la variable d’environnement BLOCKING_REVIEW et ajoute ce comportement bloquant au prompt :

Blocking behavior:
- If BLOCKING_REVIEW is true and any 🚨 or 🔒 issues were posted: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Otherwise: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Always set CRITICAL_ISSUES_FOUND at the end

Ajouter l’étape de vérification du blocageEnsuite, ajoute cette nouvelle étape après l’étape de revue de code :

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

Commence

Sans interface

Référence

Revue de code

Configurer l’authentification

Configurer les autorisations de l’agent

Créer le workflow GitHub Actions

Configurer le déclencheur du workflow

Récupérer le dépôt

Installer le CLI Cursor

Configurer l’agent de review

Teste ton reviewer

Prochaines étapes

Commence

Sans interface

Référence

​Configurer l’authentification

​Configurer les autorisations de l’agent

​Créer le workflow GitHub Actions

​Configurer le déclencheur du workflow

​Récupérer le dépôt

​Installer le CLI Cursor

​Configurer l’agent de review

​Teste ton reviewer

​Prochaines étapes

Configurer l’authentification

Configurer les autorisations de l’agent

Créer le workflow GitHub Actions

Configurer le déclencheur du workflow

Récupérer le dépôt

Installer le CLI Cursor

Configurer l’agent de review

Teste ton reviewer

Prochaines étapes