Cursor – Code Review

이 튜토리얼은 GitHub Actions에서 Cursor CLI로 코드 리뷰를 설정하는 방법을 보여줘. 이 워크플로는 pull request를 분석하고, 문제를 찾아내며, 댓글로 피드백을 남겨.

대부분의 사용자에겐 Bugbot을 쓰길 추천해. Bugbot은 설정 없이 관리형 자동 코드 리뷰를 제공해. 이 CLI 방식은 기능을 탐색하거나 고급 커스터마이즈에 유용해.

Show full workflow file

cursor-code-review.yml

name: 코드 리뷰

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

permissions:
  pull-requests: write
  contents: read
  issues: write

jobs:
  code-review:
    runs-on: ubuntu-latest
    # 드래프트 PR은 자동 코드 리뷰 건너뛰기
    if: github.event.pull_request.draft == false
    steps:
      - name: 리포지토리 체크아웃
        uses: actions/checkout@v4
        with:
          fetch-depth: 0
          ref: ${{ github.event.pull_request.head.sha }}

      - name: Cursor CLI 설치
        run: |
          curl https://cursor.com/install -fsS | bash
          echo "$HOME/.cursor/bin" >> $GITHUB_PATH

      - name: Git 사용자 정보 설정
        run: |
          git config user.name "Cursor Agent"
          git config user.email "cursoragent@cursor.com"

      - name: 자동 코드 리뷰 실행
        env:
          CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
          MODEL: gpt-5
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          BLOCKING_REVIEW: ${{ vars.BLOCKING_REVIEW || 'false' }}
        run: |
          cursor-agent --force --model "$MODEL" --output-format=text --print '넌 GitHub Actions 러너에서 자동 코드 리뷰를 수행 중이야. gh CLI는 사용 가능하고 GH_TOKEN으로 인증돼 있어. PR에 코멘트를 남길 수 있어.

          컨텍스트:
          - 리포지토리: ${{ github.repository }}
          - PR 번호: ${{ github.event.pull_request.number }}
          - PR 헤드 SHA: ${{ github.event.pull_request.head.sha }}
          - PR 베이스 SHA: ${{ github.event.pull_request.base.sha }}
          - 차단 리뷰: ${{ env.BLOCKING_REVIEW }}

          목표:
          1) 기존 리뷰 코멘트를 다시 확인하고 해결된 경우 resolved로 답장해.
          2) 현재 PR diff를 리뷰하고 명확하고 심각도가 높은 이슈만 표시해.
          3) 변경된 라인에만 아주 짧은 인라인 코멘트(1~2문장)를 달고, 마지막에 간단한 요약을 남겨.

          절차:
          - 기존 코멘트 가져오기: gh pr view --json comments
          - diff 가져오기: gh pr diff
          - 인라인 위치 계산을 위한 패치 포함 변경 파일 가져오기: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/files --paginate --jq '.[] | {filename,patch}'
          - 각 이슈에 대한 정확한 인라인 앵커 계산(파일 경로 + diff 위치). 코멘트는 반드시 변경된 라인의 diff에 인라인으로 달고, 최상위 코멘트로 달지 마.
          - 이 봇이 작성한 이전 최상위 "no issues" 스타일 코멘트를 감지해(본문 예: "✅ no issues", "No issues found", "LGTM").
          - 이번 실행에서 이슈가 발견되고 이전 "no issues" 코멘트가 있으면:
            - 혼선을 피하기 위해 삭제를 우선해:
              - 최상위 이슈 코멘트 삭제 시도: gh api -X DELETE repos/${{ github.repository }}/issues/comments/<comment_id>
              - 삭제가 불가능하면 GraphQL(minimizeComment)로 최소화하거나 "[Superseded by new findings]"를 접두어로 붙여 편집해.
            - 삭제와 최소화가 모두 불가능하면 해당 코멘트에 답장: "⚠️ 대체됨: 최신 커밋에서 이슈가 발견됨".
          - 이전에 보고된 이슈가 인근 변경으로 해결된 것으로 보이면 답장: ✅ 이 이슈는 최근 변경으로 해결된 것으로 보임
          - 다음만 분석:
            - null/undefined 역참조
            - 리소스 누수(닫히지 않은 파일 또는 연결)
            - 인젝션(SQL/XSS)
            - 동시성/경쟁 조건
            - 중요 작업에 대한 누락된 오류 처리
            - 잘못된 동작을 유발하는 명백한 논리 오류
            - 측정 가능한 영향이 있는 명확한 성능 안티패턴
            - 명확한 보안 취약점
          - 중복 방지: 같은 라인 또는 인근에 유사한 피드백이 이미 있으면 건너뛰어.

          코멘트 규칙:
          - 인라인 코멘트는 최대 10개; 가장 중요한 이슈를 우선해
          - 코멘트 하나당 하나의 이슈; 정확히 변경된 라인에 배치
          - 모든 이슈 코멘트는 반드시 인라인이어야 함(PR diff의 파일과 라인/위치에 앵커링)
          - 자연스러운 톤으로, 구체적이고 실행 가능하게; 자동화 여부나 확신도는 언급하지 마
          - 이모지 사용: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement

          제출:
          - 보고할 문제가 없고 "문제 없음"을 나타내는 기존 최상위 댓글이 이미 있는 경우(예: "✅ no issues", "No issues found", "LGTM"), 새로운 댓글을 달지 마. 중복을 피하기 위해 제출을 건너뛰어.
          - 보고할 문제가 없고 기존의 "문제 없음" 댓글도 없다면, 문제 없음을 알리는 짧은 요약 댓글 하나만 남겨.
          - 보고할 문제가 있고 이전에 "문제 없음" 댓글이 있다면, 새 리뷰를 제출하기 전에 해당 댓글이 삭제/축소/대체됨으로 표시되었는지 확인해.
          - 보고할 문제가 있는 경우, 인라인 댓글만 포함한 리뷰 하나와 필요 시 간결한 요약 본문만 제출해. 인라인 댓글로 등록되도록 GitHub Reviews API를 사용해:
            - 다음과 같은 댓글 JSON 배열을 생성해: [{ "path": "<file>", "position": <diff_position>, "body": "..." }]
            - 다음으로 제출: gh api repos/${{ github.repository }}/pulls/${{ github.event.pull_request.number }}/reviews -f event=COMMENT -f body="$SUMMARY" -f comments='[$COMMENTS_JSON]'
          - 사용하지 마: gh pr review --approve 또는 --request-changes

          차단 동작:
          - BLOCKING_REVIEW가 true이고 🚨 또는 🔒 이슈가 게시된 경우: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
          - 그렇지 않다면: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
          - 항상 마지막에 CRITICAL_ISSUES_FOUND를 설정해
          '

      - name: 차단 리뷰 결과 확인
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "치명적 이슈가 있는지 확인하는 중..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ 치명적 이슈가 발견되었고 차단 리뷰가 활성화되어 있어. 워크플로를 실패 처리할게."
            exit 1
          else
            echo "✅ 차단되는 이슈가 없어."
          fi

인증 구성

GitHub Actions에서 Cursor CLI를 인증하려면 API 키와 리포지토리 시크릿을 설정해.

에이전트 권한 설정

에이전트가 할 수 있는 작업을 제어하는 설정 파일을 만들어. 이렇게 하면 코드 푸시나 풀 리퀘스트 생성 같은 의도치 않은 작업을 막을 수 있어. 리포지토리 루트에 .cursor/cli.json을 만들어:

{
  "permissions": {
    "deny": [
      "Shell(git push)",
      "Shell(gh pr create)",
      "Write(**)"
    ]
  }
}

이 설정은 에이전트가 파일을 읽고 GitHub CLI로 댓글을 남길 순 있지만, 리포지토리에 변경을 가하는 건 막아. 더 많은 설정 옵션은 permissions reference를 확인해.

GitHub Actions 워크플로우 빌드하기

이제 워크플로우를 단계별로 만들어 보자.

워크플로우 트리거 설정

.github/workflows/cursor-code-review.yml을 만들고 pull request에서 실행되도록 설정해:

name: Cursor Code Review

on:
  pull_request:
    types: [opened, synchronize, reopened, ready_for_review]

jobs:
  code-review:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      pull-requests: write
    
    steps:

리포지토리 체크아웃

pull request 코드를 가져오려면 체크아웃 단계를 추가해:

- name: Checkout repository
  uses: actions/checkout@v4
  with:
    fetch-depth: 0
    ref: ${{ github.event.pull_request.head.sha }}

Cursor CLI 설치

CLI 설치 단계를 추가해:

- name: Install Cursor CLI
  run: |
    curl https://cursor.com/install -fsS | bash
    echo "$HOME/.cursor/bin" >> $GITHUB_PATH

리뷰 에이전트 구성

전체 리뷰 단계를 구현하기 전에, 리뷰 프롬프트의 구성 요소를 이해하자. 이 섹션은 에이전트가 어떻게 동작하길 원하는지 설명해: Objective: 에이전트가 현재 PR diff를 검토하고 명확하고 심각도가 높은 이슈만 표시한 다음, 변경된 라인에만 매우 짧은 인라인 코멘트(1~2문장)를 남기고 마지막에 간단한 요약을 남기길 원해. 이렇게 하면 신호 대 잡음 비율을 적절히 유지할 수 있어. Format: 코멘트는 짧고 핵심만 담아야 해. 코멘트를 빠르게 스캔할 수 있도록 이모지를 사용하고, 마지막에 전체 리뷰에 대한 하이레벨 요약이 있으면 좋아. Submission: 리뷰가 끝나면, 리뷰 중 발견한 내용을 바탕으로 짧은 코멘트를 포함해 줘. 에이전트는 인라인 코멘트와 간결한 요약을 포함하는 하나의 리뷰만 제출해야 해. Edge cases: 다음 상황을 처리해야 해:

기존 코멘트가 해결됨: 해결된 경우 에이전트가 완료로 표시해야 함
중복 방지: 동일하거나 유사한 피드백이 같은 줄 또는 인근 줄에 이미 있으면 코멘트를 남기지 말아야 함

Final prompt: 완전한 프롬프트는 이러한 모든 동작 요구사항을 결합해 집중적이고 실행 가능한 피드백을 만들어 이제 리뷰 에이전트 단계를 구현해 보자:

- name: Perform code review
  env:
    CURSOR_API_KEY: ${{ secrets.CURSOR_API_KEY }}
    GH_TOKEN: ${{ github.token }}
  run: |
    cursor-agent --force --model "$MODEL" --output-format=text --print "You are operating in a GitHub Actions runner performing automated code review. The gh CLI is available and authenticated via GH_TOKEN. You may comment on pull requests.
    
    Context:
    - Repo: ${{ github.repository }}
    - PR Number: ${{ github.event.pull_request.number }}
    - PR Head SHA: ${{ github.event.pull_request.head.sha }}
    - PR Base SHA: ${{ github.event.pull_request.base.sha }}
    
    Objectives:
    1) Re-check existing review comments and reply resolved when addressed
    2) Review the current PR diff and flag only clear, high-severity issues
    3) Leave very short inline comments (1-2 sentences) on changed lines only and a brief summary at the end
    
    Procedure:
    - Get existing comments: gh pr view --json comments
    - Get diff: gh pr diff
    - If a previously reported issue appears fixed by nearby changes, reply: ✅ This issue appears to be resolved by the recent changes
    - Avoid duplicates: skip if similar feedback already exists on or near the same lines
    
    Commenting rules:
    - Max 10 inline comments total; prioritize the most critical issues
    - One issue per comment; place on the exact changed line
    - Natural tone, specific and actionable; do not mention automated or high-confidence
    - Use emojis: 🚨 Critical 🔒 Security ⚡ Performance ⚠️ Logic ✅ Resolved ✨ Improvement
    
    Submission:
    - Submit one review containing inline comments plus a concise summary
    - Use only: gh pr review --comment
    - Do not use: gh pr review --approve or --request-changes"

.
├── .cursor/
│   └── cli.json
├── .github/
│   └── workflows/
│       └── cursor-code-review.yml

리뷰어를 테스트해봐

워크플로가 제대로 돌아가고 에이전트가 이모지 피드백과 함께 리뷰 댓글을 남기는지 확인하려면 테스트 풀 리퀘스트를 만들어봐.

특정 줄에 대한 이모지와 인라인 피드백이 포함된 자동 리뷰 댓글을 보여주는 풀 리퀘스트

다음 단계

이제 자동화된 코드 리뷰 시스템이 잘 돌아가. 다음 개선을 고려해봐:

CI 실패 수정을 위한 추가 워크플로 설정
브랜치별로 서로 다른 리뷰 레벨 구성
팀의 기존 코드 리뷰 프로세스와 통합
파일 유형이나 디렉터리별로 에이전트 동작 사용자화

Show 고급: 머지 차단 리뷰

치명적인 이슈가 발견되면 워크플로를 실패로 처리해, 해결 전까지 pull request가 머지되지 않게 할 수 있어.프롬프트에 차단 동작 추가먼저, 리뷰 에이전트 단계에 BLOCKING_REVIEW 환경 변수를 포함하고 이 차단 동작을 프롬프트에 추가해:

Blocking behavior:
- If BLOCKING_REVIEW is true and any 🚨 or 🔒 issues were posted: echo "CRITICAL_ISSUES_FOUND=true" >> $GITHUB_ENV
- Otherwise: echo "CRITICAL_ISSUES_FOUND=false" >> $GITHUB_ENV
- Always set CRITICAL_ISSUES_FOUND at the end

차단 체크 단계 추가그다음 코드 리뷰 단계 뒤에 이 새 단계를 추가해:

      - name: Check blocking review results
        if: env.BLOCKING_REVIEW == 'true'
        run: |
          echo "Checking for critical issues..."
          echo "CRITICAL_ISSUES_FOUND: ${CRITICAL_ISSUES_FOUND:-unset}"

          if [ "${CRITICAL_ISSUES_FOUND:-false}" = "true" ]; then
            echo "❌ Critical issues found and blocking review is enabled. Failing the workflow."
            exit 1
          else
            echo "✅ No blocking issues found."
          fi

시작하기

헤드리스

참조

Code Review

인증 구성

에이전트 권한 설정

GitHub Actions 워크플로우 빌드하기

워크플로우 트리거 설정

리포지토리 체크아웃

Cursor CLI 설치

리뷰 에이전트 구성

리뷰어를 테스트해봐

다음 단계

시작하기

헤드리스

참조

​인증 구성

​에이전트 권한 설정

​GitHub Actions 워크플로우 빌드하기

​워크플로우 트리거 설정

​리포지토리 체크아웃

​Cursor CLI 설치

​리뷰 에이전트 구성

​리뷰어를 테스트해봐

​다음 단계

인증 구성

에이전트 권한 설정

GitHub Actions 워크플로우 빌드하기

워크플로우 트리거 설정

리포지토리 체크아웃

Cursor CLI 설치

리뷰 에이전트 구성

리뷰어를 테스트해봐

다음 단계