Inteligencia Artificial

Code Reviews con IA en GitHub Actions

Echo Code

Automatiza revisiones de código en GitHub Actions usando LLMs. Detecta vulnerabilidades y smells en tus PRs antes de la revisión manual.

Octocat, la mascota de GitHub.

AD PLACEHOLDER

El Cuello de Botella Actual#

Las revisiones de código manuales representan frecuentemente el cuello de botella más severo en los ciclos de despliegue continuo. Los ingenieros de software senior destinan un volumen crítico de horas semanales analizando Pull Requests (PRs) para identificar code smells rudimentarios, convenciones de nomenclatura deficientes, mutaciones de estado peligrosas o posibles vectores de inyección. Este trabajo empírico, aunque estrictamente necesario, drena la carga cognitiva del equipo, la cual debería estar reservada para debatir decisiones arquitectónicas, escalar sistemas y validar los requerimientos de negocio.

La solución pragmática contemporánea no es reducir la fricción eludiendo las revisiones, sino automatizar la primera capa de escaneo de código mediante inferencia neuronal. En este artículo, desarrollaremos un pipeline de CI/CD nativo utilizando GitHub Actions que se encarga de interceptar un Pull Request, extraer los diffs de los archivos modificados, enviarlos a una API de Inteligencia Artificial veloz y de bajo coste (utilizaremos Gemini Flash por su masiva ventana de contexto y latencia de milisegundos), y publicar los hallazgos directamente en el PR como comentarios detallados, de forma asíncrona, antes de que un humano interactúe con el código.

Análisis Estático (SAST) vs. LLMs: Por qué necesitas ambos#

El primer argumento contra este enfoque suele ser: “¿Por qué no integrar simplemente SonarQube, ESLint o Ruff en el pipeline?”.

Las herramientas de Análisis Estático de Seguridad de Código (SAST) y los linters son infraestructuras deterministas formidables. Buscan patrones conocidos a través de árboles de sintaxis abstracta (AST) y son infalibles en su dominio. Sin embargo, fallan estrepitosamente al intentar evaluar la lógica de negocio, el contexto arquitectónico de una aplicación, o al deducir el intent (la intención real) del desarrollador.

Un linter te alertará de que olvidaste usar una constante de solo lectura; un LLM te advertirá que tu middleware de autenticación JWT no está verificando criptográficamente el emisor del token según las dependencias declaradas en el proyecto.

La integración de la IA no reemplaza tu ecosistema actual de linters. Se posiciona como una capa complementaria, un agente de nivel medio que persigue vulnerabilidades lógicas complejas, fugas de memoria en operaciones asíncronas anidadas y arquitecturas que, aunque sintácticamente correctas, violan los principios SOLID.

Arquitectura del Pipeline Automatizado#

Nuestro sistema operará bajo una arquitectura estrictamente conducida por eventos (event-driven). El ciclo de vida de la ejecución se resume en los siguientes estados:

  1. Trigger: Un desarrollador abre, reabre o empuja nuevos commits a un Pull Request.
  2. Checkout & Fetch: GitHub Actions instancia un runner, clona el repositorio de manera profunda (deep clone) para retener el historial de git.
  3. Diff Extraction: Se ejecuta un comando git diff quirúrgico para aislar únicamente el código fuente modificado, excluyendo binarios y archivos autogenerados.
  4. LLM Invocation: Un script intermedio en Python construye un prompt empaquetando el diff y lo transmite a la API de Gemini Flash.
  5. Feedback Loop: La IA procesa el contexto y retorna un reporte en formato Markdown.
  6. PR Comment: El mismo script en Python asume el rol de cliente HTTP, invocando la REST API de GitHub para insertar el análisis como un comentario visible en la línea de tiempo del PR.

Paso 1: Extracción Inteligente del Diff#

La extracción de un diff preciso en entornos de integración continua es un proceso propenso a errores. Por defecto, la acción actions/checkout@v4 realiza un clon superficial (profundidad de 1) para ahorrar tiempo. Para comparar dos ramas (la rama funcional contra main), requerimos el historial completo del árbol git.

- name: Checkout repository
  uses: actions/checkout@v4
  with:
    fetch-depth: 0 # Mandatorio para habilitar la comparación entre ramas

Una vez que el runner dispone de los commits, el objetivo no es enviar todo el repositorio al LLM, sino estrictamente el parche unificado que representa el esfuerzo del desarrollador. Además, la transferencia de código debe ser eficiente. Enviar el volcado de un package-lock.json o un mapa de dependencias es un desperdicio absoluto de tokens y degradará la calidad de atención de la IA.

Utilizamos un comando de Bash apoyado en especificadores de ruta (pathspecs) excluyentes (:!) para depurar la salida:

Terminal window
git diff origin/${{ github.base_ref }}...origin/${{ github.head_ref }} -- \
  ':!*.lock' ':!*-lock.json' ':!*.csv' ':!*.svg' ':!*.png' > pr_diff.txt

Este bloque asegura que el archivo resultante, pr_diff.txt, contiene puramente código humano y procesable.

Paso 2: El Motor de Análisis (Script en Python)#

El núcleo lógico de nuestra integración reside en un script en Python independiente de la plataforma. Este diseño desacoplado nos permite realizar pruebas locales antes de desplegarlo en la nube de GitHub.

Elegir Python frente a un script de Bash es una decisión fundamentada en la robustez necesaria para manipular estructuras JSON y la tolerancia a errores de red inherente a la librería requests.

La ingeniería del prompt (Prompt Engineering) en esta fase dicta el éxito de la herramienta. Debemos acorralar a la IA imponiendo tres restricciones absolutas:

  1. El Rol: Ingeniero Principal de Seguridad y Arquitectura.
  2. El Foco: Ignorar el estilo de código visual (eso lo hace el linter) y enfocarse en code smells lógicos, inyección de dependencias y vulnerabilidades OWASP.
  3. El Formato: Retornar Markdown crudo, preferiblemente estructurado en una tabla, y emitir una bandera de salida ([CLEAN]) si el código es impecable, para evitar generar comentarios vacíos.

Crea un archivo llamado ai_reviewer.py en la raíz de tu proyecto (o dentro del directorio .github/scripts/):

import os
import sys
import requests
import json


def get_diff_content(filepath):
    try:
        with open(filepath, 'r', encoding='utf-8') as file:
            return file.read()
    except Exception as e:
        print(f"Error al leer el diff: {e}")
        sys.exit(1)


def analyze_diff_with_llm(diff_text):
    api_key = os.environ.get("GEMINI_API_KEY")
    if not api_key:
         print("Error: GEMINI_API_KEY no encontrada.")
         sys.exit(1)


    url = f"[https://generativelanguage.googleapis.com/v1beta/models/gemini-1.5-flash:generateContent?key=](https://generativelanguage.googleapis.com/v1beta/models/gemini-1.5-flash:generateContent?key=){api_key}"


    system_prompt = """
    Actúa como un Ingeniero de Software Senior y Experto en Seguridad.
    A continuación se presenta un diff de un Pull Request de Git.
    Tu objetivo es revisar este código buscando de forma estricta:
    1. Vulnerabilidades de seguridad críticas (inyecciones, exposición de datos, fallas de autenticación).
    2. Code smells severos y violaciones de lógica de negocio o patrones de diseño.
    3. Posibles condiciones de carrera o fugas de memoria.


    Reglas de salida:
    - NO opines sobre el formato, espaciado, comillas o estilo visual. Para eso existe un linter.
    - NO felicites al usuario. Sé directo y técnico.
    - Si el código no presenta problemas graves, tu respuesta DEBE ser EXCLUSIVAMENTE la palabra: [CLEAN].
    - Si hay problemas, responde estrictamente en formato Markdown usando una tabla con las columnas: | Archivo/Línea | Severidad | Descripción | Recomendación |.
    """


    payload = {
        "contents": [{
            "parts": [{"text": f"{system_prompt}\n\nCódigo Diff:\n{diff_text}"}]
        }]
    }


    response = requests.post(
        url,
        headers={"Content-Type": "application/json"},
        json=payload
    )


    if response.status_code != 200:
        print(f"Error de la API de IA: {response.text}")
        sys.exit(1)


    result = response.json()
    try:
        return result['candidates'][0]['content']['parts'][0]['text'].strip()
    except KeyError:
        print("Respuesta de IA inesperada.")
        sys.exit(1)


def post_comment_to_github(markdown_body):
    if "[CLEAN]" in markdown_body:
        print("El código ha pasado la revisión estática de IA. No hay alertas críticas.")
        return


    github_token = os.environ.get("GITHUB_TOKEN")
    repo = os.environ.get("GITHUB_REPOSITORY")
    pr_number = os.environ.get("PR_NUMBER")


    url = f"[https://api.github.com/repos/](https://api.github.com/repos/){repo}/issues/{pr_number}/comments"


    headers = {
        "Authorization": f"token {github_token}",
        "Accept": "application/vnd.github.v3+json"
    }


    final_body = f"### 🤖 Análisis de IA Automatizado (Gemini Flash)\n\n{markdown_body}"
    payload = {"body": final_body}


    response = requests.post(url, headers=headers, json=payload)
    if response.status_code == 201:
        print("Comentario insertado exitosamente en el PR.")
    else:
        print(f"Fallo al insertar comentario en GitHub: {response.status_code} - {response.text}")
        sys.exit(1)


if __name__ == "__main__":
    diff_file_path = "pr_diff.txt"
    if not os.path.exists(diff_file_path):
        print("No se encontró el archivo de diff.")
        sys.exit(0)


    diff_data = get_diff_content(diff_file_path)


    # Prevenir envíos masivos (ej. diff de más de 1MB)
    if len(diff_data) > 1000000:
        print("El Diff es demasiado grande para ser procesado eficientemente.")
        sys.exit(0)


    if len(diff_data.strip()) == 0:
         print("El Diff está vacío.")
         sys.exit(0)


    ai_feedback = analyze_diff_with_llm(diff_data)
    post_comment_to_github(ai_feedback)

En este bloque estamos utilizando el endpoint REST nativo de GitHub para inyectar comentarios. Históricamente, en el modelo de datos de GitHub, un Pull Request no es más que un “Issue” con código adjunto, razón por la cual la ruta de la API apunta a /issues/{pr_number}/comments.

Paso 3: Orquestación mediante YAML en GitHub Actions#

Con nuestro script de análisis preparado, ensamblaremos el motor de orquestación. Es imperativo comprender el modelo de permisos y delegación de GitHub Actions. Por seguridad, el token predeterminado (GITHUB_TOKEN) que provee el runner no posee privilegios de escritura en un Pull Request a menos que se declaren explícitamente en el manifiesto.

Crea el archivo .github/workflows/ai-code-review.yml:

name: "AI Code Review"


on:
  pull_request:
    types: [opened, synchronize] # 'synchronize' captura los nuevos commits en un PR existente


permissions:
  contents: read
  pull-requests: write # Crítico para permitir la inserción del comentario en la interfaz


jobs:
  review:
    runs-on: ubuntu-latest
    steps:
      - name: 📥 Clonar Repositorio
        uses: actions/checkout@v4
        with:
          fetch-depth: 0


      - name: ⚙️ Configurar Entorno Python
        uses: actions/setup-python@v5
        with:
          python-version: '3.11'
          cache: 'pip'


      - name: 📦 Instalar Dependencias
        run: pip install requests


      - name: 🔍 Generar y Extraer Diff del PR
        run: |
          git diff origin/${{ github.base_ref }}...origin/${{ github.head_ref }} -- \
            ':!*.lock' ':!*-lock.json' ':!*.csv' ':!*.svg' ':!*.png' > pr_diff.txt


      - name: 🤖 Ejecutar Analizador de IA
        env:
          GEMINI_API_KEY: ${{ secrets.GEMINI_API_KEY }}
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
          GITHUB_REPOSITORY: ${{ github.repository }}
          PR_NUMBER: ${{ github.event.pull_request.number }}
        run: python .github/scripts/ai_reviewer.py

Consideraciones para Producción: Alucinaciones y Fallos Suaves#

Implementar inteligencia artificial sobre la vía principal del ciclo de despliegue exige incorporar salvaguardas arquitectónicas. La principal regla operativa que debes adoptar es el Fall-back Silencioso o “Fallo Suave” (Soft Fail).

Nunca debes permitir que el script de IA actúe como un bloqueador estricto para la operación de hacer Merge del código. Los modelos de lenguaje masivos, independientemente de la agresividad en el prompt tuning, son susceptibles a “alucinaciones” (fabricación de hechos). Si el LLM malinterpreta una estructura de datos y clasifica erróneamente un método válido como una inyección de SQL, la emisión de un código de error de sistema (exit 1) en el pipeline detendrá completamente la entrega de valor de tu equipo de producto, causando fricción organizativa severa.

El objetivo del LLM es actuar como un asesor asíncrono, publicando advertencias visibles que el equipo técnico debe depurar humanamente. Observarás en el script de Python que las validaciones como el control de tamaño del PR (len(diff_data) > 1000000) provocan una terminación neutral con sys.exit(0). Este diseño es deliberado: si el PR es cómicamente extenso y colapsaría el procesamiento del LLM, el pipeline termina en estado “Verde” (Exitoso), saltando graciosamente el escaneo pero permitiendo que prosigan las pruebas unitarias y los despliegues.

Conclusión#

Desplegar revisiones de código asistidas por IA altera drásticamente la dinámica del trabajo diario. No exime a los ingenieros de su responsabilidad por la calidad del software, pero les proporciona un par de ojos infatigables que auditan minuciosamente en fracciones de segundo.

Al desplazar el peso táctico de identificar code smells rudimentarios, bucles infinitos no evidentes y exposiciones de seguridad comunes hacia una GitHub Action motorizada por Gemini Flash, desbloqueas ciclos de entrega altamente optimizados. Ajusta el prompt maestro para que imite y respete las guías de estilo internas de tu empresa, configura los secrets correctamente en tu repositorio, y deja que la automatización asuma la sobrecarga de la primera iteración.