Mengganti review PR berbayar CodeRabbit secara gratis dengan GitHub Actions + Gemma

Saya membuat proyek open source bernama GemmaCI.

Singkatnya, ini adalah proyek untuk menjalankan AI reviewer PR seperti CodeRabbit secara gratis di dalam GitHub Actions.

CodeRabbit adalah alat yang bagus, tetapi jika ingin memakai PR review secara serius di private repo, diperlukan paket berbayar. Berdasarkan dokumentasi resmi, paket Free berfokus pada PR summarization, sedangkan PR review tersedia mulai paket Pro. Pro harganya $24/mo/user untuk pembayaran tahunan, atau $30/mo/user untuk pembayaran bulanan.

Karena itu, saya membuatnya dengan pemikiran, “Apakah pengalaman inti CodeRabbit bisa digantikan secara gratis untuk tim kecil, proyek mahasiswa, dan side project pribadi?”

GemmaCI menjalankan model Ollama + Gemma di GitHub Actions untuk me-review PR diff.

Fitur yang saat ini tersedia adalah sebagai berikut.

• membuat komentar ringkasan PR
• menulis komentar review inline pada baris yang berubah
• menggagalkan CI check saat menemukan temuan high / critical
• menampilkan review berbasis evidence, confidence, dan recommendation
• mengurangi biaya cold start dengan cache Ollama / model
• cukup menambahkan satu file workflow untuk digunakan
• model keamanan yang memperlakukan PR diff, model output, dan artifact semuanya sebagai untrusted data

Bagian yang paling saya prioritaskan adalah “gratis” dan “keamanan”.

Bukan sekadar melempar diff ke LLM lalu menyuruhnya menulis komentar, tetapi output model divalidasi dengan schema, dan hanya temuan yang benar-benar memiliki dasar pada changed line yang dipublikasikan.

Selain itu, secara default tidak menggunakan pull_request_target. Ini untuk menghindari risiko workflow atau script yang diubah oleh pembuat PR dijalankan dengan izin write. Pada tahap publish pun, hanya trusted base branch code yang dijalankan, dan artifact serta model output divalidasi ulang.

Saya sudah memverifikasinya dengan membuka smoke PR di runner GitHub Actions yang sebenarnya.

Item yang tervalidasi:

• menjalankan workflow di GitHub-hosted runner
• memasang Ollama dan menjalankan job review model Gemma
• mem-posting komentar ringkasan PR
• mem-posting komentar inline pada baris yang berubah
• menggagalkan check saat mendeteksi temuan dengan severity high

Pada PR pengujian, saya sengaja menambahkan fungsi unsafeDivide, dan GemmaCI menangkap “tidak ada validasi pembagian dengan 0” sebagai temuan high severity lalu meninggalkan komentar inline.

Ini masih belum berada pada tingkat yang sepenuhnya menggantikan CodeRabbit secara 1:1. Jangan mengharapkan kualitas atau fitur integrasi setara SaaS reviewer yang memakai model besar.

Namun, tujuannya jelas.

“Bahkan pada repo kecil yang terasa tanggung untuk bayar, mari kita pasang AI PR review gratis hanya dengan satu file workflow.”

GitHub:
https://github.com/bssm-oss/gemmaci

Feedback, issue, dan PR sangat diterima.