La code review est un excellent terrain pour l'IA. Un modèle peut lire un diff, repérer des incohérences, proposer des tests manquants, signaler une gestion d'erreur fragile ou expliquer l'impact d'un changement.
Mais l'IA ne doit pas transformer la review en validation automatique. Une bonne code review reste un jugement d'ingénierie : comprendre l'intention, vérifier le comportement, évaluer le risque et décider si le changement mérite d'être fusionné.
Ce que l'IA repère bien
L'IA est utile pour détecter des problèmes fréquents :
- variable non utilisée ;
- branche non couverte ;
- erreur ignorée ;
- duplication évidente ;
- nommage incohérent ;
- test manquant ;
- comportement non documenté ;
- changement trop large ;
- risque de null ou undefined ;
- oubli de validation d'entrée.
Elle est aussi très efficace pour résumer une pull request longue. Cela aide le reviewer à entrer plus vite dans le sujet.
Ce que l'IA repère mal
L'IA peut manquer les problèmes liés au contexte produit. Elle ne sait pas toujours qu'une règle métier est critique, qu'un client dépend d'un comportement historique ou qu'un changement apparemment propre casse un usage réel.
Elle peut aussi produire des faux positifs : signaler un risque théorique sans impact réel, ou demander des abstractions inutiles.
La review IA doit donc être un filtre supplémentaire, pas un arbitre final.
Un prompt de review efficace
Relis ce diff comme un reviewer senior.
Priorise uniquement les problèmes qui peuvent provoquer :
- bug utilisateur ;
- régression ;
- faille de sécurité ;
- dette technique significative ;
- test manquant sur un comportement important.
Ignore les préférences de style mineures.
Pour chaque point, indique le fichier, la ligne concernée, le risque et une correction possible.
Ce prompt évite les commentaires décoratifs. Une review utile doit signaler ce qui compte.
Demander une revue orientée risque
Toutes les pull requests n'ont pas le même niveau de danger. Une modification CSS isolée ne mérite pas la même profondeur qu'une migration de paiement.
Tu peux demander à l'IA de classer les risques :
Classe les risques de cette pull request en trois niveaux : critique, moyen, faible.
Concentre-toi sur les changements de logique métier, sécurité, données et compatibilité.
Cette approche aide à prioriser la relecture humaine.
Utiliser l'IA avant d'ouvrir la PR
L'un des meilleurs usages consiste à demander une auto-review avant de soumettre le code.
Le développeur peut lancer :
Fais une review de mes changements avant ouverture de PR.
Cherche les bugs, les tests manquants, les fichiers modifiés par erreur et les simplifications possibles.
Cela réduit le bruit en review et évite de faire perdre du temps à l'équipe sur des oublis simples.
Sécurité : ne pas rester générique
Demander "y a-t-il une faille de sécurité ?" donne souvent une réponse vague. Il faut orienter la recherche.
Exemples :
- validation des entrées utilisateur ;
- injection SQL ;
- XSS ;
- contrôle d'accès ;
- exposition de secrets ;
- logs contenant des données sensibles ;
- permissions trop larges ;
- dépendance non maîtrisée.
Un prompt sécurité doit préciser les classes de vulnérabilités à inspecter.
Tests manquants : demander une liste actionnable
L'IA peut aider à identifier les tests absents.
Liste les comportements modifiés par cette PR qui ne semblent pas couverts par des tests.
Propose un test concret pour chaque comportement.
Ce prompt est souvent plus utile qu'une demande générale de "plus de tests".
Garder une review humaine exigeante
Même avec l'IA, le reviewer humain doit répondre à quatre questions :
- Le changement répond-il vraiment au besoin ?
- Le comportement est-il vérifiable ?
- Le code est-il cohérent avec l'architecture ?
- Le risque est-il acceptable ?
L'IA accélère la lecture, mais elle ne porte pas la responsabilité.
Conclusion
La code review assistée par IA peut améliorer la qualité si elle reste orientée bugs, sécurité, régressions et tests. Le piège est de l'utiliser comme un générateur de commentaires superficiels.
La meilleure pratique : faire une auto-review IA avant la PR, puis une review humaine augmentée. Moins de bruit, plus de risques détectés, et une équipe qui garde le contrôle.
FAQ
L'IA peut-elle approuver une pull request ?
Elle peut aider à l'analyse, mais l'approbation finale doit rester humaine, surtout sur les changements produit, sécurité ou données.
Faut-il demander une review IA sur chaque PR ?
Oui pour une première passe rapide, mais la profondeur doit dépendre du risque.
Comment éviter les faux positifs ?
Demande à l'IA de prioriser les problèmes ayant un impact réel et d'ignorer les préférences de style mineures.
Sources et lectures utiles
- GitHub Copilot documentation : Documentation officielle GitHub Copilot
- Codex : Documentation OpenAI Codex cloud
- Google contenu utile : Google Search Central : créer du contenu utile et fiable