Claude Code 가이드 #15 — PR을 올릴 때마다 팀원에게 리뷰를 요청하는 대신, Claude Code가 자동으로 코드를 검토하게 할 수 있습니다. 이 편에서는 claude review 명령어부터 GitHub Actions를 통한 PR 자동 리뷰 파이프라인, 커스텀 리뷰 규칙 설정까지 실전 기준으로 정리합니다. claude review 는 현재 브랜치의 변경 사항을 Claude Code가 분석하고 코드 품질, 보안 취약점, 스타일 위반 사항을 보고하는 명령어입니다.
Claude Code 가이드 #15 — PR을 올릴 때마다 팀원에게 리뷰를 요청하는 대신, Claude Code가 자동으로 코드를 검토하게 할 수 있습니다. 이 편에서는 claude review 명령어부터 GitHub Actions를 통한 PR 자동 리뷰 파이프라인, 커스텀 리뷰 규칙 설정까지 실전 기준으로 정리합니다.
※ 이 글은 2026년 3월 기준, Claude Code 공식 문서 (GitHub Actions) 기반으로 작성됐습니다.
claude review는 현재 브랜치의 변경 사항을 Claude Code가 분석하고 코드 품질, 보안 취약점, 스타일 위반 사항을 보고하는 명령어입니다.
로컬에서 직접 실행하면 즉시 리뷰 결과를 확인할 수 있습니다.
| 리뷰 항목 | 설명 |
|---|---|
| 코드 품질 | 중복 로직, 불필요한 복잡도, 네이밍 컨벤션 |
| 보안 | SQL 인젝션, XSS, 하드코딩된 시크릿 감지 |
| 성능 | N+1 쿼리, 불필요한 루프, 메모리 누수 패턴 |
| 테스트 | 테스트 커버리지 갭, 엣지 케이스 누락 |
| 타입 안전성 | TypeScript 타입 에러, any 사용 여부 |
로컬에서 claude review 실행# 현재 브랜치의 변경 사항 리뷰 claude review # 특정 파일만 리뷰 claude review src/auth/login.ts # 특정 커밋 범위 리뷰 claude review HEAD~3..HEAD # main 브랜치 대비 전체 diff 리뷰 claude review main..HEAD
claude review는 git diff를 기반으로 동작합니다. 스테이징되지 않은 변경 사항(untracked files)은 리뷰 대상에 포함되지 않으므로, 전체 변경 사항을 보려면 먼저 git add로 스테이징하거나 범위를 명시적으로 지정하세요.GitHub Actions 워크플로우에 Claude Code를 통합하면 PR이 열릴 때마다 자동으로 리뷰 코멘트가 달립니다. 설정은 크게 두 단계입니다.
ANTHROPIC_API_KEY를 레포 시크릿에 추가.github/workflows/claude-review.yml 생성.github/workflows/claude-review.yml — 기본 설정name: Claude Code Review on: pull_request: types: [opened, synchronize, reopened] jobs: review: runs-on: ubuntu-latest permissions: contents: read pull-requests: write steps: - name: Checkout code uses: actions/checkout@v4 with: fetch-depth: 0 - name: Setup Node.js uses: actions/setup-node@v4 with: node-version: '20' - name: Install Claude Code run: npm install -g @anthropic-ai/claude-code - name: Run Claude Review env: ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }} GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }} run: | claude review \ --base ${{ github.event.pull_request.base.sha }} \ --head ${{ github.event.pull_request.head.sha }} \ --output github-pr-comment
위 워크플로우를 추가하면 PR이 열릴 때마다 Claude Code가 변경된 파일을 분석하고, PR 코멘트로 리뷰 결과를 자동으로 달아줍니다.
권한 설정 주의: pull-requests: write 권한이 없으면 PR에 코멘트를 달 수 없습니다. 포크(fork)에서 열린 PR은 시크릿 접근 제한으로 자동 리뷰가 동작하지 않을 수 있습니다.
🎓 유데미 강의 추천
Claude Code 실전 강의 — AI 코딩을 지금 시작하세요
설치부터 자동화·에이전트 활용까지, 실무에서 바로 쓰는 Claude Code 활용법을 단계별로 배울 수 있습니다.
Claude Code의 리뷰 규칙은 프로젝트 루트의 .claude/review.json 또는 CLAUDE.md에 지정할 수 있습니다. 팀의 코딩 컨벤션, 언어별 규칙, 허용/금지 패턴을 설정합니다.
.claude/review.json — 커스텀 리뷰 규칙 예시{ "review": { "focus": ["security", "performance", "correctness"], "ignore": ["style", "formatting"], "rules": { "no-hardcoded-secrets": "error", "no-console-log": "warn", "require-error-handling": "error", "max-function-lines": 50 }, "exclude": [ "**/*.test.ts", "**/*.spec.js", "dist/**", "node_modules/**" ], "language-specific": { "typescript": { "strict-types": true, "no-any": "warn" }, "python": { "type-hints": "warn" } } } }
focus 배열에 집중할 리뷰 카테고리를 지정하면 Claude Code가 해당 영역에 집중해서 분석합니다. ignore에 지정한 카테고리는 건너뜁니다.
팀별로 자주 위반되는 패턴을 rules에 추가해두면, 반복적인 리뷰 코멘트를 자동화할 수 있습니다.
permissions.pull-requests: write가 설정돼 있는지 먼저 확인하세요. 그다음 Actions 로그에서 403 Forbidden 에러를 확인하세요. 포크 PR은 시크릿 접근 자체가 막혀 있으므로, 포크에서 온 PR은 별도 워크플로우 트리거(pull_request_target)를 사용해야 합니다.PR에 커밋이 추가될 때마다 전체 diff를 다시 리뷰하면 비용이 많이 듭니다. 증분 리뷰(incremental review)를 사용하면 마지막 리뷰 이후 변경된 부분만 분석합니다.
증분 리뷰 — synchronize 이벤트에서만 새 커밋 리뷰name: Claude Code Review (Incremental) on: pull_request: types: [opened, synchronize] jobs: review: runs-on: ubuntu-latest permissions: contents: read pull-requests: write steps: - uses: actions/checkout@v4 with: fetch-depth: 0 - name: Get changed files id: changed-files uses: tj-actions/changed-files@v44 - name: Install Claude Code run: npm install -g @anthropic-ai/claude-code - name: Run incremental review if: steps.changed-files.outputs.any_changed == 'true' env: ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }} GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }} run: | echo "${{ steps.changed-files.outputs.all_changed_files }}" | \ xargs claude review --output github-pr-comment
--output github-pr-comment 옵션은 기본적으로 새 코멘트를 추가합니다. 기존 코멘트를 업데이트하려면 --output github-pr-comment-update 옵션을 사용하세요. 이 옵션은 Claude Code가 이전에 남긴 코멘트를 찾아서 덮어씁니다.Claude Code 리뷰를 단순 코멘트가 아니라 CI 게이팅으로 활용할 수 있습니다. 보안 이슈가 발견되면 PR 머지를 막는 방식입니다.
이 패턴은 다음 시나리오에 적합합니다:
보안 이슈 발견 시 CI 실패 처리- name: Run security-focused review env: ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }} run: | REVIEW_RESULT=$(claude review \ --focus security \ --severity-threshold high \ --output json) echo "$REVIEW_RESULT" | jq '.issues[] | select(.severity == "critical" or .severity == "high")' > critical_issues.json if [ -s critical_issues.json ]; then echo "Critical security issues found:" cat critical_issues.json exit 1 # CI 실패 처리 fi echo "No critical security issues found."
--severity-threshold high로 설정하면 HIGH 이상 심각도의 이슈만 보고합니다. --output json으로 결과를 JSON 형식으로 받아 jq로 파싱하면 자동화 처리가 용이합니다.
--output json으로 받은 결과가 비어 있다 — Claude Code 버전이 오래됐을 때 발생합니다. npm update -g @anthropic-ai/claude-code로 최신 버전으로 업데이트하세요. Actions 캐시에 구버전이 남아 있는 경우라면 actions/cache 키를 변경해서 캐시를 무효화하세요.
Claude Code 리뷰를 팀에 안착시키기 위한 실전 팁입니다.
PR 생성 시(opened)에는 전체 리뷰, 업데이트(synchronize) 시에는 변경된 파일만 리뷰하는 방식으로 비용과 속도를 최적화할 수 있습니다.
Claude Code가 이슈를 전혀 발견하지 못한 경우 자동으로 "LGTM" 코멘트를 달도록 설정하면, 리뷰 없이 머지된 것처럼 보이는 문제를 방지할 수 있습니다.
Critical 이슈가 발견됐을 때 Slack으로 알림을 보내면 팀원이 빠르게 대응할 수 있습니다.
정리하면:
claude review로 로컬에서 즉시 코드 리뷰 가능 — git diff 기반으로 동작.claude/review.json으로 팀 규칙, 집중 영역, 제외 파일을 커스터마이징--severity-threshold와 CI 실패 처리로 머지 게이팅 가능synchronize 이벤트)로 비용 최적화관련 가이드:
로컬에서는 claude review로 git diff 기반 코드 리뷰를 즉시 받고, GitHub Actions에 연결하면 PR이 열릴 때마다 자동으로 리뷰 코멘트가 달립니다. 팀 규칙과 집중 영역은 .claude/review.json으로 커스터마이징하고, 보안 이슈는 --severity-threshold와 CI 실패 처리로 머지를 막는 게이팅까지 붙일 수 있습니다. 커밋이 쌓일 때는 synchronize 이벤트의 증분 리뷰로 변경된 파일만 분석해 비용을 줄이는 것이 핵심입니다.
두 가지를 먼저 맞춰야 자동 리뷰가 돌아갑니다. 하나는 ANTHROPIC_API_KEY를 레포 Secrets에 등록하는 것이고, 다른 하나는 워크플로우 jobs의 permissions에 pull-requests: write를 주는 것입니다. 이 권한이 없으면 리뷰는 실행돼도 PR에 코멘트를 달지 못하고 Actions 로그에 403 Forbidden이 찍힙니다. 그다음으로는 트리거 이벤트를 정하세요. opened에서는 전체 리뷰, synchronize에서는 변경 파일만 보는 증분 리뷰로 나누면 커밋이 쌓일 때마다 전체 diff를 다시 돌리는 비용을 줄일 수 있습니다.
가장 자주 걸리는 함정은 포크에서 올라온 PR입니다. 포크 PR은 보안상 레포 Secret 접근이 막혀 있어 ANTHROPIC_API_KEY를 못 읽고 자동 리뷰가 그냥 조용히 실패합니다. 외부 기여를 받는 레포라면 pull_request_target 트리거로 따로 처리해야 합니다. 그다음 흔한 것이 코멘트 중복입니다. --output github-pr-comment는 매번 새 코멘트를 추가하므로 PR을 업데이트할 때마다 리뷰가 쌓입니다. 기존 코멘트를 덮어쓰려면 github-pr-comment-update 옵션을 쓰세요. 로컬 claude review는 git diff 기반이라 git add 안 한 untracked 파일은 리뷰에서 빠진다는 점도 주의해야 합니다.
claude review는 사람 리뷰어를 대체하기보다 1차 필터로 둘 때 가장 잘 맞습니다. 하드코딩된 시크릿, SQL 인젝션, N+1 쿼리처럼 패턴이 명확한 결함을 PR 단계에서 자동으로 걸러내 리뷰어의 부담을 덜어주는 용도입니다. 특히 결제 모듈처럼 변경 시 강화 리뷰가 필요한 파일이나, 보안 등급에 따라 머지를 막아야 하는 레포에 적합합니다. 반대로 설계 의도나 제품 맥락을 판단해야 하는 아키텍처 리뷰, 그리고 외부 포크 기여가 많은 레포에서는 Secret 접근 제한 때문에 부적합하거나 pull_request_target 같은 별도 설계가 필요합니다. 무료로 빠르게 자동 리뷰를 붙이고 싶다면 우선 로컬 claude review부터 써보고 Actions로 확장하는 순서를 권합니다.
GitHub Actions 공식 문서(code.claude.com/docs/en/github-actions)에서 워크플로우 트리거와 permissions 설정을 먼저 확인하고, --output github-pr-comment-update, --severity-threshold, --output json 같은 리뷰 출력 옵션을 CLI 레퍼런스에서 정리해두면 게이팅 자동화에 바로 쓸 수 있습니다. 포크 PR을 안전하게 다루려면 GitHub 문서의 pull_request_target과 GITHUB_TOKEN 권한 모델을 별도로 읽어보세요. 출력 JSON을 jq로 파싱해 critical 이슈를 걸러내는 패턴, 그리고 .claude/review.json의 focus/ignore/rules 스키마가 핵심 학습 키워드입니다.
🎓 관련 강의
Claude Code 완전 정복 — 유데미 강의
이 글에서 다룬 내용을 더 체계적으로 배우고 싶다면 강의를 확인해보세요. 실전 예제 중심으로 구성되어 있습니다.
