Kostenpflichtige PR-Reviews von CodeRabbit mit GitHub Actions + Gemma kostenlos ersetzen

Ich habe ein Open-Source-Projekt namens GemmaCI erstellt.

In einem Satz erklärt: ein Projekt, mit dem man einen KI-PR-Reviewer wie CodeRabbit kostenlos innerhalb von GitHub Actions laufen lassen kann.

CodeRabbit ist ein gutes Tool, aber wenn man PR-Reviews in privaten Repositories ernsthaft nutzen will, braucht man einen kostenpflichtigen Plan. Laut offizieller Dokumentation konzentriert sich der Free-Plan auf PR-Zusammenfassungen, während PR-Reviews erst ab Pro verfügbar sind. Pro kostet bei jährlicher Zahlung 24 US-Dollar pro Monat und Nutzer, bei monatlicher Zahlung 30 US-Dollar pro Monat und Nutzer.

Deshalb habe ich es mit dem Gedanken gebaut: „Lässt sich die Kernerfahrung von CodeRabbit für kleine Teams, Studienprojekte und persönliche Side Projects kostenlos ersetzen?“

GemmaCI führt in GitHub Actions Ollama + das Gemma-Modell aus und prüft den PR-Diff.

Der aktuelle Funktionsumfang:

• Erstellen eines PR-Summary-Kommentars
• Schreiben von Inline-Review-Kommentaren an geänderten Zeilen
• CI-Check schlägt fehl, wenn Findings mit hoher oder kritischer Schwere entdeckt werden
• Ausgabe von Reviews auf Basis von evidence, confidence und recommendation
• Reduzierung der Cold-Start-Kosten durch Ollama- / Modell-Cache
• Nutzung durch Hinzufügen nur einer einzigen Workflow-Datei
• Sicherheitsmodell, das PR-Diff, Modellausgabe und Artefakte vollständig als untrusted data behandelt

Wichtig waren mir vor allem „kostenlos“ und „Sicherheit“.

Statt einfach nur einen Diff an ein LLM zu geben und Kommentare schreiben zu lassen, validiert GemmaCI die Modellausgabe gegen ein Schema und veröffentlicht nur Findings, die sich tatsächlich auf geänderte Zeilen stützen.

Außerdem wird standardmäßig kein pull_request_target verwendet. So wird das Risiko vermieden, dass vom PR-Autor geänderte Workflows oder Skripte mit Schreibrechten ausgeführt werden. Auch im Publish-Schritt wird nur vertrauenswürdiger Code aus dem Base-Branch ausgeführt, und Artefakte sowie Modellausgaben werden erneut validiert.

Die Verifikation erfolgte mit einem Smoke-PR direkt auf einem echten GitHub-Actions-Runner.

Verifizierte Punkte:

• Ausführung des Workflows auf einem GitHub-hosted Runner
• Installation von Ollama und Ausführung des Review-Jobs mit dem Gemma-Modell
• Veröffentlichen eines PR-Summary-Kommentars
• Veröffentlichen von Inline-Kommentaren an geänderten Zeilen
• Fehlschlag des Checks bei Erkennung eines Findings mit hoher Schwere

Im Test-PR wurde absichtlich eine Funktion unsafeDivide eingebaut, und GemmaCI erkannte die „fehlende Prüfung auf Division durch 0“ als Finding mit hoher Schwere und hinterließ dazu einen Inline-Kommentar.

Es ist noch nicht auf dem Stand, CodeRabbit vollständig 1:1 zu ersetzen. Man sollte weder dieselbe Qualität noch dieselben Integrationsfunktionen wie bei einem SaaS-Reviewer mit größeren Modellen erwarten.

Das Ziel ist dafür klar.

„Auch in kleinen Repositories, bei denen sich bezahlte Tools nicht wirklich lohnen, soll man mit nur einer Workflow-Datei kostenloses KI-PR-Review anbinden können.“

GitHub:
https://github.com/bssm-oss/gemmaci

Feedback, Issues und PRs sind willkommen.