LLM per code review automatica in pipeline GitHub e GitLab: qualità senza rallentamenti
La code review umana è collo di bottiglia in molti team piccoli. Gli LLM possono affiancare i reviewer senior, non sostituirli, a condizione che la pipeline sia ben progettata. Ti mostro l'integrazione GitHub Actions + Claude API che ho implementato: prompt strategy per ridurre falsi positivi, esclusione di file sensibili, combinazione con PHPStan per ridurre rumore, controllo dei costi per PR. Continua a leggere
Ultima modifica:
Il codice generato da AI sembra pulito ma nasconde classi di vulnerabilità ricorrenti che il contesto non riesce a catturare: SQL injection con parametri concatenati, XSS in output non sanitizzati, API key committate, pattern anti-OWASP. Nella mia sandbox di audit su codice AI-generated ho analizzato 40 output di ChatGPT, Copilot e Claude: ecco il catalogo dei pattern pericolosi e la checklist che applico sistematicamente prima di mergiare qualsiasi codice AI-generated. 
Ho integrato Claude API nelle PR di tre team di sviluppo PHP. Il bot non sostituisce la review umana - intercetta gli errori ovvi (SQL senza parametri, input non sanitizzati, query N+1) lasciando ai senior il tempo per il ragionamento architetturale. Il numero di bug in produzione è sceso del 40% in tre mesi. 
Ho analizzato 200 snippet PHP generati da Copilot e ChatGPT nel contesto di progetti clienti: il 23% conteneva vulnerabilità, di cui il 8% classificabili come high severity. I pattern sono prevedibili: prepared statements dimenticati, input validation assente, errori gestiti con die(). Ecco come fare audit sistematico. 
Ho trovato una SQL injection in un gestionale di ordini PHP usato da un'azienda con 80 dipendenti. Il codice era del 2019, aggiornato più volte, ma la query vulnerabile era sopravvissuta a tutti i refactoring. Vi spiego perché SQLi è ancora viva, quali pattern la nascondono e come fare code review mirata.