Najlepsze praktyki ciągłego dostarczania

Twój PR czeka od dwóch dni na recenzenta. Wdrożenie wymaga trzech ręcznych zatwierdzeń na dwóch kanałach Slacka, notatki wydania to wciąż TODO, a kiedy CI zrobiło się czerwone w nocy, nikt nie zajął się tym aż do porannego standupu. Ciągłe dostarczanie obiecuje skrócić ten dystans do minut, ale to właśnie robota spinająca — przeglądy, YAML, bramki, changelog, triage awarii — jest dokładnie tym mozołem, którego nikt nie chce wziąć na siebie.

To właśnie ta spinająca robota jest miejscem, gdzie asystent AI zarabia na swoje utrzymanie. Nie chodzi o to, że „AI pisze twoją aplikację”, lecz o AI jako niestrudzonego recenzenta, generator YAML-a i pierwszą linię reagowania wpiętą bezpośrednio w twój potok.

Co z tego wyniesiesz

• Prawdziwy krok GitHub Actions, który uruchamia Claude Code w trybie headless na każdym diffie PR-a i komentuje inline
• Gotowe prompty do generowania YAML-a potoku, blokowania wdrożenia i tworzenia notatek wydania — po jednym na narzędzie
• Podział Cursor / Claude Code / Codex pod kątem tego, gdzie każde narzędzie pasuje w CD
• Listę „gdy to się zepsuje” dla trybów awarii, na które potoki generowane przez AI trafiają na produkcji

Gdzie AI pasuje w potoku

Miejscem o najwyższej dźwigni, od którego warto zacząć, jest automatyczny przegląd PR-ów — jest niskiego ryzyka (tylko komentarze, żadnych wdrożeń) i zwraca się już pierwszego dnia. Stamtąd rozszerzasz się na zewnątrz: generowanie plików workflow, blokowanie wdrożenia i triage czerwonych buildów.

Te trzy narzędzia zajmują różne powierzchnie potoku. Wybieraj na podstawie tego, gdzie twój zespół już mieszka.

Cursor

BugBot Cursora przegląda PR-y automatycznie po włączeniu na repozytorium i wystawia komentarze inline na temat prawdopodobnych błędów. Ponów przegląd na żądanie, komentując bugbot run w PR-ze. Gdy coś oznaczy, Autofix (GA od lutego 2026) potrafi uruchomić w tle agenta Cloud Agent, który otwiera kolejny PR z proponowaną poprawką — tak że recenzent zatwierdza diff, zamiast go pisać. Od maja 2026 BugBot rozlicza się za przegląd (mniej więcej $1.20 za przebieg o domyślnym wysiłku, więcej przy dużych diffach) w planach Teams i Individual, zamiast dawnej stałej opłaty za stanowisko.

Używaj Cursora, gdy twój zespół przegląda w interfejsie GitHuba i chce, by poprawki były proponowane jako PR-y, które można obejrzeć.

Claude Code

Claude Code błyszczy w headless CI. Uruchom claude -p wewnątrz GitHub Action, aby przejrzeć diff, zablokować wdrożenie albo przygotować changelog — skryptowo, bez TUI. Połącz to z hookiem PreToolUse lokalnie, aby ryzykowne polecenie (surowy kubectl apply, force-push) zatrzymało się na potwierdzenie, zanim agent je wykona.

Używaj Claude Code, gdy CD żyje w twoich .github/workflows i chcesz wywoływać agenta ze skryptu z jawnie dozwolonymi narzędziami.

Codex

Codex rozciąga się na App, CLI, IDE i Cloud. Codex Cloud uruchamia zadania w tle na dedykowanym worktree; integracja z GitHubem pozwala mu otwierać i przeglądać PR-y, a integracja ze Slackiem pozwala koledze z zespołu odpalić lub zatwierdzić zadanie wdrożenia prosto z kanału. Automations uruchamiają cykliczny prompt (np. nocny audyt zależności) i zrzucają wyniki do twojej skrzynki.

Używaj Codeksa, gdy chcesz asynchronicznych zadań po stronie chmury i zatwierdzeń sterowanych z czatu zamiast lokalnej pętli w terminalu.

Uruchom recenzenta na każdym PR-ze

Oto prawdziwy, minimalny krok GitHub Actions, który uruchamia Claude Code w trybie headless na diffie PR-a i wypisuje komentarze recenzji inline. Flagi są tu częścią nośną — --allowedTools (nie --allow-tools) ogranicza to, czego agent może dotknąć, a --output-format json (nie --json) sprawia, że wynik da się sparsować w dalszych krokach.

.github/workflows/ai-review.yml

name: AI PR Review
on: pull_request
permissions:
  contents: read
  pull-requests: write
jobs:
  review:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v6
        with:
          fetch-depth: 0
      - name: Run Claude Code review
        env:
          ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }}
        run: |
          git diff origin/${{ github.base_ref }}...HEAD > /tmp/pr.diff
          npx -y @anthropic-ai/claude-code -p \
            "Review the diff in /tmp/pr.diff for security issues, logic bugs, and missing error handling. Be specific and cite file:line. Skip style nits." \
            --allowedTools "Read,Grep,Bash(git diff:*)" \
            --output-format json > review.json

Cała rzecz polega na odwróceniu: nie wklejasz diffu do okna czatu — to potok podaje diff agentowi i przechwytuje ustrukturyzowane wyjście, które możesz wystawić jako komentarz albo na którym możesz wywalić joba.

Wskazówka

Gotowy prompt dla kroku przeglądu w CI (Claude Code, headless):

claude -p "Review the staged diff for this PR. Flag only: (1) security issues (injection, secrets, authz gaps), (2) logic bugs that change behavior, (3) unhandled error paths. For each, output 'file:line — severity — one-line fix'. Do not comment on formatting." --allowedTools "Read,Grep,Bash(git diff:*)" --output-format json

Generuj potok, nie pisz go ręcznie

Nikt nie powinien pisać YAML-a CI z pustego pliku. Opisz potok zwykłym językiem i pozwól AI go wyemitować, a potem przejrzyj wynik względem swojego runnera i nazw sekretów.

Cursor

W trybie agenta Cursora otwórz repozytorium i poproś agenta o utworzenie pliku workflow. Ponieważ może odczytać twój package.json i istniejące .github/workflows, dopasuje się do twoich prawdziwych skryptów i wersji Node zamiast zgadywać.

Wskazówka

Gotowy prompt do generowania potoku (agent Cursora):

Create .github/workflows/ci.yml. Read package.json first to use the real script names and Node version. The workflow should: install deps with npm ci, run npm run lint, run npm run test (Vitest), then build a Docker image only on pushes to main. Use actions/checkout@v6 and actions/setup-node@v6. Cache npm. Do not invent scripts that aren’t in package.json.

Claude Code

Z terminala pozwól Claude Code odczytać projekt i napisać plik za jednym razem, a potem zrób na nim diff przed commitem.

Wskazówka

Gotowy prompt do generowania potoku (Claude Code):

Read package.json and any existing workflows. Write .github/workflows/ci.yml that runs npm ci, npm run lint, and npm run test on every PR, and builds + pushes a Docker image to GHCR only on push to main. Use actions/checkout@v6, pin the registry login to secrets.GITHUB_TOKEN, and add a concurrency group keyed on the ref so superseded runs cancel. Show me the file before writing it.

Codex

Uruchom Codeksa z prawem zapisu do workspace, żeby mógł utworzyć plik, ale zostaw zatwierdzenia włączone, by zaskakujące polecenie się zatrzymało. Poprawne flagi to --sandbox workspace-write i --ask-for-approval on-request (nie --approval-mode).

Wskazówka

Gotowy prompt do generowania potoku (Codex):

codex --sandbox workspace-write --ask-for-approval on-request "Read package.json, then create .github/workflows/ci.yml that runs npm ci, lint, and Vitest on PRs and builds a Docker image on push to main. Match the real script names. Use actions/checkout@v6."

Blokuj wdrożenie z człowiekiem w pętli

Pełne automatyczne wdrożenie to ostatnia rzecz, którą się przyjmuje, nie pierwsza. Zacznij od tego, że AI przygotowuje wdrożenie i uruchamia kontrole przed startem, a potem przekazuje człowiekowi ostateczne „tak”. Zatwierdzenie może żyć w Slacku, w regule ochrony środowiska GitHuba albo w czacie z samym agentem.

Wskazówka

Gotowy prompt dla bramki przed wdrożeniem (dowolne narzędzie):

You are the release gate for a production deploy. Before approving, verify: (1) all required CI checks are green, (2) there are no open Sev-1 incidents, (3) the migration in this release is backward-compatible (no dropped columns still read by the current version). Output a checklist with PASS/FAIL per item and a single final verdict: HOLD or PROCEED. If any item is FAIL, output HOLD and the reason.

Przy kroku z notatkami wydania daj AI zakres commitów i format, a nie ogólnikowe „podsumuj”.

Wskazówka

Gotowy prompt dla notatek wydania (dowolne narzędzie):

Generate release notes for the range v1.1.0..v1.2.0. Group changes under Features, Fixes, and Breaking Changes. For each entry, write one user-facing sentence (not the raw commit subject) and link the PR number. Put Breaking Changes first and call out any required migration steps. Output Markdown.

Gdy to się zepsuje

CD wspomagane przez AI psuje się w konkretny, rozpoznawalny sposób. Uważaj na to:

Uwaga

• Zmyślone akcje i sekrety. Wygenerowany YAML odwołuje się do actions/checkout@v3 (przestarzałe), akcji z marketplace, która nie istnieje, albo secrets.DEPLOY_KEY, którego nigdy nie ustawiłeś. Zawsze rób diff wygenerowanego workflow i uruchom go raz na jednorazowej gałęzi, zanim mu zaufasz. Przypinaj do aktualnej wersji major (@v6 dla checkout) i przeszukaj plik pod kątem każdego zmyślonego secrets.*.
• Zielone, ale zepsute auto-poprawki. PR od Autofix lub agenta sprawia, że testy przechodzą, osłabiając test, a nie naprawiając błąd — albo łapiąc i połykając wyjątek. Traktuj PR-y z poprawkami autorstwa AI jak PR-y: czytaj diff, nie przyklepuj zielonego ptaszka.
• Zbyt szerokie uprawnienia tokenów. Agent nadaje permissions: write-all „na wszelki wypadek”. Ogranicz permissions: do minimum potrzebnego każdemu jobowi (contents: read, pull-requests: write).
• Pętle przeglądu, które nigdy nie zbiegają. Bot komentuje, autor „adresuje” to, bot ponownie oznacza tę samą rzecz. Ogranicz liczbę ponownych przeglądów i eskaluj do człowieka po drugiej rundzie, zamiast kręcić się w kółko.
• Recenzent, który blokuje kolejkę merge. Jeśli job przeglądu AI jest wymaganym checkiem, a API leży, nic się nie zmerguje. Zrób job przeglądu nieblokującym albo dodaj timeout i ręczne obejście.

Co dalej

• Potoki CI/CD — głębsze wzorce budowania samego potoku
• Reagowanie na incydenty — gdy wdrożenie pójdzie nie tak i potrzebujesz AI do triage’u
• Programowanie sterowane testami — testy, które nadają sens powyższej bramce